Materiál k přednášce na NDSS Symposium 2026)
--
Souhrn od ChatGPT 5.2:
Shrnutí: Demystifying and Breaking Client Isolation in Wi-Fi Networks
(AirSnitch, NDSS Symposium 2026, paper 2026-f1282)
Základní informace
- Autoři: Xin’an Zhou, Juefei Pu, Zhutian Liu, Zhiyun Qian, Zhaowei Tan, Srikanth V. Krishnamurthy, Mathy Vanhoef
- Konference: NDSS Symposium 2026
- Téma: Praktické prolomení Wi-Fi client isolation (izolace klientů)
1. Kontext a motivace
Co je client isolation?
Mechanismus na Wi-Fi AP, který:
- blokuje přímou komunikaci mezi klienty ve stejné síti,
- má omezit laterální pohyb a insider útoky,
- často používaný ve veřejných Wi-Fi, hotelích, konferencích, ale i enterprise sítích.
Problém
- Client isolation není standardizovaná součást IEEE 802.11.
- Implementace je vendor-specifická.
- Ochrana se typicky aplikuje jen na některé vrstvy (často pouze L2).
- Bezpečnostní záruky nejsou formálně definovány.
2. Klíčová zjištění výzkumu
Autoři dokazují, že izolaci lze systematicky obejít.
2.1 Zneužití skupinových klíčů (GTK)
- Každý klient zná Group Temporal Key (GTK) pro broadcast/multicast.
- Útočník může:
- injektovat pakety,
- zneužít broadcastové mechanismy,
- obejít část izolační logiky.
→ Izolace klientů implicitně spoléhá na model důvěry, který v praxi neplatí.
2.2 Gateway Bouncing (obcházení přes bránu)
Mnoho AP:
- blokuje klient-klient komunikaci na MAC vrstvě,
- ale neřeší korektně směrování mezi L2 a L3.
Útok:
- Útočník odešle rámec s:
- MAC adresou gatewaye jako cílovou
- IP adresou oběti jako cílovou
- AP rámec přepošle,
- Paket se dostane k oběti.
→ Izolace funguje jen částečně, protože je implementována nekonzistentně mezi vrstvami.
2.3 MAC Spoofing
- Útočník může podvrhnout MAC adresu jiného klienta.
- V určitých implementacích:
- získá přístup k downlink trafficu,
- může zachytávat nebo modifikovat komunikaci.
→ Vzniká praktický Man-in-the-Middle scénář i při zapnuté izolaci.
3. AirSnitch – realizované útoky
Autoři implementovali nástroj AirSnitch, který umožňuje:
3.1 Obousměrný MitM
- zachytávání komunikace,
- injektování paketů,
- manipulaci s provozem mezi klienty a sítí.
3.2 Funkčnost napříč typy sítí
Útoky fungují:
- na domácích routerech,
- na enterprise AP,
- v multi-SSID prostředích,
- na open-source i komerčních řešeních.
4. Dopady
Praktické důsledky
- Client isolation nelze považovat za silný bezpečnostní mechanismus.
- Útočník připojený do Wi-Fi může:
- obejít izolaci,
- odposlouchávat provoz,
- provádět MitM útoky,
- ovlivňovat i zařízení za AP (backend LAN).
Rizikové scénáře
- veřejné Wi-Fi sítě,
- sdílené kancelářské sítě,
- sítě s nedostatečně segmentovanou architekturou.
5. Doporučené mitigace
Autoři navrhují:
5.1 Síťová segmentace (VLAN)
- oddělení klientů do samostatných broadcast domén,
- skutečná L2 separace.
5.2 Per-client izolace napříč vrstvami
- důsledná kontrola identity klienta,
- svázání MAC/IP identity,
- omezení možnosti spoofingu.
5.3 Změny implementace AP
- přísnější kontrola rámců,
- konzistentní enforcement mezi L2 a L3,
- úpravy firmware.
6. Hlavní závěr
Současné implementace Wi-Fi client isolation poskytují pouze částečnou ochranu a lze je prakticky obejít.
Izolace klientů:
- není kryptograficky silná ochrana,
- není konzistentně implementovaná,
- nelze ji považovat za plnohodnotnou náhradu síťové segmentace.
7. Bezpečnostní implikace pro praxi
Pokud spravujete Wi-Fi:
- Nepovažujte client isolation za dostatečnou ochranu.
- Používejte VLAN segmentaci.
- Minimalizujte sdílené L2 domény.
- Auditujte firmware AP.
- Implementujte monitoring ARP/MAC spoofingu.
Stručné shrnutí jednou větou
AirSnitch ukazuje, že Wi-Fi client isolation je ve většině reálných implementací obejitelná a nechrání spolehlivě proti MitM útokům mezi klienty stejné sítě.
