Odpověď na názor
Odpovídáte na názor k článku Útok AirSnitch dovoluje překonat izolaci klientů na Wi-Fi a ovlivňovat provoz. Názory mohou přidávat pouze registrovaní uživatelé. Nově přidané názory se na webu objeví až po schválení redakcí.
-
Musí být řešeno obojí. Např. HPE Aruba má kromě "client isolation" ještě další nastavení "block intra-VLAN traffic". Z toho pak jde nastavit výjimky na MAC a/nebo IP adresy. Default je povolen provoz pouze na gateway -- a teď je právě otázka jestli jen podle IP nebo MAC.
Co článek zdá se vůbec neřeší, je další úroveň problémů která přijde v kombinaci s IPv6, hlavně SLAAC + Privacy Extensions. V tu chvíli může mít každý klient shora neomezený počet IPv6 adres, které si sám vytváří. Pak jsou některé ty rady z článku trochu k ničemu... Pro IPv4 je obvykle k dispozici nějaká analogie DHCP/IP-source-guard, která svazuje MAC a IP přidělenou z DHCP a řeší tak značnou část v článku popsaných problémů.
Konkrétně u HPE Aruba zrovna ta funkce "block intra-VLAN traffic" rozbíjí IPv6 Router Solicitation (RS), takže je v praxi nepoužitelná.
Pokud AP nemá funkci "block intra-VLAN traffic" nebo je takto rozbítá, lze to řešit použitím PVLAN na switchích mezi jednotlivými AP.
Podpora IPv6 first-hop security je i u enterprise WiFi řešení stále obvykle špatná. Potom je izolace klientů jediná možnost jak např. zajistit, aby klienti nemohli do sítě posílat rogue RA.
ČLÁNKY DO MAILU