it-swarm-eu.dev

Izolace bezdrátového klienta - jak to funguje a lze jej obejít?

Mnoho routerů SOHO v současnosti podporuje funkci nazvanou „izolace bezdrátových klientů“ nebo podobně. To má v zásadě omezit konektivitu mezi bezdrátovými klienty připojenými k přístupovému bodu. Bezdrátoví klienti mohou hovořit s LAN a mohou se připojit k internetu, pokud je takové připojení k dispozici, ale nemohou spolu komunikovat.

Jak je toho dosaženo? Existují nějaké zvláštní nedostatky, které by to umožnily snadno obejít?

22
Iszi

Implementace, kterou jsem viděl, se provádí pomocí hry s tabulkou MAC forwarding na přístupovém bodu. Protože přístupový bod jednoduše funguje jako síťový most, je pro tento druh úkolu docela vhodný. Na přepínací vrstvě již shromažďuje všechny slyšené (někdy nazývané naučené) MAC a na jakém rozhraní se nachází.

Logika vypadá asi takto:

  1. Přístupový bod přijímá paket přes bezdrátové rozhraní
  2. Podsystém Bridging zkoumá pakety pro cílové MAC
  3. Pokud je cílový MAC v naučené přepínací tabulce pro bezdrátové rozhraní -> DROP
  4. V opačném případě paket přes kabelové rozhraní

Vzhledem k tomu, jak fungují síťové mosty, vidím, že je docela obtížné přimět přístupový bod, aby přes izolaci předal paket klientovi. Vaším nejlepším řešením by bylo pokusit se hovořit přímo s druhým klientem, jako by jste pracovali v síti ad-hoc.

16
Scott Pack

Izolace bezdrátového klienta, jak to funguje a jak se obchází:

Když vytvoříte bezdrátové připojení (wpa/wpa2-aes/tkip) k vašemu přístupovému bodu (AP/router), vytvoří se 2 klíče, jedinečný klíč pro přenos unicast a sdílený klíč pro přenos, který je sdílen s každým počítačem, který se připojuje , známý jako GTK.

Při odesílání dat do přístupového bodu je šifrováno pomocí vašeho unicast klíče. AP to poté dešifruje a používá vysílanou GTK k odeslání dat do dalšího systému v bezdrátové síti.

Když na AP povolíte izolaci klienta, přestane používat GTK k odesílání dat. Protože každý vytvoří jedinečný klíč pro odesílání dat s vámi, nebude již moci zobrazit data všech matek.

Obejití tohoto vyžaduje trochu více úsilí a porozumění. Uvědomte si, že přenos ARP se stále vysílá v síti pomocí GTK, aby DHCP mohl udržovat klienty.

Pokud je tabulka ARP otrávena vysílaným MAC na vstupu klientů, vynutíte systém klientů, aby při odesílání dat používal bradcast GTK. Pokud je klientský systém oklamán pomocí GTK k odesílání dat, je nyní vidět a vy obejdete izolaci klienta.

Pokud tedy nastavíte svůj lokální statický záznam ARP pomocí klientů ip s bradcastovým macem, váš místní systém bude při komunikaci s tímto klientem myslet na odesílání vysílání a používat GTK, která klientovi umožní vidět váš provoz.

Bude to trvat asi dvě minuty, než DHCP opraví otrávený ARP záznam, takže budete muset napsat program, který streamuje otrávené/falešné ARP, aby byla zachována viditelnost.

Potvrzuji, že některé pokročilé přístupové body mají ovládání arp a izolaci vrstvy 2, kde jsou zapotřebí pokročilé taktiky, ale nemluvíme o těch klucích, kteří mluvili o vašem SOHO.

Na zdraví.

10
Patrick