Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Access Points für Rogue, Neighbor und Honeypot

Verstehen Sie die Bedrohung, die von nicht autorisierten Access Points auf oder in der Nähe Ihres Standorts ausgeht. Erfahren Sie, wie Sie die Liste der erkannten APs anzeigen und Maßnahmen ergreifen können, um diese Bedrohungen zu beheben.

Was sind Rogue-, Neighbor- und Honeypot-Access Points?

Rogue-, Neighbor- und Honeypot-Access Points (APs) sind nicht autorisierte Geräte, die in oder in der Nähe Ihres Netzwerks betrieben werden, oft mit dem Ziel, Benutzer dazu zu verleiten, sich mit dem "falschen" Access Point zu verbinden, um Daten zu stehlen oder die Kommunikation zu überwachen.

  • Nicht autorisierte APs sind alle drahtlosen APs, die ohne Autorisierung in Ihrem kabelgebundenen Netzwerk installiert werden. In der Regel ist dieser AP über ein Ethernet-Kabel mit dem LAN verbunden. Die Absicht von Betrügern kann böswillig sein, z. B. um sich unrechtmäßig Zugang zum Netzwerk zu verschaffen, oder gutartig, z. B. wenn ein Mitarbeiter seinen eigenen WLAN-Hotspot einrichtet, um einen vermeintlichen Funklöcher abzudecken. Nicht autorisierte Clients sind Benutzer, die eine Verbindung mit dem nicht autorisierten AP hergestellt haben.

  • Nachbar-APs sind nicht mit Ihrem Netzwerk verbunden, aber Juniper Mist Systems erkennt sie in der Nähe. Da diese APs in der Nähe in der Regel über ein starkes Signal verfügen, können Clients eine Verbindung mit dem benachbarten AP herstellen, vorausgesetzt, dieser gehört Ihnen und ist sicher. Neighbor APs können auch eine Möglichkeit für Benutzer in Ihrer Einrichtung sein, Sicherheitsbeschränkungen in Ihrem Netzwerk zu umgehen, z. B. Musik-Streaming oder Zugriff auf gesperrte Websites, oder um die Zahlung für Services zu vermeiden. Nicht böswillige Nachbar-APs sind SSIDs von einer anderen Organisation. Mit anderen Worten, legitime SSIDs, die zu einer Organisation gehören, werden auch als Nachbarn für eine andere Organisation aufgeführt.

  • Honeypots, auch bekannt als Evil Twins, sind nicht autorisierte APs, die Ihre SSID ankündigen, in der Regel mit dem Ziel, Client-Anmeldeinformationen zu erfassen. Hier kann ein böswilliger Akteur Ihren WLAN-Hotspot kopieren oder sich annähern, den Anmeldebildschirm Ihres Unternehmens fälschen und dann den Benutzernamen und das Passwort ahnungsloser Benutzer sammeln, während diese versuchen, sich bei "Ihrem" Netzwerk anzumelden. Der böswillige Akteur kann sich dann mit den Anmeldeinformationen in Ihr tatsächliches Netzwerk einloggen und alles anrichten, was er im Sinn hat. Nicht bösartige Honeypots sind SSIDs von einer anderen Organisation, die dasselbe WLAN übertragen.

Erkennung von anomalen Geräten

Die APs von Juniper verfügen über ein dediziertes Scanning-Radio zur Erkennung von potenziell bösartigen APs und ihren Clients. Die dedizierten Scanning-Funkmodule arbeiten in 2,4-, 5- und 6-GHz-WLAN-Frequenzbändern. Sie liefern Daten für Echtzeit-Leistungsanpassungen des AP sowie Streaming-Telemetrie, die Juniper Mist Systems für standortweite Optimierungen verwendet.

Im Portal Juniper Mist Systems finden Sie auf der Seite Site > Wireless> Sicherheit eine Liste aller erkannten anomalen APs. Sie können ein beliebiges Element aufschlüsseln, um den physischen Standort, die Ethernet-Verbindung und nicht autorisierte Clients zu finden, die mit dem AP verbunden sind. Klicken Sie auf Einträge ungleich Null in der Spalte Anzahl der Clients, um ein Popup-Fenster Liste nicht autorisierter Clients für Clients zu öffnen, die mit diesem Gerät verknüpft sind.

Abbildung 1: Seite Security Page "Sicherheit"

Auf der Registerkarte Bedrohungen auf der Seite Sicherheit wird eine Liste der nicht autorisierten und Honeypot-APs angezeigt. Sie können die Listen der Nachbar-APs, der genehmigten APs und der Clients anzeigen, indem Sie auf die entsprechende Registerkarte über der Liste klicken.

Hinweis:

Um diese Informationen auf dieser Seite anzuzeigen, müssen Sie Warnungen für Honeypot- und Rogue-APs für den Standort oder die gesamte Organisation konfigurieren.
Abbildung 2: Seite Alerts Page Showing Detected Threats "Warnungen"

Konfigurieren des AP-Bedrohungsschutzes

In den Einstellungen Ihrer Website können Sie die Erkennung von unbefugten, Nachbar- und Honeypot-APs aktivieren oder deaktivieren. Sie können auch die Einstellungen anpassen, um zu verhindern, dass bekannte APs fälschlicherweise als Bedrohungen klassifiziert werden.

So konfigurieren Sie den Bedrohungsschutz durch AP:

  1. Wählen Sie im linken Menü des Juniper Mist Systems-Portals die Option Organisation > Admin > Site-Konfiguration aus.
  2. Klicken Sie auf die Website, die Sie konfigurieren möchten.
  3. Passen Sie unter Sicherheitskonfiguration die Einstellungen nach Bedarf an.
    Security Configuration Section of the Site Configuration Page

    • Erkennung von nicht autorisierten und benachbarten APsWählen Sie diese Option, um die Rogue- und Neighbour-Erkennung zu aktivieren. Sie können dann Warnungen konfigurieren, indem Sie zu > Warnungen überwachen gehen und die erforderlichen Warnungstypen auswählen.

      Sie können die Erkennungsschwellenwerte anpassen:

      Tabelle 1: Optionen für Schwellenwerte
      Beschreibung der Option
      RSSI-Schwellenwert für Nachbar Dieser Schwellenwert basiert auf der Stärke des AP-Signals. Bei einem Standardschwellenwert von -80 dBm ignoriert Juniper Mist Systems beispielsweise APs mit einem RSSI von -80 oder höher. Der unterstützte Bereich liegt zwischen -40 dBm und -100 dBm.
      Schwellenwert für Nachbarzeit Dieser Schwellenwert basiert auf der Dauer des AP-Signals. Wenn Sie beispielsweise feststellen, dass benachbarte APs ständig auf der Seite "Überwachungs- > Warnungen" erscheinen und verschwinden, während das Signal zu- und abnimmt, können Sie einen längeren Zeitschwellenwert festlegen. Dann werden nur APs mit dauerhaften Signalen als potenzielle Bedrohungen erkannt.
      Honeypot-APs erkennen

      Wählen Sie diese Option, um die Erkennung von Honeypot-APs zu aktivieren (diese Option ist standardmäßig ausgewählt). Um Warnungen für erkannte Honeypots zu konfigurieren, gehen Sie zu > Warnungen überwachen, und wählen Sie die Warnungen aus, die Sie erhalten möchten.
      Genehmigte SSIDs und genehmigte BSSIDs

      Um zu verhindern, dass bekannte APs in Ihrer Nähe unnötig erkannt werden, geben Sie deren SSIDs oder BSSIDs durch ein Komma (kein Leerzeichen) getrennt ein.

      Sie können Platzhalter in diesen Feldern verwenden. Diese Funktion ist nützlich, wenn Sie mehrere SSIDs mit ähnlichen Namen zulassen möchten, wie Sie möglicherweise sehen, wenn Ihre Benutzer über Wi-Fi Direct eine Verbindung zu Druckern oder Fernsehern herstellen. Wenn Sie beispielsweise direkt* in die Liste der zulässigen SSIDs eingeben, ignoriert Juniper Mist Systems SSIDs wie DIRECT-roku-123-44AABB und DIRECT-printer9999. Ebenso unterstützt das Feld "Genehmigte BSSIDs" den teilweisen Abgleich, z. B. "cc-73-*".
      Automatische Verhinderung von Clients

      – Wählen Sie diese Option aus, um Verbindungen von Clients mit mehreren Autorisierungsfehlern zu verhindern. Die Seite Warnungen enthält Warnungen wie 802.11 Auth Denied und As Blocked: Repeated Authorization Failure.

      Passen Sie die Einstellungen nach Bedarf an:

      • Legen Sie die Anzahl der Sekunden fest, die der Client daran gehindert wird, sich mit dem WLAN zu verbinden. Bei der Standardeinstellung von 60 Sekunden wird ein Client beispielsweise für 60 Sekunden gesperrt.

      • Legen Sie die Anzahl der Authentifizierungsfehler fest, die die automatische Vermeidungsaktion auslösen. Bei der Standardeinstellung 4 wird ein Client beispielsweise gesperrt, nachdem er viermal fehlgeschlagen ist.
  4. Klicken Sie oben rechts auf der Seite Sitekonfiguration auf Speichern.

Schurken finden und entfernen

Sie können nicht autorisierte Clients auf der Seite Website > Wireless > Sicherheit des Juniper Mist Systems-Portals™ erkennen und aus Ihrem Netzwerk entfernen.

Die folgende Animation zeigt, wie Sie nicht autorisierte APs finden und entfernen. Wenn Sie auf die Schaltfläche Beenden klicken, senden nahe gelegene Juniper APs Entauthentifizierungs-Frames an die unbefugten Clients, die durch ihre MAC-Adressen durch ihre Verknüpfung mit dem nicht autorisierten AP identifiziert werden. Der Entauthentifizierungsrahmen ist eine Benachrichtigung, keine Anforderung, und der nicht autorisierte Client wird gelöscht.

Hinweis:

Wenn Sie verhindern möchten, dass diese nicht autorisierten Clients dem Netzwerk wieder beitreten, können Sie sie als gesperrt klassifizieren, und sie werden von keinem AP in der Site erneut authentifiziert. Umgekehrt können Sie bestimmte beendete Clients als genehmigt klassifizieren, um sie wieder im Netzwerk zuzulassen, und die APs lehnen den Authentifizierungsversuch nicht ab. Weitere Informationen finden Sie unter Klassifizieren, Genehmigen und Sperren bestimmter drahtloser Clients.

So finden und entfernen Sie nicht autorisierte APs:

  1. Wählen Sie im linken Menü des Juniper Mist Systems-Portals die Option Site > Wireless > Sicherheit aus.
  2. Wählen Sie oben auf der Seite in der Dropdown-Liste eine Site aus.
    Hinweis:

    Sie können auch den Zeitraum anpassen (die letzte Stunde oder die letzten 24 Stunden).
  3. Behalten Sie die Standardoptionen bei, um Bedrohungen und Listenansicht anzuzeigen.
  4. Suchen Sie in der Tabelle Bedrohungen den nicht autorisierten AP, den Sie aus dem Netzwerk entfernen möchten.
  5. Klicken Sie in der Spalte Aktion auf die Aktionsschaltfläche, und klicken Sie dann auf Rogue beenden.
    Action Button on the Security Page

Klassifizieren, genehmigen und sperren von bestimmten drahtlosen Clients

Um Ihr Netzwerk zu schützen, verwenden Sie diese Funktion, um Access Points basierend auf ihren MAC-Adressen zuzulassen oder zu sperren.

Um die drahtlose Sicherheit und Steuerung zu vereinfachen, können Sie drahtlose Clients identifizieren, die Sie sperren oder genehmigen möchten.

Mit der AP-Firmware-Version 0.9.x oder höher können Clients von einem bestimmten Standort oder von der gesamten Organisation gesperrt oder genehmigt werden.

Einschränkungen der Klassifizierung:

  • Firmware-Version 0.14.x und höher – Bis zu 512 Client-Klassifizierungen für eine bestimmte SSID können lokal auf den entsprechenden APs gespeichert werden (mehr als 512 werden nur in der Cloud gespeichert.)

  • Frühere Firmware-Versionen: Client-Klassifizierungen werden in der Mist Systems Cloud gespeichert. Der AP muss mit der Cloud verbunden sein, um auf die Klassifizierung zu verweisen und diese durchzusetzen.

  1. Identifizieren Sie die MAC-Adressen der Clients, die Sie genehmigen oder sperren möchten.
    Tipp:

    Führen Sie zunächst dieses Verfahren für Clients durch, die Sie genehmigen möchten. Wiederholen Sie dann den Vorgang für Clients, die Sie sperren möchten.

    Verwenden Sie eine der folgenden Methoden, um MAC-Adressen im Mist Systems Portal zu finden:

    • Wechseln Sie zu Clients > WLAN-Clients, klicken Sie auf die MAC-Adresse des Clients und kopieren Sie sie.

    • Gehen Sie zu Site > WirelessSicherheit, suchen Sie den nicht autorisierten Client und klicken Sie auf die Anzahl der Client-Anzahl. Wenn die Liste der nicht autorisierten Clients angezeigt wird, kopieren Sie die MAC-Adressen.

    Tipp:

    Wenn Sie mehrere Adressen klassifizieren müssen, fügen Sie sie in eine Textdatei ein. Verwenden Sie Kommas oder Zeilenumbrüche, um die Adressen zu trennen. Speichern Sie die Datei unter einer CSV-Dateierweiterung.
  2. Wechseln Sie zu Site > Wireless > Sicherheit, und klicken Sie oben rechts auf der Seite auf die Schaltfläche Clientklassifizierung anzeigen.
  3. Klicken Sie auf die Registerkarte Genehmigt oder auf die Registerkarte Gesperrt.

    • Gesperrte Clients: Clients, von denen Sie verhindern möchten, dass sie eine Verbindung zu Ihrem Netzwerk herstellen. Diese Clients können nicht beitreten, selbst wenn sie es über einen gültigen AP versuchen. Wenn Sie diese Option auswählen, führen Sie auch die zusätzlichen Schritte zum Konfigurieren der Sperrung aus.

      Genehmigte Clients: Clients, die Sie in Ihrem Netzwerk zulassen möchten. Diese Funktion ist nützlich, wenn ein legitimer Client zuvor eine Verbindung über einen nicht autorisierten AP hergestellt hat und den Zugriff verloren hat, als der nicht autorisierte AP entfernt wurde. Wenn Sie einen legitimen Client genehmigen , kann er sich über einen gültigen AP wieder mit dem Netzwerk verbinden.

  4. Geben Sie die MAC-Adresse(n) ein:

    • Um Adressen einzeln einzugeben, fügen Sie eine MAC-Adresse in das Feld ein oder geben Sie sie ein und klicken Sie dann auf +Hinzufügen. Wiederholen Sie diesen Schritt bei Bedarf. Die Adressen werden in einer Liste am unteren Rand des Popup-Fensters angezeigt. Wenn Sie fertig sind, klicken Sie auf Speichern.

      Client Classification Window - Input Field and Add Button

    • Adressen in einer CSV-Datei: Klicken Sie auf Datei hochladen, wählen Sie die Datei aus oder ziehen Sie sie per Drag & Drop und klicken Sie dann auf Hochladen.

      Client Classification Window - Upload File Button

  5. Wenn Sie eine Liste gesperrter Clients eingegeben haben, führen Sie auch diese Schritte aus, um zu verhindern, dass sie Ihren APs zugeordnet werden.
    1. Wählen Sie im linken Menü Standort > Wireless > WLANs aus.
    2. Wählen Sie das WLAN aus.
    3. Wählen Sie unter Sicherheit die Option Verhindern der Verknüpfung gesperrter Clients aus.
    4. Klicken Sie unten im Fenster "WLAN bearbeiten" auf "Speichern".
    VORSICHT:

    Das Sperren von unbefugten Clients von einer SSID sollte im größeren Kontext der Client-Blockierung betrachtet werden. Informieren Sie sich über geltende Vorschriften, wie das Verbot der WLAN-Blockierung durch die U.S. Federal Communications Commission.