Bienvenido a la Comunidad UBNT

Cliente Invitado sin autorizacion usando ancho de banda

Buenos días,

gestiono una red inalámbrica de invitados con autorización por Voucher (sin pase de seguridad) y me tiene intrigado el caso de uno de los clientes conectados a la red (por medio de un móvil) que no está autorizado y su estado es "pending" pero ya lleva descargados más de 200MB y no sé el porqué. Podría ser algún programa que automáticamente no pare de enviar paquetes DNS  al portal pero ya dudo por la cantidad de datos descargados.

A ver si podéis ayudarme a resolverlo.

Gracias de antemano.

Un saludo!
unifi_guest_download

Comentarios

  • UBNT-RicardoUBNT-Ricardo 1190 Puntos
    editado febrero 8
    Depende de las políticas que tengas en tu hotspot, de restringir ciertas redes. O estando dentro del portal pueden accesar a cierto contenido.

    Puedes proporcionar capturas de pantalla? De Hotspot ?
  • ¿Qué dice el DPI? ¿Muestra tráfico proveniente de Internet? Recuerda que el portal cautivo en promedio pesa de 1Mb - 2 Mb, Si es de los que dejan páginas abiertas en el navegador puede que se le haya re-dirigido en todas las paginas y haya ocasionado ese tráfico; es una idea tonta pero de ser una vulnerabilidad tienes muchos problemas....  
  • UBNT-RicardoUBNT-Ricardo 1190 Puntos
    editado febrero 12
    Alguna novedad?
  • evialaeviala 10 Puntos
    editado febrero 14
    Al final bloqueé la MAC de ese cliente ya que vi a un chico debajo justo de la antena en cuestión con su móvil. El modelo del móvil del chico coincidía con el descrito por el controlador por lo que era demasiada coincidencia y acabe por tomar esa medida aún sabiendo que no es la mejor.
    Después de varias semanas con la red en funcionamiento no me ha vuelto a pasar con ningún otro cliente. Buscando una explicación, posteé en el foro americano de Ubiquiti este mismo problema y  la respuesta que más me sentido tiene es está:

    well ... DOWN and UP measures generated (and received) traffic for that device. It do *NOT* account only for 'authorized' traffic. Maybe the device is simply trying to access IPs/ports and the AP is sending the appropriate TCP resets, and so the traffic is (correctly) accounted.

     

    Are you *SURE* this device is having internet access ? You could watch your gateway/firewall for traffic generated from that IP. While on 'pending' state, and if your guest access rules do not allow anything unusual, your gateway/firewall should see no traffic at all for that IP.

     

    And please keep in mind that even on 'Pending' state, UniFi APs have some hardcoded rules that *DO* allow at least UDP/53 traffic. So if you're seeing UDP/53 traffic on your gateway/firewall, that should be OK, UAPs have hardcoded rule to allow that in any situation.

    Aun así no me convence al 100%. El cliente descargó casi 500 Mb en 2-3 horas sin estar autorizado..son muchos paquetes UDP.
    @UBNT-Ricardo Depende de las políticas que tengas en tu hotspot, de restringir ciertas redes. O estando dentro del portal pueden accesar a cierto contenido.
    Tengo 3 VLAN's configuradas: la de los AP's (192.168.100.0/26), la de los Switches  y USG(192.168.1.0/28) y la de los Invitados (172.16.10.0/23). La única IP con acceso "Pre-autorizado" es la IP del portal (Pre-authorization Access). El acceso a cualquiera de  las 3 VLAN's esta restringida después de la autorización por voucher (Post-authorization Restrictions).
    Si quieres alguna determinada captura de la configuración del controlador no dudes en pedírmela.
     @leonardorlozano  ¿Qué dice el DPI? ¿Muestra tráfico proveniente de Internet? Recuerda que el portal cautivo en promedio pesa de 1Mb - 2 Mb, Si es de los que dejan páginas abiertas en el navegador puede que se le haya re-dirigido en todas las paginas y haya ocasionado ese tráfico; es una idea tonta pero de ser una vulnerabilidad tienes muchos problemas....  
    Descarto tu opción (que no estaba mal tirada) y te digo el porqué: en una actividad de unas 2-3 horas, el aumento de los datos descargados era de unos 10-20Mb por cada 2-3 segundos. Estos datos supondrían estar descargando el portal continuamente durante las 2-3 horas en las cuales se mantuvo la actividad. El DPI sí me mostraba tráfico de internet pero habían más clientes autorizados conectados. 
    Si deseas más información no dudes en pedírmela.

    Gracias por vuestro interés! 
    Un saludo!



  • Desbloqueale la MAC para que vuelva y cuando vuelva le preguntas que está haciendo. Así saldremos de dudas que método está utilizando. Fijate en los detalles; porque si el tipo tiene conocimientos en seguridad ya habrá cambiado su MAC y ahora puede estar generando mucho menos tráfico para no ser detectado. El problema del bloqueo por MAC es que la MAC se puede cambiar; hace mucho tiempo en el Portal Cautivo de UniFi yo tenia hablitada la opcion de pagos y si tu habilitas la opcion de pagos; te permite crear un boton de 'Paquete gratis' con lo que básicamente una persona pueda acceder a una prueba gratuita de internet, bien. El truco es que una vez finalizado el periodo de prueba; el Controller Bloquea la MAC hasta que se cumpla el periodo que hayas establecido para que pueda volver a conectarse; entonces el cliente en cuestion solo necesitaba cambiar su MAC para poder volver a conectarse, porque el controlador lo toma como un cliente nuevo. Y me di cuenta solo porque el tipo no era muy inteligente que digamos; se volvia a logear cada vez que se le terminaba; cada hora. Y pues no cambiaba su hostname, seguia siendo el mismo siempre: android-xxxxx 
Accede o Regístrate para comentar.