恶意接入点、邻居接入点和蜜罐接入点
总结 了解您站点上或附近的未经授权的接入点构成的威胁。了解如何查看检测到的接入点列表,并采取措施应对这些威胁。
什么是恶意接入点、邻居接入点和蜜罐接入点?
恶意接入点、邻居接入点和蜜罐接入点 (AP) 是在网络上或附近运行的未经授权的设备,通常目的是欺骗用户连接到“虚假”接入点,以便窃取数据或监控通信。
-
恶意接入点 是指未经授权安装在有线网络上的任何无线接入点。通常,此 AP 通过以太网电缆连接到 LAN。流氓的意图可以是恶意的,例如非法访问网络,也可以是良性的,例如员工设置自己的 Wi-Fi 热点以覆盖感知到的死点。 恶意客户端 是已连接到恶意 AP 的用户。
-
邻居接入点未连接到您的网络,但瞻博网络 Mist 会在附近检测到它们。由于这些附近的 AP 通常具有较强的信号,因此客户端可能会连接到邻居 AP,假设它是您的并且是安全的。邻居接入点也可以成为您设施中的用户绕过网络安全限制的一种方式,例如流式传输音乐或访问被阻止的站点,或避免为服务付费。非恶意邻居接入点是来自其他组织的 SSID。换句话说,属于一个组织的合法 SSID 也将列为另一个组织的邻居。
-
蜜罐(也称为邪恶双胞胎)是未经授权的 AP,它们通告您的 SSID,通常目的是捕获客户端登录凭据。在这里,不良行为者可能会复制或接近您的 Wi-Fi 热点,欺骗您组织的登录屏幕,然后在毫无戒心的用户尝试登录“您的”网络时收集他们的用户名和密码。然后,不良行为者可以使用凭据登录到您的实际网络并造成他们想到的任何破坏。非恶意蜜罐是来自广播相同 WLAN 的其他组织的 SSID。
异常设备检测
瞻博网络接入点包括专用扫描无线电,用于检测和潜在恶意接入点及其客户端。专用扫描无线电可在 2.4、5 和 6 GHz Wi-Fi 频段上运行。它们提供用于接入点实时性能调整的数据,以及瞻博网络 Mist 用于站点范围优化的流遥测。
在瞻博网络 Mist 门户的“ 站点 > 无线> 安全性 ”页面提供了已检测到的所有异常接入点的列表。您可以向下钻取任何项目以查找连接到 AP 的物理位置、以太网连接和恶意客户端。 单击 “客户端数” 列中的非零条目,为与该设备关联的客户端打开“无管理系统客户端列表”弹出窗口。
“警报”页面还显示针对恶意接入点、邻居和蜜罐接入点的告警。
若要在此页上查看此信息,必须为站点或整个组织配置蜜罐和恶意 AP 警报。
配置 AP 威胁防护
在站点设置中,您可以启用或禁用恶意、邻居和蜜罐 AP 检测。您还可以调整设置以防止已知 AP 被错误分类为威胁。
要配置 AP 威胁防护:
查找和删除恶意程序
您可以在瞻博网络 Mist™ 门户的“ 站点 > 无线 > 安全 ”页面上发现并移除网络中的恶意客户端。
以下动画演示如何查找恶意 AP 并将其删除。基本上,当您单击 终止 按钮时,附近的瞻博网络接入点会向恶意客户端发送取消身份验证帧,这些帧通过与恶意接入点的关联,由其 MAC 地址识别。取消身份验证帧是通知,而不是请求,恶意客户端将被丢弃。
如果要防止这些流氓客户端重新加入网络,可以将它们归类为已禁止,并且站点中的任何AP都不会对其进行重新身份验证。相反,要允许某些已终止的客户端重新接入网络,您可以将它们分类为 已批准,并且 AP 不会拒绝身份验证尝试。有关帮助,请参阅 分类、批准和禁止指定的无线客户端。
要查找并移除恶意接入点,请执行以下操作:
对指定的无线客户端进行分类、批准和禁止
总结 要保护您的网络,请使用此功能根据接入点的 MAC 地址允许或禁止接入点。
为了简化无线安全和控制,您可以确定要禁止或批准的无线客户端。
使用 AP 固件版本 0.9.x 或更高版本,可以从特定站点或整个组织禁止或批准客户端。
分类限制:
-
固件版本 0.14.x 及更高版本 — 给定 SSID 的最多 512 个客户端分类可以存储在本地的相关 AP 上(超过 512 个仅存储在云中。
-
早期固件版本 — 客户端分类存储在 Mist 云上。接入点必须连接到云才能引用和强制实施分类。