Trådløs klientisolasjon – hvordan fungerer den, og kan den omgåes?
On februar 13, 2021 by adminMange SOHO-rutere støtter i disse dager en funksjon som kalles «trådløs klientisolasjon», eller lignende. Hva dette er ment å gjøre, er i prinsippet å begrense tilkoblingen mellom trådløse klienter som er koblet til AP. Trådløse klienter kan snakke med LAN og nå Internett hvis en slik tilkobling er tilgjengelig, men de kan ikke kommunisere med hverandre.
Hvordan oppnås dette? Er det noen spesielle svakheter som gjør at dette enkelt kan forbigås?
Kommentarer
- Ser ut som om dette ville være trivielt å implementere – bare slipp alt pakker sendt til det lokale delnettet (i tillegg til selve ruteren). Dette er bare en kommentar siden jeg ikke aner om de faktisk gjør det på denne måten.
- @BrendanLong " bare slipp alle pakker som er sendt til den lokale undernett (i tillegg til selve ruteren). " slippe sendinger?
Svar
Implementeringen som jeg har sett på dette gjøres ved å fikle med MAC-videresendingstabellen på tilgangspunktet. Siden tilgangspunktet ganske enkelt fungerer som en nettverksbro, er det ganske godt egnet til denne typen Oppgaven. På byttelaget samler den allerede alle hørte (noen ganger kalt lærte) MAC-er og hvilket grensesnitt det kan finnes på.
Logikken ser omtrent slik ut:
- Access Point mottar en pakke over det trådløse grensesnittet
- Bridging subsystem undersøker pakke for destinasjons MAC
- Hvis destinasjon MAC er i den innlærte byttetabellen for trådløst grensesnitt -> DROP
- Ellers videresender pakken via kablet grensesnitt
På grunn av måten nettverksbroer fungerer på, ser jeg dette som ganske vanskelig å lure tilgangspunktet til å videresende en pakke til en klient til tross for isolasjonen. Det beste alternativet ditt er å prøve å snakke direkte med den andre klienten, som om du opererer med et ad-hoc-nettverk.
Kommentarer
- " Det beste alternativet ditt ville være å prøve å snakke direkte med den andre klienten " hvordan?
- @curiousguy: Jeg ' jeg skal gå med å la det være en øvelse for nysgjerrige.
- Du ' går på med alt dette galt, nysgjerrig. Du burde ha sagt " Det ' er umulig å snakke direkte med en klient som om du driver et ad-hoc-nettverk. " Scott ville ha skrevet en roman.
- @curiousguy du ' Du trenger en Wi-Fi-adapter som støtter injeksjon, og du ' må smi pakker etter at du har fått riktige koblingsnøkler
Svar
Trådløs klientisolasjon, hvordan den fungerer og hvordan den forbigås:
Når du oppretter en trådløs (wpa / wpa2-aes / tkip) -forbindelse til tilgangspunktet ditt (AP / router) 2 nøkler opprettes, en unik nøkkel for unicast-trafikk og en delt nøkkel for kringkastingstrafikk som deles med hver PC som kobles til, kjent som GTK.
Når du sender data til AP-en er kryptert med unicast – nøkkelen. AP dekrypterer dette og bruker kringkasting GTK til å sende dataene til neste system på det trådløse nettverket.
Når du aktiverer klientisolering på AP, slutter den å bruke GTK for å sende data. Fordi alle oppretter en unik unicast-nøkkel for å sende data med deg, vil de ikke lenger kunne se hverandres data.
Omgå dette krever litt mer innsats og forståelse. Vet at ARP-trafikk fortsatt sendes over nettverket ved hjelp av GTK, slik at DHCP kan opprettholde klienter.
Hvis ARP-tabellen blir forgiftet med en kringkastings-MAC på klientoppføringen, vil du tvinge klientsystemet til å bruke bradcast GTK når du sender data. Hvis klientsystemet blir lurt til å bruke GTK til å sende data, kan det nå sees, og du vil omgå klientisolasjonen.
Dermed, hvis du angir din lokale statiske ARP-oppføring ved hjelp av klientene ip med en bradcast mac ditt lokale system vil tro at det sendes kringkastingstrafikk når du snakker med den klienten og bruker GTK slik at klienten kan se trafikken din.
Det vil ta omtrent to minutter for DHCP å fikse en forgiftet ARP-oppføring, så du må skrive et program som strømmer forgiftede / falske ARP-er for å opprettholde synligheten.
Jeg erkjenner at noen avanserte AP-er har arp-kontroll og lag 2-isolasjon der det er behov for avansert taktikk, men vi snakker ikke om de gutta snakket om SOHO.
Skål.
Kommentarer
- Patrick … ville det være mulig for deg å forklare klientisolasjon-bypass-prosessen igjen i litt mindre teknisk versjon? Si, bruke en smarttelefon til å sprette kommunikasjonen fra en wifi-ruter til en annen smarttelefon uten å være logget på selve ruteren.Takk, Bill
- Hvis jeg forstår riktig, sikrer det trådløs kommunikasjon ved ikke å bruke den globale AP-nøkkelen, men det gjør ingenting i form av å forhindre kommunikasjon på IP-nivå. Begrepet " klientisolasjon " har alltid forvirret meg fordi det hørtes ut som det forhindrer kommunikasjon mellom klienter på WiFi, men at ' er en IP-lagfunksjon, definitivt ikke på lag 2.
Legg igjen en kommentar