it-swarm-id.com

Isolasi klien nirkabel - bagaimana cara kerjanya, dan dapatkah dilewati?

Banyak router SOHO hari ini mendukung fitur yang disebut "isolasi klien nirkabel", atau serupa. Apa yang seharusnya dilakukan, pada prinsipnya, adalah membatasi konektivitas antara klien nirkabel yang terhubung ke AP. Klien nirkabel dapat berbicara dengan LAN, dan menjangkau Internet jika koneksi seperti itu tersedia, tetapi mereka tidak dapat berkomunikasi satu sama lain.

Bagaimana ini dicapai? Apakah ada kelemahan tertentu yang akan memungkinkan ini untuk dengan mudah dilewati?

22
Iszi

Implementasi yang saya lihat dari ini dilakukan dengan mengutak-atik tabel penerusan MAC pada titik akses. Karena titik akses hanya bertindak sebagai jembatan jaringan, itu cukup cocok untuk tugas semacam ini. Pada lapisan switching itu sudah mengumpulkan semua MAC yang didengar (kadang-kadang disebut belajar) dan antarmuka yang dapat ditemukan.

Logikanya terlihat seperti ini:

  1. Access Point menerima paket melalui antarmuka nirkabel
  2. Subsistem bridging memeriksa paket untuk MAC tujuan
  3. Jika MAC tujuan berada dalam tabel switching yang dipelajari untuk antarmuka nirkabel -> DROP
  4. Kalau tidak meneruskan paket melalui antarmuka kabel

Karena cara jembatan jaringan bekerja, saya melihat ini menjadi cukup sulit untuk menipu titik akses ke meneruskan paket ke klien terlepas dari isolasi. Taruhan terbaik Anda adalah berusaha berbicara langsung dengan klien lain, seolah-olah Anda beroperasi dengan jaringan ad-hoc.

16
Scott Pack

Isolasi klien nirkabel, cara kerjanya dan cara memintasnya:

Ketika Anda membuat koneksi nirkabel (wpa/wpa2-aes/tkip) ke titik akses Anda (AP/router) 2 kunci dibuat, kunci unik untuk lalu lintas unicast dan kunci bersama untuk lalu lintas siaran yang dibagi dengan setiap pc yang menghubungkan , dikenal sebagai GTK.

Saat Anda mengirim data ke AP, data itu dienkripsi dengan kunci unicast Anda. AP kemudian mendekripsi ini dan menggunakan siaran GTK untuk mengirim data ke sistem berikutnya di jaringan nirkabel.

Ketika Anda mengaktifkan isolasi klien pada AP, ia berhenti menggunakan GTK untuk mengirim data. Karena semua orang membuat kunci unik unicast untuk mengirim data dengan Anda tidak akan lagi dapat melihat data satu sama lain.

Melewati ini membutuhkan sedikit usaha dan pengertian. Ketahuilah bahwa lalu lintas ARP masih akan disiarkan di seluruh jaringan menggunakan GTK sehingga DHCP dapat memelihara klien.

Jika tabel ARP diracuni dengan MAC siaran pada entri klien, Anda akan memaksa sistem klien untuk menggunakan bradcast GTK saat mengirim data. Jika sistem klien tertipu untuk menggunakan GTK untuk mengirim data sekarang dapat dilihat dan Anda akan memotong isolasi klien.

Jadi, jika Anda menyetel entri ARP statis lokal menggunakan ip klien dengan bradcast mac, sistem lokal Anda akan berpikir mengirimkan lalu lintas siaran ketika berbicara dengan klien itu dan menggunakan GTK yang memungkinkan klien melihat lalu lintas Anda.

Diperlukan waktu sekitar dua menit bagi DHCP untuk memperbaiki entri ARP yang beracun sehingga Anda harus menulis sebuah program yang mengalirkan ARP yang diracuni/palsu untuk menjaga visibilitas.

Saya mengakui bahwa beberapa AP canggih memiliki kontrol arp dan isolasi layer 2 di mana taktik lanjutan diperlukan tetapi kita tidak berbicara tentang orang-orang yang berbicara tentang SOHO Anda.

Bersulang.

10
Patrick