ワイヤレスクライアントの分離-どのように機能し、バイパスできますか?
On 2月 13, 2021 by admin最近の多くのSOHOルーターは、「ワイヤレスクライアント分離」などと呼ばれる機能をサポートしています。これが行うことになっていることは、原則として、APに接続されているワイヤレスクライアント間の接続を制限することです。ワイヤレスクライアントはLANと通信でき、そのような接続が利用できる場合はインターネットに到達できますが、相互に通信することはできません。
これはどのように実現されますか?これを簡単に回避できる特定の弱点はありますか?
コメント
- これを実装するのは簡単なようです。すべて削除するだけです。ローカルサブネットに送信されるパケット(ルーター自体を除く)。彼らが実際にこのようにしているかどうかはわからないので、これは単なるコメントです。
- @BrendanLong " ローカルに送信されたすべてのパケットをドロップするだけですサブネット(ルーター自体以外)。 "ブロードキャストをドロップしますか?
回答
これについて私が見た実装は、アクセスポイントのMAC転送テーブルをいじることによって行われます。アクセスポイントは単にネットワークブリッジとして機能するため、この種の方法にはかなり適しています。スイッチング層では、すでにすべてのヒアリングされた(学習済みと呼ばれることもある)MACと、それを見つけることができるインターフェイスを収集しています。
ロジックは次のようになります。
- アクセスポイントはワイヤレスインターフェイスを介してパケットを受信します
- ブリッジングサブシステムは宛先MACのパケットを調べます
- 宛先MACがワイヤレスインターフェイスの学習済みスイッチングテーブルにある場合-> DROP
- それ以外の場合は、有線インターフェースを介してパケットを転送します
ネットワークブリッジの動作方法のため、分離されているにもかかわらず、アクセスポイントをだましてクライアントにパケットを転送させるのはかなり難しいと思います。最善の策は、アドホックネットワークで操作しているかのように、他のクライアントと直接通信することです。
コメント
- " 最善の策は、他のクライアントと直接話をすることです "どのように?
- @curiousguy:私は'好奇心旺盛な人のための演習として残しておくつもりです。
- あなた'これはすべて間違っています、curiousguy。 " 'アドホックネットワークを運用しているようにクライアントと直接話すことは不可能だと言っておく必要があります。"スコットは小説を入力したでしょう。
- @curiousguy you '注入をサポートするWi-Fiアダプターが必要です。正しいリンクキーを取得したら、'パケットを偽造する必要があります
回答
ワイヤレスクライアントの分離、その仕組みとバイパス方法:
アクセスポイント(AP)へのワイヤレス(wpa / wpa2-aes / tkip)接続を確立する場合/ router)2つのキーが作成されます。ユニキャストトラフィック用の一意のキーと、接続するすべてのPCと共有されるブロードキャストトラフィック用の共有キーで、GTKと呼ばれます。
APにデータを送信するとはユニキャストキーで暗号化されています。次に、APはこれを復号化し、ブロードキャストGTKを使用してデータをワイヤレスネットワーク上の次のシステムに送信します。
APでクライアントの分離を有効にすると、APはGTKを使用してデータを送信しなくなります。誰もがデータを送信するための一意のユニキャストキーを確立するため、お互いのデータを表示できなくなります。
これをバイパスするには、もう少し努力と理解が必要です。 DHCPがクライアントを維持できるように、ARPトラフィックは引き続きGTKを使用してネットワーク全体にブロードキャストされることを理解してください。
クライアントエントリでARPテーブルがブロードキャストMACで汚染されている場合は、クライアントシステムにデータ送信時のブラッドキャストGTK。クライアントシステムがGTKを使用してデータを送信することに騙された場合、データが表示され、クライアントの分離をバイパスします。
したがって、ブラッドキャストでクライアントIPを使用してローカル静的ARPエントリを設定した場合ローカルシステムは、そのクライアントと通信するときにブロードキャストトラフィックを送信していると見なし、GTKを使用して、クライアントがトラフィックを確認できるようにします。
DHCPが汚染されたARPエントリを修正するには、約2分かかるため、可視性を維持するために、汚染された/偽のARPをストリーミングするプログラムを作成する必要があります。
一部の高度なAPには、高度な戦術が必要なarp制御とレイヤー2分離があることを認めますが、「SOHOについて話していた人たちについては話していません。
乾杯。
コメント
- パトリック…もう少し技術的なバージョンで、クライアント分離バイパスプロセスをもう一度説明することは可能でしょうか?スマートフォンを使用して、ルーター自体にログインせずに、wifiルーターの通信を別のスマートフォンにバウンスします。ありがとう、ビル
- 私が正しく理解していれば、グローバルAPキーを使用せずにワイヤレス通信を保護しますが、IPレベルでの通信を妨げるという点では何もしません。 "クライアントの分離"という用語は、WiFi上のクライアント間の通信を妨げるように聞こえたため、常に混乱していましたが、'はIPレイヤー機能であり、レイヤー2にはありません。
コメントを残す