Mitigare la vulnerabilità KRACK con Watchguard

Il 16 ottobre 2017, alcuni ricercatori di sicurezza hanno annunciato diverse vulnerabilità nel protocollo WPA/WPA2 che affliggono numerosissimi dispositivi con Wi-Fi attivo.
Il risultato di queste vulnerabilità, chiamate KRACK, è di rendere intercettabili e decifrabili e modificabili flussi di dati, incluse password e dati personali. Questo difetto di sicurezza comporta che per ogni dispositivo ed access point vulnerabili, il traffico crittografato usando i protocolli WPA e WPA2 è potenzialmente esposto.

logo

Attualmente ci sono 10 vulnerabilità note che formano KRACK. WatchGuard fornisce gli aggiornamenti per correggerle su tutti i propri prodotti. Per i dispositivi non WatchGuard, gli utenti devono fare riferimento al sito web del proprio produttore ed agli avvisi di sicurezza per capire se i loro prodotti sono vulnerabili e se degli aggiornamenti sono disponibili. Nonostante molti produttori abbiamo già fornito gli aggiornamenti è probabile che dispositivi non ancora aggiornati possano interagire nella vostra rete esponendovi a dei rischi. WatchGuard offre metodi aggiuntivi per proteggere i dispositivi client non aggiornati dalla vulnerabilità KRACK.

Come mitigare KRACK
I seguenti passi  descrivono le azioni raccomandate per proteggere la vostra rete dalla vulnerabilità KRACK in vari scenari, incluso lo scenario in cui ci sono dispositivi non aggiornati.

    1. Aggiorna il firmware del tuo access point (AP) (10/30/17)
      WatchGuard fornisce aggiornamenti per tutti gli Access Point supportati ed appliance con  Access Point integrato.
    2. Abilita la funzionalità “Mitigate WPA/WPA2 key reinstallation vulnerability in clients”. Gli Access Point possono compensare il problema per i dispositivi non aggiornati con questo settaggio. Si raccomanda di tenere abilitata questa funzione sono fino al completamento delle operazioni di aggiornamento dei client.
      • AP gestiti con GWC: disponibile per i modelli AP120, AP320, AP322, e AP420 l’imminente aggiornamento che verrà rilasciato il 30/10/2017.
      • AP gestiti con Wi-Fi Cloud (leggi maggiori informazioni su WatchGuard Knowledge Base).
      • Firebox con funzionalità Wi-Fi: disponibile su T-10W, T-10W, e T-50W con l’aggiornamento del firmware TBD.
      • In una piccola percentuale di casi, la mitigazione delle vulnerabilità potrebbe creare problemi alla connettività dei client in ambienti che già soffrivano per la bassa copertura di segnale o per elevate interferenze.
    3. Abilita la funzione “AP MAC Spoofing Prevention” in Wi-Fi Cloud WIPS policy.
      • AP gestiti con GWC: gestisci i tuo APs con Wi-Fi Cloud ed acquista i sensori WIPS per il tuo ambiente.
      • AP gestiti con Wi-Fi Cloud: abilità la funzionalità nell’interfaccia di gestione.