Trådløs klientisolering – hvordan fungerer det, og kan det omgåes?
On februar 13, 2021 by adminMange SOHO-routere understøtter i disse dage en funktion kaldet “trådløs klientisolering” eller lignende. Hvad dette i princippet skal gøre er at begrænse forbindelsen mellem trådløse klienter, der er tilsluttet AP. Trådløse klienter kan tale med LAN og nå internettet, hvis en sådan forbindelse er tilgængelig, men de kan ikke kommunikere med hinanden.
Hvordan opnås dette? Er der særlige svagheder, der gør det let at omgå dette?
Kommentarer
- Ser ud som om dette ville være trivielt at implementere – bare slip alt pakker sendt til det lokale undernet (udover selve routeren). Dette er bare en kommentar, da jeg ikke aner, om de rent faktisk gør det på denne måde.
- @BrendanLong " bare slip alle pakker sendt til den lokale undernet (udover selve routeren). " slip udsendelser?
Svar
Implementeringen, som jeg har set af dette, gøres ved at rode med MAC-videresendelsestabellen på adgangspunktet. Da adgangspunktet simpelthen fungerer som en netværksbro, er det ret velegnet til denne slags På skiftelaget samler det allerede alle de hørte (undertiden kaldte lærte) MACer, og hvilken grænseflade den kan findes på.
Logikken ser sådan ud:
- Access Point modtager en pakke over den trådløse grænseflade
- Bridging subsystem undersøger pakke til destinations MAC
- Hvis destination MAC er i den indlærede skiftetabel til trådløs grænseflade -> DROP
- Ellers videresendes pakke via kablet grænseflade
På grund af den måde, netværksbroer fungerer på, ser jeg det som ret vanskeligt at narre adgangspunktet til at videresende en pakke til en klient på trods af isolationen. Din bedste chance er at forsøge at tale direkte med den anden klient, som om du opererer med et ad-hoc-netværk.
Kommentarer
- " Din bedste chance er at forsøge at tale direkte med den anden klient " hvordan?
- @curiousguy: Jeg ' jeg går med at lade det være som en øvelse for de nysgerrige.
- Du ' går rundt om alt dette forkert, nysgerrig. Du skulle have sagt " Det ' er umuligt at tale direkte med en klient, som om du driver et ad-hoc-netværk. " Scott ville have skrevet en roman.
- @curiousguy du ' Jeg har brug for en Wi-Fi-adapter, der understøtter injektion, og du ' skal smede pakker, når du har fået de korrekte linknøgler
Svar
Trådløs klientisolering, hvordan den fungerer, og hvordan den omgåes:
Når du opretter en trådløs (wpa / wpa2-aes / tkip) -forbindelse til dit adgangspunkt (AP / router) Der oprettes 2 nøgler, en unik nøgle til unicast-trafik og en delt nøgle til transmissionstrafik, der deles med hver pc, der opretter forbindelse, kendt som GTK.
Når du sender data til APen, “er krypteret med din unicast – nøgle. AP dekrypterer dette og bruger udsendelsen GTK til at sende dataene til det næste system på det trådløse netværk.
Når du aktiverer klientisolering på AP, stopper det med at bruge GTK til at sende data. Fordi alle opretter en unik unicast-nøgle til at sende data med dig, vil de ikke længere kunne se hinandens data.
Omgå dette kræver lidt mere indsats og forståelse. Ved, at ARP-trafik stadig sendes over hele netværket ved hjælp af GTK, så DHCP kan vedligeholde klienter.
Hvis ARP-tabellen er forgiftet med en udsendelses-MAC på klientindgangen, vil du tvinge klientsystemet til at bruge bradcast GTK, når du sender data. Hvis klientsystemet narre for at bruge GTK til at sende data, kan det nu ses, og du vil omgå klientisolering.
Således, hvis du indstiller din lokale statiske ARP-post ved hjælp af klienter ip med en bradcast mac dit lokale system vil tænke, at det sender transmissionstrafik, når han taler med den pågældende klient, og bruger GTK, så klienten kan se din trafik.
Det tager cirka to minutter for DHCP at rette en forgiftet ARP-post, så du bliver nødt til at skrive et program, der streamer forgiftede / falske ARPer for at opretholde synligheden.
Jeg anerkender, at nogle avancerede APer har arp-kontrol og lag 2-isolering, hvor avancerede taktikker er nødvendige, men vi taler ikke om, at de fyre talte om din SOHO.
Skål.
Kommentarer
- Patrick … ville det være muligt for dig at forklare klientisolationsomgåelsesprocessen igen i en lidt mindre teknisk version? Sig, ved hjælp af en smartphone til at hoppe kommunikationen fra en wifi-router til en anden smartphone uden at være logget ind i selve routeren.Tak, Bill
- Hvis jeg forstår det rigtigt, sikrer det trådløs kommunikation ved ikke at bruge den globale AP-nøgle, men det gør intet med hensyn til at forhindre kommunikation på IP-niveau. Udtrykket " klientisolering " har altid forvirret mig, fordi det lød som om det forhindrer kommunikation mellem klienter på WiFi, men at ' er en IP-lagfunktion, bestemt ikke på lag 2.
Skriv et svar