Aby w pełni zabezpieczyć sieć, należy załatać zarówno urządzenie, jak i punkt dostępowy:

Źródło: https://www.krackattacks.com/#faq

Wreszcie, chociaż niezałatany klient nadal może łączyć się z załatanym AP i odwrotnie, zarówno klient, jak i AP muszą zostać załatane, aby chronić się przed wszystkimi atakami!

TL; DR: Często (ale nie zawsze) wystarcza poprawne patchowanie klienta Wi-Fi.
Musisz także załatać router, ponieważ działa on również jako klient Wi-Fi (np. repeater) lub ma włączony szybki roaming (802.11r).

Zasadniczą częścią ataków jest to, że klient ponownie akceptuje komunikat 3 z 4-way handshake, co powoduje, że klient ponownie instaluje ten sam klucz szyfrowania i resetowanie ochrony nonce i replay - w ten sposób możliwe jest powtórzenie, a czasem nawet wstrzyknięcie.

Oznacza to, że jeśli klient jest załatany, aby nie przyjmował wiadomości 3, która zawiera ten sam klucz, co już Nie instaluj ponownie klucza i nie resetuj ochrony nonce i replay. Powinno to wystarczyć, aby udaremnić atak, bez względu na to, czy serwer jest załatany, czy nie.

Również bezpośrednio pobrane z https://www.krackattacks.com:

Co zrobić, jeśli nie ma aktualizacji zabezpieczeń dla mojego routera?

Nasz główny atak skierowany jest przeciwko uzgadnianiu czterokierunkowemu i nie wykorzystuje punktów dostępu, ale zamiast tego skierowany do klientów. Może się więc zdarzyć, że router nie wymaga aktualizacji zabezpieczeń . Zdecydowanie zalecamy skontaktowanie się ze sprzedawcą w celu uzyskania dalszych informacji. Ogólnie można jednak spróbować złagodzić ataki na routery i punkty dostępowe, wyłączając funkcjonalność klienta (która jest na przykład używana w trybach repeatera) i wyłączając 802.11r (szybki roaming). W przypadku zwykłych użytkowników domowych Twoim priorytetem powinno być aktualizowanie klientów, takich jak laptopy i smartfony .

Zgodnie z tym postem dotyczącym IBM XForce:

[...] Ataki muszą być w zasięgu punktu dostępowego i klienta. Zarówno klient, jak i punkt dostępu muszą zostać poprawione, aby zapewnić ochronę przed takimi atakami. Jeśli punkt dostępu jest załatany, ale nie klient, eksploatacja jest nadal możliwa.

_{Przed wtorkiem @ 2017-10-17 10: 42a CDT: IBM powiedział: sub>}

^{[...] jeśli nawet tylko jedno z urządzeń (klient lub punkt dostępu) zostało załatane, para nie jest podatna na tę formę ataku. sup>}

^{Oryginalny tekst zostawiłem dla celów historycznych.}

Słyszę rzeczy w obie strony, trudno powiedzieć. Artykuł wspominający zarówno o klientach, jak i punktach dostępu brzmi, jakby było co najmniej coś do zrobienia po obu stronach. Ten komentarz ma dla mnie sens: „większość punktów dostępowych będzie w porządku, ale te wykonujące funkcje klienta (np. przemienniki) będą wymagały aktualizacji”.

Przepraszam, że nie mogę udzielić ostatecznej odpowiedzi, zaktualizuję, jeśli ją znajdę. Mam nadzieję, że to przynajmniej pomogło.

Jednym z punktów, o którym można zapomnieć, są repeatery. Jeśli Twoja konfiguracja to komputer <-> repeater <-> router <-> linia szerokopasmowa, a repeater / router są zarówno niezaładowane, jak i połączone przez WiFi, wówczas każdy ruch między routerem a repeaterem może być podsłuchiwany pośrednio, w tym wszystko, co wysyła komputer lub odbiera.

W tej sytuacji, jeśli tylko repeater jest załatany, wszystko jest bezpieczne. Jeśli nie, to komputer i router muszą zostać poprawione, ponieważ oba łączą się z niezałatanym repeaterem.

Na oficjalnej stronie krackattacks.com znajduje się teraz ten wpis FAQ:

Czy wystarczy załatać tylko punkt dostępu? Czy może łatać tylko klientów?

Obecnie wszystkie podatne urządzenia powinny zostać załatane. Innymi słowy, łatanie punktu dostępu nie zapobiegnie atakom na podatnych klientów. Podobnie łatanie wszystkich klientów nie zapobiegnie atakom na podatne punkty dostępu. Zauważ, że tylko punkty dostępu obsługujące uzgadnianie Fast BSS Transition (802.11r) mogą być podatne na ataki.

Mimo to pracujemy nad modyfikacjami punktów dostępu, które zapobiegają atakom na podatnych klientów. Te modyfikacje różnią się od poprawek bezpieczeństwa dla wrażliwych punktów dostępu! Więc jeśli twój dostawca punktu dostępu wyraźnie nie wspomina, że ​​jego łaty zapobiegają atakom na klientów, musisz również załatać klientów.

To wyjaśnia, dlaczego było tyle zamieszania wokół tego pytania, zarówno tutaj, jak i gdzie indziej sieci.

Z technicznego punktu widzenia tylko klienci (w tym punkty dostępowe działające jako klienci, takie jak repeatery) i punkty dostępowe obsługujące uzgadnianie Fast BSS Transition są podatne na ataki i należy je naprawić.

Można jednak modyfikować punkty dostępu w sposób, który zapobiega atakom na klientów, nawet jeśli klienci są podatni na ataki (chociaż sam punkt dostępu nie jest). Ta modyfikacja jest zupełnie inna niż modyfikacja potrzebna do „naprawienia” wrażliwych punktów dostępu (działających jako repeater lub obsługujących szybkie przejścia BSS), więc łatka dla punktów dostępu może, ale nie musi, zapobiegać atakom na podatnych klientów w zależności od tego, jakiego dokładnie typu poprawka zawiera poprawkę.

Zatem w zależności od możliwości twojego punktu dostępowego i tego, jaki typ łatek jest dla niego dostępnych, możesz potrzebować przynajmniej poprawki tylko swojego punktu dostępu, tylko swoich klientów lub obu, aby obronić się przed tym atakiem. Oczywiście w idealnym scenariuszu wszystkie wrażliwe urządzenia powinny zostać załatane, niezależnie od tego, jakie dodatkowe środki zaradcze zostały zaimplementowane w punkcie dostępu.

W odpowiedzi na pytanie, czy łatanie samego AP jest wystarczające:

Źródła: Łata WIP w 'wpa_supplicant' używana w większości dystrybucji Linuksa

Zgodnie z powyższe zatwierdzenie - wydaje się możliwe zapobieżenie atakowi poprzez łatanie tylko AP:

Ta opcja może być użyta do obejścia ataków ponownej instalacji klucza po stronie stacji (suplikanta) w przypadkach, gdy te urządzenia stacji nie można zaktualizować z jakiegoś powodu. Usuwając retransmisje, osoba atakująca nie może spowodować ponownej instalacji klucza z opóźnioną transmisją ramek. Jest to związane z lukami w zabezpieczeniach po stronie stacji CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080 i CVE-2017-13081.

Jest to jednak opcjonalne, domyślna kompilacja tego modułu może nie mieć włączonej tej opcji.

Na podstawie innych powiązanych zatwierdzeń / komentarzy wydaje się, że najlepszą opcją jest łatanie klienta.

Poprawianie punktu dostępowego jest potrzebne tylko wtedy, gdy punkt dostępowy działa jak klient.

Na przykład:

1. Jeśli obsługuje szybki roaming (802.11r).

2. Jest częścią siatki (liścia siatki), jak w produktach Fortinet

3. Może działać jak repeater

4. Obsługuje ruch między stacjami

W takich przypadkach punkt dostępu również powinien zostać poprawiony.

ALE ... Poprawienie punktu dostępu złagodzi również atak na niezałatanych klientów, którzy łączą się z tym punktem dostępu (nie wysyłając wyzerowanego Msg3), więc być może będziesz musiał załatać punkt dostępu, aby chronić swoich klientów.

Mathy Vanhoef, badaczka, która odkryła lukę KRACK, a tym samym najbardziej wiarygodne źródło dostępne na ten temat, usunęła wszelkie niejasności w wywiadzie wideo dla Tech News Weekly:

Jako użytkownik domowy, jeśli zaktualizowałeś swój system Windows i urządzenia z systemem IOS, w takim przypadku powiedziałbym, że jesteś bezpieczny.

Gdy łączysz się z większym przedsiębiorstwem lub więcej sieci biznesowych, na przykład uniwersytet lub firma, która ma wiele punktów dostępowych, więc wiele miejsc, w których technologia bezprzewodowa jest nadawana, nadal może być zaletą sprzętu, którego używają.

Ale jeśli chodzi o sieć domową, jeśli tylko zaktualizujesz system Windows lub laptopy i smartfony, jesteś już bezpieczny.

Co więcej, później dodał:

Większości ataków KRACK na podatnych klientów można zapobiec, modyfikując router / punkt dostępu. Może to być nawet możliwe tylko poprzez zmiany konfiguracji AP (bez aktualizacji). Przykład: obejścia Cisco. Chociaż może to wpłynąć na niezawodność uzgadniania w niektórych skrajnych przypadkach (np. Z powolnymi klientami lub zawodnymi połączeniami).