Patch musi byt aplikovany vzdy na klientovi.. na access pointe nie je co opravovat.. treba si to lepsie nastudovat.

@FirmwareUpdate: A jakeho presne mas klienta, ze na nej neni patch k dispozici?

Nejbeznejsi klienti - Windows - maji uz patch vetsinou nainstalovany: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-13080
Linuxari a jablickari pocitam taky...

A treba TP-LINK tvrdi, ze pokud jsou jejich WiFi routery v klasickem "Router Mode" nebo "AP Mode" bez zapnuteho WDS (coz je default), tak jsou se zaplatovanym klientskym OS v pohode.
Je to tedy nejak jinak?

10 minutes ago, quadra2030 napsal:

Patch musi byt aplikovany vzdy na klientovi.. na access pointe nie je co opravovat.. treba si to lepsie nastudovat.

Pokud není na access pointu není co opravovat, proč tedy výrobci zveřejnili seznam afektovaných access pointů?

Např: Extreme Networks:

Affected Devices

AP3900 Series

AP3800 Series

AP3700 Series

Aruba:

Affected Products =================

-- ArubaOS (all versions prior to 6.3.1.25)

-- ArubaOS 6.4 prior to 6.4.4.16

-- ArubaOS 6.5.x prior to 6.5.1.9

-- ArubaOS 6.5.2.x

-- ArubaOS 6.5.3 prior to 6.5.3.3

-- ArubaOS 6.5.4 prior to 6.5.4.2

-- ArubaOS 8.x prior to 8.1.0.4

Pokud je chyba pouze na straně klienta, tak takové seznamy a nové firmwary pro takové zařízení jsou zbytečné, že?

14 minutes ago, Evzen napsal:

@FirmwareUpdate: A jakeho presne mas klienta, ze na nej neni patch k dispozici?

Nejbeznejsi klienti - Windows - maji uz patch vetsinou nainstalovany: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-13080
Linuxari a jablickari pocitam taky...

A treba TP-LINK tvrdi, ze pokud jsou jejich WiFi routery v klasickem "Router Mode" nebo "AP Mode" bez zapnuteho WDS (coz je default), tak jsou se zaplatovanym klientskym OS v pohode.
Je to tedy nejak jinak?

Třeba Android. Google sice vydá opravu, ale teď je na výrobci konkrétního typu mobilu, zda opravu vydá či nikoliv.

Garážovka TP-LINK tvrdí, že jejich wifi routery patch nepotřebují? LOL

20 minutes ago, FirmwareUpdate napsal:

Garážovka TP-LINK tvrdí, že jejich wifi routery patch nepotřebují? LOL

Takhle to nikde formulovane neni, pokud dobre ctu.

Tak co kdybys to nam, hloupym a nezkusenym laikum, zkusil nejak vysvetlit... nejak polopate, abychom to pochopili.

Zeby tie access pointy podporovali aj WDS ci roaming alebo station mode (ktore bezny uzivatel nepouziva)? A aj s opravenym firmware bude stale problem, ak sa bude na taky access point pripajat nepatchovany klient! A ano, najvacsi problem ma linux/android - resp. deravy wpa supplicant od verzie 2.4.. Windows/BSD/MacOS X/iOS su ovela tazsie zneuzitelne (aj bez opravy), kedze maju inak implementovany wpa handshake.

Mimochodom, routery/AP s Broadcom chipsetom nie su postihnute vobec (od UPC je to Technicolor 7200) - kedze Broadcom nepouziva wpa supplicant z linuxu :-)

 

Upraveno 23. října 2017 7 let uživatelem quadra2030

quadra2030 : nerozumím jak je to mezi aktualizací klientů a WiFi zařízení ale vím, že výrobci jako např. Mikrotik a Ubiquiti také vydali opravy pro svoje zařízení.

Vydali opravy, pretoze Mikrotik/Ubiquiti/etc. podporuju aj WDS, 802.11r (fast transition roaming) alebo klientsky rezim (station mode) - ale v cistom AP rezime (co prevadzkuje drviva vacsina uzivatelov) nie je co opravovat.. teoreticky moze AP pri otvorenej handshake session zhodit 3. pokus, ale to nepomoze, pokial utocnik cielene vyuziva chybu na MITM utok.

TP-Link nemusim, ale napisali to spravne - AK su ich routery prevadzkovane v cistom AP mode, NIET co opravovat na strane AP!

Vacsina vyrobcov WiFi routerov/AP musi pockat na opravene verzie v upstreame od dodavatelov SoC (Broadcom, Qualcomm, Mediatek, Realtek).. hlavne ti, co nepouzivaju standardny linux wpa supplicant - preto su opravene ako prve ucLinux distribucie (LEDE/OpenWRT, DD-WRT, Mikrotik), ktore pouzivaju linux wpa supplicant..

Upraveno 23. října 2017 7 let uživatelem quadra2030

To vcelku odpovida tomu, co vyplyva z toho, jsem si precetl u toho TP-LINKu - ze pokud zarizeni podporuje rezim, kdy se chova jako klient (tj. typicky WiFi extendery... nebo i routery, ktere primo od vyrobce podporuji tento rezim), tak patch pro provoz v tomto rezimu potrebuje. Pokud ho ale uzivatel v tomto rezimu neprovozuje, neni nutne ho patchovat (samozrejme do te doby, nez se uzivatel rozhodne zarizeni v tomto rezimu provozovat).

Takze vzhledem tomu, ze Mikrotik i Ubiquiti patri do kategorie tech univerzalnich zarizeni, je logicke, ze vyrobce pro ne patch vydal...

Ale napr. muj TP-LINK WDR4300 nic takoveho ve stock firmware nepodporuje, takze ho TP-LINK ani na zminene strance neuvadi.

Tak tomu rozumim ja. Jestli se mylim, necham se rad poucit.

Pokud někoho zajímají podrobnosti, tak doporučuji pročíst stránky autora zmiňovaného KRACK útoku. Pro vědátory je pak k dispozici podrobný dokument Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2 od objevitelezranitelnosti KRACK útoku (Mathy Vanhoef).

Jinak @quadra2030 má pravdu. Má smysl opravovat z principu jen zařízení, která umí pracovat v módu klienta. Na stránkách krackattacks.com je ve spodní části "Q & A" sice zmíněna možnost modifikace Access Point, která by řeší i bezpečnost připojování zranitelných (nepatchovaných) klientů, ale pokud jsem tomu dobře rozumněl, tak toto řešení aktuálně není předmětem firmwarových aktualizací.

Upraveno 23. října 2017 7 let uživatelem tomas.jakl

Este jeden citat z LEDE/OpenWRT:

Some client devices might never receive an update, an optional AP-side workaround was introduced in hostapd to complicate these attacks, slowing them down. Please note that this does not fully protect you from them. As this workaround can cause interoperability issues and reduced robustness of key negotiation, this workaround is disabled by default.

Cize neexistuje 100% oprava na strane AP (navyse moze sposobit problemy s kompatibilitou WiFi), treba opravit klientov.. problem je, ze je (a bude) velka skupina WPA2-PSK klientov, ktori z roznych dovodov nedostanu opravu.

Upraveno 23. října 2017 7 let uživatelem quadra2030