Odpověď na názor
Odpovídáte na názor k článku Útok AirSnitch dovoluje překonat izolaci klientů na Wi-Fi a ovlivňovat provoz. Názory mohou přidávat pouze registrovaní uživatelé. Nově přidané názory se na webu objeví až po schválení redakcí.
-
Izolace Wi-Fi klientů mi vždy přišla jako trochu zvláštní funkce. Když ji zapnu na jednom AP, tak to v rámci tohoto konkrétního zařízení funguje. Klienti připojení k danému AP spolu nemohou komunikovat.
V síti s více AP už je to ale složitější. Druhé AP samo o sobě nepozná, jestli provoz přichází od Wi-Fi klienta přes jiné AP, nebo z běžné kabelové části sítě. Na úrovni samotného AP tedy nejde zajistit úplnou izolaci klientů napříč celou infrastrukturou.
Často se jako řešení zmiňuje VLAN. Samostatná VLAN pro hosty ale problém neřeší, protože všichni hosté jsou pořád ve stejné vrstvě 2 a mohou spolu komunikovat. Izolace na úrovni VLAN by fungovala jedině tehdy, pokud by měl každý klient vlastní VLAN. To je technicky možné, ale znamená to dynamické přidělování VLAN podle uživatele a tomu musí odpovídat celá síťová infrastruktura.
Takže jednoduché zapnutí „client isolation“ na jednotlivých AP řeší jen komunikaci klientů připojených ke stejnému AP. Pokud má být izolace skutečně plošná a zároveň má fungovat roaming, musí to být řešeno centrálně na úrovni celé sítě, ne jen lokální funkcí v přístupovém bodu.
ČLÁNKY DO MAILU