Vad är AP-isolering?

Flygfoto över stadens nätverk av Beijings skyline

Bildkredit: Wenjie Dong/E+/GettyImages

I datornätverk är AP en förkortning för access point. En åtkomstpunkt, eller trådlös åtkomstpunkt, är en enhet som tillåter mobila enheter, såsom bärbara datorer och personliga digitala assistenter, att ansluta trådlöst till ett trådbundet datornätverk. AP-isolering är en teknik för att förhindra mobila enheter som är anslutna till en AP från att kommunicera direkt med varandra.

Skadlig nätverkstrafik

AP-isolering skapar effektivt ett "virtuellt" nätverk bland trådlösa enheter, ett där varje enhet är en separat enhet i sin egen rätt. AP-isolering tillåter nätverksadministratörer att separera potentiellt skadlig nätverkstrafik från en allmänt tillgänglig del av ett trådlöst nätverk från huvudkontrollnätverket. Genom att göra det förhindrar det att det huvudsakliga kontrollnätverket översvämmas av oönskad nätverkstrafik, som kan inkludera virus, maskar och trojanska hästar.

Dagens video

AP-isoleringsapplikationer

En typisk tillämpning av AP-isolering är en trådlös hotspot, av den typ som finns på flygplatser, kaffebarer och järnvägsstationer. En trådlös hotspot tillåter vanligtvis många gästanvändare att ansluta till en AP och skapa ett enda stort trådlöst nätverk. Utan AP-isolering kan skrupelfria användare ansluta till andra nätverksenheter än själva AP: en i syfte att hacka eller översvämma hela nätverket med trafik, vilket gör det oanvändbart.

ARP-förgiftning

AP-isolering kan vara ett användbart vapen i kampen mot skadliga attacker på trådlösa nätverk, men vissa typer av attacker, känd som ARP-förgiftning eller ARP-spoofing-attacker, kanske kan kringgå AP sammanlagt. ARP står för Address Resolution Protocol och beskriver en metod för att hitta den fysiska Ethernet-adressen för en nätverksenhet från dess Internet Protocol-adress. En angripare kan överföra en dataenhet, känd som ett paket, med en förfalskad Ethernet-adress direkt till en nätverksenhet så att det verkar som om paketet kom från AP. För att skydda mot denna typ av attack måste nätverksadministratörer placera trådbundna Ethernet-enheter på en annan del av nätverket, eller subnätet, än trådlösa enheter.

Publicly Secure Packet Forwarding (PSPF)

Nästan alla leverantörer av nätverksutrustning implementerar AP-isolering i en eller annan form. En av världens ledande nätverksleverantörer, Cisco, implementerar AP-isolering i form av en teknik som kallas Publicly Secure Packet Forwarding. Men PSPF, i likhet med andra AP-isoleringstekniker, hindrar inte en angripare från att skicka en "förgiftad" ARP paketet till en annan klient, så det måste fortfarande användas i samband med subnät för att tillhandahålla ett effektivt försvar mekanism.