Aislamiento de clientes inalámbricos: ¿cómo funciona y se puede omitir?
On febrero 13, 2021 by adminActualmente, muchos enrutadores SOHO admiten una función llamada «aislamiento de cliente inalámbrico» o similar. Lo que se supone que debe hacer esto, en principio, es limitar la conectividad entre los clientes inalámbricos conectados al AP. Los clientes inalámbricos pueden hablar con la LAN y acceder a Internet si dicha conexión está disponible, pero no pueden comunicarse entre sí.
¿Cómo se logra esto? ¿Existe alguna debilidad en particular que permita que esto se pueda omitir fácilmente?
Comentarios
- Parece que esto sería trivial de implementar – simplemente elimine todo paquetes enviados a la subred local (además del enrutador). Esto es solo un comentario ya que no tengo idea de si realmente lo hacen de esta manera.
- @BrendanLong " simplemente elimine todos los paquetes enviados a la subred (además del enrutador mismo). " ¿descartar transmisiones?
Responder
La implementación que he visto de esto se realiza jugando con la tabla de reenvío MAC en el punto de acceso. Dado que el punto de acceso simplemente actúa como un puente de red, es bastante adecuado para este tipo En la capa de conmutación ya está recopilando todos los MAC escuchados (a veces llamados aprendidos) y en qué interfaz se puede encontrar.
La lógica se parece a esto:
- El punto de acceso recibe un paquete a través de la interfaz inalámbrica
- El subsistema de puente examina el paquete para el MAC de destino
- Si el MAC de destino está en la tabla de conmutación aprendida para la interfaz inalámbrica -> DROP
- De lo contrario, reenvíe el paquete a través de una interfaz cableada
Debido a la forma en que funcionan los puentes de red, veo que es bastante difícil engañar al punto de acceso para que reenvíe un paquete a un cliente a pesar del aislamiento. Su mejor opción sería intentar hablar directamente con el otro cliente, como si estuviera operando con una red ad-hoc.
Comentarios
- " Su mejor opción sería intentar hablar directamente con el otro cliente " ¿cómo?
- @curiousguy: Yo ' voy a dejarlo como ejercicio para los curiosos.
- Tú ' estás haciendo todo esto mal, curioso. Debería haber dicho " Es ' imposible hablar directamente con un cliente como si estuviera operando una red ad-hoc. " Scott habría escrito una novela.
- @curiousguy, ' necesitarás un adaptador Wi-Fi que admita la inyección, y usted ' tendrá que falsificar paquetes, después de obtener las claves de enlace correctas
Respuesta
Aislamiento de cliente inalámbrico, cómo funciona y cómo se evita:
Cuando establece una conexión inalámbrica (wpa / wpa2-aes / tkip) a su punto de acceso (AP / router) Se crean 2 claves, una clave única para el tráfico de unidifusión y una clave compartida para el tráfico de difusión que se comparte con cada PC que se conecta, conocida como GTK.
Cuando envía datos al AP, «s cifrado con su clave de unidifusión. Luego, el AP lo descifra y usa la GTK de transmisión para enviar los datos al siguiente sistema en la red inalámbrica.
Cuando habilita el aislamiento del cliente en el AP, deja de usar GTK para enviar datos. Dado que todos establecen una clave de unidifusión única para enviar datos, ya no podrán ver los datos de los demás.
Pasar por alto esto requiere un poco más de esfuerzo y comprensión. Sepa que el tráfico ARP aún se transmite a través de la red usando GTK para que DHCP pueda mantener los clientes.
Si la tabla ARP está envenenada con un MAC de transmisión en la entrada de los clientes, forzará al sistema del cliente a usar la bradcast GTK al enviar datos. Si el sistema del cliente es engañado para que use el GTK para enviar datos, ahora se puede ver y evitará el aislamiento del cliente.
Por lo tanto, si configura su entrada ARP estática local usando la IP del cliente con un bradcast mac su sistema local pensará que está enviando tráfico de transmisión cuando hable con ese cliente y usará la GTK, lo que le permitirá al cliente ver su tráfico.
DHCP tardará unos dos minutos en corregir una entrada de ARP envenenada, por lo que tendrá que escribir un programa que transmita ARP envenenados / falsos para mantener la visibilidad.
Reconozco que algunos AP avanzados tienen control arp y aislamiento de capa 2 donde se necesitan tácticas avanzadas, pero no estamos hablando de esos tipos que estaban hablando de tu SOHO.
Saludos.
Comentarios
- Patrick … ¿sería posible que explicaras el proceso de omisión de aislamiento del cliente una vez más en una versión un poco menos tecnológica? usar un teléfono inteligente para enviar comunicaciones de un enrutador wifi a otro teléfono inteligente sin estar conectado al enrutador.Gracias, Bill
- Si comprendo correctamente, asegura la comunicación inalámbrica al no usar la clave AP global, pero no hace nada en términos de prevenir la comunicación a nivel de IP. El término " aislamiento del cliente " siempre me ha confundido porque parece que impide la comunicación entre clientes en el WiFi, pero ese ' es una característica de la capa IP, definitivamente no en la capa 2.
Deja una respuesta