題:
為了充分防禦KRACK,需要對客戶端,AP或兩者進行修補嗎?
Jon Bentley
2017-10-16 21:25:21 UTC
view on stackexchange narkive permalink

根據這個問題,我不清楚以下哪個步驟足以保護基於WPA2的wifi連接免受 KRACK漏洞的侵害:

  1. 修補AP(例如路由器)
  2. 修補客戶端(例如移動設備)
  3. 修補AP 客戶端
    4. ol>

    當前獲得最高評價的答案,引用了 https://www.krackattacks.com州:

    客戶端和訪問點在本文中都被列為易受攻擊的。

    和:

    實現可以以向後兼容的方式修補[ ...]為防止受到攻擊,用戶必須在安全更新可用後立即更新受影響的產品。已修補的客戶端仍然可以與未修補的訪問點通信,反之亦然。

    但這似乎沒有解決以下問題:哪些修補程序組合是有效的解決方案。例如,很明顯,如果我要打補丁,它仍然可以與未打補丁的AP通信,但是通信是否安全?

    這是一個重要的問題,因為雖然相對而言易於確保在修補程序可用後就對我的客戶端進行修補(因為操作系統供應商的數量相對較少),由於所用的數量和大小,確保對所有路由器進行修補(尤其是在公共wifi AP中)似乎是一項艱鉅的任務。供應商,以及對第三方硬件缺乏控制。

無需修補的另一種保護方法是使用VPN。請參閱https://security.stackexchange.com/q/171431/22488,確保您使用正確的VPN解決方案(例如OpenVPN到家)或F-Secure Freedome,而不是插入javascript或安裝證書的眾多VPN解決方案之一。
九 答案:
Citricguy
2017-10-17 09:31:50 UTC
view on stackexchange narkive permalink

要完全保護您的網絡,設備和接入點都需要打補丁:

來源:https://www.krackattacks.com/#faq

最後,儘管未打補丁的客戶端仍然可以連接到打補丁的AP,反之亦然,但客戶端和AP都必須打補丁才能防御所有攻擊!

此報價單向暗示。如果不告訴是否僅修補客戶端就足夠了。如果沒有,每個人都會被搞砸,我們可以關閉所有wifi。您無法在工作場所檢查本地eduroam或其他網絡中的路由器。
@VladimirF對我來說似乎很明確: “客戶端和AP都必須打補丁以防御所有攻擊”
僅當路由器也充當客戶端時,即當是中繼器或支持漫遊時,才需要修補路由器。僅在稍後使用相同的FAQ:*“如果我的路由器沒有安全更新,該怎麼辦?...可能是您的路由器不需要安全更新。” *。
順便說一句,昨天我通讀網站並發表文章時,此答案的引用不在krackattacks.com上。我仍然在瀏覽器標籤中加載了未刷新的頁面。想知道我怎麼想念它...
重要的是要注意,AP修補可抵禦802.11r FT攻擊,該攻擊通常僅在具有多個AP且在單個位置漫遊的企業網絡上使用。我不確定典型的家庭/辦公室AP或路由器是否甚至支持802.11r,但是可以禁用它而不損失功能,而不必修補路由器/ AP。如果路由器/ AP也是客戶端(例如,在某種類型的擴展器或網狀配置中),則仍需要將路由器/ AP修補為客戶端。
@JeffAlyanak確實如此,但同時https://security.stackexchange.com/a/171549/52150
@Vladimir F我想該答復中所說的是,有時AP也可以充當客戶端,並且由於這是對客戶端的攻擊,因此在某些情況下,AP也需要更新。因此,“客戶端和AP都必須打補丁以防御所有攻擊”。並非總是...但是有時。最終,“有時候我們全都被搞砸了”
@VladimirF,,但該回答表示“並非總是如此”。我們只是為了安全起見,總是對客戶端進行補丁,並且總是對路由器進行補丁呢?
@NH。確保在家中和在工作中。在機場?還是在火車上?您如何檢查它們的補丁?甚至在家裡,路由器通常也屬於ISP並由ISP管理。
您不能使用@VladimirF,。但是您可以並且應該在所有地方都使用https,並且避免在機場時共享文件和設備(無論如何,您為什麼要這麼做?)。
我提到的@NH路由器是ISP擁有的路由器(非常常見),而不僅僅是機場...
Steffen Ullrich
2017-10-17 23:49:44 UTC
view on stackexchange narkive permalink

TL; DR:通常(但並非總是)足以正確修補WiFi客戶端。
您還需要修補它也可以用作WiFi客戶端的路由器(例如,

攻擊的主要部分是客戶端再次接受4向握手的消息3,這導致客戶端重新安裝該消息。加密密鑰並重置隨機數和重播保護-這樣可以進行重播,有時甚至可以進行注入。不要重新安裝密鑰,也不要重置隨機數和重播保護。不管服務器是否打補丁,這都足以阻止攻擊。

此外,直接從 https://www.krackattacks.com提取:

如果我的路由器沒有安全更新,怎麼辦?

我們的主要攻擊是針對4向握手,而不利用訪問點,而是針對客戶。因此,可能是您的路由器不需要安全更新。我們強烈建議您與供應商聯繫以獲取更多詳細信息。不過,通常來說,您可以嘗試通過禁用客戶端功能(例如在轉發器模式下使用)和禁用802.11r(快速漫遊)來減輕對路由器和接入點的攻擊。對於普通家庭用戶,您的優先級應為更新筆記本電腦和智能手機之類的客戶端

mobill
2017-10-16 22:05:33 UTC
view on stackexchange narkive permalink

根據此 IBM XForce帖子

[...]攻擊必須在接入點和客戶端的範圍內。客戶端和訪問點都必須打補丁,以免受這些攻擊。如果對接入點(而不是客戶端)進行了修補,則仍然可以利用。

在星期二@ 2017-10-17 10:42a CDT之前:IBM說: sub>

[...],即使只對其中一個設備(客戶端或訪問點)進行了修補,這對設備也不易受到這種形式的攻擊。 sup>

我出於歷史目的保留了原始文本。 sup>

為了進一步解釋,我的理解是,攻擊依賴於“重新”安裝攻擊者已知的密鑰(具體而言,密鑰為0)。AP和站點需要相同的密鑰進行通信。如果密鑰僅在一對密鑰對中更改,則它們將無法通信,因此攻擊者將無法進行通信。
這與[krackattacks.com](https://www.krackattacks.com/#faq)不一致,該協議指出:*最後,儘管未打補丁的客戶端仍可以連接到打補丁的AP,反之亦然和AP必須打補丁以防御所有攻擊!*
查看此提交:https://github.com/vanhoefm/krackattacks/commit/1b32c02dd7371dbbd09912f1b3159c02b4c6ee61。這樣做是為了澄清IBM XForce帖子的標題。
這個答案大多數都是讚成票,但它是錯誤的,並且會誤導人們,因此應予以澄清。
-1
-1
-1
我的解析方式如下:1)已修補的AP仍可以連接到未修補的設備。2)(反之亦然)修補的設備仍可以連接到未修補的AP。3)為了防御所有漏洞,必須對AP和設備進行修補。假定已打補丁的AP /未打補丁的設備易受漏洞的某些子集的影響,而已打補丁的設備/未打補丁的AP易受(可能)不同子集的攻擊。
@mobill這也是我的理解。
在我看來,應該通過在AP端進行正確的更改來緩解未修補的客戶端漏洞,例如注意到一個額外的消息3 ACK(對於未重發的數據包)和/或拒絕一個額外的消息4(答复)到3?)。
@mobill:如果您可以*首先*使用TL; DR,然後僅使用歷史角度來重新表述您的答案,那就太好了。一開始使用TL; DR可以確保不會有人意外地誤解您的答案,而歷史的觀點可以幫助聽到先前聲明的人們理解那些錯誤(對IBM聲明做出回應的補丁程序鏈接中的編輯將是一個加號,因為評論是短暫的)。
Luc
2017-10-16 23:35:30 UTC
view on stackexchange narkive permalink

我聽到的都是雙向的,這很難說。 同時提到客戶和AP的論文聽起來雙方都至少要做一些 此評論對我來說很有意義:“大多數訪問點都可以,但是那些執行客戶端功能(例如轉發器)的訪問點將需要更新。”

抱歉,我無法提供確切的答案,如果找到答案,我將進行更新。希望這至少有幫助。

我認為這還取決於您使用的WPA2的功能。“在攻擊快速BSS轉換(FT)握手時,我們可以解密(並偽造)發送給客戶端的數據包”(https://www.krackattacks.com/)。
gnasher729
2017-10-17 03:50:20 UTC
view on stackexchange narkive permalink

轉發器可能會被遺忘。如果您的設置是計算機<->轉發器<->路由器<->寬帶線路,並且轉發器/路由器都未通過WiFi進行修補和連接,則路由器和轉發器之間的任何流量都可以被間接嗅探,包括計算機發送或發送的任何內容。收到。

在這種情況下,如果僅修補中繼器,則一切都是安全的。如果沒有,則必須修補計算機和路由器,因為它們都連接到未修補的中繼器。

我認為這是計算機和中繼器,因為它們都接受了握手的第三步。
我假設您從連接到路由器的寬帶調製解調器或其他調製解調器開始(沒有WiFi,並且調製解調器通常位於路由器內部),該調製解調器與轉發器具有WiFi連接,因此路由器或轉發器之一必須是修補程序,並且中繼器與客戶端具有WiFi連接,因此必須修補中繼器或客戶端。
據我了解,這不是“其中之一”-攻擊者將第三步的副本發送給客戶端,這會使客戶端進入意外狀態->攻擊者獲勝。修補的_connectee_無法解決此問題。
“意外狀態”應該以攻擊者可以攻擊的加密方式建立連接。如果另一邊只是拒絕連接,那麼被連接者有多困惑都沒關係。不會有任何联系。
Ajedi32
2017-10-24 19:01:40 UTC
view on stackexchange narkive permalink

現在krackattacks.com官方網站上有此常見問題解答條目

僅修補接入點是否足夠?還是只修補客戶端?

當前,應該修補所有易受攻擊的設備。換句話說,修補AP不會阻止對易受攻擊的客戶端的攻擊。同樣,修補所有客戶端不會阻止針對易受攻擊的訪問點的攻擊。請注意,只有支持快速BSS轉換握手(802.11r)的訪問點才容易受到攻擊。

也就是說,我們正在對訪問點進行修改,以防止攻擊易受攻擊的客戶端。 >。這些修改與易受攻擊的訪問點的安全補丁不同!因此,除非您的接入點供應商明確提到他們的補丁可以阻止對客戶端的攻擊,否則您還必須對客戶端進行補丁。

這說明了為什麼這個問題在這里和其他地方都引起如此混亂

從技術上講,只有客戶端(包括充當客戶端的訪問點,例如中繼器)和支持快速BSS轉換握手的訪問點容易受到攻擊,並且需要進行修復。

p>

但是,即使客戶端易受攻擊(儘管訪問點本身並非如此),也可以以防止攻擊客戶端的方式修改訪問點。此修改與“修復”易受攻擊的訪問點(充當中繼器或支持快速BSS轉換的訪問點)所需的修改完全不同,因此,針對訪問點的補丁程序可能會或可能不會阻止針對易受攻擊的客戶端的攻擊,具體取決於哪種類型補丁包含的“修復”。

因此,根據接入點的功能和可用的修補程序類型,您可能至少需要僅對接入點,客戶端或兩者進行修補,以防禦此攻擊。顯然,在理想情況下,無論在接入點上實施了哪些額外的緩解措施,都應修補所有易受攻擊的設備。

+1,很好地掌握了最新情況。但是,我還要指出,僅因為正在進行的更新也可以保護客戶端,並不意味著此類工作將會成功或成功應用於所有客戶端。結合大多數無線設備將在其生命週期內連接到多個無線網絡這一事實,並且仍應將客戶端修補視為優先事項。
@YLearn對於某些設備,這種更新已經存在:https://w1.fi/cgit/hostap/commit/?id=6f234c1e2ee1ede29f2412b7012b3345ed8e52d3我同意,顯然,修補所有內容都是理想的,無論已在其上實施了什麼變通辦法。切入點。
由於有九個客戶端CVE,即使修復了其中的五個,也不能解決客戶端漏洞,即使修復五個漏洞也不能解決。
javaPhobic
2017-10-17 04:26:47 UTC
view on stackexchange narkive permalink

針對僅對AP進行修補是否足夠:

參考:大多數Linux發行版中使用的'wpa_supplicant'中的WIP修補程序

上面的提交-通過僅修補AP似乎可以防止攻擊:由於某種原因無法更新。通過刪除重新傳輸,攻擊者無法通過延遲的幀傳輸來導致重新安裝密鑰。這與站點端漏洞CVE-2017-13077,CVE-2017-13078,CVE-2017-13079,CVE-2017-13080和CVE-2017-13081有關。

但這是可選的,此模塊的默認內部版本可能未啟用此選項。

基於其他相關的提交/註釋,看來最好的選擇是修補客戶端。

有可能預防大多數漏洞,而不是全部。與修補客戶端相同,可以防止大多數漏洞,但不能全部。
Wagde Zabit
2017-10-18 10:54:57 UTC
view on stackexchange narkive permalink

僅當AP充當客戶端時才需要對AP進行修補。

例如:

  1. 如果它支持快速漫遊(802.11r)。

  2. 像fortinet產品一樣是網格(網狀葉)的一部分

  3. 可以像轉發器一樣

  4. 支持站點間通信

    5. ol>

    在這些情況下,還應修補AP。

    但是...修補AP還可以減輕對連接到該AP的未修補客戶端的攻擊(通過不發送歸零的Msg3),因此也許您需要修補AP以保護客戶端。

802.11r不是充當客戶端的AP。另外,即使在STA到STA流量中,AP仍充當兩個客戶端的AP,在這種情況下,它不充當客戶端。
WhiteWinterWolf
2017-10-26 19:24:32 UTC
view on stackexchange narkive permalink

發現KRACK漏洞並因此是該主題上最權威的消息來源的研究員瑪西·範霍夫(Mathy Vanhoef)在《科技新聞周刊》的視頻採訪中消除了任何歧義:

作為家庭用戶,如果您已經在Windows和IOS設備上完成了更新,那麼在這種情況下,我會說您很安全。

當您連接到更多企業或企業時,更多的業務網絡,例如大學或擁有大量訪問點的公司,因此在廣播無線技術的地方很多,那麼他們使用的設備中可能仍然有振作。

但是,對於您的家庭網絡來說,如果您只是更新Windows,筆記本電腦和智能手機,那麼您已經很安全了。

此外,他後來添加了

通過修改路由器/訪問點,可以防止針對易受攻擊的客戶端的大多數KRACK攻擊。這甚至可能僅通過AP配置更改(沒有更新)就可以實現。示例是 Cisco解決方法。儘管在某些情況下(例如客戶端速度慢或連接不可靠),這可能會影響握手的可靠性。



該問答將自動從英語翻譯而來。原始內容可在stackexchange上找到,我們感謝它分發的cc by-sa 3.0許可。
Loading...