Draadloze clientisolatie – hoe werkt het en kan het worden omzeild?
Geplaatst op februari 13, 2021 door adminVeel SOHO-routers ondersteunen tegenwoordig een functie genaamd “wireless client isolation” of iets dergelijks. Wat dit in principe moet doen, is de connectiviteit tussen draadloze clients die op het AP zijn aangesloten, beperken. Draadloze clients kunnen met het LAN praten en het internet bereiken als een dergelijke verbinding beschikbaar is, maar ze kunnen niet met elkaar communiceren.
Hoe wordt dit bereikt? Zijn er bepaalde zwakke punten waardoor dit gemakkelijk kan worden omzeild?
Opmerkingen
- Het lijkt erop dat dit triviaal zou zijn om te implementeren – laat gewoon alle pakketten verzonden naar het lokale subnet (naast de router zelf). Dit is slechts een opmerking, aangezien ik geen idee heb of ze het echt op deze manier doen.
- @BrendanLong " laat gewoon alle pakketten vallen die naar de lokale subnet (naast de router zelf). " uitzendingen laten vallen?
Antwoord
De implementatie die ik hiervan heb gezien, wordt gedaan door te rommelen met de MAC-forwarding-tabel op het toegangspunt. Aangezien het toegangspunt eenvoudigweg als een netwerkbrug fungeert, is het redelijk geschikt voor dit soort van taak. Op de schakellaag verzamelt het al alle gehoorde (soms aangeleerde) MACs en op welke interface het kan worden gevonden.
De logica ziet er ongeveer zo uit:
- Toegangspunt ontvangt een pakket via de draadloze interface
- Overbruggingssubsysteem onderzoekt pakket voor bestemmings-MAC
- Als bestemmings-MAC zich in de geleerde schakeltabel voor draadloze interface bevindt -> DROP
- Anders pakket doorsturen via bekabelde interface
Vanwege de manier waarop netwerkbruggen werken, zie ik dat het tamelijk moeilijk is om het toegangspunt te misleiden om ondanks de isolatie een pakket door te sturen naar een client. Je kunt het beste proberen om rechtstreeks met de andere klant te praten, alsof je met een ad-hocnetwerk werkt.
Opmerkingen
- " Je kunt het beste proberen om rechtstreeks met de andere klant te praten " hoe?
- @curiousguy: ik ' laat het maar achter als een oefening voor nieuwsgierigen.
- Jij ' gaat dit helemaal verkeerd aan, merkwaardig. Je had moeten zeggen: " Het ' is onmogelijk om rechtstreeks met een cliënt te praten alsof je een ad-hocnetwerk gebruikt. " Scott zou een roman hebben getypt.
- @curiousguy you ' heb een Wi-Fi-adapter nodig die injectie ondersteunt, en jij ' zult pakketten moeten vervalsen, nadat je de juiste linksleutels hebt gekregen.
Antwoord
Draadloze clientisolatie, hoe het werkt en hoe het wordt omzeild:
Wanneer u een draadloze (wpa / wpa2-aes / tkip) verbinding tot stand brengt met uw toegangspunt (AP / router) 2 sleutels worden aangemaakt, een unieke sleutel voor unicast-verkeer en een gedeelde sleutel voor broadcast-verkeer die wordt gedeeld met elke pc die verbinding maakt, bekend als de GTK.
Wanneer u gegevens naar het AP verzendt, is versleuteld met uw unicast-sleutel. Het AP decodeert dit vervolgens en gebruikt de uitzending GTK om de gegevens naar het volgende systeem op het draadloze netwerk te sturen.
Wanneer u clientisolatie op het AP inschakelt, wordt de GTK niet meer gebruikt om gegevens te verzenden. Omdat iedereen een unieke unicast-sleutel maakt om gegevens mee te verzenden, kunt u elkaars gegevens niet meer zien.
Om dit te omzeilen kost wat meer moeite en begrip. Weet dat ARP-verkeer nog steeds over het netwerk wordt uitgezonden met behulp van de GTK, zodat DHCP clients kan onderhouden.
Als de ARP-tabel is vergiftigd met een broadcast-MAC op de ingang van de client, dwingt u het clientsysteem om de bradcast GTK bij het verzenden van gegevens. Als het clientsysteem voor de gek wordt gehouden door de GTK te gebruiken om gegevens te verzenden, kan het nu worden gezien en zult u de clientisolatie omzeilen.
Dus als u uw lokale statische ARP-invoer instelt met behulp van het client-ip met een bradcast mac uw lokale systeem zal denken dat het uitzendverkeer verzendt wanneer het met die cliënt praat en de GTK gebruikt zodat de cliënt uw verkeer kan zien.
Het duurt ongeveer twee minuten voordat DHCP een vergiftigde ARP-invoer heeft hersteld, dus je zult een programma moeten schrijven dat vergiftigde / nep-ARPs streamt om de zichtbaarheid te behouden.
Ik erken dat sommige geavanceerde APs arp-controle en laag 2-isolatie hebben waar geavanceerde tactieken nodig zijn, maar we hebben het niet over die jongens die het hadden over je SOHO.
Proost.
Opmerkingen
- Patrick … zou het voor jou mogelijk zijn om het omleidingsproces voor clientisolatie nog eens uit te leggen in een iets minder technische versie? een smartphone gebruiken om de communicatie van een wifi-router naar een andere smartphone te laten kaatsen zonder op de router zelf te zijn ingelogd.Bedankt, Bill
- Als ik het goed begrijp, beveiligt het draadloze communicatie door de algemene AP-sleutel niet te gebruiken, maar het doet niets in termen van het voorkomen van communicatie op IP-niveau. De term " client isolation " heeft me altijd in verwarring gebracht omdat het klonk alsof het communicatie tussen clients op wifi verhindert, maar dat ' s een IP-laagfunctie, zeker niet op laag 2.
Geef een reactie