Bezdrátová izolace klientů – jak to funguje a lze ji obejít?
On 13 února, 2021 by adminMnoho dnešních routerů SOHO podporuje funkci nazvanou „bezdrátová izolace klienta“ nebo podobnou. To v zásadě má omezit konektivitu mezi bezdrátovými klienty připojenými k AP. Bezdrátoví klienti mohou mluvit do LAN a připojit se na internet, pokud je takové připojení k dispozici, ale nemohou spolu komunikovat.
Jak toho lze dosáhnout? Existují nějaké slabé stránky, které by to umožnily snadno obejít?
Komentáře
- Zdá se, že implementace tohoto nástroje by byla triviální – stačí zahodit vše pakety odeslané do místní podsítě (kromě samotného routeru). Toto je jen komentář, protože vůbec netuším, jestli to tak skutečně dělají.
- @BrendanLong " prostě zahoďte všechny pakety odeslané na místní podsíť (kromě samotného routeru). " zrušit vysílání?
odpovědět
Implementace, kterou jsem toho viděl, je prováděna manipulací s tabulkou přesměrování MAC na přístupovém bodu. Vzhledem k tomu, že přístupový bod funguje jednoduše jako síťový most, je pro tento druh docela vhodný úkolu. Na přepínací vrstvě již shromažďuje všechny vyslechnuté (někdy nazývané naučené) MAC a na kterém rozhraní se nachází.
Logika vypadá nějak takto:
- Přístupový bod přijímá paket přes bezdrátové rozhraní
- Přemosťovací subsystém zkoumá paket pro cílový MAC
- Pokud je cílový MAC ve naučené přepínací tabulce pro bezdrátové rozhraní -> DROP
- Jinak předat paket přes kabelové rozhraní
Vzhledem k tomu, jak fungují síťové mosty, vidím, že je poměrně obtížné přesvědčit přístupový bod, aby navzdory izolaci předal paket klientovi. Nejlepším řešením by bylo pokusit se mluvit přímo s druhým klientem, jako byste pracovali se sítí ad-hoc.
Komentáře
- " Nejlepším řešením by bylo pokusit se mluvit přímo s druhým klientem. " jak?
- @curiousguy: ' jdu s tím, že to nechám jako cvičení pro zvědavé.
- Vy ' jde to všechno špatně, zvědavý. Měli jste říct, že " Je ' nemožné mluvit přímo s klientem, jako byste provozovali síť ad-hoc. " Scott by napsal román.
- @curiousguy ' budete potřebovat adaptér Wi-Fi, který podporuje injekce, a vy ' budete muset vytvářet pakety, až získáte správné klíče odkazů
Odpovědět
Izolace bezdrátového klienta, jak to funguje a jak se obchází:
Když navážete bezdrátové připojení (wpa / wpa2-aes / tkip) k vašemu přístupovému bodu (AP / router) Jsou vytvořeny 2 klíče, jedinečný klíč pro přenos unicast a sdílený klíč pro přenos vysílání, který je sdílen s každým připojeným počítačem, známý jako GTK.
Když odesíláte data do AP, „je zašifrován pomocí vašeho unicast klíče. AP to poté dešifruje a použije vysílací GTK k odeslání dat do dalšího systému v bezdrátové síti.
Když povolíte izolaci klienta na přístupovém bodu, přestane k odesílání dat používat GTK. Protože každý vytvoří jedinečný klíč pro jednosměrové vysílání, který s vámi bude odesílat data, již nebude moci data všech ostatních zobrazit.
Obejít to vyžaduje trochu více úsilí a porozumění. Mějte na paměti, že provoz ARP se stále vysílá v síti pomocí GTK, aby mohl DHCP udržovat klienty.
Pokud je tabulka ARP otrávena s vysíláním MAC na vstupu klientů, vynutíte systém klientů používat bradcast GTK při odesílání dat. Pokud je klientský systém oklamán pomocí GTK k odesílání dat, je nyní vidět a vy obejdete izolaci klienta.
Tedy pokud nastavíte svůj lokální statický záznam ARP pomocí IP klientů s bradcastem mac váš místní systém si bude myslet, že vysílá vysílaný provoz, když mluví s tímto klientem, a použije GTK umožňující klientovi vidět váš provoz.
Bude trvat asi dvě minuty, než DHCP opraví otrávený záznam ARP, takže budete muset napsat program, který streamuje otrávené / falešné ARP, aby byla zachována viditelnost.
Beru na vědomí, že některé pokročilé AP mají kontrolu arp a izolaci vrstvy 2, kde je nutná pokročilá taktika, ale nemluvíme o těch lidech, kteří mluvili o vašem SOHO.
Na zdraví.
Komentáře
- Patrick … bylo by možné vysvětlit proces obejití izolace klienta ještě jednou v trochu méně technické verzi? Řekněme, pomocí chytrého telefonu k odražení komunikace wifi routeru s jiným chytrým telefonem bez přihlášení do samotného routeru.Díky, Bill
- Pokud tomu dobře rozumím, zajišťuje bezdrátovou komunikaci tím, že nepoužívá globální klíč AP, ale nedělá nic, pokud jde o zabránění komunikaci na úrovni IP. Termín " izolace klienta " mě vždycky zmátl, protože to znělo, jako by to bránilo komunikaci mezi klienty na WiFi, ale ' s funkcí vrstvy IP, rozhodně ne ve vrstvě 2.
Napsat komentář