Izolarea clientului wireless – cum funcționează și poate fi ocolită?
On februarie 13, 2021 by adminMulte routere SOHO în aceste zile acceptă o caracteristică numită „izolarea clientului wireless” sau similară. Ceea ce ar trebui să facă acest lucru, în principiu, este să limiteze conectivitatea dintre clienții fără fir conectați la AP. Clienții fără fir pot vorbi cu rețeaua LAN și pot ajunge la Internet dacă o astfel de conexiune este disponibilă, dar nu pot comunica între ei.
Cum se realizează acest lucru? Există vreo slăbiciune specială care ar permite ca aceasta să fie ușor ocolită?
Comentarii
- Se pare că acest lucru ar fi banal de implementat – doar renunțați la toate pachetele trimise către subrețeaua locală (pe lângă routerul însuși). Acesta este doar un comentariu, deoarece nu am nici o idee dacă o fac de fapt în acest fel.
- @BrendanLong " lasă toate pachetele trimise către local subrețea (în afară de routerul în sine). " renunță la transmisii?
Răspunde
Implementarea pe care am văzut-o în acest sens se face jucând cu tabelul de redirecționare MAC pe punctul de acces. Deoarece punctul de acces acționează pur și simplu ca o punte de rețea, este destul de potrivit pentru acest tip la nivelul de comutare colectează deja toate MAC-urile auzite (numite uneori învățate) și pe ce interfață se găsește.
Logica arată cam așa:
- Punctul de acces primește un pachet prin interfața fără fir
- Subsistemul de punte examinează pachetul pentru destinația MAC
- Dacă destinația MAC se află în tabelul de comutare învățat pentru interfața wireless -> DROP
- În caz contrar, redirecționați pachetul prin interfață cu fir
Datorită modului în care funcționează punțile de rețea, văd că este destul de dificil să păcălești punctul de acces în redirecționarea unui pachet către un client, în ciuda izolării. Cel mai bun pariu ar fi să încerci să vorbești direct cu celălalt client, ca și cum ai fi operat cu o rețea ad-hoc.
Comentarii
- " Cel mai bun pariu ar fi să încerci să vorbești direct cu celălalt client " cum?
- @curiousguy: Eu ' voi continua să-l las ca exercițiu pentru curioși.
- Tu ' se întâmplă totul greșit, curiosguy. Ar fi trebuit să spui " Este ' imposibil să vorbești direct cu un client ca și cum ai fi operat o rețea ad-hoc. " Scott ar fi tastat un roman.
- @curiousguy ' veți avea nevoie de un adaptor Wi-Fi care acceptă injecția, și ' va trebui să falsificați pachete, după ce veți obține cheile corecte de legătură
Răspundeți
Izolarea clientului wireless, cum funcționează și cum este ocolită:
Când stabiliți o conexiune wireless (wpa / wpa2-aes / tkip) la punctul dvs. de acces (AP / router) sunt create 2 chei, o cheie unică pentru trafic unicast și o cheie partajată pentru traficul de difuzare care este partajată cu fiecare computer care se conectează, cunoscut sub numele de GTK.
Când trimiteți date către AP, este criptat cu cheia unicast. AP apoi decriptează acest lucru și folosește difuzarea GTK pentru a trimite datele către următorul sistem din rețeaua wireless.
Când activați izolarea clientului pe AP, acesta nu mai folosește GTK pentru a trimite date. Deoarece toată lumea stabilește o cheie unicast unică pentru a trimite date cu dvs., nu veți mai putea să vă vedeți datele.
Pentru a ocoli acest lucru este nevoie de un pic mai mult efort și înțelegere. Să știți că traficul ARP este difuzat în continuare prin rețea utilizând GTK, astfel încât DHCP să poată întreține clienții.
Dacă tabelul ARP este otrăvit cu un MAC difuzat la intrarea clienților, veți forța sistemul clienților să utilizeze bradcast GTK când trimiteți date. Dacă sistemul clienților este păcălit să folosească GTK pentru a trimite date, acum se poate vedea și veți ocoli izolarea clientului.
Astfel, dacă setați intrarea ARP statică locală utilizând ip-ul clienților cu un bradcast Mac sistemul dvs. local va crede că transmite traficul de transmisie atunci când vorbiți cu acel client și utilizați GTK, permițându-i clientului să vă vadă traficul.
Va dura aproximativ două minute până când DHCP va remedia o intrare ARP otrăvită, așa că va trebui să scrieți un program care să transmită ARP otrăvit / fals pentru a menține vizibilitatea.
Recunosc că unele AP-uri avansate au control arp și izolarea stratului 2, acolo unde sunt necesare tactici avansate, dar „nu vorbim despre acei tipi care vorbeau despre SOHO.
Noroc.
Comentarii
- Patrick … ar fi posibil să explici procesul de bypass de izolare a clientului încă o dată într-o versiune puțin mai puțin tehnologică? utilizarea unui telefon inteligent pentru a respinge comunicațiile unui router wifi către un alt telefon inteligent fără a fi conectat la routerul propriu-zis.Mulțumesc, Bill
- Dacă înțeleg corect, asigură comunicarea fără fir prin faptul că nu folosește cheia AP globală, dar nu face nimic în ceea ce privește prevenirea comunicării la nivel de IP. Termenul " izolarea clientului " m-a confundat întotdeauna, deoarece suna de parcă împiedică comunicarea între clienți pe WiFi, dar acel ' este o caracteristică de strat IP, cu siguranță nu se află pe nivelul 2.
Lasă un răspuns