Isolamento de cliente sem fio – como funciona e pode ser contornado?
On Fevereiro 13, 2021 by adminMuitos roteadores SOHO atualmente oferecem suporte a um recurso chamado “isolamento de cliente sem fio” ou similar. O que isso deve fazer, em princípio, é limitar a conectividade entre clientes sem fio conectados ao AP. Os clientes sem fio podem falar com a LAN e acessar a Internet se essa conexão estiver disponível, mas eles não podem se comunicar entre si.
Como isso é feito? Há alguma fraqueza específica que permitiria que isso fosse facilmente contornado?
Comentários
- Parece que isso seria trivial de implementar – basta descartar todos pacotes enviados para a sub-rede local (além do próprio roteador). Este é apenas um comentário, já que não tenho ideia se eles realmente fazem isso dessa maneira.
- @BrendanLong " apenas descarte todos os pacotes enviados para o local sub-rede (além do próprio roteador). " descartar transmissões?
Resposta
A implementação que eu vi disso é feita mexendo na tabela de encaminhamento de MAC no ponto de acesso. Como o ponto de acesso simplesmente atua como uma ponte de rede, ele é bastante adequado para esse tipo da tarefa. Na camada de comutação, ele já está coletando todos os MACs ouvidos (às vezes chamados de aprendidos) e em qual interface ele pode ser encontrado.
A lógica é mais ou menos assim:
- O ponto de acesso recebe um pacote pela interface sem fio
- O subsistema de Bridging examina o pacote para o MAC de destino
- Se o MAC de destino está na tabela de comutação aprendida para a interface sem fio -> DROP
- Caso contrário, encaminhe o pacote via interface com fio
Devido à forma como as pontes de rede funcionam, vejo que é bastante difícil enganar o ponto de acesso para encaminhar um pacote a um cliente, apesar do isolamento. Sua melhor aposta seria tentar falar diretamente com o outro cliente, como se você estivesse operando com uma rede ad-hoc.
Comentários
- " Sua melhor aposta seria tentar falar diretamente com o outro cliente " como?
- @curiousguy: Eu ' vou deixá-lo como um exercício para os curiosos.
- Você ' está fazendo tudo errado, cara curioso. Você deveria ter dito " É ' impossível falar diretamente com um cliente como se você estivesse operando uma rede ad-hoc. " Scott teria digitado um romance.
- @curiousguy, você ' precisará de um adaptador Wi-Fi que suporte injeção, e você ' terá que forjar pacotes, depois de obter as chaves de link corretas
Resposta
Isolamento do cliente sem fio, como funciona e como é contornado:
Quando você estabelece uma conexão sem fio (wpa / wpa2-aes / tkip) ao seu ponto de acesso (AP / roteador) 2 chaves são criadas, uma chave única para o tráfego unicast e uma chave compartilhada para o tráfego de broadcast que é compartilhada com cada pc que se conecta, conhecida como GTK.
Quando você envia dados para o AP, “s criptografados com sua chave unicast. O AP então descriptografa isso e usa o GTK de transmissão para enviar os dados para o próximo sistema na rede sem fio.
Quando você ativa o isolamento do cliente no AP, ele para de usar o GTK para enviar dados. Como todos estabelecem uma chave unicast exclusiva para enviar dados com você, não será mais possível ver os dados uns dos outros.
Ignorar isso exige um pouco mais de esforço e compreensão. Saiba que o tráfego ARP ainda é transmitido pela rede usando o GTK para que o DHCP possa manter os clientes.
Se a tabela ARP for envenenada com um MAC de transmissão na entrada do cliente, você forçará o sistema do cliente a usar o bradcast GTK ao enviar dados. Se o sistema do cliente for induzido a usar o GTK para enviar dados, ele poderá ser visto e você contornará o isolamento do cliente.
Assim, se você definir sua entrada ARP estática local usando o ip do cliente com um bradcast mac seu sistema local pensará que está enviando tráfego de broadcast ao falar com aquele cliente e usar o GTK permitindo que o cliente veja seu tráfego.
Levará cerca de dois minutos para que o DHCP conserte uma entrada ARP envenenada, então você terá que escrever um programa que transmita ARPs envenenados / falsos para manter a visibilidade.
Eu reconheço que alguns APs avançados têm controle de arp e isolamento de camada 2 onde táticas avançadas são necessárias, mas não estamos falando sobre esses caras falando sobre o seu SOHO.
Saudações.
Comentários
- Patrick … seria possível para você explicar o processo de desvio de isolamento do cliente mais uma vez em uma versão um pouco menos técnica? Diga, usar um smartphone para enviar comunicações de um roteador wi-fi para outro smartphone sem estar conectado ao próprio roteador.Obrigado, Bill
- Se bem entendi, ele protege a comunicação sem fio ao não usar a chave AP global, mas não faz nada em termos de impedir a comunicação no nível IP. O termo " isolamento do cliente " sempre me confundiu porque parecia que impedia a comunicação entre clientes no WiFi, mas que ' s um recurso da camada IP, definitivamente não na camada 2.
Deixe uma resposta