it-swarm-eu.dev

Drahtlose Client-Isolation - wie funktioniert das und kann es umgangen werden?

Viele SOHO-Router unterstützen heutzutage eine Funktion namens "Wireless Client Isolation" oder ähnliches. Dies soll im Prinzip die Konnektivität zwischen drahtlosen Clients, die mit dem AP verbunden sind, einschränken. Drahtlose Clients können mit dem LAN kommunizieren und das Internet erreichen, wenn eine solche Verbindung verfügbar ist, sie können jedoch nicht miteinander kommunizieren.

Wie wird das erreicht? Gibt es bestimmte Schwächen, die es ermöglichen würden, dies leicht zu umgehen?

22
Iszi

Die Implementierung, die ich davon gesehen habe, erfolgt durch Herumspielen an der MAC-Weiterleitungstabelle auf dem Access Point. Da der Access Point lediglich als Netzwerkbrücke fungiert, ist er für diese Art von Aufgabe ziemlich gut geeignet. Auf der Vermittlungsschicht werden bereits alle gehörten (manchmal als erlernt bezeichneten) MACs gesammelt und auf welcher Schnittstelle sie sich befinden.

Die Logik sieht ungefähr so ​​aus:

  1. Der Access Point empfängt ein Paket über die drahtlose Schnittstelle
  2. Das Bridging-Subsystem untersucht das Paket auf Ziel-MAC
  3. Wenn sich der Ziel-MAC in der gelernten Vermittlungstabelle für die drahtlose Schnittstelle befindet -> DROP
  4. Ansonsten Paket über Kabelschnittstelle weiterleiten

Aufgrund der Funktionsweise von Netzwerkbrücken sehe ich es als ziemlich schwierig an, den Zugangspunkt dazu zu bringen, ein Paket trotz der Isolation an einen Client weiterzuleiten. Am besten versuchen Sie, direkt mit dem anderen Kunden zu sprechen, als würden Sie mit einem Ad-hoc-Netzwerk arbeiten.

16
Scott Pack

Drahtlose Client-Isolation, wie es funktioniert und wie es umgangen wird:

Wenn Sie eine drahtlose Verbindung (wpa/wpa2-aes/tkip) zu Ihrem Zugangspunkt (AP/Router) herstellen, werden 2 Schlüssel erstellt, ein eindeutiger Schlüssel für Unicast-Verkehr und ein gemeinsamer Schlüssel für Broadcast-Verkehr, der mit jedem PC geteilt wird, der eine Verbindung herstellt , bekannt als GTK.

Wenn Sie Daten an den AP senden, werden diese mit Ihrem Unicast-Schlüssel verschlüsselt. Der AP entschlüsselt dies dann und verwendet die Broadcast-GTK, um die Daten an das nächste System im drahtlosen Netzwerk zu senden.

Wenn Sie die Client-Isolation auf dem AP aktivieren, wird die GTK nicht mehr zum Senden von Daten verwendet. Da jeder einen eindeutigen Unicast-Schlüssel zum Senden von Daten mit Ihnen erstellt, können die Daten des jeweils anderen nicht mehr angezeigt werden.

Das Umgehen erfordert etwas mehr Aufwand und Verständnis. Beachten Sie, dass der ARP-Verkehr mithilfe der GTK weiterhin über das Netzwerk übertragen wird, damit DHCP Clients verwalten kann.

Wenn die ARP-Tabelle mit einem Broadcast-MAC im Client-Eintrag vergiftet ist, zwingen Sie das Client-System, beim Senden von Daten die Bradcast-GTK zu verwenden. Wenn das Client-System dazu verleitet wird, die GTK zum Senden von Daten zu verwenden, werden diese jetzt angezeigt, und Sie umgehen die Client-Isolation.

Wenn Sie also Ihren lokalen statischen ARP-Eintrag mithilfe der Client-IP mit einem Bradcast-Mac festlegen, wird Ihr lokales System bei der Kommunikation mit diesem Client davon ausgehen, dass der Broadcast-Verkehr gesendet wird, und die GTK verwenden, damit der Client Ihren Verkehr sehen kann.

Es dauert ungefähr zwei Minuten, bis DHCP einen vergifteten ARP-Eintrag repariert hat. Sie müssen also ein Programm schreiben, das vergiftete/gefälschte ARPs streamt, um die Sichtbarkeit aufrechtzuerhalten.

Ich erkenne an, dass einige fortgeschrittene APs über Arp-Kontrolle und Layer-2-Isolation verfügen, wo fortgeschrittene Taktiken erforderlich sind, aber wir sprechen nicht über die Leute, die über Ihr SOHO gesprochen haben.

Prost.

10
Patrick