Ubiquiti UniFi 有任何形式的 PineApple Defense 吗?

Ubiquiti UniFi 有任何形式的 PineApple Defense 吗?

一直存在 WiFi RDP 客户端在静止时断开连接的问题,在漫游时断开连接的频率更高。这种体验很像被黑客入侵或拒绝服务。PineApple 阻止了这些 WiFi 黑客攻击,让攻击变得简单且便宜。

Ubiquiti UniFi“恶意接入点”报告声称有恶意接入点使用我们的 SSID。这些不仅仅是已知和未知的邻近接入点,而且是使用我们相同 WiFi SSID 名称的 AP。UniFi 软件不提供与所有正在使用的 SSID 相关联的所有合法 MAC 地址列表。每个接入点都有几个不同的 MAC 地址 - 物理以太网端口加上 AP 上托管的每个 SSID 的一个 MAC。另一个 AP 上的相同 SSID 会有不同的 MAC。最重要的是,一个简单的 WiFi 安装可能很容易有 100 个不同的电子序列号,而 UniFi 不提供所有这些序列号的视图。

在我们的案例中,有多种原因让我不相信确实存在使用隐藏的恶意 PineApple 或受感染的带有恶意 WiFi 代码的 TabletPC 进行黑客攻击的企图:
1. 当我关闭所有 AP 时,所有 wLans/SSID 都会消失。是的,PineApple 当然足够聪明,可以在合法接入点消失后立即停止重新广播,但我对此表示怀疑。如果 UniFi 提供所有合法 MAC 地址的列表,我会更加相信。2
. 我们的 TabletPC 的 WiFi 客户端证书仅通过证书连接,因此会断开连接。是的,我听说也有办法解决这个问题。不确定这需要什么,但我认为这需要做更多的工作,例如入侵 CA。3
. 晚上当建筑物不太拥挤时,相同的 RDP 会话将在漫游或静止时保持开启。
4. 这些 TCP 断开连接还有许多其他可能的原因,但我要重点关注 UniFi 用于确定流氓网络的机制以及它是否会对检测到流氓网络做出任何响应。

如果 UniFi 通过反向通道硬件 vLan 仅传递合法 MAC 地址列表,然后从另一个 AP 中探查每个广播 SSID 的合法性,从而检测到恶意接入点,那么它可以进行某种形式的 PineApple 检测,然后通过断开检测到的恶意 AP 进行防御(在某些情况下)。这可以解释为什么我们的 RDP 客户端会失去连接。

答案1

Ubiquiti 表示正在改进恶意设备检测,但并未提及发现恶意设备时会采取什么措施。此外,管理界面无法查看所有合法 MAC 地址,因此必须通过 pssh 进入每个 AP 并运行脚本来收集所有第二层地址。
回复:5.3.3. 检测虚假流氓

相关内容