修补AP(例如路由器)
修补客户端(例如移动设备)
修补AP和客户端
当前最受支持的答案,引用https://www.krackattacks.com指出: >
客户端和访问点在本文中均被列为
易受攻击。
和:
可以以向后兼容的方式对实现进行修补[...]
为了防止攻击,用户必须在安全更新可用后立即更新受影响的产品。 [...]已打补丁的客户端仍然可以
与未打补丁的接入点进行通信,反之亦然。 )的补丁程序将是一个有效的解决方案。例如,很明显,如果我要打补丁,它仍然可以与未打补丁的AP通信,但是通信是否安全?
这是一个重要的问题,因为虽然确保在补丁可用后就可以对我的客户端进行补丁修复(因为操作系统供应商的数量相对较小),相对容易,要确保对所有路由器进行补丁修复(尤其是在公共wifi AP中),由于数量和大小,这似乎是一项艰巨的任务厂商,以及对第三方硬件缺乏控制。
#1 楼
为了完全保护您的网络,设备和访问点都需要打补丁:来源:https://www.krackattacks.com/#faq
最后,尽管未打补丁的客户端仍然可以连接到已打补丁的
,反之亦然,但客户端和AP都必须打补丁以防御所有攻击!
>
评论
@VladimirF对我来说听起来很明确:“客户端和AP都必须打补丁以防御所有攻击”
– Jeff Alyanak
17-10-17在15:31
仅当路由器也充当客户端时,即当是中继器或支持漫游时,才需要修补路由器。相同的常见问题仅在以后出现:“如果我的路由器没有安全更新,该怎么办?...可能是您的路由器不需要安全更新。”
– Steffen Ullrich
17-10-17在18:52
顺便说一句,昨天我通读网站并发表文章时,此答案的引用不在krackattacks.com上。我仍然在浏览器标签中加载了未刷新的页面。想知道我怎么想念它...
–动员
17-10-17在19:30
重要的是要注意,AP修补可抵御802.11r FT攻击,该攻击通常仅在具有多个AP且在单个位置漫游的企业网络上使用。我不确定典型的家庭/办公室AP或路由器是否甚至支持802.11r,但是可以禁用它而不损失功能,而不必修补路由器/ AP。如果路由器/ AP也是客户端(例如,在某种类型的扩展器或网状配置中),则仍需要将路由器/ AP修补为客户端。
– NetMage
17-10-17在23:52
@NH。确保在家中和在工作中。在机场?还是在火车上?您如何检查它们的补丁?甚至在家里,路由器也经常属于ISP并由ISP管理。
–弗拉基米尔F
17-10-19在17:52
#2 楼
TL; DR:通常(但并非总是)足以正确修补WiFi客户端。还需要修补路由器,使其也可以用作WiFi客户端(例如,中继器)或具有快速漫游(802.11)的功能。 r)已启用。
攻击的关键部分是客户端再次接受4向握手的消息3,这导致客户端重新安装相同的加密密钥并重置现时和重播。保护-通过这种方式可以进行重放,有时甚至可以进行注入。随机数和重播保护。无论服务器是否打补丁,这都足以阻止攻击。
直接从https://www.krackattacks.com获取:
如果我的路由器没有安全更新该怎么办?
我们的主要攻击是针对4向握手,它不利用
访问点,而是针对客户端。因此,您的
路由器可能不需要安全更新。我们强烈建议您
与您的供应商联系以获取更多详细信息。通常,您可以尝试通过禁用客户端功能(例如在转发器模式下使用)和禁用802.11r(快速漫游)来减轻对路由器和接入点的攻击。对于普通家庭用户,您的
优先事项应该是更新笔记本电脑和智能手机之类的客户端。
#3 楼
根据此IBM XForce文章:[...]攻击必须在接入点和客户端的范围内。客户端和访问点都必须打补丁,以免受这些攻击。如果修补了接入点而不是客户端,则仍然可以利用。
在星期二@ 2017-10-17 10:42a CDT之前:IBM说:
[...]即使仅修补了其中一个设备(客户端或访问点),该对也不易受到这种攻击。 br />
出于历史目的,我保留了原始文字。
评论
这与krackattacks.com不一致,后者指出:最后,尽管未打补丁的客户端仍可以连接到已打补丁的AP,反之亦然,但必须对客户端和AP都打补丁才能抵御所有攻击!
–威尔登(Will Vousden)
17-10-17在8:20
查看此提交:github.com/vanhoefm/krackattacks/commit/…。这样做是为了澄清IBM XForce帖子的标题。
–solsTiCe
17-10-17在8:59
这个答案多数票赞成,但它是错误的,并且会误导人们,因此应予以澄清。
–迈萨德
17-10-17在12:05
我的解析方式如下:1)已修补的AP仍可以连接到未修补的设备。 2)(反之亦然)修补的设备仍可以连接到未修补的AP。 3)为防御所有漏洞,必须对AP和设备进行修补。假定已打补丁的AP /未打补丁的设备易受漏洞的某些子集的攻击,而已打补丁的设备/未打补丁的AP易受(可能)不同子集的攻击。
–动员
17-10-17在15:03
@mobill:如果您可以先用TL; DR,然后再用历史角度来重新表述,那将是很棒的。开始时使用TL; DR可以确保不会有人意外地误解您的答案,而历史的观点可以帮助听到先前声明的人们理解那些错误(对IBM声明做出回应的补丁链接中的编辑将是一个加号,因为评论是短暂的)。
– Matthieu M.
17-10-18在9:12
#4 楼
我听到的都是双向的,这很难说。提到客户和AP的文件听起来好像双方都至少要做一些事情。这句话对我来说很有意义:“大多数访问点都可以,但是那些执行客户端功能(例如转发器)的访问点将需要更新。”对不起,我无法给出确切的答案,我将进行更新如果我找到一个。希望这至少对您有所帮助。
评论
我认为这还取决于您使用的WPA2的功能。 “攻击快速BSS转换(FT)握手时,我们可以解密(并伪造)发送给客户端的数据包”(krackattacks.com)。
– Nemo
17-10-16在19:53
#5 楼
可能遗忘的一点是中继器。如果您的设置是计算机<->中继器<->路由器<->宽带线路,并且中继器/路由器都未打补丁并通过WiFi连接,则路由器和中继器之间的任何流量都可以被间接嗅探,包括计算机发送或发送的任何内容。收到。在这种情况下,如果仅修补中继器,一切都是安全的。如果没有,则必须修补计算机和路由器,因为它们都连接到未修补的中继器。
评论
我认为这是计算机和中继器,因为它们都接受了握手的第三步。
– wizzwizz4
17-10-21在13:44
我假设您从连接到路由器的宽带调制解调器或其他调制解调器开始(没有WiFi,并且调制解调器通常位于路由器内部),该调制解调器与中继器具有WiFi连接,因此路由器或中继器必须修补程序,并且中继器与客户端具有WiFi连接,因此必须修补中继器或客户端。
– gnasher729
17-10-21在15:29
据我了解,这不是“其中之一”-攻击者将第三步的副本发送给客户端,这会使客户端进入意外状态->攻击者获胜。修补的连接器无法解决此问题。
– wizzwizz4
17-10-21在16:23
“意外状态”应该以攻击者可以攻击的加密方式建立连接。如果另一边只是拒绝连接,那么被连接者有多困惑都没关系。不会有任何联系。
– gnasher729
17-10-21在20:20
#6 楼
现在krackattacks.com官方网站上有以下常见问题解答条目:仅打补丁接入点是否足够?还是仅打补丁客户端?
当前,所有易受攻击的设备都应打补丁。换句话说,修补AP不会阻止对易受攻击的客户端的攻击。同样,修补所有客户端不会阻止针对易受攻击的访问点的攻击。请注意,只有支持快速BSS转换握手(802.11r)的访问点才容易受到攻击。
也就是说,我们正在对访问点进行修改,以防止攻击易受攻击的客户端。这些修改与易受攻击的访问点的安全补丁不同!因此,除非您的接入点供应商明确提到他们的补丁可以阻止对客户端的攻击,否则您还必须对客户端进行补丁。
从技术上讲,只有客户端(包括充当客户端的访问点,例如中继器)和支持快速BSS转换握手的访问点容易受到攻击,需要进行修复。
但是,可以修改访问点,即使客户端易受攻击(即使访问点本身不是),也可以防止攻击客户端。此修改完全不同于“修复”易受攻击的访问点(充当中继器或支持快速BSS转换的访问点)所需的修改,因此,针对访问点的补丁程序可能会或可能不会阻止针对易受攻击的客户端的攻击,具体取决于哪种类型修补程序包含的“修复”。
因此,根据接入点的功能以及可用的修补程序类型,您可能至少需要仅修补接入点,仅客户机或两者,以防御此攻击。显然,在理想情况下,应该对所有易受攻击的设备进行修补,无论在接入点上实施了哪些额外的缓解措施。
评论
+1,很好地掌握了最新情况。但是,我还要指出,仅因为正在进行的更新也可以保护客户端,并不意味着此类工作将会成功或成功应用于所有客户端。结合大多数无线设备在其生命周期内将连接到多个无线网络这一事实,并且仍应将客户端修补视为优先事项。
– YLearn
17-10-24在16:44
@YLearn这样的更新已在某些设备上存在:w1.fi/cgit/hostap/commit/…但是,我同意,显然,修补所有内容都是理想的,无论在接入点上实施了什么变通办法。
– Ajedi32
17-10-24在16:47
由于存在九个客户端CVE,因此即使修复了其中的五个最坏的情况,修复五个漏洞也不能解决客户端漏洞。
– YLearn
17-10-24在16:51
#7 楼
为了响应单独对AP进行补丁是否足够:参考:大多数Linux发行版中使用的'wpa_supplicant'中的WIP补丁
根据上述提交,看来有可能通过仅修补AP来防止攻击:
此选项可用于解决由于某些原因而无法更新这些站点设备的站点(请求方)上的密钥重新安装攻击。通过删除重新传输,攻击者无法通过延迟的帧传输来导致重新安装密钥。这与站点端漏洞CVE-2017-13077,CVE-2017-13078,CVE-2017-13079,CVE-2017-13080和CVE-2017-13081有关。
尽管这是可选的,但是此模块的默认内部版本可能未启用此选项。
基于其他相关的提交/注释,看来最好的选择是修补客户端。
评论
有可能预防大多数漏洞,而不是全部。与修补客户端相同,可以防止大多数漏洞,但不能全部。
– YLearn
17-10-24在16:49
#8 楼
仅当AP充当客户端时,才需要打补丁。例如:
如果它支持快速漫游(802.11r)。
像fortinet产品一样是网状结构的一部分
可以充当中继器
支持站间通信
在这种情况下,AP也应
BUT ...修补AP还可以减轻未连接到此AP的未修补客户端的攻击(通过不发送零位的Msg3),因此也许您需要按顺序修补AP保护您的客户。
评论
802.11r不是充当客户端的AP。此外,即使在STA到STA流量中,AP仍充当两个客户端的AP,在这种情况下,它不充当客户端。
– YLearn
17-10-24在16:47
#9 楼
研究人员Mathy Vanhoef发现了KRACK漏洞,因此是该主题上最权威的消息来源,在《科技新闻周刊》的视频采访中消除了任何歧义:作为家庭用户,如果您已经在Windows和IOS设备上完成了更新,那么在这种情况下,我会说您很安全。
当您连接到更多企业或更多业务网络时,例如大学或拥有大量接入点的公司,因此广播无线技术的地方很多,那么他们使用的设备中可能仍然有好处。您的家庭网络,如果您只是更新Windows,笔记本电脑和智能手机,那么您已经安全了。
此外,他后来补充说:
通过修改路由器/访问点,可以防止针对易受攻击的客户端的大多数KRACK攻击。仅通过AP配置更改(没有更新),甚至可以实现此目的。示例是Cisco
解决方法。尽管在某些情况下(例如客户端速度慢或连接不可靠的
)这可能会影响握手的可靠性
。
评论
无需修补的另一种保护方法是使用VPN。请参阅security.stackexchange.com/q/171431/22488,确保您使用正确的VPN解决方案(例如OpenVPN到家)或F-Secure Freedome,而不是插入javascript或安装证书的众多VPN解决方案之一。