Обнаружена фальшивая точка доступа

[3Dimension]

Добрый день.
Используем 130 точек доступа , контроллер развернут на виртуальной машине, версия контроллера 6.5.55.
В событиях на контроллере: Обнаружена фальшивая точка доступа . Таких 4 устройства, но на коммутаторах, с которых подключены точки доступа и контроллер, этих МАСов соответственно нет.
На коммутаторах периодически срабатывает loopback-detection и MAC_FLAPPING. Коммутаторы Eltex, stp отключен. Возможно эти проблемы не связаны. Хотел уточнить:

1. Настройка Firewall на контроллере может решить проблему с фальшивыми точками доступа?
2. Можно ли настроить защиту от петель на контроллере или на точках доступа?

 

[fAntom]

1. В разделе "соседи смотрели"? Своих wifi точек доступа, не unifi/не подключенных к контроллеру, с таким же SSID или каналом нет? Обычно, это не настоящие "злоумышленные" точки доступа.
2. Если в прошивке точек или алгоритм (и в контроллере) не предусмотрен, то нет, таких настроек в unifi нет. Для определения и устранения используйте логи и сторонние инструменты.

 

[3Dimension]

1. В разделе "соседи смотрели"? - не понял. Вот МАС адреса этих точек: 7e:45:58:11:ab:9f, 78:45:58:11:ab:9f, 82:45:58:12:ab:9f, 86:45:58:12:ab:9f, обнаружить их физическое расположение не возможно, территория комплекса огромная. Поэтому и подумал что можно со стороны контроллера настроить защиту.
2. Все точки доступа одинаковые, UAP-AC-Pro (6.5.28.14491), в логах пока не нашел закономерности, так как МАС адреса постоянно меняются. Во всех трех вланах: 10 - для управления, 11 и 12 для wifi. МАСи тоже сложно отследить, так как пользователей много. Такое ощущение, что часть МАСов вовсе сгенерирована. По логам вижу только петлю по радио. (во вложении)

 

[3Dimension]

вот например реальный МАС 1c:bf:c0:95:71:ad, подключен с точки доступа на 14 порту, в итоге этот МАС прилетает и с других точек доступа

 

[fAntom]

2. Если не используется "wireless uplink", выключите в контроллере "uplink connectivity monitor". Если пропадает проводная связь, при включении этой опции, точки пытаются подключиться к соседним по wifi. При появлении проводной, начинаются коллизии.

 

[fAntom]

1. Посмотрите эти темы: http://www.ubnt.su/forum/threads/rogue-access-point-was-detected.5159/

Rogue Access Point detected | Ubiquiti Community

This seems a bit weird. I found this message in the Alerts section of my UniFi Controller: Rogue Access Point xxxxxx [82:2a:a8:55:68:3e] was detected

community.ui.com

https://community.ui.com/questions/UniFi-Alarm-Rogue-AP-Detected/f5820da8-5024-4c51-a745-ee770e090510

Unifi Rogue AP

Solution: If they are same site they should not be causing rogue AP alerts. Did you compare the MAC address info reported and verify they are really your AP's

community.spiceworks.com

"соседи смотрели"

В "Insights" загляните.

 

[3Dimension]

2. Отключил "Enable wireless uplink", действительно глобальные MAC_FLAPPING пропали. Спасибо.
Но по логам вижу периодически возникает единичный MAC_FLAPPING, но уже в клиентском влане 12. Возможно ли что устройство с МАС адресом 36:95:dd:68:cd:70 подключилось одновременно к разным точкам доступа, и тем самым создает петлю?

 

[3Dimension]

1. В Insights > Neighboring Access Points нашел ROGUE точки которые имеют тот же SSID но физически не подключены к сети и не управляются контроллером. Сделал mark is as known сообщения "Обнаружена фальшивая точка доступа " пропали. Спасибо. Будем наблюдать за ситуацией дальше.

 

[fAntom]

Возможно ли что устройство с МАС адресом 36:95:dd:68:cd:70 подключилось одновременно к разным точкам доступа, и тем самым создает петлю?

Переключаться может, а вот одновременно и создать петлю вряд ли (разве на 2.4 ГГц к одному и на 5 ГГц к другому, но о таком не слышал).
Как вариант: заблокируйте MAC, а потом по жалобам вычислите устройство. Или из лога определите какие устройства задействованы (Это чей лог? Cisco?).

ROGUE точки которые имеют тот же SSID но физически не подключены к сети и не управляются контроллером.

Вообще стоит поинтересоваться, почему их SSID совпадает с Вашим.

 

[zhenyat]

1. В Insights > Neighboring Access Points нашел ROGUE точки которые имеют тот же SSID но физически не подключены к сети и не управляются контроллером. Сделал mark is as known сообщения "Обнаружена фальшивая точка доступа" пропали. Спасибо. Будем наблюдать за ситуацией дальше.

Возможно это означает что кто-то настроил либо свою точку доступа либо смартфон на ваш SSID для перехвата клиентских соединений

 

[3Dimension]

логи с коммутатор Eltex, МАС адрес пользователя, на контроллере заметил что он подключается то к одной, то к другой точке доступа , временно заблокировал порт на коммутаторе в сторону одной из этих точек доступа , пока сообщений о MAC_FLAPPING не наблюдаю

 

[3Dimension]

Согласен, МАСи подозрительные, только один определяется как Ubiquiti
82:45:58:12:ab:9f
7e:45:58:12:ab:9f
78:45:58:11:ab:9f
7e:45:58:11:ab:9f
Лучше их снова удалить из Insights? Я правильно понимаю, что если к ним будут подключены устройства, то они будут без доступа в интернет? Как бы их вычислить...

 

[3Dimension]

во вложении

 

[zhenyat]

Если бы я была сотрудником безопасности, то по данные вашей таблички я бы наложила на карту предприятия, с размещёнными на ней точками доступа и триангуляцией попробовала бы вычислить где ходит "злоумышленник" ))