web-dev-qa-db-ja.com

KRACKから十分に保護するには、クライアント、AP、またはその両方にパッチを適用する必要がありますか?

この質問 に続き、WPA2ベースのwifi接続を から保護するのに十分な次の手順は不明です[〜#〜 ]クラック[〜#〜] 欠陥:

  1. APへのパッチ適用(ルーターなど)
  2. クライアント(モバイルデバイスなど)にパッチを適用する
  3. APおよびクライアントへのパッチ

現在最も投票されている answer 、引用 https://www.krackattacks.com 状態:

クライアントとアクセスポイントの両方が、脆弱であると紙に記載されています。

そして:

実装には下位互換性のある方法でパッチを適用できます[...]攻撃を防ぐには、セキュリティ更新が利用可能になり次第、ユーザーは影響を受ける製品を更新する必要があります。 [...]パッチを適用したクライアントは、まだパッチを適用していないアクセスポイントと通信でき、その逆も可能です。

しかし、これはパッチのどの組み合わせが効果的な修正になるかという問題を未解決のままにしているようです。たとえば、自分の電話にパッチを適用した場合でも、パッチが適用されていないAPとは通信できますが、その通信は安全でしょうか?

これは重要な質問です。パッチが利用可能になるとクライアントにパッチを適用することは比較的簡単ですが(OSベンダーの数は比較的少ないため)、すべてのルーターにパッチを適用すること(特にパブリックwifi APの場合)は次のようになります。ベンダーの数とサイズ、およびサードパーティのハードウェアに対する制御の欠如のため、はるかに困難な作業です。

wifiwpa2krack
142
Jon Bentley

ネットワークを完全に保護するには、デバイスとアクセスポイントの両方にパッチを適用する必要があります。

出典:https://www.krackattacks.com/#faq

最後に、パッチが適用されていないクライアントはパッチが適用されたAPに接続でき、その逆も可能ですが、クライアントとAPの両方にパッチを適用して、すべての攻撃から防御する必要があります。

85
Citricguy

TL; DR:WiFiクライアントに適切にパッチを適用するには、多くの場合(常にではありませんが)十分です
WiFiクライアントとしても機能するルーター(リピーターなど)または高速ローミング(802.11r)が有効になっているルーターにもパッチを適用する必要があります。

攻撃の本質的な部分は、クライアントが4ウェイハンドシェイクのメッセージ3を再び受け入れることです。これにより、クライアントは同じ暗号化キーを再インストールし、ノンスとリプレイ保護をリセットします。これにより、リプレイと、場合によっては注入も可能になります。

これは、すでにインストールされているものと同じキーを含むメッセージ3を受け入れないようにクライアントにパッチが適用されている場合、キーを再インストールせず、ナンスとリプレイ保護をリセットしません。これは、サーバーにパッチが適用されているかどうかに関係なく、攻撃を阻止するのに十分なはずです。

また、 https://www.krackattacks.com から直接取得:

ルーターのセキュリティ更新がない場合はどうなりますか?

主な攻撃は4ウェイハンドシェイクに対するものであり、はアクセスポイントを悪用するのではなく、クライアントをターゲットにします。そのため、ルーターがセキュリティ更新を必要としない可能性があります。詳細については、ベンダーにお問い合わせになることを強くお勧めします。ただし、一般的には、クライアント機能を無効にして(たとえば、リピーターモードで使用されます)、802.11を無効にすることで、ルーターおよびアクセスポイントに対する攻撃を緩和することができます。 r(高速ローミング)。通常のホームユーザーの場合、優先順位は、ラップトップやスマートフォンなどのクライアントを更新することです

50
Steffen Ullrich

これによると IBM XForce post

[...]攻撃は、アクセスポイントとクライアントの範囲内でなければなりません。これらの攻撃から保護するには、クライアントとアクセスポイントの両方にパッチを適用する必要があります。アクセスポイントにパッチが適用されていても、クライアントにはパッチが適用されていない場合、悪用は可能です。

2017-10-17 10:42a CDTの火曜日より前:IBMによると:

[...]デバイス(クライアントまたはアクセスポイント)の1つだけにパッチが適用されている場合、ペアはこの形式の攻撃に対して脆弱ではありません。

私は歴史的な目的のために原文を残しました。

28
mobill

私は物事を双方向で聞くので、言うのは難しいです。 論文 クライアントとAPの両方に言及していると、少なくとも何かを両側で実行する必要があるようです。 このコメント は私にとって意味があります: "ほとんどのアクセスポイントは問題ありませんが、クライアント機能を実行するもの(リピーターなど)は更新が必要です。"

明確な回答はできません。申し訳ありませんが、見つかったら更新します。これが少なくとも役立つことを願っています。

10
Luc

忘れられるかもしれない一つのポイントはリピーターです。設定がコンピューター<->リピーター<->ルーター<->ブロードバンド回線であり、リピーター/ルーターの両方がパッチされておらず、WiFi経由で接続されている場合、ルーターとリピーター間のトラフィックは、コンピューターが送信するものも含めて、間接的に傍受される可能性があります。受け取ります。

その状況では、リピーターだけにパッチを適用すれば、すべてが安全です。そうでない場合は、コンピューターとルーターの両方にパッチが適用されていないリピーターに接続されているため、パッチを適用する必要があります。

4
gnasher729

公式krackattacks.com Webサイトに this FAQ entry

アクセスポイントのみにパッチを適用するだけで十分ですか?またはクライアントのみにパッチを適用するには?

現在、すべての脆弱なデバイスにパッチを適用する必要があります。つまり、APにパッチを適用しても、脆弱なクライアントに対する攻撃を防ぐことはできません。同様に、すべてのクライアントにパッチを適用しても、脆弱なアクセスポイントに対する攻撃を防ぐことはできません。脆弱である可能性があるのは、高速BSS遷移ハンドシェイク(802.11r)をサポートするアクセスポイントのみであることに注意してください。

そうは言っても、私たちは 脆弱なクライアントに対する攻撃を防ぐアクセスポイントの変更 に取り組んでいます。これらの変更は、脆弱なアクセスポイントのセキュリティパッチとは異なります。そのため、アクセスポイントベンダーがパッチがクライアントに対する攻撃を防ぐことを明示的に述べていない限り、クライアントにもパッチを適用する必要があります。

これが、この質問をめぐって、こことWebの他の場所の両方で多くの混乱があった理由を説明しています。

技術的には、クライアント(リピーターなどのクライアントとして機能するアクセスポイントを含む)と高速BSS遷移ハンドシェイクをサポートするアクセスポイントのみが脆弱であり、修正する必要があります。

ただし、クライアントが脆弱である場合でも(アクセスポイント自体は脆弱ではありませんが)、クライアントに対する攻撃を防ぐ方法でアクセスポイントを変更することは可能です。この変更は、脆弱なアクセスポイント(リピーターとして機能するか、Fast BSSトランジションをサポートするもの)を「修正」するために必要な変更とは完全に異なるため、アクセスポイントのパッチは、正確なタイプに応じて、脆弱なクライアントに対する攻撃を防止する場合としない場合があります。パッチに含まれる「修正」の。

そのため、アクセスポイントの機能と、使用可能なパッチのタイプによっては、この攻撃を防ぐために、少なくともアクセスポイントのみ、クライアントのみ、またはその両方にパッチを適用する必要がある場合があります。明らかに理想的なシナリオでは、アクセスポイントに追加の緩和策が実装されているかどうかに関係なく、すべての脆弱なデバイスにパッチを適用する必要があります。

3
Ajedi32

APにパッチを適用するだけで十分かどうかに応じて:

参照: ほとんどのLinuxディストリビューションで使用される「wpa_supplicant」のWIPパッチ

上記のコミットによると、APのみにパッチを適用することで攻撃を防ぐことができるようです。

このオプションは、ステーションデバイスが何らかの理由で更新できない場合に、ステーション(サプリカント)側の主要な再インストール攻撃を回避するために使用できます。再送信を削除することにより、攻撃者は遅延フレーム送信でキーの再インストールを引き起こすことができません。これは、ステーション側の脆弱性CVE-2017-13077、CVE-2017-13078、CVE-2017-13079、CVE-2017-13080、およびCVE-2017-13081に関連しています。

ただし、これはオプションであり、このモジュールのデフォルトのビルドでは、このオプションが有効になっていない場合があります。

他の関連するコミット/コメントに基づいて、クライアントにパッチを適用することが最良のオプションであると思われます。

2
javaPhobic

APにパッチを適用する必要があるのは、APがクライアントのように機能する場合のみです。

例えば:

  1. 高速ローミング(802.11r)をサポートする場合。

  2. フォーティネット製品のようにメッシュ(メッシュリーフ)の一部です

  3. リピーターのように振る舞うことができます

  4. ステーション間のトラフィックをサポート

これらの場合、APにもパッチを適用する必要があります。

しかし... APにパッチを適用すると、このAPに接続しているパッチを適用していないクライアントへの攻撃も軽減されます(ゼロ化されたMsg3を送信しないことにより)。そのため、クライアントを保護するためにAPにパッチを適用する必要があるかもしれません。

1
Wagde Zabit

KRACKの脆弱性を発見した研究者であるMathy Vanhoef氏は、この件に関して最も信頼できる情報源であり、Tech News News Weeklyの ビデオインタビュー のあいまいさを取り除きました。

ホームユーザーとして、WindowsとIOSデバイスでアップデートを実行した場合、その場合は安全だと言えます。

より多くの企業またはより多くのビジネスネットワーク、たとえば大学や多くのアクセスポイントを持つ企業に接続する場合、多くの場所でワイヤレステクノロジーがブロードキャストされているため、引き続き特典があります。彼らが使用する機器。

しかし、ホームネットワークの場合、Windows、またはラップトップとスマートフォンを更新するだけで、すでに安全です。

さらに、彼は後で 追加

脆弱なクライアントに対するほとんどのKRACK攻撃は、ルーター/アクセスポイントを変更することで防ぐことができます。これは、AP構成の変更のみ(更新なし)でも可能である場合があります。例は Ciscoの回避策 です。ただし、これは、特定のEdgeのケース(遅いクライアントや信頼性の低い接続など)でのハンドシェイクの信頼性に影響を与える可能性があります。

0
WhiteWinterWolf