Jump to content
  • 4
userok001

Изоляция клиентов внутри одной подсети

Question

Хотелось бы иметь такую возможность из соображений безопасности.

Очень актуально для wi-fi

 

  • Thanks 1

Share this post


Link to post
Share on other sites

10 answers to this question

Recommended Posts

  • 1
6 минут назад, Александр Петров сказал:

Добрый день - AP Isolation так и не появилась в новых версиях?
И ничего с этим не поделать?

Давно реализована

 

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0

+1.

AP Isolation особенно нужен тете Фросе, если она подторговывает семечками вифи "публичный". Иначе в определенный момент сможет придти stealth arp cache poisoning, а мужики ничего даже и не узнают.

Например: малый бизнес, открытая сеть или простой пароль для клиентов. Атака MITM пройдет как нож по маслу и весь траффик клиентов будет скомпрометирован.

От появления конкурирующего по уровню сигнала и простоте сэтапа evil twin не спасет, но по крайней мере никто не сможет обвинить в преступной халатности.

Edited by IgaX
  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0
20 минут назад, userok001 сказал:

Авторизации по 802.1x видимо тоже не хватает,чтоб наверняка?

Лишним не будет, конечно, чтобы заодно и на Radius потом выйти, но это уже не совсем SOHO, хотя многие стоки предлагают уровень Enterprise. Уже спрашивали. Можно попробовать накидать голосов. Из того, что я видел в мануале, в принципе, настроить можно на уровне драйвера.

Если конкретно по теме изоляции - не поможет, если атакующий пройдет авторизацию. GTK на броадкасте все равно будет общим. Без AP Isolation атака пройдет по всем подключенным к конкретной AP устройствам. Другое дело, что без фантазии авторизацию вряд ли пройдешь.

Share this post


Link to post
Share on other sites
  • 0
14 часа назад, IgaX сказал:

Лишним не будет, конечно, чтобы заодно и на Radius потом выйти, но это уже не совсем SOHO, хотя многие стоки предлагают уровень Enterprise. Уже спрашивали. Можно попробовать накидать голосов. Из того, что я видел в мануале, в принципе, настроить можно на уровне драйвера.

Если конкретно по теме изоляции - не поможет, если атакующий пройдет авторизацию. GTK на броадкасте все равно будет общим. Без AP Isolation атака пройдет по всем подключенным к конкретной AP устройствам. Другое дело, что без фантазии авторизацию вряд ли пройдешь.

1.

https://habrahabr.ru/post/100176/

Посмотрел это, не очень понял.

Пройдя аутенфикацию, можно снифать траффик или нет?

Сниффать получится только wi-fi ?

Если можно,то как уберечься ?

2. Ограничение на частоту попыток есть ? Можно ведь добавить промежуток около 15 сек хотя бы после неправильного ввода независимо от мак адреса, подбор пароля займет вечность.

 

Edited by userok001

Share this post


Link to post
Share on other sites
  • 0
54 минуты назад, userok001 сказал:

https://habrahabr.ru/post/100176/

Посмотрел это, не очень понял.

Например, с картинками, но на буржуйском:
https://www.defcon.org/images/defcon-18/dc-18-presentations/Ahmad/DEFCON-18-Ahmad-WPA-Too.pdf

55 минут назад, userok001 сказал:

Пройдя аутенфикацию, можно снифать траффик или нет?

можно через подмену гейта на mitm по arp

1 час назад, userok001 сказал:

Сниффать получится только wi-fi ?

да, беспроводных клиентов с одинаковым GTK (если конкретно про эту уязвимость)

1 час назад, userok001 сказал:

Если можно,то как уберечься ?

от конкретно этой - включить AP Isolation в прошивке :) .. либо с бубном поставить NoForwarding=1 и/или NoForwardingMBCast=1 в RT2860AP*.dat

1 час назад, userok001 сказал:

2. Ограничение на частоту попыток есть ? Можно ведь добавить промежуток около 15 сек хотя бы после неправильного ввода независимо от мак адреса, подбор пароля займет вечность.

подбор рандомного пароля от 12-ти знаков в лоб: (95^8+95^9+95^10+95^11+95^12+..) при средней скорости хэндшейка и так займет примерно ее половину :) . а так можно попробовать покопать в сторону AuthFloodThreshold

Share this post


Link to post
Share on other sites
  • 0
1 час назад, IgaX сказал:

при средней скорости хэндшейка и так займет примерно ее половину

грубо говоря, даже если несколькими устройствами долбить точку брутфорсом со скоростью 1К пассов в минуту (даже если она при этом будет достойно держаться и не зависнет), то 12-ть знаков получится перебрать (если не попутал) за ~1 квадриллион лет.

длинный пасс прежде всего предназначен для защиты от вычисления psk со стороны, например, того же amazon ec2 или ферм по майнингу биткоинов, когда уже невыгодно будет добывать))

Edited by IgaX

Share this post


Link to post
Share on other sites
  • 0
2 часа назад, IgaX сказал:

...

1. А ARP можно запретить безболезненно?

Без полной изоляции. Обычным правилом( в другом роутере  или прошивке,где правила работают для подсетей)

2.>> NoForwarding=1 и/или NoForwardingMBCast=1 в RT2860AP*.dat

ХМ, посмотрел на гите. А за что именно отвечают эти параметры? Вижу переключатель интересного поля  IsolateInterStaTraffic

if (FromWhichBSSID == pEntry->apidx)
			{/* STAs in same SSID */
				if ((pAd->ApCfg.MBSSID[pEntry->apidx].IsolateInterStaTraffic == 1))
				{
					/* release the packet */
					bDirectForward = FALSE;
					bAnnounce = FALSE;
				}
			}
			else
			{/* STAs in different SSID */
				if (pAd->ApCfg.IsolateInterStaTrafficBTNBSSID == 1 ||
					((FromWhichBSSID < MAX_MBSSID_NUM(pAd)) &&
					(FromWhichBSSID < HW_BEACON_MAX_NUM) &&
					(pAd->ApCfg.MBSSID[pEntry->apidx].wdev.VLAN_VID != pAd->ApCfg.MBSSID[FromWhichBSSID].wdev.VLAN_VID)))
					/* destination VLAN ID != source VLAN ID */
				{
					/*
						Do not need to care WDS mode because packets from a
						WDS interface will be passed to upper layer for bridging.
					*/
					bDirectForward = FALSE;
					bAnnounce = FALSE;
				}
			}

 

Выглядит как изоляция в одной ssid и разных влан

Предотвратит ли это сниффинг от ethernet устройств?

 

 

3. Думал включить EAP, но нужен радиус сервис, а локальный видимо только с openwrt. 

Edited by userok001

Share this post


Link to post
Share on other sites
  • 0
20 минут назад, userok001 сказал:

1. А ARP можно запретить безболезненно?

Без полной изоляции. Обычным правилом( в другом роутере  или прошивке,где правила работают для подсетей)

Безболезненно - вряд ли, плюс особого смысла нет, т.к. в wpa2 предполагается, что только AP шифрует броадкаст при помощи GTK, а клиент его дешифрует при помощи GTK, следовательно, если делать инъекцию соответствующих фреймов, то до бриджа роутера оно, по идее, и не дойдет, поэтому и валидации кэша arp не будет, поэтому и stealth. А если без stealth, то просто включится частный случай evil twin (но т.к. шлет биконы, то ids (если есть) уже сможет уловить при определенных условиях).

34 минуты назад, userok001 сказал:

2.>> NoForwarding=1 и/или NoForwardingMBCast=1 в RT2860AP*.dat

ХМ, посмотрел на гите. А за что именно отвечают эти параметры?

По относительно старому мануалу:

1) NoForwarding - отвечает за форвард пакетов клиентов (STA) внутри одной и той же BSSID.

2) NoForwardingMBCast - аналогично, но только мультикаст/броадкаст внутри одного и того же BSSID интерфейса.

На данный момент в прошивке включен NoForwardingBTNBSSID (аналогично, но между BSSID интерфейсами), поэтому если поднято несколько SSID (скажем, обычная и гостевая) в рамках одного радио, то тут все ок, враг не пройдет, рулят правила роутера, но проблемы клиентов в рамках одной BSSID остаются.

48 минут назад, userok001 сказал:

и разных влан

тут скорее имеются ввиду vlan, которые на радио (к слову, у нас на уровне драйвера wireless их вроде можно указывать и приоритизировать).

1 час назад, userok001 сказал:

сниффинг от ethernet устройств?

а проводные здесь не в тему, там уже роутер на прокладке. тут только если романтика большой дороги с врезкой хаба в кабель итд.)

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0

т.е. смысл настройки в том, что должен происходить override GTK и клиенты в BSSID как бы уже пропускают "мимо ушей" подобные фреймы и стелс-атака не проходит.

Share this post


Link to post
Share on other sites

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...