Trådlös klientisolering – hur fungerar det och kan det kringgås?
On februari 13, 2021 by adminMånga SOHO-routrar stöder idag en funktion som kallas ”trådlös klientisolering” eller liknande. Vad detta ska göra är i princip att begränsa anslutningen mellan trådlösa klienter anslutna till AP. Trådlösa klienter kan prata med LAN och nå internet om sådan anslutning är tillgänglig, men de kan inte kommunicera med varandra.
Hur uppnås detta? Finns det några speciella svagheter som gör det möjligt att kringgå detta?
Kommentarer
- Det verkar som om det skulle vara trivialt att genomföra – bara släpp alla paket som skickas till det lokala undernätet (förutom själva routern). Det här är bara en kommentar eftersom jag inte har någon aning om de faktiskt gör det på det här sättet.
- @BrendanLong " släpp bara alla paket som skickas till den lokala undernät (förutom själva routern). " släppa sändningar?
Svar
Implementeringen som jag har sett på detta görs genom att fitta med MAC-vidarebordstabellen på åtkomstpunkten. Eftersom åtkomstpunkten helt enkelt fungerar som en nätverksbro är den ganska väl lämpad för den här typen Vid växlingslagret samlar det redan in alla hörda (ibland kallade lärda) MAC och vilket gränssnitt det finns på.
Logiken ser ungefär så ut:
- Accesspunkt tar emot ett paket över det trådlösa gränssnittet
- Överbryggande delsystem undersöker paket för destinations MAC
- Om destination MAC finns i den inlärda omkopplingstabellen för trådlöst gränssnitt -> DROP
- Annars vidarebefordrar paket via kabelansluten gränssnitt
På grund av hur nätverksbryggor fungerar ser jag att det är ganska svårt att lura åtkomstpunkten för att vidarebefordra ett paket till en klient trots isoleringen. Det bästa är att försöka prata direkt med den andra klienten, som om du arbetar med ett ad hoc-nätverk.
Kommentarer
- " Det bästa är att försöka prata direkt med den andra klienten " hur?
- @curiousguy: Jag ' jag ska gå med att lämna det som en övning för nyfikna.
- Du ' går igenom allt detta fel, nyfiken. Du borde ha sagt " Det är ' omöjligt att prata direkt med en klient som om du skulle ha ett ad hoc-nätverk. " Scott skulle ha skrivit en roman.
- @curiousguy du ' Jag behöver en Wi-Fi-adapter som stöder injektion, och du ' måste smida paket, efter att du fått rätt länknycklar
Svar
Trådlös klientisolering, hur den fungerar och hur den kringgås:
När du skapar en trådlös (wpa / wpa2-aes / tkip) -anslutning till din åtkomstpunkt (AP / router) 2 nycklar skapas, en unik nyckel för unicast-trafik och en delad nyckel för sändningstrafik som delas med varje dator som ansluts, så kallad GTK.
När du skickar data till AP: n är krypterad med din unicast – nyckel. AP dekrypterar sedan detta och använder sändnings GTK för att skicka data till nästa system i det trådlösa nätverket.
När du aktiverar klientisolering på AP slutar den använda GTK för att skicka data. Eftersom alla skapar en unik unicast-nyckel för att skicka data med dig kommer inte längre att kunna se varandras data.
Att kringgå detta kräver lite mer ansträngning och förståelse. Vet att ARP-trafik fortfarande sänds över nätverket med hjälp av GTK så att DHCP kan upprätthålla klienter.
Om ARP-tabellen förgiftas med en utsänd MAC på klientinmatningen kommer du att tvinga klientsystemet att använda bradcast GTK när du skickar data. Om klientsystemet luras använda GTK för att skicka data kan det nu ses och du kommer att kringgå klientisolationen.
Således, om du ställer in din lokala statiska ARP-post med hjälp av klienterna ip med en bradcast mac ditt lokala system kommer att tänka att det skickar sändningstrafik när de pratar med den klienten och använder GTK så att klienten kan se din trafik.
Det tar ungefär två minuter för DHCP att fixa en förgiftad ARP-post så att du måste skriva ett program som strömmar förgiftade / falska ARP för att bibehålla synligheten.
Jag erkänner att vissa avancerade AP-apparater har arp-kontroll och lager 2-isolering där avancerad taktik behövs men vi pratar inte om att killarna pratade om din SOHO.
Skål.
Kommentarer
- Patrick … skulle det vara möjligt för dig att förklara klientisoleringsbypassprocessen en gång till i lite mindre teknisk version? Säg, använder en smart telefon för att studsa kommunikationen mellan en wifi-router och en annan smart telefon utan att vara inloggad på själva routern.Tack, Bill
- Om jag förstår rätt säkerställer den trådlös kommunikation genom att inte använda den globala AP-nyckeln, men den gör ingenting för att förhindra kommunikation på IP-nivå. Termen " klientisolering " har alltid förvirrat mig eftersom det lät som om det förhindrar kommunikation mellan klienter på WiFi, men att ' är en IP-lagerfunktion, definitivt inte på lager 2.
Lämna ett svar