Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

无线 IDS

监控事件并解决恶意接入点 (AP)、非法客户端和恶意邻居 AP 的问题。

入侵检测系统 (IDS) 是监视网络中发生的事件并分析这些事件以寻找安全策略可能发生事件、违规或迫在眉睫的威胁的迹象的过程。在此仪表板中,你将看到存在以下类型的异常设备,这些设备可能会在无线环境中造成安全威胁:

  • 非法接入点 是指未经授权安装在您网络上的任何无线接入点。通常,这是通过以太网电缆连接到 LAN 的 AP,就像 PC 一样连接到接入端口。流氓的意图可以是恶意的,例如非法访问网络,也可以是良性的,例如员工设置自己的 Wi-Fi 热点来覆盖感知到的盲点。
  • 非法客户端 是连接到非法 AP 的用户。
  • 恶意 邻居接入 点没有连接到您的网络,但它们潜伏在附近,可能信号最强,并且没有授权要求。因此,客户端可能会连接到邻居 AP,假设它是你的,因此它是安全的。

功能与优势

  • 提供有关异常设备(如恶意或未经授权的邻居接入点或客户端)存在的报告。

  • 提供恶意和 IDS 事件的实时和历史视图,有助于制定网络安全策略。

准备工作

Access Wireless IDS 仪表板

要访问 AP Insights 仪表板,请执行以下作:

  1. 在Juniper Mist门户中,单击“分析”>“高级分析
  2. 在“高级分析”页面中,单击“无线 IDS”。
    图 1:接入点洞察 AP Insights
    此时将显示 无线 IDS 页面。
  3. 使用屏幕顶部的筛选器选项查看特定信息。

    • 单击 “报告期间” ,然后选择其中一个定义的报告期间。或者,从日历中选择天数范围以自定义报告期间。默认情况下,仪表板显示过去 7 天的数据。

    • 站点名称SSIDBSSID、平均 RSSIRSSI 范围楼层名称进行筛选。

    • 在页面右上角的仪表板作中,选择“ 重置筛选器 ”以重置筛选器。

无线 IDS 磁贴

按地理位置划分的威胁

“按地理位置划分的威胁”磁贴显示所选持续时间内接入点的流量使用量。

图 2:按地理位置 Threats by Geo划分的威胁

您可以在地图中查看已识别出具有威胁的站点。将鼠标悬停在地图上可查看站点位置、设备类型(邻居、恶意或恶意客户端)和设备计数。双击地图进行放大 - 您将看到地图的详细视图。单击地图的高亮区域以打开一个新窗口。该窗口显示设备详细信息列表。单击 “下载 ”以下载信息。

按类型和趋势划分的威胁

该磁贴显示所选持续时间内异常或威胁设备类型的分布以及连接趋势。

图 3:按类型和趋势 Threats by Type and Trend划分的威胁

您可以查看以下详细信息:

  • 按类型划分的威胁 — 查看每种异常或威胁接入点类型的百分比。您可以使用图表旁边的图例查看设备类型的百分比。要隐藏威胁类型的数据并仅查看其余威胁类型的数据,请单击下方图例中的威胁类型。
  • 威胁趋势 - 查看一段时间内所有威胁设备类型的存在。将光标放在折线图(表示威胁类型设备)上,以查看属于该类别的唯一设备的确切数量。要从图表中隐藏有关威胁类型的数据并仅查看其余威胁类型的数据,请单击下面图例中的威胁类型。

将鼠标悬停在图表上可查看给定时间内异常或威胁设备的数量。

非法接入点

该磁贴显示所选持续时间内存在的恶意接入点的详细信息。

图 4:非法接入点 Rogue APs

可以在磁贴上查看以下详细信息:

  • SSID — 恶意 AP 连接到的 SSID。
  • AP 名称 — AP 的名称。
  • BSSID —基本服务集标识 (BSSID)
  • Type—接入点的类型;流氓接入点或流氓客户端。
  • 通道 — 恶意 AP 连接到的通道号。
  • RSSI — 非法 AP 的接收信号强度指示器 (RSSI)。
  • 报表时间 - 报表的时间戳。
  • 首次观察 — 首次检测到非法 AP 的时间。
  • 上次观测时间 — 上次看到非法 AP 的时间。
  • 站点名称 — 连接恶意 AP 的站点的名称。

邻接接点

该磁贴显示所选持续时间内存在的相邻接入点的详细信息。

图 5:邻居接入点 Neighbor APs

可以在磁贴上查看以下详细信息:

  • SSID — 邻接 AP 连接到的 SSID。
  • AP 名称 — AP 的名称。
  • BSSID — 接入点的基本服务集标识 (BSSID)。
  • 通道 — 邻接 AP 连接到的通道号。
  • 平均 RSSI — 非法 AP 的平均接收信号强度指示器 (RSSI)。
  • Seen By — 在您网络附近看到该 AP 的次数。
  • 首次观察 — 首次检测到邻居 AP 的时间。
  • 上次观测 — 上次看到邻居 AP 的时间。
  • 站点名称 — 连接邻居 AP 的站点的名称。

批准的接入点

该磁贴显示所选持续时间内存在的已批准接入点的详细信息。

图 6:批准的接入点 Approved APs

您可以查看连接到已批准接入点的客户端数量以及接入点所在的站点。单击图表可打开一个新窗口,其中包含更多详细信息。您可以在此处查看客户端设备名称、WLAN SSID 和 AP 名称等详细信息。

安全警报和趋势

磁贴显示安全警报的分布和事件的警报趋势。

图 7:安全告警和安全告警趋势 Security Alarms and Security Alarms Trend

您可以查看以下详细信息:

  • 安全告警 — 查看威胁类型的告警通知百分比。您可以使用图表旁边的图例查看威胁类型的通知百分比。要隐藏威胁类型的数据并仅查看其余威胁类型的数据,请单击下方图例中的威胁类型。
  • 威胁趋势 - 查看一段时间内的警报通知趋势。将光标放在表示威胁类型告警的折线图上,以查看为该类别生成的确切告警数。要从图表中隐藏有关威胁类型通知的数据并仅查看其余通知的数据,请单击下方图例中的威胁类型。

安全警报详细信息

磁贴显示所选时间段内的警报通知详细信息。

图 8:安全警报详细信息 Security Alarms Details

可以在磁贴上查看以下详细信息:

  • 告警时间戳 — 生成报告的本地时间。
  • 类型 - 为其生成警报通知的威胁类型。
  • SSID — 威胁设备连接到的 SSID。
  • AP — 接入点的名称。
  • 组名称 - 警报类型。
  • 严重性 - 事件严重性类型(严重、信息性、警告)
  • BSSID — 接入点的基本服务集标识 (BSSID)。
  • 站点名称 — 连接邻居 AP 的站点的名称。

另见