恶意、邻居和蜜罐接入点 |Mist |瞻博网络

什么是非法接入点、邻居接入点和蜜罐接入点？

恶意、邻居和蜜罐接入点（AP）是在您的网络上或附近运行的未经授权的设备，其通常的目的是诱骗用户连接到“虚假”接入点，从而窃取数据或监控通信。

非法接入点 是指未经授权安装在您的有线网络上的任何无线接入点。通常，此接入点通过以太网电缆连接到 LAN。非法入侵者的意图可以是恶意的，例如非法访问网络，也可以是良性的，例如员工设置自己的 Wi-Fi 热点来覆盖感知到的死角。 非法客户端 是指已连接到非法接入点的用户。
邻居接入点未连接到您的网络，但瞻博网络 Mist 会检测到附近的接入点。由于附近的这些接入点通常具有很强的信号，因此客户端可能会连接到相邻的接入点，假设该接入点是您的且安全无虞。邻居接入点也可以成为设施中用户规避网络安全限制（如流媒体音乐播放或访问被阻止的站点）或避免为服务付费的一种方式。非恶意邻接方接入点是来自其他组织的 SSID。换句话说，属于一个组织的合法 SSID 也将被列为另一个组织的邻居。
蜜罐（也称为邪恶孪生）是未经授权的接入点，它们会通告您的 SSID，通常以捕获客户端登录凭据为目的。在这里，不法分子可能会复制或近似您的 Wi-Fi 热点，欺骗您组织的登录屏幕，然后在试图登录“您的”网络时收集毫无戒心的用户的用户名和密码。然后，坏人就可以使用凭据登录到您的实际网络，并造成他们想要的任何破坏。非恶意蜜罐是来自另一个组织的 SSID，它们正在广播同一 WLAN。

异常设备的检测

瞻博网络接入点包括一个专用的扫描无线信号，用于检测和潜在的恶意接入点及其客户端。专用扫描无线信号可在 2.4、5 和 6 GHz Wi-Fi 频段上工作。它们为接入点上的实时性能调整提供数据，以及瞻博网络 Mist 用于站点范围优化的流式遥测数据。

在瞻博网络 Mist 门户中， “站点 > 无线> 安全性 ”页面提供了已检测到的所有异常接入点的列表。您可以向下钻取任何项目以查找物理位置、以太网连接和连接到接入点的恶意客户端。单击 “客户端数量” 列中的非零条目，为与该设备关联的客户端打开“恶意客户端列表”弹出窗口。

图 1：安全性页面

“安全性”页面上的“威胁”选项卡显示恶意和蜜罐接入点的列表。您可以通过单击列表上方的相应选项卡查看邻居接入点、已批准接入点和客户端的列表。

注意：

要查看此页面上的此信息，您必须为站点或整个组织配置蜜罐和恶意 AP 警报。

图 2：警报页面

配置接入点威胁防御

在站点设置中，您可以启用或禁用恶意、邻居和蜜罐接入点检测。您还可以调整设置，防止已知接入点被错误归类为威胁。

要配置接入点威胁防护：

从瞻博网络 Mist 门户的左侧菜单中，选择“组织”>“管理员”>“站点配置”。
单击要配置的站点。

在“ 安全性配置）下，根据需要调整设置。

Security Configuration Section of the Site Configuration Page

检测非法接入点和邻居接入点选择此选项可启用“无赖和邻居”检测。然后，可以通过转到监视 > 警报并选择所需的警报类型来配置警报。

您可以调整检测阈值：

表 1：检测阈值选项
选项	描述
邻接方 RSSI 阈值	此阈值基于接入点信号的强度。例如，如果默认阈值为 -80 dBm，瞻博网络 Mist 会忽略 RSSI 为 -80 或以上的接入点。支持范围为 -40 dBm 至 -100 dBm。
邻居时间阈值	此阈值基于接入点信号的持续时间。例如，如果您发现随着信号的起起落落，邻居接入点在“ 监控 > 警报” 页面中出现和消失，则可以设置更长的时间阈值。然后，只有信号持久的接入点才会被检测为潜在威胁。
检测蜜罐接入点	选择此选项可启用蜜罐 AP 检测（默认情况下选中该选项）。若要为检测到的蜜罐配置警报，请转到监视 > 警报并选择要接收的警报。
已批准的 SSID 和已批准的 BSSID	为防止不必要的检测到您附近的已知接入点，请输入其 SSID 或 BSSID，用逗号（无空格）分隔。可以在这些字段中使用通配符。如果要允许具有相似名称的多个 SSID，则此功能非常有用，因为当用户通过 Wi-Fi Direct 连接到打印机或电视时，可能会看到这一点。例如，如果您在“已批准的 SSID”列表中输入 direct* ，瞻博网络 Mist 会忽略 SSID，例如 DIRECT-roku-123-44AABB 和 DIRECT-printer9999。同样，已批准的 BSSID 字段支持部分匹配，例如 “cc-73-”*。
自动阻止客户端	- 选择此选项可防止来自具有多个授权失败的客户端的连接。“警报”页将包括“ 拒绝 802.11 身份验证 ”和“已阻止：重复授权失败”等警报。根据需要调整设置：设置阻止客户端与 WLAN 关联的秒数。例如，如果默认设置为 60 秒，则客户端将被禁止 60 秒。设置触发自动预防操作的身份验证失败次数。例如，默认设置为 4 时，客户端在失败四次后被禁止。

单击“站点配置”页面右上角的“保存”。

查找并移除恶意

您可以在瞻博网络 Mist™ 门户的“ 站点 > 无线 > 安全性 ”页面上发现并移除网络中的恶意客户端。

以下动画显示如何查找并移除非法接入点。基本上，当您单击终止按钮时，附近的瞻博网络接入点会向非法客户端发送取消身份验证帧，这些客户端通过与非法接入点的关联，由其 MAC 地址接入点识别。取消身份验证帧是通知，而不是请求，恶意客户端将被丢弃。

注意：

如果要阻止这些非法客户端重新加入网络，可以将其归类为已禁止，并且站点中的任何接入点都不会对其进行重新身份验证。相反，要允许某些已终止的客户端重新访问网络，您可以将其分类为 已批准，这样 AP 就不会拒绝身份验证尝试。有关帮助，请参阅分类、批准和禁止指定的无线客户端。

要查找并移除非法接入点，请执行以下操作：

从瞻博网络 Mist门户的左侧菜单中，选择站点>无线>安全性。
在页面顶部，使用下拉列表选择站点。

注意：
您还可以调整时间段（过去一小时或过去 24 小时）。
保留默认选项以显示威胁和列表视图。
在威胁表中，找到要从网络中移除的恶意接入点。
在“操作”列中，单击操作按钮，然后单击“终止欺诈”。

分类、批准和禁止指定无线客户端

要保护您的网络，请使用此功能根据接入点的 MAC 地址来允许或禁止接入点。

为了简化无线安全和控制，您可以识别要禁止或批准的无线客户端。

使用接入点固件版本 0.9.x 或更高版本时，可以禁止或批准客户端进入特定站点或整个组织。

分类限制：

固件版本 0.14.x 及更高版本 — 给定 SSID 的客户端分类最多可存储在本地的相关 AP 上（超过 512 个仅存储在云上。）
早期固件版本 - 客户端分类存储在 Mist 云上。接入点必须连接到云，才能引用和实施分类。

确定要批准或禁止的客户端的 MAC 地址。
提示：
首先，为要批准的客户端执行此过程。然后对要禁止的客户端重复该过程。

要在 Mist 门户中查找 MAC 地址，请使用以下方法之一：
- 转到客户端 > Wi-Fi 客户端，单击客户端的MAC 地址，然后复制它。
- 转到 Site > Wireless 安全性，找到恶意客户端，然后单击客户端计数编号。当出现“恶意客户端列表”时，复制 MAC 地址。
提示：
如果您需要对多个地址进行分类，请将它们粘贴到文本文件中。使用逗号或换行符分隔地址。将文件另存为 CSV 文件扩展名。
转到 Site > Wireless > 安全性，然后单击页面右上角的查看客户端分类按钮。
点击已批准标签页或禁止标签页。
- 禁止的客户端 — 您希望阻止连接到网络的客户端。这些客户端将无法加入，即使他们尝试使用有效的接入点也是如此。如果选择此选项，还要完成其他步骤以配置禁止。
  
  已批准的客户端 — 您希望允许其加入网络的客户端。如果合法客户端之前通过恶意接入点连接，并且在恶意被删除时失去访问权限，则此功能非常有用。当您批准合法客户端时，他们可以通过有效的接入点重新连接，从而重新加入网络。
输入 MAC 地址：
- 要单独输入地址，请在字段中粘贴或键入 MAC 地址，然后单击 +添加。如果需要，请重复此步骤。地址显示在弹出窗口底部的列表中。完成后，单击 “保存”。
- CSV 文件中的地址 - 单击上传文件，选择或拖放文件，然后单击上传。
如果输入了被禁止客户端的列表，还请完成以下步骤，以防止它们与您的 AP 关联。
1. 从左侧菜单中，选择站点>无线> WLAN。
2. 选择 WLAN。
3. 在“安全性”下，选择“防止被禁止的客户端关联”。
4. 单击“编辑 WLAN”窗口底部的“保存”。
注意：

应在 客户端阻止的更大背景下考虑禁止恶意客户端使用 SSID。请查阅适用的法规，例如美国联邦通信委员会禁止阻止 Wi-Fi 的规定。

本页内容

非法、邻居和蜜罐接入点