从这个问题开始,我不清楚以下哪些步骤足以保护基于 WPA2 的 wifi 连接免受KRACK缺陷的影响:
目前最受欢迎的答案,引用https://www.krackattacks.com指出:
客户端和接入点都在论文中被列为易受攻击。
和:
可以向后兼容的方式修补实现 [...] 为了防止攻击,用户必须在安全更新可用时立即更新受影响的产品。[...] 打补丁的客户端仍然可以与未打补丁的接入点通信,反之亦然。
但这似乎留下了哪些补丁组合将是有效修复的问题。例如,很明显,如果我给手机打补丁,它仍然可以与未打补丁的 AP 通信,但这种通信安全吗?
这是一个重要的问题,因为虽然在补丁可用后确保我的客户端得到补丁是相对容易的(因为操作系统供应商的数量相对较少),但确保所有路由器都得到补丁(特别是在公共 wifi AP 中)似乎由于供应商的数量和规模,以及缺乏对第三方硬件的控制,这是一项艰巨的任务。
为了充分保护您的网络,设备和接入点都需要修补:
来源:https://www.krackattacks.com/#faq
最后,虽然未打补丁的客户端仍然可以连接到打补丁的 AP,反之亦然,但客户端和 AP 都必须打补丁才能抵御所有攻击!
TL;DR:通常(但不总是)正确地修补 WiFi 客户端就足够了。
您还需要修补它作为 WiFi 客户端(例如中继器)或启用了快速漫游 (802.11r) 的路由器。
攻击的基本部分是客户端再次接受 4 次握手的消息 3,这会导致客户端重新安装相同的加密密钥并重置随机数和重放保护 - 这样使得重放甚至注入成为可能。
这意味着如果客户端被修补为不接受包含与已安装密钥相同的密钥的消息 3,它将不会重新安装密钥,也不会重置 nonce 和重放保护。这应该足以阻止攻击,无论服务器是否打了补丁。
此外,直接取自https://www.krackattacks.com:
如果我的路由器没有安全更新怎么办?
我们的主要攻击是针对 4 次握手,并且不利用接入点,而是针对客户端。因此,您的路由器可能不需要安全更新。我们强烈建议您联系您的供应商了解更多详情。不过,一般而言,您可以尝试通过禁用客户端功能(例如用于中继器模式)和禁用 802.11r(快速漫游)来减轻对路由器和接入点的攻击。对于普通家庭用户,您的 首要任务应该是更新笔记本电脑和智能手机等客户端。
根据这篇IBM XForce 帖子:
[...] 攻击必须在接入点和客户端的范围内。客户端和接入点都必须打补丁才能免受这些攻击。如果接入点打了补丁,但客户端没有打补丁,利用仍然是可能的。
在星期二 @ 2017-10-17 10:42a CDT 之前:IBM 说:
[...] 即使只有一个设备(客户端或接入点)被修补,这对设备也不容易受到这种形式的攻击。
我出于历史目的留下了原文。
我听到了两种方式,很难说。提到客户端和接入点的论文听起来至少双方都有一些事情要做。这个评论对我来说很有意义:“大多数接入点都可以,但是那些执行客户端功能(例如中继器)的接入点需要更新。”
对不起,我不能给出一个明确的答案,如果我找到了,我会更新。希望这至少有所帮助。