Langattoman asiakkaan eristäminen – miten se toimii ja voidaanko se ohittaa?
On helmikuu 13, 2021 by adminMonet SOHO-reitittimet tukevat nykyään ominaisuutta nimeltä ”langattoman asiakkaan eristäminen” tai vastaava. Tämän pitäisi periaatteessa rajoittaa yhteyden tukiasemaan kytkettyjen langattomien asiakkaiden välistä yhteyttä. Langattomat asiakkaat voivat puhua lähiverkon kanssa ja päästä Internetiin, jos tällainen yhteys on käytettävissä, mutta he eivät voi kommunikoida keskenään.
Kuinka tämä saavutetaan? Onko olemassa erityisiä heikkouksia, joiden avulla tämä voidaan helposti ohittaa?
Kommentit
- Näyttää siltä, että tämän toteuttaminen olisi triviaalia – pudota kaikki paikalliseen aliverkkoon lähetetyt paketit (itse reitittimen lisäksi). Tämä on vain kommentti, koska minulla ei ole aavistustakaan, tekevätkö he sen todella tällä tavalla.
- @BrendanLong " pudota vain kaikki paikalliselle lähetetyt paketit. aliverkko (itse reitittimen lisäksi). " pudottaa lähetyksiä?
Vastaa
Toteutus, jonka olen nähnyt tästä, tapahtuu hioamalla tukiaseman MAC-edelleenlähetystaulukkoa. Koska tukiasema toimii yksinkertaisesti verkkosillana, se soveltuu melko hyvin tällaiseen Vaihtokerroksessa se kerää jo kaikki kuullut (joskus kutsutut opitut) MAC: t ja minkä käyttöliittymän se löytyy.
Logiikka näyttää tältä:
- Tukiasema vastaanottaa paketin langattoman käyttöliittymän kautta
- Siltaava alijärjestelmä tutkii kohdepisteen MAC-paketteja
- Jos kohde-MAC on opitussa langattoman liitännän kytkentätaulukossa -> DROP
- Muussa tapauksessa siirrä paketti eteenpäin langallisen käyttöliittymän kautta
Verkkosiltojen toiminnan vuoksi näen tämän olevan melko vaikeaa huijata tukiasema lähettämään paketti eteenpäin asiakkaalle eristämisestä huolimatta. Parasta olisi yrittää puhua suoraan toisen asiakkaan kanssa, ikään kuin toimisit tapauskohtaisen verkon kanssa.
Kommentit
- " Paras veto olisi yrittää puhua suoraan toisen asiakkaan kanssa " miten?
- @curiousguy: Minä ' aion jättää sen harjoitteluksi uteliaille.
- Sinä ' menen kaiken tämän väärin, utelias kaveri. Sinun olisi pitänyt sanoa, että " ' on mahdotonta puhua suoraan asiakkaalle ikään kuin käyttäisit ad-hoc-verkkoa. " Scott olisi kirjoittanut romaanin.
- @curiousguy tarvitset ' tarvitset Wi-Fi-sovittimen, joka tukee injektiota, ja sinun ' on väärennettävä paketteja saatuasi oikeat linkkiavain
Vastaa
Langattoman asiakkaan eristäminen, miten se toimii ja miten se ohitetaan:
Kun muodostat langattoman (wpa / wpa2-aes / tkip) yhteyden tukiasemaan (AP / reititin) Luodaan 2 avainta, yksilöllinen avain lähetysliikenteelle ja jaettu avain lähetysliikenteelle, joka jaetaan jokaisen yhdistettävän tietokoneen kanssa, joka tunnetaan nimellä GTK.
Kun lähetät tietoja tukiasemalle ”salattu unicast-avaimellasi. Sitten AP purkaa tämän salauksen ja lähettää lähetetyn GTK: n avulla tiedot seuraavaan langattoman verkon järjestelmään.
Kun otat asiakaseristyksen käyttöön tukiasemassa, se lopettaa GTK: n käytön tietojen lähettämiseen. Koska kaikki perustavat ainutlaatuisen unicast-avaimen tietojen lähettämiseen kanssasi, he eivät enää näe toistensa tietoja.
Tämän ohittaminen vie hieman enemmän vaivaa ja ymmärrystä. Tiedä, että ARP-liikennettä lähetetään edelleen verkon kautta GTK: n avulla, jotta DHCP voi ylläpitää asiakkaita.
Jos ARP-taulukko myrkytetään lähetys-MAC: llä asiakasmerkinnässä, pakotat asiakasjärjestelmän käyttämään bradcast GTK lähetettäessä tietoja. Jos asiakasjärjestelmää huijataan käyttämään GTK: ta tietojen lähettämiseen, se voidaan nyt nähdä ja ohitat asiakkaan eristämisen.
Jos siis asetat paikallisen staattisen ARP-merkinnän käyttämällä asiakkaan ip: tä ja bradcastia mac paikallinen järjestelmäsi ajattelee lähettävänsä lähetysliikennettä puhuessaan kyseisen asiakkaan kanssa ja käyttää GTK: ta, jolloin asiakas näkee liikenteen.
Myrkytetyn ARP-merkinnän korjaaminen DHCP: llä kestää noin kaksi minuuttia, joten sinun on kirjoitettava ohjelma, joka suoratoistaa myrkytetyt / väärennetyt ARP: t näkyvyyden ylläpitämiseksi.
Myönnän, että joillakin kehittyneillä AP: illa on ARP-hallinta ja kerroksen 2 eristäminen, jos tarvitaan edistyneitä taktiikoita, mutta emme puhu niistä kavereista, jotka puhuivat sinun SOHOstasi. / p>
Kommentit
- Patrick … voisitko sinun selittää asiakkaan eristämisen ohitusprosessin vielä kerran hieman vähemmän tekniikkaversiossa? Sano, älypuhelimen käyttäminen wifi-reitittimen viestinnän palauttamiseksi toiseen älypuhelimeen kirjautumatta itse reitittimeen.Kiitos, Bill
- Jos ymmärrän oikein, se varmistaa langattoman viestinnän käyttämättä globaalia AP-avainta, mutta se ei tee mitään estääkseen viestintää IP-tasolla. Termi " asiakkaan eristäminen " on aina hämmentänyt minua, koska kuulosti siltä, että se estää yhteydenpitoa asiakkaiden välillä WiFi: ssä, mutta että ' s IP-tason ominaisuus, ei varmasti kerroksessa 2.
Vastaa