Постоянно возникают проблемы с отключением клиентов Wi-Fi RDP, когда они находятся в стационарном состоянии, и гораздо чаще в роуминге. Это очень похоже на взлом или отказ в обслуживании. PineApple предпринял попытки взлома Wi-Fi и сделал их простыми и дешевыми.
В отчете Ubiquiti UniFi «Rogue Access Point» утверждается, что существуют мошеннические точки доступа, использующие наш SSID. Это не просто известные и неизвестные соседние точки доступа, но и точки доступа, использующие наши имена SSID WiFi. Программное обеспечение UniFi не предоставляет список всех законных MAC-адресов, связанных со всеми используемыми SSID. Каждая точка доступа имеет несколько разных MAC-адресов - физические порты Ethernet плюс один MAC-адрес для каждого SSID, размещенного на AP. Тот же SSID на другой AP будет иметь другой MAC. Суть в том, что простая установка Wi-Fi может легко иметь 100 различных электронных серийных номеров, и UniFi не обеспечивает просмотр всех из них.
В нашем случае есть несколько причин, по которым я не верю, что на самом деле есть попытка взлома с использованием скрытого вредоносного PineApple или скомпрометированного TabletPC с вредоносным кодом WiFi:
1. Когда я выключаю все точки доступа, все беспроводные локальные сети / SSID исчезают. Да, PineApple определенно может быть достаточно умен, чтобы прекратить ретрансляцию, как только законные точки доступа исчезнут, но я сомневаюсь в этом. Я был бы более уверен, если бы UniFi предоставил список всех законных MAC-адресов.
2. Отключение происходит для наших планшетных ПК с сертификатами клиентов WiFi, которые подключаются только через сертификаты. Да, я слышал, что есть способ обойти это. Не уверен, что это влечет за собой, но мне кажется, что для этого потребуется гораздо больше работы, чем взлом ЦС.
3. Ночью, когда в здании меньше людей, один и тот же сеанс RDP будет работать в роуминге или на месте.
4. Существует так много других возможных причин для этих отключений TCP, но мы хотим сфокусировать этот вопрос на механизме, который UniFi использует для определения мошенника, и делает ли он что-либо в ответ на обнаружение мошенника.
Если UniFi обнаружил несанкционированные точки доступа, передавая через аппаратное vLan обратного канала только список допустимых MAC-адресов, а затем способ подтолкнуть каждый из широковещательных SSID к легитимности от другой точки доступа, тогда он мог бы иметь некоторую форму обнаружения PineApple и затем защиты (в некоторых случаях) путем отключения обнаруженной вредоносной точки доступа. Это объяснило бы, почему наши клиенты RDP теряют соединение.
Ubiquiti заявляет, что работает над улучшением обнаружения мошенников, но не упоминает о каких-либо действиях, когда они обнаруживаются. Кроме того, в интерфейсе управления нет возможности увидеть все допустимые MAC-адреса, поэтому необходимо выполнить pssh в каждую точку доступа и запустить сценарий для сбора всех адресов второго уровня.
Re: 5.3.3. обнаруживает ложных мошенников