Sårbarheterna i WPA och WPA2 (KRACK): Den 16 oktober avslöjade Mathy Vanhoef och Frank Piessens från universitetet i Leuven en rad sårbarheter som påverkar Wi-Fi Protected Access (WPA) och Wi-Fi Protected Access II (WPA2) -protokollen. Detta är sårbarheter på protokollnivå som påverkar trådlösa leverantörer som tillhandahåller infrastrukturenheter och trådlösa klienter som följer WPA- och WPA2-specifikationerna. Dessa sårbarheter kallades också ”KRACK” (Key Reinstallation AttaCK) och detaljer publicerades på: https://www.krackattacks.com
En försvårande faktor är att grundorsaken ligger på de enskilda klienterna. Det är i regel komplicerat att uppdatera många av dom enhetstyper som använder det trådlösa nätverket, och i många fall finns det inte och släpps det inte heller uppdateringar.
Hur motverkar man sårbarheterna i WPA och WPA2 (KRACK)?
Så den stora frågan är vad vi idag kan göra för att hantera problemet då vi eventuellt behöver leva med detta problem på klientsidan en tid framöver.
Det finns två huvudspår attacken kan ske på.
- Förfalska en infrastruktur AP: Detta inkluderar att skapa samma MAC-adress, men på en annan kanal. Detta är ganska lätt att göra; Anfallet är dock ”mycket synligt” (dvs det kan lätt upptäckas) och det kan motverkas genom att slå på funktionen Rogue Detection med Auto Contain för våra egna SSIDs. Detta bör göras i kombination med att vi scannar samtliga kanaler off-channel.
- Injektion av 802.11 ramar till en giltig anslutning. Denna attack är betydligt mer komplex men kan förhindras genom förhärdad mjukvara i våra egna access-punkter. Fixad mjukvara finns redan tillgänglig för specifika modeller. För fullständiga detaljer kring mjukvaror se: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171016-wpa
En rekommendation från vår sida för kritiska miljöer kan vara att använda VPN även internt över det krypterade trådlösa nätverket.
För mer detaljerad information se https://blogs.cisco.com/security/wpa-vulns.
Hör av dig här om du vill ha råd kring säkerhetsåtgärder i trådlösa nät. Vårt Team hjälper gärna till!
Andreas Dizazzo
Sr Network Engineer, CCIE Wireless
Conscia Netsafe – När kunskap betyder allt
Bild: Flickr/FutUndBeidl