Para protegerse lo suficiente contra KRACK, ¿se requieren parches para el cliente, el AP o ambos?

Navega tus respuestas
143

Siguiendo con esta pregunta , no tengo claro cuál de los siguientes pasos es suficiente para proteger un WPA2 conexión wifi basada en el defecto KRACK :

  1. Parcheando el AP (por ejemplo, enrutador)
  2. Aplicar parches al cliente (por ejemplo, un dispositivo móvil)
  3. Parcheando el AP y el cliente

La respuesta más actual, citando enlace dice:

  

Tanto los clientes como los puntos de acceso se enumeran en el documento como   vulnerable.

y:

  

las implementaciones se pueden parchear de una manera compatible con versiones anteriores [...]   Para evitar el ataque, los usuarios deben actualizar los productos afectados tan pronto como   Las actualizaciones de seguridad están disponibles. [...] un cliente parchado aún puede   comunicarse con un punto de acceso sin parches, y viceversa.

Pero esto parece dejar abierta la cuestión de qué combinación (es) de parches sería una solución efectiva. Por ejemplo, está claro que si tuviera un parche en mi teléfono, aún podría comunicarse con un AP sin parchear, pero ¿esa comunicación sería segura?

Esta es una pregunta importante, porque es relativamente fácil asegurar que mis clientes estén parcheados una vez que el parche esté disponible (ya que la cantidad de proveedores de sistemas operativos es relativamente pequeña), asegurando que todos los enrutadores estén parchados (especialmente en los puntos de acceso wifi públicos ) parece una tarea mucho más difícil debido a la cantidad y el tamaño de los proveedores, y la falta de control sobre el hardware de terceros.

    
pregunta Jon Bentley 16.10.2017 - 18:25
fuente

9 respuestas

85

Para proteger completamente su red, será necesario parchar tanto el dispositivo como el punto de acceso:

  

Fuente: https://www.krackattacks.com/#faq

     

Finalmente, aunque un cliente sin parche todavía puede conectarse a un parche   AP, y viceversa, tanto el cliente como AP deben ser parcheados para defender   contra todos los ataques!

    
respondido por el Citricguy 17.10.2017 - 06:31
fuente
49

TL; DR: A menudo (pero no siempre) es suficiente para conectar correctamente el cliente WiFi.
También debe parchear el enrutador, ya que también funciona como cliente WiFi (por ejemplo, un repetidor) o tiene habilitado el roaming rápido (802.11r).

La parte esencial de los ataques es que el cliente acepta de nuevo el mensaje 3 del protocolo de enlace de 4 vías, lo que hace que el cliente vuelva a instalar la misma clave de cifrado y restablezca la protección de repetición y repetición. inyección posible.

Esto significa que si el cliente está parcheado para no aceptar un mensaje 3 que contiene la misma clave que ya está instalada, no reinstalará la clave y no restablecerá la protección de repetición y nonce. Esto debería ser suficiente para frustrar el ataque, sin importar si el servidor está parchado o no.

También, tomado directamente de enlace :

  

¿Qué sucede si no hay actualizaciones de seguridad para mi enrutador?

     

Nuestro ataque principal es contra el apretón de manos de 4 vías, y no explota   puntos de acceso, pero en su lugar se dirige a los clientes. Así que puede ser que tu   el enrutador no requiere actualizaciones de seguridad . Le recomendamos encarecidamente que   Póngase en contacto con su proveedor para obtener más detalles. En general, sin embargo, puedes probar   para mitigar los ataques contra enrutadores y puntos de acceso mediante la desactivación de   funcionalidad del cliente (que se utiliza, por ejemplo, en los modos de repetidor) y   deshabilitar 802.11r (roaming rápido). Para usuarios domésticos normales, su   La prioridad de debería ser la actualización de clientes como computadoras portátiles y teléfonos inteligentes .

    
respondido por el Steffen Ullrich 17.10.2017 - 20:49
fuente
28

Según este publicación de IBM XForce :

  

[...] Los ataques deben estar dentro del alcance del punto de acceso y del cliente. Tanto el cliente como el punto de acceso deben ser parcheados para estar protegidos contra estos ataques. Si el punto de acceso está parcheado, pero no el cliente, la explotación aún es posible.

Antes del martes @ 2017-10-17 10: 42a CDT: IBM dijo:

  

[...] [...] si solo se ha parchado un dispositivo (cliente o punto de acceso), el par no es vulnerable a esta forma de ataque.

Dejé el texto original para propósitos históricos.

    
respondido por el mobill 16.10.2017 - 19:05
fuente
10

Escucho las cosas en ambos sentidos, es difícil saberlo. El documento que menciona tanto a los clientes como a los puntos de acceso parece que hay al menos algo que debe hacerse en ambos lados Este comentario tiene sentido para mí: "la mayoría de los puntos de acceso estarán bien, pero aquellos que realizan funciones de cliente ( por ejemplo, repetidores) necesitarán actualizarse. "

Lo siento, no puedo dar una respuesta definitiva, la actualizaré si la encuentro. Espero que esto haya ayudado al menos.

    
respondido por el Luc 16.10.2017 - 20:35
fuente
3

Un punto que puede olvidarse son los repetidores. Si su configuración es computadora < - > repetidor < - > enrutador < - > la línea de banda ancha y el repetidor / enrutador no están parcheados y están conectados a través de WiFi, por lo que cualquier tráfico entre el enrutador y el repetidor se puede detectar de forma indirecta, incluido todo lo que su computadora envía o recibe.

En esa situación, si solo se repara el repetidor, todo está seguro. Si no, la computadora y el enrutador deben ser parcheados porque ambos se conectan al repetidor sin parchear.

    
respondido por el gnasher729 17.10.2017 - 00:50
fuente
3

El sitio web oficial krackattacks.com ahora tiene esta entrada de Preguntas frecuentes :

  

¿Es suficiente parchear solo el punto de acceso? ¿O para parchear solo clientes?

     

Actualmente, todos los dispositivos vulnerables deben ser parcheados. En otras palabras, parchear el AP no evitará ataques contra clientes vulnerables. Del mismo modo, parchear a todos los clientes no evitará ataques contra puntos de acceso vulnerables. Tenga en cuenta que solo los puntos de acceso que admiten el protocolo de enlace Transición BSS rápida (802.11r) pueden ser vulnerables.

     

Dicho esto, estamos trabajando en modificaciones de puntos de acceso que previenen ataques contra clientes vulnerables . ¡Estas modificaciones son diferentes de los parches de seguridad para puntos de acceso vulnerables! Entonces, a menos que su proveedor de punto de acceso mencione explícitamente que sus parches previenen los ataques contra los clientes, también debe parchear a los clientes.

Esto explica por qué ha habido tanta confusión en torno a esta pregunta, tanto aquí como en otras partes de la web.

Hablando técnicamente, solo los clientes (incluidos los puntos de acceso que actúan como clientes, como los repetidores) y los puntos de acceso que admiten el protocolo de enlace Fast BSS Transition son vulnerables y deben corregirse.

Sin embargo, es posible modificar los puntos de acceso de manera que se eviten los ataques contra los clientes, incluso si los clientes son vulnerables (aunque el punto de acceso en sí no lo es). Esta modificación es completamente diferente de la modificación necesaria para "arreglar" los puntos de acceso vulnerables (aquellos que actúan como repetidores o que soportan las Transiciones rápidas de BSS), por lo que un parche para sus puntos de acceso puede o no prevenir ataques contra clientes vulnerables dependiendo de qué tipo exactamente de "arreglar" el parche contiene.

Entonces, dependiendo de las capacidades de su punto de acceso y del tipo de parches disponibles para él, como mínimo puede necesitar parchear solo su punto de acceso, solo sus clientes, o ambos para defenderse de este ataque. Obviamente, en el escenario ideal, todos los dispositivos vulnerables deben ser parcheados, independientemente de las mitigaciones adicionales que se hayan implementado en el punto de acceso.

    
respondido por el Ajedi32 24.10.2017 - 16:01
fuente
2

En respuesta a si es suficiente parchear el AP solo:

Referencia: parche WIP en 'wpa_supplicant' usado en la mayoría de los sistemas Linux distros

Según la confirmación anterior, parece posible evitar el ataque parcheando solo el AP:

  

Esta opción se puede utilizar para evitar ataques de reinstalación de claves en el lado de la estación (suplicante) en caso de que los dispositivos de la estación no puedan actualizarse por algún motivo. Al eliminar las retransmisiones, el atacante no puede causar la reinstalación de claves con una transmisión de trama retrasada. Esto está relacionado con las vulnerabilidades del lado de la estación CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080 y CVE-2017-13081.

Sin embargo, esto es opcional, es posible que una compilación predeterminada de este módulo no tenga esta opción habilitada.

Según los otros comentarios / confirmaciones relacionados, parece que la mejor opción es parchear al cliente.

    
respondido por el javaPhobic 17.10.2017 - 01:26
fuente
1

La aplicación de parches al AP solo es necesaria si el AP actúa como un cliente.

Por ejemplo:

  1. Si admite roaming rápido (802.11r).

  2. Es parte de una malla (hoja de malla) como en los productos de Fortinet

  3. Puede actuar como un repetidor

  4. Admite tráfico de estación a estación

En estos casos, el AP también debe ser parcheado.

PERO ... La aplicación de parches al AP también mitigará el ataque a los clientes no parcheados que se conectan a este AP (al no enviar un Msg3 puesto a cero), por lo que tal vez necesite parchear el AP para proteger a sus clientes.

    
respondido por el Wagde Zabit 18.10.2017 - 07:54
fuente
0

Mathy Vanhoef, el investigador que descubrió la vulnerabilidad KRACK y por lo tanto la fuente más autorizada disponible sobre este tema, eliminó cualquier ambigüedad en un entrevista en video para Tech News Weekly:

  

Como usuario doméstico, si ha realizado una actualización en su Windows y sus dispositivos IOS, en ese caso diría que está seguro.

     

Cuando se conecta a una red más empresarial o más empresarial, por ejemplo, una universidad o una empresa que tiene muchos puntos de acceso, por lo que en muchos lugares donde se está transmitiendo la tecnología inalámbrica, todavía podría haber una Beneficio en el equipo que utilizan.

     

Pero, para su red doméstica, si solo actualiza su Windows o sus computadoras portátiles y sus teléfonos inteligentes, entonces ya está seguro.

Además, más tarde agregado :

  

La mayoría de los ataques KRACK contra clientes vulnerables se pueden prevenir con   Modificar el enrutador / punto de acceso. Esto incluso puede ser posible a través de   Cambios en la configuración AP solamente (sin actualizaciones). El ejemplo es Cisco   soluciones . Aunque esto puede afectar la fiabilidad de los apretones de manos.   en ciertos casos de borde (por ejemplo, con clientes lentos o poco confiables)   conexiones).

    
respondido por el WhiteWinterWolf 26.10.2017 - 16:24
fuente

Lea otras preguntas en las etiquetas

La compañía de alojamiento nos recomendó evitar PHP por razones de seguridad. ¿Tienen razón? Recibió un conjunto de SMS / MMS que contiene 2 fotos, un mensaje de voz y un mensaje de texto "Necesito ayuda" con un enlace conocido de Google Maps. ¿Es spam?