Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Rogue-, Neighbor- und Honeypot-Access Points

Verstehen Sie die Bedrohung, die von nicht autorisierten Zugangspunkten auf oder in der Nähe Ihres Standorts ausgeht. Erfahren Sie, wie Sie die Liste der erkannten APs anzeigen und Maßnahmen ergreifen, um diese Bedrohungen zu beseitigen.

Was sind Rogue-, Neighbor- und Honeypot-Access Points?

Rogue-, Neighbor- und Honeypot Access Points (APs) sind nicht autorisierte Geräte, die auf oder in der Nähe Ihres Netzwerks betrieben werden, oft mit dem Ziel, Benutzer dazu zu verleiten, eine Verbindung zum "falschen" Access Point herzustellen, um Daten zu stehlen oder die Kommunikation zu überwachen.

  • Nicht autorisierte APs sind alle drahtlosen APs, die ohne Autorisierung in Ihrem kabelgebundenen Netzwerk installiert werden. In der Regel ist dieser AP über ein Ethernet-Kabel mit dem LAN verbunden. Die Absichten von Rogues können böswillig sein, z. B. um sich unerlaubten Zugriff auf das Netzwerk zu verschaffen, oder gutartig, wie z. B. ein Mitarbeiter, der seinen eigenen WLAN-Hotspot einrichtet, um einen vermeintlichen Funklöcher abzudecken. Rogue-Clients sind Benutzer, die eine Verbindung mit dem nicht autorisierten AP hergestellt haben.

  • Benachbarte APs sind nicht mit Ihrem Netzwerk verbunden, werden aber Juniper Mist in der Nähe erkannt. Da diese APs in der Nähe in der Regel ein starkes Signal haben, können Clients eine Verbindung mit dem benachbarten AP herstellen, in der Annahme, dass dieser Ihnen gehört und sicher ist. Benachbarte APs können Nutzern in Ihrer Einrichtung auch die Möglichkeit bieten, Sicherheitsbeschränkungen in Ihrem Netzwerk zu umgehen, z. B. das Streamen von Musik oder den Zugriff auf blockierte Websites, oder die Bezahlung für Services zu vermeiden. Nicht bösartige Nachbar-APs sind SSIDs von einer anderen Organisation. Mit anderen Worten: Legitime SSIDs, die zu einer Organisation gehören, werden auch als Nachbarn einer anderen Organisation aufgeführt.

  • Honeypots, auch bekannt als Evil Twins, sind nicht autorisierte APs, die Ihre SSID ankündigen, in der Regel mit dem Ziel, Anmeldedaten von Clients zu erfassen. Hier kann ein böswilliger Akteur Ihren WLAN-Hotspot kopieren oder sich ihm annähern, den Anmeldebildschirm Ihres Unternehmens fälschen und dann den Benutzernamen und das Kennwort ahnungsloser Benutzer erfassen, wenn diese versuchen, sich bei "Ihrem" Netzwerk anzumelden. Der böswillige Akteur kann sich dann mit den Anmeldedaten bei Ihrem Netzwerk anmelden und das ihm vorliegende Chaos anrichten. Nicht bösartige Honeypots sind SSIDs von einer anderen Organisation, die dasselbe WLAN übertragen.

Erkennung anomaler Geräte

Juniper APs verfügen über ein spezielles Scanning-Radio zur Erkennung potenziell bösartiger APs und ihrer Clients. Die dedizierten Scanning-Funkgeräte arbeiten in den WLAN-Frequenzbändern 2,4, 5 und 6 GHz. Sie liefern Daten für Echtzeit-Leistungsanpassungen am AP sowie Streaming-Telemetrie, die Juniper Mist für standortweite Optimierungen verwendet.

Im Juniper Mist-Portal finden Sie auf der Seite "Site > Wireless> Security " eine Liste aller erkannten anomalen APs. Sie können einen Drilldown zu jedem Element durchführen, um den physischen Standort, die Ethernet-Verbindung und nicht autorisierte Clients zu finden, die mit dem AP verbunden sind. Klicken Sie auf Einträge ungleich Null in der Spalte Anzahl der Clients, um ein Popup-Fenster mit einer Liste nicht autorisierter Clients für Clients zu öffnen, die mit diesem Gerät verbunden sind.

Abbildung 1: Seite "Sicherheit" Security Page

Auf der Seite "Warnungen" werden auch Warnungen für Rogues-, Nachbar- und Honeypot-APs angezeigt.

Anmerkung:

Um diese Informationen auf dieser Seite anzuzeigen, müssen Sie Warnungen für Honeypot- und nicht autorisierte APs für den Standort oder die gesamte Organisation konfigurieren.
Abbildung 2: Seite Alerts Page Showing Detected Threats "Warnungen"

Konfigurieren des AP-Bedrohungsschutzes

In den Site-Einstellungen können Sie die Erkennung von nicht autorisierten, Nachbar- und Honeypot-APs aktivieren oder deaktivieren. Sie können die Einstellungen auch anpassen, um zu verhindern, dass bekannte APs fälschlicherweise als Bedrohungen klassifiziert werden.

So konfigurieren Sie den AP-Bedrohungsschutz:

  1. Wählen Sie im linken Menü des Juniper Mist Portals die Option Organisation > Administrator > Sitekonfiguration aus.
  2. Klicken Sie auf die Website, die Sie konfigurieren möchten.
  3. Passen Sie unter Sicherheitskonfiguration die Einstellungen nach Bedarf an.
    Security Configuration Section of the Site Configuration Page

    • Erkennung von nicht autorisierten und benachbarten APsWählen Sie diese Option aus, um die Erkennung von Schurken und Nachbarn zu aktivieren. Sie können dann Warnungen konfigurieren, indem Sie zu Überwachen >Warnungen gehen und die erforderlichen Warnungstypen auswählen.

      Sie können die Erkennungsschwellenwerte anpassen:

      • Nachbar-RSSI-Schwellenwert: Dieser Schwellenwert basiert auf der Stärke des AP-Signals. Bei einem Standardschwellenwert von -80 dBm ignoriert Juniper Mist beispielsweise APs mit einem RSSI-Wert von -80 oder höher. Der unterstützte Bereich liegt zwischen -40 dBm und -100 dBm.

      • Schwellenwert für Nachbarzeit: Dieser Schwellenwert basiert auf der Dauer des AP-Signals. Wenn Sie z. B. feststellen, dass benachbarte APs ständig auf der Seite "Überwachen > Warnungen " angezeigt werden und verschwinden, wenn das Signal zu- und abnimmt, können Sie einen längeren Zeitschwellenwert festlegen. Dann werden nur APs mit dauerhaften Signalen als potenzielle Bedrohungen erkannt.

    • Honeypot-APs erkennen: Wählen Sie diese Option aus, um die Erkennung von Honeypot-APs zu aktivieren (diese Option ist standardmäßig ausgewählt). Um Warnungen für erkannte Honeypots zu konfigurieren , wechseln Sie zu Überwachung > Warnungen , und wählen Sie die Warnungen aus, die Sie erhalten möchten.

    • Genehmigte SSIDs und genehmigte BSSIDs: Um zu verhindern, dass bekannte APs in Ihrer Nähe unnötig erkannt werden, geben Sie deren SSIDs oder BSSIDs durch ein Komma (kein Leerzeichen) getrennt ein.

      Sie können Platzhalter in diesen Feldern verwenden. Diese Funktion ist nützlich, wenn Sie mehrere SSIDs mit ähnlichen Namen zulassen möchten, wie Sie möglicherweise sehen, wenn Ihre Benutzer über Wi-Fi Direct eine Verbindung zu Druckern oder Fernsehern herstellen. Wenn Sie z. B. direct* in die Liste Genehmigte SSIDs eingeben, ignoriert Juniper Mist SSIDs wie DIRECT-roku-123-44AABB und DIRECT-printer9999. Ebenso unterstützt das Feld "Genehmigte BSSIDs" den partiellen Abgleich, z. B. "cc-73-*".

    • Clients automatisch verhindern: Wählen Sie diese Option aus, um Verbindungen von Clients mit mehreren Autorisierungsfehlern zu verhindern. Auf der Seite "Warnungen" werden Warnungen wie "802.11 Authentifizierung verweigert " und " Blockiert: Wiederholter Autorisierungsfehler" angezeigt.

      Passen Sie die Einstellungen nach Bedarf an:

      • Legen Sie die Anzahl der Sekunden fest, die der Client daran gehindert wird, sich mit dem WLAN zu verbinden. Mit der Standardeinstellung von 60 Sekunden wird ein Client beispielsweise für 60 Sekunden gesperrt.

      • Legen Sie die Anzahl der Authentifizierungsfehler fest, die die Aktion zum automatischen Verhindern auslösen. Mit der Standardeinstellung 4 wird ein Client beispielsweise nach viermaligem Ausfall gesperrt.

  4. Klicken Sie oben rechts auf der Seite "Site-Konfiguration" auf "Speichern".

Rogues finden und entfernen

Sie können nicht autorisierte Clients auf der Seite Sicherheit > drahtlosen > des Juniper Mist Ihres Netzwerks ™ erkennen und aus Ihrem Netzwerk entfernen.

Die folgende Animation zeigt, wie Sie nicht autorisierte APs finden und entfernen. Wenn Sie auf die Schaltfläche "Beenden " klicken, senden Juniper APs in der Nähe Deauthentifizierungs-Frames an die nicht autorisierten Clients, die durch ihre MAC-Adressen durch ihre Verknüpfung mit dem nicht autorisierten AP identifiziert werden. Der Deauthentifizierungsrahmen ist eine Benachrichtigung, keine Anforderung, und der nicht autorisierte Client wird gelöscht.

Anmerkung:

Wenn Sie verhindern möchten, dass diese nicht autorisierten Clients wieder dem Netzwerk beitreten, können Sie sie als gesperrt klassifizieren und sie werden von keinem AP am Standort erneut authentifiziert. Umgekehrt können Sie bestimmte beendete Clients als genehmigt klassifizieren, um sie wieder im Netzwerk zuzulassen, und die APs lehnen den Authentifizierungsversuch nicht ab. Weitere Informationen finden Sie unter Klassifizieren, Genehmigen und Sperren bestimmter drahtloser Clients.

So finden und entfernen Sie nicht autorisierte APs:

  1. Wählen Sie im linken Menü des Juniper Mist Portals die Option Site > Wireless > Security aus.
  2. Verwenden Sie oben auf der Seite die Dropdown-Liste, um einen Standort auszuwählen.
    Anmerkung:

    Sie können auch den Zeitraum anpassen (die letzte Stunde oder die letzten 24 Stunden).
  3. Behalten Sie die Standardoptionen bei, um die Ansicht "Bedrohungen" und "Liste" anzuzeigen.
  4. Suchen Sie in der Tabelle Bedrohungen den nicht autorisierten AP, den Sie aus dem Netzwerk entfernen möchten.
  5. Klicken Sie in der Spalte Aktion auf die Aktionsschaltfläche, und klicken Sie dann auf Rogue beenden.
    Example: Threats Table and Action Button

Klassifizieren, Genehmigen und Sperren bestimmter drahtloser Clients

Um Ihr Netzwerk zu schützen, verwenden Sie diese Funktion, um Access Points basierend auf ihren MAC-Adressen zuzulassen oder zu sperren.

Um die drahtlose Sicherheit und Steuerung zu simplifizieren, können Sie drahtlose Clients identifizieren, die Sie sperren oder genehmigen möchten.

Mit der AP-Firmware-Version 0.9.x oder höher können Clients von einem bestimmten Standort oder von der gesamten Organisation verbannt oder genehmigt werden.

Einschränkungen bei der Klassifizierung:

  • Firmware-Version 0.14.x und höher—Bis zu 512 Client-Klassifizierungen für eine bestimmte SSID können lokal auf den entsprechenden APs gespeichert werden (mehr als 512 werden nur in der Cloud gespeichert.)

  • Frühere Firmware-Versionen: Client-Klassifizierungen werden in der Mist-Cloud gespeichert. Der AP muss mit der Cloud verbunden sein, um die Klassifizierung referenzieren und durchsetzen zu können.

  1. Identifizieren Sie die MAC-Adressen der Clients, die Sie genehmigen oder sperren möchten.
    Trinkgeld:

    Führen Sie zunächst dieses Verfahren für Kunden durch, die Sie genehmigen möchten. Wiederholen Sie dann den Vorgang für Clients, die Sie sperren möchten.

    Verwenden Sie eine der folgenden Methoden, um MAC-Adressen im Mist-Portal zu finden:

    • Wechseln Sie zu Clients > WLAN-Clients, klicken Sie auf die MAC-Adresse des Clients, und kopieren Sie sie dann.

    • Wechseln Sie zu Site > Wireless Security, suchen Sie den nicht autorisierten Client, und klicken Sie auf die Anzahl der Clients. Wenn die Liste der nicht autorisierten Clients angezeigt wird, kopieren Sie die MAC-Adressen.

    Trinkgeld:

    Wenn Sie mehrere Adressen klassifizieren müssen, fügen Sie sie in eine Textdatei ein. Verwenden Sie Kommas oder Zeilenumbrüche, um die Adressen zu trennen. Speichern Sie die Datei unter einer CSV-Dateierweiterung.
  2. Wechseln Sie zu Site > Wireless > Security, und klicken Sie oben rechts auf der Seite auf die Schaltfläche Client-Klassifizierung anzeigen.
  3. Klicken Sie auf die Registerkarte "Genehmigt" oder "Gesperrt".

    • Gesperrte Clients: Clients, von denen Sie verhindern möchten, dass sie eine Verbindung zu Ihrem Netzwerk herstellen. Diese Clients können nicht beitreten, selbst wenn sie es über einen gültigen AP versuchen. Wenn Sie diese Option auswählen, führen Sie auch die zusätzlichen Schritte aus, um die Sperrung zu konfigurieren.

      Genehmigte Clients: Clients, die Sie in Ihrem Netzwerk zulassen möchten. Diese Funktion ist nützlich, wenn ein legitimer Client, der zuvor über einen nicht autorisierten AP verbunden war, den Zugriff verlor, als der nicht autorisierte AP entfernt wurde. Wenn Sie einen legitimen Client genehmigen , kann er dem Netzwerk wieder beitreten, indem er sich über einen gültigen AP erneut verbindet.

  4. Geben Sie die MAC-Adresse(n) ein:

    • Wenn Sie Adressen einzeln eingeben möchten, fügen Sie eine MAC-Adresse in das Feld ein oder geben Sie sie ein, und klicken Sie dann auf +Hinzufügen. Wiederholen Sie diesen Schritt bei Bedarf. Die Adressen werden in einer Liste am unteren Rand des Pop-up-Fensters angezeigt. Wenn Sie fertig sind, klicken Sie auf Speichern.

      Client Classification Window - Input Field and Add Button

    • Adressen in einer CSV-Datei: Klicken Sie auf Datei hochladen, wählen Sie die Datei aus oder ziehen Sie sie per Drag & Drop und klicken Sie dann auf Hochladen.

      Client Classification Window - Upload File Button

  5. Wenn Sie eine Liste gesperrter Clients eingegeben haben, führen Sie auch die folgenden Schritte aus, um zu verhindern, dass diese mit Ihren APs verknüpft werden.
    1. Wählen Sie im Menü auf der linken Seite die Option Standort > drahtlose > WLANs aus.
    2. Wählen Sie das WLAN aus.
    3. Wählen Sie unter Sicherheit die Option Zuweisen gesperrter Clients verhindern aus.
    4. Klicken Sie unten im Fenster "WLAN bearbeiten" auf "Speichern".
    VORSICHT:

    Der Ausschluss unbefugter Clients von einer SSID sollte im größeren Kontext der Client-Blockierung betrachtet werden, die in mindestens einem Fall zu FCC-Maßnahmen gegen den Blocker geführt hat. Gesperrte Clients können sich weder mit dem Juniper AP verbinden, noch wird eine Meldung oder Benachrichtigung angezeigt, in der die Ursache erläutert wird.