恶意接入点、邻居接入点和蜜罐接入点 |Mist |瞻博网络

什么是 Rogue、Neighbor 和 Honeypot 接入点？

非法接入点、邻居接入点和蜜罐接入点（AP）是在您的网络上或附近运行的未经授权的设备，其目的通常是欺骗用户连接到“假”接入点，以窃取数据或监控通信。

非法接入点 是指未经授权安装在有线网络上的任何无线接入点。通常，此 AP 通过以太网电缆连接到 LAN。流氓的意图可以是恶意的，例如非法访问网络，也可以是良性的，例如员工设置自己的 Wi-Fi 热点来覆盖感知到的盲点。 非法客户端 是指已连接到非法 AP 的用户。
邻居接入点未连接到您的网络，但Juniper Mist会在附近检测到它们。由于这些附近的接入点通常信号较强，客户端可能会连接到相邻接入点，假设该接入点属于您且是安全的。邻居接入点还可以成为您设施中的用户绕过网络安全限制（如流式传输音乐或访问被阻止的站点）或避免支付服务费用的一种方式。非恶意邻居接入点是来自其他组织的 SSID。换句话说，属于一个组织的合法 SSID 也将被列为另一个组织的邻居。
蜜罐，也称为 Evil Twins，是未经授权的接入点，用于通告您的 SSID，通常目的是捕获客户端登录凭据。在这里，不法分子可能会复制或近似您的 Wi-Fi 热点，欺骗您组织的登录屏幕，然后在毫无戒心的用户尝试登录“您的”网络时收集他们的用户名和密码。然后，不良行为者可以使用凭据登录到您的实际网络并造成他们想到的任何破坏。非恶意蜜罐是来自其他组织的 SSID，它们正在广播相同的 WLAN。

异常设备检测

瞻博网络接入点配备专用扫描无线电，可检测和潜在的恶意接入点及其客户端。专用扫描射频在 2.4、5 和 6 GHz Wi-Fi 频段上工作。它们为接入点上的实时性能调整提供数据，以及Juniper Mist用于整个站点优化的流遥测数据。

在Juniper Mist门户中，“ Site > Wireless> 安全 ”页面提供了已检测到的所有异常接入点的列表。您可以向下钻取任何项目以查找物理位置、以太网连接以及连接到 AP 的恶意客户端。单击 “客户端数量 ”列中的非零条目，为与该设备关联的客户端打开“非法客户端列表”弹出窗口。

图 1：安全页面

“警报”页面还会显示针对恶意用户、邻居和蜜罐接入点的警报。

注意：

要在此页面上查看此信息，必须为站点或整个组织配置蜜罐和非法 AP 警报。

图 2：警报页面

配置接入点威胁防御

在站点设置中，您可以启用或禁用对恶意接入点、邻居接入点和蜜罐接入点的检测。您还可以调整设置，防止已知接入点被错误分类为威胁。

要配置接入点威胁防护，请执行以下作：

从Juniper Mist门户的左侧菜单中，选择“组织”>“管理员>”站点配置“。
单击要配置的站点。
在“安全配置”下，根据需要调整设置。
- 检测恶意接入点和邻居接入点选择此选项可启用恶意和邻居检测。然后，可以通过转到 “监视 > 警报 ”并选择所需的警报类型来配置警报。
  
  您可以调整检测阈值：
  - 邻接方 RSSI 阈值 — 此阈值基于 AP 信号的强度。例如，当默认阈值为 -80 dBm 时，Juniper Mist 会忽略 RSSI 为 -80 或以上的 AP。支持的范围为 -40 dBm 至 -100 dBm。
  - 邻接方时间阈值 — 此阈值基于接入点信号的持续时间。例如，如果您注意到随着信号的起伏，邻居 AP 不断从“监控>警报”页面中出现和消失，则可以设置更长的时间阈值。然后，只有具有持久信号的接入点才会被检测为潜在威胁。
- 检测蜜罐接入点 — 选择此选项可启用蜜罐接入点检测（默认情况下选择该选项）。要为检测到的蜜罐配置警报，请转到监控 > 警报，然后选择要接收的警报。
- 已批准的 SSID 和已批准的 BSSID — 为防止不必要地检测到您附近的已知接入点，请输入其 SSID 或 BSSID，并用逗号（无空格）分隔。
  
  您可以在这些字段中使用通配符。如果您希望允许多个名称相似的 SSID（如用户通过 Wi-Fi Direct 连接到打印机或电视机时可能会看到的那样），此功能非常有用。例如，如果在“批准的 SSID”列表中输入 direct* ，Juniper Mist将忽略 SSID，例如 DIRECT-roku-123-44AABB 和 DIRECT-printer9999。同样，“已批准的 BSSID”字段也支持部分匹配，例如 “cc-73-*”。
- 自动阻止客户端 - 选择此选项可防止来自具有多个授权失败的客户端的连接。“警报”页面将包括“ 802.11 身份验证被拒绝 ”和“ 已阻止：重复授权失败”等警报。
  
  根据需要调整设置：
  - 设置阻止客户端与 WLAN 关联的秒数。例如，默认设置为 60 秒时，客户端将被禁止 60 秒。
  - 设置触发自动阻止作的身份验证失败次数。例如，默认设置为 4 时，客户端在失败四次后将被禁止。
单击“站点配置”页面右上角的“保存”。

查找和删除流氓

您可以在 Juniper Mist™ 门户的 Site > Wireless > Security 页面上发现和删除恶意客户端。

以下动画演示了如何查找非法 AP 并将其移除。基本上，当您单击 “终止 ”按钮时，附近的瞻博网络接入点会向非法客户端发送取消身份验证帧，这些客户端通过与非法 AP 的关联通过其 MAC 地址来识别这些帧。取消身份验证帧是通知，而不是请求，恶意客户端将被丢弃。

注意：

如果要防止这些恶意客户端重新加入网络，可以将其分类为已禁止，并且站点中的任何 AP 都不会重新对其进行身份验证。相反，为了允许某些已终止的客户端重新访问网络，您可以将其分类为 已批准，并且 AP 不会拒绝身份验证尝试。有关帮助，请参阅分类、批准和禁止指定的无线客户端。

要查找并移除非法接入点，请执行以下作：

从Juniper Mist门户的左侧菜单中，选择 Site > Wireless > Security。
在页面顶部，使用下拉列表选择站点。

注意：
您还可以调整时间段（过去一小时或过去 24 小时）。
保留默认选项以显示“威胁”和“列表”视图。
在威胁表中，找到要从网络中删除的非法接入点。
在“作”列中，单击“作”按钮，然后单击“终止恶意程序”。

对指定的无线客户端进行分类、批准和禁止

为了保护您的网络，请使用此功能根据接入点的 MAC 地址允许或禁止接入点。

为了简化无线安全和控制，您可以识别要禁止或批准的无线客户端。

使用 0.9.x 或更高版本的接入点固件，可以禁止或批准特定站点或整个组织的客户端。

分类限制：

固件版本 0.14.x 及更高版本 — 给定 SSID 最多可将 512 个客户端分类存储在相关 AP 本地（超过 512 个仅存储在云端。）
早期固件版本 — 客户端分类存储在Mist云上。AP 必须连接到云才能引用和实施分类。

确定要批准或禁止的客户端的 MAC 地址。
提示：
首先，对要批准的客户端执行此过程。然后对要禁止的客户端重复该过程。

要在Mist门户中查找 MAC 地址，请使用以下方法之一：
- 转到“ 客户端 ”> “WiFi 客户端”，单击客户端的MAC 地址，然后复制它。
- 转到 Site > Wireless Security，找到非法客户端，然后单击客户端计数编号。出现“非法客户端列表”时，复制 MAC 地址。
提示：
如果需要对多个地址进行分类，请将它们粘贴到文本文件中。使用逗号或换行符分隔地址。将文件另存为 CSV 文件扩展名。
转到 Site > Wireless > Security，然后单击页面右上角的查看客户端分类按钮。
单击“已批准”选项卡或“禁止”选项卡。
- 被禁止的客户端 - 您希望阻止连接到网络的客户端。即使这些客户端尝试通过有效的 AP，也无法加入。如果选择此选项，请同时完成其他步骤以配置禁止。
  
  已批准的客户端 - 要允许其加入网络的客户端。如果合法客户端之前通过非法 AP 连接，但在删除恶意 AP 后失去访问权限，则此功能很有用。当您批准合法客户端时，他们可以通过有效的 AP 重新连接，从而重新加入网络。
输入 MAC 地址：
- 要单独输入地址，请将 MAC 地址粘贴或键入到字段中，然后单击 +添加。如果需要，请重复此步骤。这些地址将显示在弹出窗口底部的列表中。完成后，单击 “保存”。
- CSV 文件中的地址 - 单击 “上传文件”，选择或拖放文件，然后单击 “上传”。
如果您输入了被禁止的客户端列表，请同时完成以下步骤以防止它们与您的 AP 关联。
1. 从左侧菜单中，选择站点>无线> WLAN。
2. 选择 WLAN。
3. 在“安全性”下，选择“阻止被禁止的客户端关联”。
4. 单击编辑 WLAN 窗口底部的保存。
谨慎：

禁止流氓客户端使用 SSID 应该在 客户端阻止的更大背景下加以考虑，至少在一种情况下，这导致了 FCC 对阻止程序的行动。被禁止的客户端将无法连接到瞻博网络接入点，也不会看到解释原因的消息或通知。