Drahtlose Client-Isolation – wie funktioniert das und kann es umgangen werden?
On Februar 13, 2021 by adminViele SOHO-Router unterstützen heutzutage eine Funktion namens „Wireless Client Isolation“ oder ähnliches. Dies soll im Prinzip die Konnektivität zwischen drahtlosen Clients, die mit dem AP verbunden sind, einschränken. Drahtlose Clients können mit dem LAN kommunizieren und das Internet erreichen, wenn eine solche Verbindung verfügbar ist, sie können jedoch nicht miteinander kommunizieren.
Wie wird dies erreicht? Gibt es bestimmte Schwachstellen, die es ermöglichen würden, dies leicht zu umgehen?
Kommentare
- Die Implementierung scheint trivial zu sein – lassen Sie einfach alle fallen Pakete, die an das lokale Subnetz gesendet werden (neben dem Router selbst). Dies ist nur ein Kommentar, da ich keine Ahnung habe, ob sie es tatsächlich so machen.
- @BrendanLong " Löschen Sie einfach alle an das lokale Netzwerk gesendeten Pakete Subnetz (neben dem Router selbst). " Broadcasts löschen?
Antwort
Die Implementierung, die ich hier gesehen habe, erfolgt durch Fummeln an der MAC-Weiterleitungstabelle auf dem Access Point. Da der Access Point lediglich als Netzwerkbrücke fungiert, ist er für diese Art ziemlich gut geeignet Auf der Vermittlungsschicht werden bereits alle gehörten (manchmal als erlernt bezeichneten) MACs gesammelt und die Schnittstelle, auf der sie gefunden werden kann.
Die Logik sieht ungefähr so aus:
- Access Point empfängt ein Paket über die drahtlose Schnittstelle
- Das Bridging-Subsystem überprüft das Paket auf Ziel-MAC
- Wenn sich der Ziel-MAC in der gelernten Vermittlungstabelle für die drahtlose Schnittstelle befindet -> DROP
- Andernfalls leiten Sie das Paket über die Kabelschnittstelle weiter.
- " Am besten versuchen Sie, direkt mit dem anderen Client zu sprechen. " wie?
- @curiousguy: Ich ' werde es als Übung für Neugierige belassen.
- Sie '
- @curiousguy Sie ' benötigen einen Wi-Fi-Adapter, der die Injektion unterstützt. und Sie ' müssen Pakete fälschen, nachdem Sie die richtigen Verbindungsschlüssel erhalten haben.
Aufgrund der Funktionsweise von Netzwerkbrücken sehe ich es als ziemlich schwierig an, den Zugriffspunkt dazu zu bringen, ein Paket trotz der Isolation an einen Client weiterzuleiten. Am besten versuchen Sie, direkt mit dem anderen Client zu sprechen, als würden Sie mit einem Ad-hoc-Netzwerk arbeiten.
Kommentare
Antwort
Isolation des drahtlosen Clients, wie es funktioniert und wie es umgangen wird:
Wenn Sie eine drahtlose Verbindung (wpa / wpa2-aes / tkip) zu Ihrem Access Point (AP) herstellen / router) Es werden 2 Schlüssel erstellt, ein eindeutiger Schlüssel für den Unicast-Verkehr und ein gemeinsam genutzter Schlüssel für den Broadcast-Verkehr, der mit jedem PC geteilt wird, der eine Verbindung herstellt. Dies wird als GTK bezeichnet.
Wenn Sie Daten an den AP senden „s mit Ihrem Unicast-Schlüssel verschlüsselt. Der AP entschlüsselt dies dann und verwendet die Broadcast-GTK, um die Daten an das nächste System im drahtlosen Netzwerk zu senden.
Wenn Sie die Client-Isolation auf dem AP aktivieren, wird die GTK nicht mehr zum Senden von Daten verwendet. Da jeder einen eindeutigen Unicast-Schlüssel zum Senden von Daten mit Ihnen erstellt, können die Daten des jeweils anderen nicht mehr angezeigt werden.
Das Umgehen erfordert etwas mehr Aufwand und Verständnis. Beachten Sie, dass der ARP-Verkehr mithilfe der GTK weiterhin über das Netzwerk übertragen wird, damit DHCP Clients verwalten kann.
Wenn die ARP-Tabelle mit einem Broadcast-MAC im Clienteintrag vergiftet ist, erzwingen Sie das Clientsystem zur Verwendung des Bradcast GTK beim Senden von Daten. Wenn das Client-System dazu verleitet wird, das GTK zum Senden von Daten zu verwenden, wird es jetzt angezeigt und Sie umgehen die Client-Isolation.
Wenn Sie also Ihren lokalen statischen ARP-Eintrag mithilfe der Client-IP mit einem Bradcast festlegen Mac Ihr lokales System wird denken, dass es Broadcast-Verkehr sendet, wenn es mit diesem Client spricht, und die GTK verwenden, damit der Client Ihren Verkehr sehen kann.
Es dauert ungefähr zwei Minuten, bis DHCP einen vergifteten ARP-Eintrag repariert hat. Sie müssen also ein Programm schreiben, das vergiftete / gefälschte ARPs streamt, um die Sichtbarkeit aufrechtzuerhalten.
Ich erkenne an, dass einige fortgeschrittene APs über Arp-Kontrolle und Layer-2-Isolation verfügen, wo fortgeschrittene Taktiken erforderlich sind, aber wir sprechen nicht über diese Typen, die über Ihr SOHO gesprochen haben.
Prost.
Kommentare
- Patrick … wäre es Ihnen möglich, den Bypass-Prozess für die Client-Isolation in einer etwas weniger technischen Version noch einmal zu erklären? Verwenden eines Smartphones, um die Kommunikation eines WLAN-Routers mit einem anderen Smartphone zu verbinden, ohne am Router selbst angemeldet zu sein.Vielen Dank, Bill
- Wenn ich das richtig verstehe, sichert es die drahtlose Kommunikation, indem es nicht den globalen AP-Schlüssel verwendet, aber es verhindert nichts die Kommunikation auf IP-Ebene. Der Begriff " Client-Isolation " hat mich immer verwirrt, weil er die Kommunikation zwischen Clients über das WLAN verhindert, aber diese ' ist eine IP-Layer-Funktion, definitiv nicht auf Layer 2.
Schreibe einen Kommentar