16 октября 2017 года было опубликовано заявление Международного консорциума по улучшению кибербезопасности в Интернете (ICASI), предупреждающее отрасль о серии уязвимостей для WPA и WPA2. Данные уязвимости влияют на большое количество беспроводных инфраструктурных устройств и беспроводных клиентов для многих поставщиков. Этот недочет в системе безопасности означает, что для уязвимых клиентов и точек доступа WPA и WPA2 зашифрованный трафик Wi-Fi больше не защищен до тех пор, пока не будут предприняты определенные шаги по устранению проблемы. Поток данных Wi-Fi, включая пароли и личные данные, может быть перехвачен, расшифрован и изменен без какого-либо оповещения пользователя. Ниже приведена подробная информация о слабых местах в системе защиты, которые влияют на продукты WatchGuard, а также на время для исправлений.
Что такое WPA2?
На сегодняшний день WPA2 (802.11i) является стандартом для безопасности 2-го уровня в сетях Wi-Fi. Он использует либо проверку 802.1x (EAP), либо общий ключ (PSK). В 802.1x клиент проверяется с серверного RADIUS-сервера при настройке беспроводного соединения. Во время процесса аутентификации клиент и сервер RADIUS генерируют общий ключ, так называемый Pairwise Master Key (PMK). PMK отправляется с сервера RADIUS в AP(точку доступа) через защищенную проводную сеть. В PSK PMK статически устанавливается в клиенте и AP, вводя одну и ту же кодовую фразу (пароль) с обеих сторон. Затем PMK применяют для генерации иерархии ключей, которые будут использоваться для защиты от шифрования и целостности данных, которые передаются по беспроводной линии связи между AP(точкой доступа) и клиентом.
Протокол для создания ключевой иерархии из PMK называется 4-Way Handshake EAPOL. Он используется для получения следующих ключей:
- Pairwise Transient Key (PTK) используется для шифрования одноадресной связи между AP и клиентом. PTK выводится и устанавливается AP и клиентом во время настройки беспроводного соединения. Он обновляется во время соединения после того, как прошло предварительно настроенное время. Он также обновляется, когда клиент перемещается между точками доступа, используя протокол Fast Transition (FT).
- Group Transient Key (GTK) используется для шифрования широковещательных и многоадресного (multicast) запросов от точек доступа к клиентам. GTK генерируется и поддерживается AP (точкой доступа). AP (точка доступа) передает ключ GTK клиенту во время настройки беспроводного соединения.
- Integrity Group Transient Key (IGTK) используется для обеспечения целостности широковещательных и многоадресных сообщений (защита кадров управления или MFP), которые передаются от точки доступа к клиенту. IGTK создается и поддерживается AP(точкой доступа). Точка доступа передает ключ клиенту во время настройки беспроводного соединения.
Ключи (GTK и IGTK) обновляются, когда клиент оставляет AP, а новые ключи распространяются на всех остальных клиентов, используя протокол Group Key Handshake.
Что такое WPA?
Защищенный доступ Wi-Fi (WPA) — это протокол безопасности и система сертификации безопасности, разработанная в Wi-Fi Alliance в ответ на недостатки, обнаруженные в предыдущей системе, Wired Equivalent Privacy (WEP). Это была промежуточная мера, принятая в ожидании более сложного и безопасного доступа WPA2. WPA устарел и небезопасен, и мы рекомендуем всем пользователям применять WPA2, а не WPA.
На кого распространяются такие уязвимости?
Проблема с защитой системы встречается часто. Для получения дополнительной информации и CVE смотрите заявление ICASI, приведенное выше. Организации, которые используют точки беспроводного доступа (AP) и полагаются на шифрование WPA или WPA2, а также мобильные пользователи, которые подключаются к сетям Wi-Fi со смартфонов, планшетов, ноутбуков и других устройств, должны внедрять необходимые исправления в системе защиты.
Сколько существует слабых мест в системе защиты и какие они бывают?
Смотрите список уязвимостей ICASI, типовые уязвимости (Common Vulnerability) и ошибки конфигурации (Exposure (CVE)) здесь.
Как работает KRACK (повторное использование ключа) для уязвимостей WPA и WPA2?
Злоумышленник может вводить специально созданные пакеты в середину аутентификации WPA / WPA2, тем самым заставляя устанавливать ключ, который он контролирует. Это приводит к возможности расшифровки или изменения клиентского трафика. Защищенный трафик протоколом шифрования более высокого уровня, например, HTTPS, VPN или шифрование приложения, не будет затронут.
В зависимости от конкретной конфигурации устройства успешная эксплуатация этих уязвимостей может позволить злоумышленникам, не прошедшим проверку подлинности, выполнять повторную передачу пакетов, расшифровывать беспроводные пакеты и потенциально подделывать или вводить новые пакеты в беспроводную сеть. Это достигается путем манипулирования повторными передачами сообщений подтверждения.
Когда злоумышленник может воздействовать на сообщения, это приводит к повторному использованию некоторых номеров пакета при выполнении подтверждения. Повторное использование номеров пакета нарушает основополагающий принцип, на котором основана сила шифрования WPA2 и безопасность реализации. Принцип заключается в том, что для данной ключевой иерархии, PTK, GTK и IGTK, защищенные ими номера пакета не могут повторяться. Так, для пары пакета, где это допущение нарушено, можно определить содержимое одного пакета, при условии, что открытый текст другого пакета известен или может быть прочитан. Номер пакета также может позволить злоумышленнику переустановить старые пакеты получателя.
Какие продукты WatchGuard были затронуты?
- Точки доступа: AP100, AP102, AP120, AP200, AP300, AP320, AP322, AP420
- Устройства: XTM 25-W, 26-W, 33-W; Firebox T10-W, T30-W, T50-W
Как партнеры и клиенты WatchGuard могут получить доступ к исправлениям и обновлениям, которые устраняют эти уязвимости?
Исправления стали доступны для Fireware, WatchGuard и текущих точек доступа, а также для WatchGuard Wi-Fi Cloud через следующие версии и расчетное время:
Врскресенье, 15 октября, 2017:
- AP120, 320, 322, 420: Версия 8.3.0-657, только облачный режим
Понедельник, 30 Октября 2017:
- Fireware: Версия 12.0.1
- Legacy AP:
- AP300: Версия 2.0.0.9
- AP100, 102, 200: Версия 1.2.9.14
- AP120, 320, 322, 420: Версия 8.3.0-657, не облачный (режим GWC)
Существует ли способ защиты непроверенных клиентских устройств?
WatchGuard предоставляет исправления для всех пораженных продуктов, а также рекомендует, по возможности, исправлять все устройства, не поддерживающие WatchGuard Wi-Fi. Для защиты непроверенных клиентских устройств WatchGuard обеспечивает два способа защиты:
- Опция «Уменьшить уязвимости переустановкой ключей WPA / WPA2 в клиентах» теперь доступна в облаке Wi-Fi и доступна с 30 октября 2017 года в Fireware версии 12.0.1 в настройках Gateway Wireless Controller (GWC) [доступна для AP120, AP320, AP322 и AP420 версии 8.3.0-657].
- Предотвращение точки доступа MAC-spoofing теперь доступно в облаке Wi-Fi, когда выделены специальные датчики WIPS (а не фоновое сканирование).
[vc_row parallax=»1″ overlay_opacity=»0.8″ row_padd=»xs-padding» overlay_color=»#000000″ section_bg_color=»#f7f6f6″][vc_column][vc_empty_space height=»10px»][vc_custom_heading text=»Бесплатная PDF-брошюра» font_container=»tag:h2|font_size:22|text_align:center|color:%232e4861″ google_fonts=»font_family:Open%20Sans%3A300%2C300italic%2Cregular%2Citalic%2C600%2C600italic%2C700%2C700italic%2C800%2C800italic|font_style:300%20light%20regular%3A300%3Anormal»][vc_custom_heading text=»«Программы-вымогатели или как не стать заложником хакера«» font_container=»tag:h2|font_size:30|text_align:center|color:%232e4861″ google_fonts=»font_family:Open%20Sans%3A300%2C300italic%2Cregular%2Citalic%2C600%2C600italic%2C700%2C700italic%2C800%2C800italic|font_style:700%20bold%20regular%3A700%3Anormal»][vc_custom_heading text=»Подробная инструкция, как обезопасить компанию от кибер-атаки
» font_container=»tag:h2|font_size:18|text_align:center|color:%232e4861″ google_fonts=»font_family:Open%20Sans%3A300%2C300italic%2Cregular%2Citalic%2C600%2C600italic%2C700%2C700italic%2C800%2C800italic|font_style:400%20regular%3A400%3Anormal» css=».vc_custom_1496826154051{margin-top: 15px !important;margin-bottom: 20px !important;}»][vc_row_inner css=».vc_custom_1486984446549{margin-top: 10px !important;}»][vc_column_inner width=»1/3″][vc_single_image image=»22842″ img_size=»» alignment=»right»][/vc_column_inner][vc_column_inner width=»1/3″ css=».vc_custom_1486984003247{background-position: 0 0 !important;background-repeat: no-repeat !important;border-radius: 1px !important;}»][vc_column_text it_color=»#2e4861″]
В брошюре вас ждут ответы на такие вопросы, как:
- Что такое программа вымогатель
- Как определить, что в сети поселился зловред
- Какие последствия ждут компанию в случае игнорирования угрозы
- Как работает Check-Point анти-вымогатель
[/vc_column_text][/vc_column_inner][vc_column_inner width=»1/3″][vc_column_text it_color=»#2e4861″]
Получите PDF-отчет немедленно, оставив свой email ниже
[/vc_column_text][vc_raw_js]JTNDc2NyaXB0JTIwdHlwZSUzRCUyMnRleHQlMkZqYXZhc2NyaXB0JTIyJTIwc3JjJTNEJTIyaHR0cHMlM0ElMkYlMkZhcHAuZ2V0cmVzcG9uc2UuY29tJTJGdmlld193ZWJmb3JtX3YyLmpzJTNGdSUzREJUVDFLJTI2d2ViZm9ybXNfaWQlM0Q1ODQ1ODA2JTIyJTNFJTNDJTJGc2NyaXB0JTNF[/vc_raw_js][/vc_column_inner][/vc_row_inner][/vc_column][/vc_row][vc_row row_padd=»xs-padding»][vc_column width=»1/6″][vc_single_image image=»22017″ img_size=»113*150″ alignment=»right»][/vc_column][vc_column width=»5/6″][vc_column_text css=».vc_custom_1483612005172{margin-right: 100px !important;margin-left: 10px !important;}» it_color=»#000000″]Специалисты компании «Амика» всегда готовы проконсультировать вас по сервисам, услугам и устройствам защиты ваших ресурсов. Мы занимаемся следующими направлениями:
- Защита от утечки конфиденциальной информации за пределы компании (DLP).
- Защита от целенаправленных хакерских атак (APT).
- Защита от DDOS.
- Защита мобильных устройств (BYOD и MDM)
- Аудит и проверка на уязвимость
- Тесты на проникновение.
Бесплатную консультацию вы можете получить, обратившись к нам по телефону +38 044 355-07-70 или по адресу security@amica.ua.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_row_inner css=».vc_custom_1505986963382{margin-top: -15px !important;}»][vc_column_inner width=»1/2″][vc_custom_heading text=»Остались вопросы? Обращайтесь к нашим специалистам.» font_container=»tag:h2|text_align:left|color:%23000000″ google_fonts=»font_family:Open%20Sans%3A300%2C300italic%2Cregular%2Citalic%2C600%2C600italic%2C700%2C700italic%2C800%2C800italic|font_style:300%20light%20regular%3A300%3Anormal»][vc_column_text]
Заполните форму справа и наши менеджеры свяжутся с вами в течении 10 минут.
[/vc_column_text][/vc_column_inner][vc_column_inner width=»1/2″][vc_column_text][amoforms id=»8″][/vc_column_text][/vc_column_inner][/vc_row_inner][/vc_column][/vc_row][vc_row][vc_column][/vc_column][/vc_row]
