WLAN 漫游网格假设和伪造 AP 的授权

WLAN 漫游网格假设和伪造 AP 的授权

图像中的拓扑结构

我有一些问题和假设,我想问一下:根据我图片中的拓扑:假设情况 1:AP 配置为具有 WPA3 Personal 的 AP,它们彼此之间一无所知。

Windows 10客户端第一次来到左边的AP,它第一次登录到网络WlanGuestNetwork。

客户端是否会从左侧 AP 的覆盖范围移动到右侧 AP 的覆盖范围 - 由于 BSSID 不同,它不会连接到右侧 AP 的 WlanGuestNetwork?如果攻击者创建与左侧 AP 类似的 AP,也会复制左侧 AP 的 BSSID,客户端是否会尝试自动重新连接到假 AP,或者正在进行某种保护?如果它尝试连接,密码是否会暴露,或者是否有某种花哨的哈希系统可以阻止它?

情况 2. 如果我们希望客户端在这两个 AP 之间无缝漫游,唯一的有线解决方案是使用某些制造商提供的标准来实现 MESH 网络,这意味着我们需要控制器,对于企业设备会有硬件控制器,对于消费设备,一个 AP 将充当控制器?

现在 WDS 是无线互联,因为需要 AP 互联协议的支持,802.11 有 4 个 mac 地址支持等等,而 MESH 可以同时有有线和无线主干,但两种情况下 AP 互联背后的逻辑根本不同吗?有没有 MESH AP,有有线/无线主干故障转移,也就是说如果你剪断电缆,站点仍然会通过无线方式连接?

对于网格来说,漫游切换质量完全取决于客户端,只有一些 AP 支持丢弃信号弱的客户端,迫使它们 sihti,而最新的 6E 标准对此有什么改进吗?

答案1

客户端是否会从左边 AP 的覆盖范围移动到右边 AP 的覆盖范围 - 由于 BSSID 不同,它不会连接到右边 AP 的 WlanGuestNetwork?

只要 ESSID 相同,就可以。(BSSID 是意味着是唯一的;ESSID 或“网络名称”设置了漫游边界。)但是,至少 Windows 会坚持安全模式也需要相同。

如果攻击者创建了与左侧 AP 类似的 AP,并且还会复制左侧 AP 的 BSSID,客户端会尝试自动重新连接到假 AP 吗?或者是否存在某种保护措施?如果它尝试连接,密码是否会被泄露,或者是否存在某种花哨的哈希系统可以阻止它?

WPA-Personal 握手绝不会暴露实际密码。WPA/WPA2 使用质询-响应机制来获取连接密钥,而无需通过无线方式发送密码。

(根据捕获的 WPA 或 WPA2 握手信息,有可能暴力破解密码,但如果攻击者能够设置 AP,他们也可以从空中捕获真实的握手信息。WPA3 应该更难一些。)

情况 2. 如果我们希望客户端在这两个 AP 之间无缝漫游,唯一的有线解决方案是使用某些制造商提供的标准来实现 MESH 网络,这意味着我们需要控制器,对于企业设备会有硬件控制器,对于消费设备,一个 AP 将充当控制器?

不,不是这个意思。客户端可以在共享相同 ESSID(和安全设置)的任何 AP 之间无缝漫游。

“网状网络”几乎总是指使用无线的上行链路,使用 802.11s 或类似标准。如果 AP 已经具有有线连接,则无需上述任何一项。

控制器可以使漫游过程更多的通过以太网让 AP 交换客户端密钥,从而实现无缝连接,但这都是可选的。

是否有具有有线/无线主干网故障转移功能的 MESH AP,即如果您剪断电缆,站点是否仍将通过无线方式连接?

我见过这样的产品(但就我个人而言,在我看来,这是一个缺陷——它只是延迟了修复,因为“呃,它无论如何都能工作”)。有些 AP 在失去连接时会停止通告 SSID,从而迫使客户端漫游到另一个 AP。

相关内容