Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

恶意接入点、邻居接入点和蜜罐接入点

总结 了解您站点上或附近的未经授权的接入点构成的威胁。了解如何查看检测到的接入点列表,并采取措施应对这些威胁。

什么是恶意接入点、邻居接入点和蜜罐接入点?

恶意接入点、邻居接入点和蜜罐接入点 (AP) 是在网络上或附近运行的未经授权的设备,通常目的是欺骗用户连接到“虚假”接入点,以便窃取数据或监控通信。

  • 恶意接入点 是指未经授权安装在有线网络上的任何无线接入点。通常,此 AP 通过以太网电缆连接到 LAN。流氓的意图可以是恶意的,例如非法访问网络,也可以是良性的,例如员工设置自己的 Wi-Fi 热点以覆盖感知到的死点。 恶意客户端 是已连接到恶意 AP 的用户。

  • 邻居接入点未连接到您的网络,但瞻博网络 Mist 会在附近检测到它们。由于这些附近的 AP 通常具有较强的信号,因此客户端可能会连接到邻居 AP,假设它是您的并且是安全的。邻居接入点也可以成为您设施中的用户绕过网络安全限制的一种方式,例如流式传输音乐或访问被阻止的站点,或避免为服务付费。非恶意邻居接入点是来自其他组织的 SSID。换句话说,属于一个组织的合法 SSID 也将列为另一个组织的邻居。

  • 蜜罐(也称为邪恶双胞胎)是未经授权的 AP,它们通告您的 SSID,通常目的是捕获客户端登录凭据。在这里,不良行为者可能会复制或接近您的 Wi-Fi 热点,欺骗您组织的登录屏幕,然后在毫无戒心的用户尝试登录“您的”网络时收集他们的用户名和密码。然后,不良行为者可以使用凭据登录到您的实际网络并造成他们想到的任何破坏。非恶意蜜罐是来自广播相同 WLAN 的其他组织的 SSID。

异常设备检测

瞻博网络接入点包括专用扫描无线电,用于检测和潜在恶意接入点及其客户端。专用扫描无线电可在 2.4、5 和 6 GHz Wi-Fi 频段上运行。它们提供用于接入点实时性能调整的数据,以及瞻博网络 Mist 用于站点范围优化的流遥测。

在瞻博网络 Mist 门户的“ 站点 > 无线> 安全性 ”页面提供了已检测到的所有异常接入点的列表。您可以向下钻取任何项目以查找连接到 AP 的物理位置、以太网连接和恶意客户端。 单击 “客户端数” 列中的非零条目,为与该设备关联的客户端打开“无管理系统客户端列表”弹出窗口。

图1:安全页面 Security Page

“警报”页面还显示针对恶意接入点、邻居和蜜罐接入点的告警。

注意:

若要在此页上查看此信息,必须为站点或整个组织配置蜜罐和恶意 AP 警报。

图2:警报页面 Alerts Page Showing Detected Threats

配置 AP 威胁防护

在站点设置中,您可以启用或禁用恶意、邻居和蜜罐 AP 检测。您还可以调整设置以防止已知 AP 被错误分类为威胁。

要配置 AP 威胁防护:

  1. 从瞻博网络 Mist 门户的左侧菜单中,选择组织>管理员>站点配置
  2. 单击要配置的站点。
  3. “安全配置”下,根据需要调整设置。
    Security Configuration Section of the Site Configuration Page
    • 检测恶意接入点和邻居接入点选择此选项可启用无管理系统和邻居检测。然后,可以通过转到“监视>警报”并选择所需的警报类型来配置警报。

      您可以调整检测阈值:

      • 邻居 RSSI 阈值 — 此阈值基于 AP 信号的强度。例如,当默认阈值为 -80 dBm 时,瞻博网络 Mist 会忽略 RSSI 为 -80 或以上的接入点。支持的范围为 -40 dBm 到 -100 dBm。

      • 邻居时间阈值 — 此阈值基于 AP 信号的持续时间。例如,如果您注意到随着信号的起伏,邻居 AP 不断从“监控>警报”页面中出现和消失,则可以设置更长的时间阈值。这样,只有具有持久信号的接入点才会被检测为潜在威胁。

    • 检测蜜罐接入点 — 选择此选项可禁用蜜罐接入点检测。启用此功能后,可以通过转到 “监视 > 警报 ”并选择所需的警报类型来为检测到的蜜罐配置警报。

    • 批准的 SSID 和批准的 BSSID — 为防止不必要地检测到附近的已知 AP,请输入其 SSID 或 BSSID,用逗号分隔(无空格)。

      您可以在这些字段中使用通配符。如果要允许多个名称相似的 SSID,此功能非常有用,当用户通过 Wi-Fi Direct 连接到打印机或电视时,您可能会看到此功能。例如,如果在“批准的 SSID”列表中输入 direct*,瞻博网络 Mist 将忽略 DIRECT-roku-123-44AABBDIRECT-printer9999 等 SSID。同样,“已批准的 BSSID”字段支持部分匹配,例如“cc-73-*”。

    • 自动阻止客户端 - 选择此选项可防止来自多次授权失败的客户端的连接。“警报”页将包括“ 802.11 身份验证被拒绝 ”和 “已阻止:重复授权失败”等警报。

      根据需要调整设置:

      • 设置阻止客户端与 WLAN 关联的 数。例如,使用默认值 60 秒时,客户端将被禁止 60 秒。

      • 设置触发自动阻止操作的 身份验证失败 次数。例如,使用默认设置 4 时,客户端在失败四次后将被禁止。

  4. 单击“站点配置”页右上角的“保存”。

查找和删除恶意程序

您可以在瞻博网络 Mist™ 门户的“ 站点 > 无线 > 安全 ”页面上发现并移除网络中的恶意客户端。

以下动画演示如何查找恶意 AP 并将其删除。基本上,当您单击 终止 按钮时,附近的瞻博网络接入点会向恶意客户端发送取消身份验证帧,这些帧通过与恶意接入点的关联,由其 MAC 地址识别。取消身份验证帧是通知,而不是请求,恶意客户端将被丢弃。

注意:

如果要防止这些流氓客户端重新加入网络,可以将它们归类为已禁止,并且站点中的任何AP都不会对其进行重新身份验证。相反,要允许某些已终止的客户端重新接入网络,您可以将它们分类为 已批准,并且 AP 不会拒绝身份验证尝试。有关帮助,请参阅 分类、批准和禁止指定的无线客户端

要查找并移除恶意接入点,请执行以下操作:

  1. 从瞻博网络 Mist 门户的左侧菜单中,选择“站点>无线>安全”。
  2. 在页面顶部,使用下拉列表选择一个站点
    注意:

    您还可以调整时间段(过去一小时或过去 24 小时)。

  3. 保留默认选项以显示“威胁”和“列表”视图。
  4. 在威胁表中,找到要从网络中删除的恶意 AP。
  5. 在“操作”列中,单击操作按钮,然后单击“终止无管理系统”。
    Example: Threats Table and Action Button

对指定的无线客户端进行分类、批准和禁止

总结 要保护您的网络,请使用此功能根据接入点的 MAC 地址允许或禁止接入点。

为了简化无线安全和控制,您可以确定要禁止或批准的无线客户端。

使用 AP 固件版本 0.9.x 或更高版本,可以从特定站点或整个组织禁止或批准客户端。

分类限制:

  • 固件版本 0.14.x 及更高版本 — 给定 SSID 的最多 512 个客户端分类可以存储在本地的相关 AP 上(超过 512 个仅存储在云中。

  • 早期固件版本 — 客户端分类存储在 Mist 云上。接入点必须连接到云才能引用和强制实施分类。

  1. 确定要批准或禁止的客户端的 MAC 地址。
    提示:

    首先,为要批准的客户端执行此过程。然后对要禁止的客户端重复此过程。

    要在 Mist 门户中查找 MAC 地址,请使用以下方法 之一

    • 转到客户端> WiFi 客户端,单击客户端的 MAC 地址,然后复制它。

    • 转至“站点>无线安全”,找到恶意客户端,然后单击客户端计数。出现恶意客户端列表时,复制 MAC 地址。

    提示:

    如果需要对多个地址进行分类,请将它们粘贴到文本文件中。使用逗号或换行符分隔地址。将文件另存为 CSV 文件扩展名。

  2. 转到“站点>无线>安全性”,然后单击页面右上角的“查看客户端分类”按钮。
  3. 单击“已批准”选项卡或“禁止”选项卡。
    • 禁止的客户端 - 您要阻止其连接到网络的客户端。这些客户端将无法加入,即使它们尝试通过有效的 AP。如果选择此选项,还要完成其他步骤以配置禁止。

      批准的客户端 - 您希望允许进入网络的客户端。如果合法客户端之前通过恶意 AP 连接,但在删除恶意接入点后失去访问权限,则此功能非常有用。当您 批准 合法客户端后,他们可以通过有效的 AP 重新连接来重新加入网络。

  4. 输入 MAC 地址:
    • 要单独输入地址,请在字段中粘贴或键入 MAC 地址,然后单击 +添加。如果需要,请重复此步骤。地址显示在弹出窗口底部的列表中。完成后,单击 保存

      Client Classification Window - Input Field and Add Button

    • CSV 文件中的地址 - 单击 上传文件,选择或拖放文件,然后单击 上传

      Client Classification Window - Upload File Button

  5. 如果您输入了被禁止的客户端列表,还要完成以下步骤以防止它们与您的 AP 关联。
    1. 从左侧菜单中选择站点>无线> WLAN
    2. 选择 WLAN。
    3. 在“安全性”下,选择“阻止禁止的客户端关联”。
    4. 单击编辑 WLAN 窗口底部的保存
    谨慎:

    应该在 客户端阻止的大背景下考虑禁止恶意客户端使用 SSID,这至少在一种情况下导致了 FCC 对阻止程序采取的行动。被禁止的客户端将无法连接到瞻博网络 AP,也不会看到解释原因的消息或通知。