quadra2030 Odesláno 23. října 2017 Sdílet Odesláno 23. října 2017 Patch musi byt aplikovany vzdy na klientovi.. na access pointe nie je co opravovat.. treba si to lepsie nastudovat. Citovat Super - Základní - Bratislava Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
Návštěvník Evzen Odesláno 23. října 2017 Sdílet Odesláno 23. října 2017 @FirmwareUpdate: A jakeho presne mas klienta, ze na nej neni patch k dispozici? Nejbeznejsi klienti - Windows - maji uz patch vetsinou nainstalovany: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-13080 Linuxari a jablickari pocitam taky... A treba TP-LINK tvrdi, ze pokud jsou jejich WiFi routery v klasickem "Router Mode" nebo "AP Mode" bez zapnuteho WDS (coz je default), tak jsou se zaplatovanym klientskym OS v pohode. Je to tedy nejak jinak? Citovat Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
Návštěvník FirmwareUpdate Odesláno 23. října 2017 Sdílet Odesláno 23. října 2017 10 minutes ago, quadra2030 napsal: Patch musi byt aplikovany vzdy na klientovi.. na access pointe nie je co opravovat.. treba si to lepsie nastudovat. Pokud není na access pointu není co opravovat, proč tedy výrobci zveřejnili seznam afektovaných access pointů? Např: Extreme Networks: Affected Devices AP3900 Series AP3800 Series AP3700 Series Aruba: Affected Products ================= -- ArubaOS (all versions prior to 6.3.1.25) -- ArubaOS 6.4 prior to 6.4.4.16 -- ArubaOS 6.5.x prior to 6.5.1.9 -- ArubaOS 6.5.2.x -- ArubaOS 6.5.3 prior to 6.5.3.3 -- ArubaOS 6.5.4 prior to 6.5.4.2 -- ArubaOS 8.x prior to 8.1.0.4 Pokud je chyba pouze na straně klienta, tak takové seznamy a nové firmwary pro takové zařízení jsou zbytečné, že? 14 minutes ago, Evzen napsal: @FirmwareUpdate: A jakeho presne mas klienta, ze na nej neni patch k dispozici? Nejbeznejsi klienti - Windows - maji uz patch vetsinou nainstalovany: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-13080 Linuxari a jablickari pocitam taky... A treba TP-LINK tvrdi, ze pokud jsou jejich WiFi routery v klasickem "Router Mode" nebo "AP Mode" bez zapnuteho WDS (coz je default), tak jsou se zaplatovanym klientskym OS v pohode. Je to tedy nejak jinak? Třeba Android. Google sice vydá opravu, ale teď je na výrobci konkrétního typu mobilu, zda opravu vydá či nikoliv. Garážovka TP-LINK tvrdí, že jejich wifi routery patch nepotřebují? LOL Citovat Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
Návštěvník Evzen Odesláno 23. října 2017 Sdílet Odesláno 23. října 2017 20 minutes ago, FirmwareUpdate napsal: Garážovka TP-LINK tvrdí, že jejich wifi routery patch nepotřebují? LOL Takhle to nikde formulovane neni, pokud dobre ctu. Tak co kdybys to nam, hloupym a nezkusenym laikum, zkusil nejak vysvetlit... nejak polopate, abychom to pochopili. Citovat Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
quadra2030 Odesláno 23. října 2017 Sdílet Odesláno 23. října 2017 (upraveno) Zeby tie access pointy podporovali aj WDS ci roaming alebo station mode (ktore bezny uzivatel nepouziva)? A aj s opravenym firmware bude stale problem, ak sa bude na taky access point pripajat nepatchovany klient! A ano, najvacsi problem ma linux/android - resp. deravy wpa supplicant od verzie 2.4.. Windows/BSD/MacOS X/iOS su ovela tazsie zneuzitelne (aj bez opravy), kedze maju inak implementovany wpa handshake. Mimochodom, routery/AP s Broadcom chipsetom nie su postihnute vobec (od UPC je to Technicolor 7200) - kedze Broadcom nepouziva wpa supplicant z linuxu :-) Upraveno 23. října 2017 uživatelem quadra2030 Citovat Super - Základní - Bratislava Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
sodekcz Odesláno 23. října 2017 Sdílet Odesláno 23. října 2017 quadra2030 : nerozumím jak je to mezi aktualizací klientů a WiFi zařízení ale vím, že výrobci jako např. Mikrotik a Ubiquiti také vydali opravy pro svoje zařízení. Citovat Premium - Základní Vodafone Station KrPole Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
quadra2030 Odesláno 23. října 2017 Sdílet Odesláno 23. října 2017 (upraveno) Vydali opravy, pretoze Mikrotik/Ubiquiti/etc. podporuju aj WDS, 802.11r (fast transition roaming) alebo klientsky rezim (station mode) - ale v cistom AP rezime (co prevadzkuje drviva vacsina uzivatelov) nie je co opravovat.. teoreticky moze AP pri otvorenej handshake session zhodit 3. pokus, ale to nepomoze, pokial utocnik cielene vyuziva chybu na MITM utok. TP-Link nemusim, ale napisali to spravne - AK su ich routery prevadzkovane v cistom AP mode, NIET co opravovat na strane AP! Vacsina vyrobcov WiFi routerov/AP musi pockat na opravene verzie v upstreame od dodavatelov SoC (Broadcom, Qualcomm, Mediatek, Realtek).. hlavne ti, co nepouzivaju standardny linux wpa supplicant - preto su opravene ako prve ucLinux distribucie (LEDE/OpenWRT, DD-WRT, Mikrotik), ktore pouzivaju linux wpa supplicant.. Upraveno 23. října 2017 uživatelem quadra2030 Citovat Super - Základní - Bratislava Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
Návštěvník Evzen Odesláno 23. října 2017 Sdílet Odesláno 23. října 2017 To vcelku odpovida tomu, co vyplyva z toho, jsem si precetl u toho TP-LINKu - ze pokud zarizeni podporuje rezim, kdy se chova jako klient (tj. typicky WiFi extendery... nebo i routery, ktere primo od vyrobce podporuji tento rezim), tak patch pro provoz v tomto rezimu potrebuje. Pokud ho ale uzivatel v tomto rezimu neprovozuje, neni nutne ho patchovat (samozrejme do te doby, nez se uzivatel rozhodne zarizeni v tomto rezimu provozovat). Takze vzhledem tomu, ze Mikrotik i Ubiquiti patri do kategorie tech univerzalnich zarizeni, je logicke, ze vyrobce pro ne patch vydal... Ale napr. muj TP-LINK WDR4300 nic takoveho ve stock firmware nepodporuje, takze ho TP-LINK ani na zminene strance neuvadi. Tak tomu rozumim ja. Jestli se mylim, necham se rad poucit. Citovat Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
Návštěvník tomas.jakl Odesláno 23. října 2017 Sdílet Odesláno 23. října 2017 (upraveno) Pokud někoho zajímají podrobnosti, tak doporučuji pročíst stránky autora zmiňovaného KRACK útoku. Pro vědátory je pak k dispozici podrobný dokument Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2 od objevitelezranitelnosti KRACK útoku (Mathy Vanhoef). Jinak @quadra2030 má pravdu. Má smysl opravovat z principu jen zařízení, která umí pracovat v módu klienta. Na stránkách krackattacks.com je ve spodní části "Q & A" sice zmíněna možnost modifikace Access Point, která by řeší i bezpečnost připojování zranitelných (nepatchovaných) klientů, ale pokud jsem tomu dobře rozumněl, tak toto řešení aktuálně není předmětem firmwarových aktualizací. Upraveno 23. října 2017 uživatelem tomas.jakl Citovat Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
quadra2030 Odesláno 23. října 2017 Sdílet Odesláno 23. října 2017 (upraveno) Este jeden citat z LEDE/OpenWRT: Some client devices might never receive an update, an optional AP-side workaround was introduced in hostapd to complicate these attacks, slowing them down. Please note that this does not fully protect you from them. As this workaround can cause interoperability issues and reduced robustness of key negotiation, this workaround is disabled by default. Cize neexistuje 100% oprava na strane AP (navyse moze sposobit problemy s kompatibilitou WiFi), treba opravit klientov.. problem je, ze je (a bude) velka skupina WPA2-PSK klientov, ktori z roznych dovodov nedostanu opravu. Upraveno 23. října 2017 uživatelem quadra2030 Citovat Super - Základní - Bratislava Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
Doporučené příspěvky
Přidat se ke konverzaci
Přispívat můžete okamžitě a zaregistrovat se později. Pokud máte účet, přihlaste se a přispívejte pod Vaším účtem.
Poznámka: Váš příspěvek vyžaduje před zobrazením schválení moderátorem.