Vezeték nélküli ügyfélszigetelés – hogyan működik, és megkerülhető-e?
On február 13, 2021 by adminManapság sok SOHO útválasztó támogatja a “vezeték nélküli kliensek elkülönítése” vagy hasonló funkciót. Ennek elvileg az a célja, hogy korlátozza az AP-hez csatlakoztatott vezeték nélküli kliensek közötti kapcsolatot. A vezeték nélküli ügyfelek beszélhetnek a LAN-szal és elérhetik az internetet, ha ilyen kapcsolat elérhető, de nem tudnak kommunikálni egymással.
Hogyan érhető el ez? Vannak-e olyan sajátos gyengeségek, amelyek lehetővé tennék ennek könnyű megkerülését?
Megjegyzések
- Úgy tűnik, hogy ezt triviális lenne megvalósítani – csak dobja el az összeset a helyi alhálózathoz küldött csomagok (a routeren kívül). Ez csak egy megjegyzés, mivel fogalmam sincs, hogy valóban így csinálják-e.
- @BrendanLong " csak dobja el az összes helyi csomaghoz küldött csomagot alhálózat (az útválasztó mellett). " elveti az adásokat?
Válasz
A megvalósítás, amelyet láttam, a hozzáférési ponton lévő MAC továbbító táblával babrálva valósul meg. Mivel a hozzáférési pont egyszerűen hálózati hídként működik, meglehetősen alkalmas erre a fajta A kapcsoló rétegben már az összes hallott (néha tanultnak nevezett) MAC-ot összegyűjti, és melyik felületen található.
A logika így néz ki:
- Az Access Point csomagot fogad a vezeték nélküli interfészen keresztül
- Az áthidaló alrendszer megvizsgálja a csomagot a cél MAC számára
- Ha a cél MAC szerepel a vezeték nélküli interfész megtanult kapcsolótáblájában -> DROP
- Egyébként vezetékes interfészen keresztül továbbíthatja a csomagot
A hálózati hidak működése miatt úgy látom, hogy ezt meglehetősen nehéz becsapni a hozzáférési pontot arra, hogy az elszigeteltség ellenére csomagot továbbítson egy ügyfélnek. A legjobb megoldás az lenne, ha megpróbálna közvetlenül beszélni a másik ügyféllel, mintha ad-hoc hálózattal működne.
Megjegyzések
- " A legjobb megoldás az lenne, ha megpróbálnál közvetlenül beszélni a másik ügyféllel " hogyan?
- @curiousguy: Én ' elmegyek azzal, hogy gyakorlóként hagyom a kíváncsiskodók számára.
- Te ' mindezt rosszul csinálom, kíváncsi. Azt kellett volna mondania, hogy " ' lehetetlen közvetlenül beszélni egy ügyféllel, mintha ad-hoc hálózatot működtetne. " Scott regényt írt volna.
- @curiousguy ' szüksége lesz egy Wi-Fi adapterre, amely támogatja az injekciót, és ' csomagokat kell hamisítania, miután megkapta a megfelelő linkkulcsokat
Válasz
A vezeték nélküli kliens elkülönítése, annak működése és megkerülése:
Amikor vezeték nélküli (wpa / wpa2-aes / tkip) kapcsolatot létesít a hozzáférési ponttal (AP) / kulcs (router) 2 kulcs jön létre, egy egyedi kulcs az unicast forgalomhoz és egy megosztott kulcs a sugárzott forgalomhoz, amelyet minden csatlakozó számítógéppel megosztanak, az úgynevezett GTK.
Amikor adatokat küld az AP-nek, titkosítva az unicast kulcsoddal. Ezután az AP ezt dekódolja, és a sugárzott GTK segítségével elküldi az adatokat a vezeték nélküli hálózat következő rendszerének.
Ha engedélyezi az ügyfélelkülönítést az AP-n, akkor a GTK nem használja az adatokat. Mivel mindenki létrehoz egy egyedi unicast kulcsot az adatok küldéséhez, nem fogja tudni látni egymás adatait.
Ennek megkerülése kicsit több erőfeszítést és megértést igényel. Tudja, hogy az ARP forgalmat továbbra is a hálózaton keresztül sugározzák a GTK segítségével, hogy a DHCP fenntartani tudja az ügyfeleket.
Ha az ARP táblát megterhelik egy broadcast MAC-lel az ügyfelek bejegyzésén, arra kényszeríti az ügyfélrendszert, hogy bradcast GTK adatküldéskor. Ha az ügyfélrendszert megtévesztik azzal, hogy a GTK-t használja adatok küldésére, akkor ez most látható, és megkerüli az ügyfélszigetelést.
Ha tehát a helyi statikus ARP bejegyzést az ügyfelek ip-jével és bradcast-szal állítja be Mac a helyi rendszer úgy fogja gondolni, hogy sugárzó forgalmát küldi, amikor az ügyféllel beszélget, és a GTK használatával lehetővé teszi az ügyfél számára, hogy láthassa a forgalmát.
Körülbelül két percbe telik, amíg a DHCP kijavítja a mérgezett ARP bejegyzéseket, így egy programot kell írnia, amely a mérgezett / hamis ARP-eket továbbítja a láthatóság fenntartása érdekében.
Tudomásul veszem, hogy egyes fejlett AP-k arp vezérléssel és a 2. réteg elszigetelésével rendelkeznek, ahol fejlett taktikára van szükség, de nem arról beszélünk, hogy azok a srácok beszéltek a SOHO-ról.
Egészségedre.
Megjegyzések
- Patrick … lehetséges lenne, hogy még egy kicsit kevésbé technikai változatban elmagyarázza az ügyfélszigetelés megkerülésének folyamatát? Mondja, okos telefon használata a wifi-útválasztó kommunikációjának visszaverésére egy másik okos telefonra anélkül, hogy bejelentkezne magába az útválasztóba.Köszönöm, Bill
- Ha jól értem, akkor biztosítja a vezeték nélküli kommunikációt azáltal, hogy nem használja a globális AP kulcsot, de nem tesz semmit az IP szintű kommunikáció megakadályozása szempontjából. A " ügyfélszigetelés " kifejezés mindig megzavart, mert úgy hangzott, mintha megakadályozná a kliensek közötti kommunikációt a WiFi-n, de ez a ' egy IP rétegfunkció, a 2. rétegnél biztosan nem.
Vélemény, hozzászólás?