Постоянно возникают проблемы с отключением клиентов WiFi RDP, когда они неподвижны, и гораздо чаще в роуминге. Это очень похоже на взлом или отказ в обслуживании. PineApple предпринял попытки взлома Wi-Fi и сделал их простыми и дешевыми.
В отчете Ubiquiti UniFi «Rogue Access Point» утверждается, что существуют мошеннические точки доступа, использующие наш SSID. Это не просто известные и неизвестные соседние точки доступа, но и точки доступа, использующие наши имена SSID WiFi. Программное обеспечение UniFi не предоставляет список всех законных MAC-адресов, связанных со всеми используемыми SSID. Каждая точка доступа имеет несколько разных MAC-адресов - физические порты Ethernet плюс один MAC для каждого SSID, размещенного на точке доступа. Тот же SSID на другой AP будет иметь другой MAC. Суть в том, что простая установка Wi-Fi может легко иметь 100 различных электронных серийных номеров, и UniFi не обеспечивает просмотр всех из них.
В нашем случае есть несколько причин, по которым я не верю, что на самом деле существует попытка взлома с использованием скрытого вредоносного PineApple или скомпрометированного TabletPC с вредоносным кодом WiFi:
Тот же SSID на другой AP будет иметь другой MAC. Суть в том, что простая установка Wi-Fi может легко иметь 100 различных электронных серийных номеров, и UniFi не обеспечивает просмотр всех из них.
В нашем случае есть несколько причин, по которым я не верю, что на самом деле существует попытка взлома с использованием скрытого вредоносного PineApple или скомпрометированного TabletPC с вредоносным кодом WiFi:
Тот же SSID на другой AP будет иметь другой MAC. Суть в том, что простая установка Wi-Fi может легко иметь 100 различных электронных серийных номеров, и UniFi не обеспечивает просмотр всех из них.
В нашем случае есть несколько причин, по которым я не верю, что на самом деле существует попытка взлома с использованием скрытого вредоносного PineApple или скомпрометированного TabletPC с вредоносным кодом WiFi:
1. Когда я выключаю все точки доступа, все беспроводные локальные сети / SSID исчезают. Да, PineApple определенно может быть достаточно умен, чтобы прекратить ретрансляцию, как только законные точки доступа исчезнут, но я сомневаюсь в этом. Я был бы более уверен, если бы UniFi предоставил список всех законных MAC-адресов.
2. Отключение происходит для наших планшетных ПК с сертификатами клиентов WiFi, которые подключаются только через сертификаты. Да, я слышал, что есть способ обойти это. Не уверен, что это влечет за собой, но думаю, что это потребует гораздо больше работы, чем взлом CA.
3. Ночью, когда в здании меньше людей, один и тот же сеанс RDP будет работать в роуминге или в стационарном режиме.
4. Существует так много других возможных причин для этих отключений TCP, но мы хотим сфокусировать этот вопрос на механизме, который UniFi использует для определения мошенника, и делает ли он что-либо в ответ на обнаружение мошенника.
Если UniFi обнаружил несанкционированные точки доступа, передавая через аппаратное vLan обратного канала только список допустимых MAC-адресов, а затем способ проверить каждый из широковещательных SSID для легитимности от другой точки доступа, то это могло иметь некоторую форму обнаружения PineApple. а затем защита (в некоторых случаях) путем отключения обнаруженной вредоносной точки доступа. Это объяснило бы, почему наши клиенты RDP теряют соединение.
Ubiquiti заявляет, что работает над улучшением обнаружения мошенников, но не упоминает о каких-либо действиях, когда они будут обнаружены. Кроме того, в интерфейсе управления нет возможности просмотреть все допустимые MAC-адреса, поэтому необходимо выполнить pssh в каждую AP и запустить сценарий для сбора всех адресов второго уровня.
Re: 5.3.3. обнаруживает ложный мошенник