不正なクライアントはWi-Fiアクセスポイントをバイパスできますか?
1つのクライアントにマルウェアが含まれ、他の脆弱なクライアントが存在するWPA2/Personalで保護されたWi-Fiネットワークに属している(つまり、マルウェアの一部が知っているパスワードを介して)と仮定しましょう。
Wi-Fiアクセスポイントでフィルタリングやその他のセキュリティ対策を有効にして、不正なデバイスからの悪意のあるトラフィックをブロックすることができます。
それでも、不正なデバイスは理論上、スニッフィングを使用して、ネットワーク内の他のクライアントがAPと共有している一意のキー(PTK)を把握できることを理解しています。
そのキーを使用して、APを完全にバイパスして、不正なデバイスが他のデバイスを攻撃(たとえば、脆弱性のプローブ)を試みることができますか?そのシナリオはどのように見えますか?
まだコメントはできませんが、実際には、アクティブ化するフィルタリング/セキュリティ対策と、いつ実行するかに依存します。
WiFiキーを取得することで、感染したユーザーは非常に簡単です。 ARPブロードキャストで他のすべての端末を検出し、それらのアクティビティを監視し、おそらくいくつかの脆弱性を検出して、ルーターの開いているポートをスキャンします。
最も実行可能な解決策は、WiFiまたはルーター上の不正なデバイスのMACアドレスを単にブロックすることですが、他のデバイスを検出し、おそらくポートを開いている場合でも、ローカルネットワークの外部からアクセスできます。
質問を理解するのは少し難しいですが、そのシナリオを考えると、有能なハッカー/マルウェアは、そのネットワーク内の別のクライアントを攻撃するために必要なことを何でも実行できます。
APのパスフレーズを知っているとすると、4ウェイハンドシェイクを取得することで、WPA2を完全に取り除き(前述のようにPTKを認識)、暗号化されていないトラフィックをすべて公開できます。
マルウェアが実行できるもう1つのことは、ARPポイズニング/フラッディングであり、したがってMITMになり、すべてのトラフィックが感染したクライアントを通過するようになります。
AP側では、ホワイトリストとブラックリストはどちらも無意味です。単純なスプーフィングでうまくいきます。私が考えることができる唯一のものは、クライアント分離のいくつかの[〜#〜] implementations [〜#〜]です。これは、覚えているように、それぞれに対してVLANを作成しますこれは明らかに製造元とその方法に依存します[〜#〜] implemented [〜#〜]。