[GTER] Problemas de Autenticação MAC Ubiquiti x Freeradius

Ulisses_Trolez ulissestrolez at outcenter.com.br
Tue Aug 23 10:53:18 -03 2016 

Bom dia , Pessoal !

Gostaria de compartilhar algo muito interessante  que nosso CGR 
descobriu e comprovou que existe um mau funcionamento nas versões 5.6.5, 
5.6.8 e 5.6.9 da Ubiquiti quando é utilizado o envio das autenticações 
para um Freeradius com verificação de MAC-ADDRESS.(versões que testamos)

Antes porém, gostaríamos de salientar que a quase 3 anos temos essa 
solução em produção em nosso backbone com milhares de assinantes no 
rádio em solução APxStation com o fabricante UBIQUITI.

O que fizemos?

Simulamos uma falha de comunicação entre o AP e o nosso servidor 
Freeradius, e quando o AP não tem essa comunicação o comportamento 
esperado é que ele não autentique nenhum cliente pois a verificação do 
AP está sendo enviado para o Freeradius, que no momento está fora. 
Depois de alguns instantes liberamos a comunicação entre o AP e o 
servidor Freeradius,entretanto, para nossa surpresa o AP ainda não 
permite que nenhum cliente registre nele.Habitamos logs para entender o 
que acontece com o radio, e a impressão que temos é que ele fica parado 
em sua interface wireless sem nenhuma interação.Ai, se realizarmos 
alguma modificação no rádio como por exemplo dar um site survey ou 
realizarmos alguma alteração de potencia de saída por exemplo, alguns 
instantes depois começa a autenticar os clientes normalmente.

Fizemos os mesmos testes na versão 5.5.10 e isso não ocorre, o rádio 
assim que identifica que possui comunicação com o servidor Freeradius 
começa a enviar as solicitações de autenticação normalmente e os 
clientes se conectam sem problema nenhum.

Enfim isso é muito preocupante e explica o numero crescente de OS nas 
ultimas semanas.

OBS: Como todos que utilizam equipamentos do vendor Ubiquiti, 
atualizamos de forma massiva nosso backbone nas ultimas semanas conforme 
recomendação do fabricante.Embora façamos uso de firewall nas gerencias 
das portas 20-23,80 e 443 dos mesmos.

Infelizmente esse comportamento inesperado está nos causando grandes 
transtornos.

:(

-- 
Att.
Ulisses Trolez
*www.outcenter.com.br*
35 8871 5042

More information about the gter mailing list