Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Points d’accès non autorisés, de voisinage et de pot de miel

Identifiez la menace que représentent les points d’accès non autorisés sur votre site ou à proximité. Découvrez comment afficher la liste des points d’accès détectés et prendre des mesures pour y répondre.

Que sont les points d’accès non autorisés, de voisinage et de pot de miel ?

Les points d’accès (AP) non autorisés, de voisinage et en pot de miel sont des appareils non autorisés opérant sur ou à proximité de votre réseau, souvent dans le but de tromper les utilisateurs pour qu’ils se connectent au « faux » point d’accès afin de voler des données ou de surveiller les communications.

  • Les points d’accès non autorisés sont des points d’accès sans fil installés sur votre réseau filaire sans autorisation. En général, ce point d’accès est connecté au réseau local via un câble Ethernet. Les intentions des pirates peuvent être malveillantes, par exemple pour obtenir un accès illicite au réseau, ou bénignes, par exemple lorsqu’un employé configure son propre point d’accès Wi-Fi pour couvrir un point mort perçu. Les clients non autorisés sont des utilisateurs qui se sont connectés au point d'accès non autorisé.

  • Les points d’accès voisins ne sont pas connectés à votre réseau, mais Juniper Mist les détecte à proximité. Étant donné que ces points d'accès à proximité ont généralement un signal fort, les clients peuvent se connecter au point d'accès voisin, en supposant qu'il s'agit du vôtre et qu'il est sécurisé. Les points d’accès voisins peuvent également être un moyen pour les utilisateurs de votre établissement de contourner les restrictions de sécurité sur votre réseau, telles que la diffusion de musique en continu ou l’accès à des sites bloqués, ou d’éviter de payer pour des services. Les points d’accès voisins non malveillants sont des SSID d’une autre organisation. En d’autres termes, les SSID légitimes appartenant à une organisation seront également répertoriés en tant que voisins d’une autre organisation.

  • Les honeypots, également connus sous le nom de jumeaux maléfiques, sont des points d’accès non autorisés qui font la publicité de votre SSID, généralement dans le but de capturer les identifiants de connexion des clients. Dans ce cas, un acteur malveillant peut copier ou se rapprocher de votre point d'accès Wi-Fi, usurper l'écran de connexion de votre organisation, puis collecter le nom d'utilisateur et le mot de passe des utilisateurs peu méfiants lorsqu'ils tentent de se connecter à « votre » réseau. L’acteur malveillant peut ensuite utiliser les informations d’identification pour se connecter à votre réseau réel et causer tous les ravages qu’il a en tête. Les honeypots non malveillants sont des SSID d’une autre organisation qui diffusent le même WLAN.

Détection d’appareils anormaux

Les points d’accès Juniper comprennent une radio à analyse dédiée pour détecter les points d’accès potentiellement malveillants et leurs clients. Les radios à balayage dédiées fonctionnent sur les bandes Wi-Fi 2,4, 5 et 6 GHz. Ils fournissent des données pour ajuster les performances en temps réel sur le point d’accès, ainsi qu’une télémétrie en continu que Juniper Mist utilise pour optimiser l’ensemble du site.

Dans le portail Juniper Mist, la page Site > sans fil> Sécurité fournit une liste de tous les points d’accès anormaux qui ont été détectés. Vous pouvez explorer n’importe quel élément pour trouver l’emplacement physique, la connexion Ethernet et les clients non autorisés connectés au point d’accès. Cliquez sur les entrées non nulles dans la colonne Nombre de clients pour ouvrir une fenêtre contextuelle Liste des clients non autorisés pour les clients associés à cet appareil.

Figure 1 : page Security Page Sécurité

La page Alertes affiche également des alertes pour les points d’accès non autorisés, les points d’accès voisins et les points d’accès honeypot.

Note:

Pour afficher ces informations sur cette page, vous devez configurer des alertes pour les points d’accès honeypot et non autorisés pour le site ou l’ensemble de l’organisation.
Figure 2 : page Alerts Page Showing Detected Threats Alertes

Configurer la protection contre les menaces des points d’accès

Dans les paramètres de votre site, vous pouvez activer ou désactiver la détection des points d’accès non autorisés, des points d’accès de voisinage et des pots de miel. Vous pouvez également ajuster les paramètres pour éviter que les points d’accès connus ne soient classés à tort comme des menaces.

Pour configurer la protection contre les menaces des points d’accès :

  1. Dans le menu de gauche du portail Juniper Mist, sélectionnez Organisation > Administrateur > Configuration du site.
  2. Cliquez sur le site que vous souhaitez configurer.
  3. Sous Configuration de la sécurité, ajustez les paramètres selon vos besoins.
    Security Configuration Section of the Site Configuration Page

    • Détection des points d’accès non autorisés et voisinsSélectionnez cette option pour activer la détection des réseaux non autorisés et voisins. Vous pouvez ensuite configurer les alertes en accédant à Surveiller les alertes > et en sélectionnant les types d’alertes requis.

      Vous pouvez ajuster les seuils de détection :

      • Neighbor RSSI Threshold : ce seuil est basé sur l’intensité du signal du point d’accès. Par exemple, avec un seuil par défaut de -80 dBm, Juniper Mist ignore les points d’accès dont le RSSI est supérieur ou égal à -80. La plage prise en charge est comprise entre -40 dBm et -100 dBm.

      • Neighbor Time Threshold (Seuil temporel du voisin) : ce seuil est basé sur la durée du signal du point d’accès. Par exemple, si vous remarquez que des points d’accès voisins apparaissent et disparaissent constamment de la page Surveiller > alertes au fur et à mesure que le signal augmente et diminue, vous pouvez définir un seuil de temps plus long. Ainsi, seuls les points d’accès avec des signaux persistants sont détectés comme menaces potentielles.

    • Detect Honeypot APs (Détecter les points d’accès honeypot) : sélectionnez cette option pour activer la détection des points d’accès honeypot (cette option est sélectionnée par défaut). Pour configurer des alertes pour les honeypots détectés, accédez à Surveiller les alertes > et sélectionnez les alertes que vous souhaitez recevoir.

    • SSID approuvés et BSSID approuvés : pour éviter toute détection inutile de points d’accès connus à proximité, saisissez leurs SSID ou BSSID, en les séparant par une virgule (sans espace).

      Vous pouvez utiliser des caractères génériques dans ces champs. Cette fonctionnalité est utile si vous souhaitez autoriser plusieurs SSID portant des noms similaires, comme vous pouvez le voir lorsque vos utilisateurs se connectent via Wi-Fi Direct à des imprimantes ou des téléviseurs. Par exemple, si vous entrez direct* dans la liste SSID approuvés, Juniper Mist ignorez les SSID tels que DIRECT-roku-123-44AABB et DIRECT-printer9999. De même, le champ BSSID approuvé prend en charge la correspondance partielle, par exemple « cc-73-* ».

    • Auto-Prevent Clients (Auto-Prevent Clients) : sélectionnez cette option pour empêcher les connexions des clients ayant plusieurs échecs d’autorisation. La page Alertes inclut des alertes telles que Authentification 802.11 refusée et Bloqué : échec répété de l’autorisation.

      Ajustez les paramètres selon vos besoins :

      • Définissez le nombre de secondes pendant lesquelles le client ne peut pas s’associer au WLAN. Par exemple, avec le paramètre par défaut de 60 secondes, un client est banni pendant 60 secondes.

      • Définissez le nombre d’échecs d’authentification qui déclenchent l’action d’arrêt automatique. Par exemple, avec le paramètre par défaut 4, un client est banni après quatre échecs.

  4. Cliquez sur Enregistrer dans le coin supérieur droit de la page Configuration du site.

Rechercher et supprimer les éléments malveillants

Vous pouvez découvrir et supprimer les clients non autorisés de votre réseau sur la page Site > Sécurité > sans fil du portail Juniper Mist.

L’animation suivante montre comment trouver les points d’accès non autorisés et les supprimer. En gros, lorsque vous cliquez sur le bouton Arrêter , les points d’accès Juniper à proximité envoient des trames de désauthentification aux clients non autorisés, qui sont identifiés par leurs adresses MAC grâce à leur association avec le point d’accès non autorisé. La trame de désauthentification est une notification, et non une demande, et le client non autorisé sera abandonné.

Note:

Si vous souhaitez empêcher ces clients malveillants de rejoindre le réseau, vous pouvez les classer comme bannis et ils ne seront pas réauthentifiés par les points d’accès du site. À l’inverse, pour permettre à certains clients clôturés de revenir sur le réseau, vous pouvez les classer comme approuvés et les points d’accès ne rejetteront pas la tentative d’authentification. Pour obtenir de l’aide , reportez-vous à la section Classification, approbation et interdiction de clients sans fil désignés.

Pour rechercher et supprimer les points d’accès non autorisés :

  1. Dans le menu de gauche du portail Juniper Mist, sélectionnez Site > Sécurité > sans fil.
  2. En haut de la page, utilisez la liste déroulante pour sélectionner un site.
    Note:

    Vous pouvez également ajuster la période de temps (la dernière heure ou les dernières 24 heures).
  3. Conservez les options par défaut pour afficher les vues Menaces et Liste.
  4. Dans le tableau Menaces, recherchez le point d’accès non autorisé que vous souhaitez supprimer du réseau.
  5. Dans la colonne Action, cliquez sur le bouton Action, puis sur Terminer le programme non fiable.
    Example: Threats Table and Action Button

Classification, approbation et interdiction de clients sans fil désignés

Pour protéger votre réseau, utilisez cette fonctionnalité pour autoriser ou interdire les points d’accès en fonction de leurs adresses MAC.

Pour simplifier la sécurité et le contrôle des réseaux sans fil, vous pouvez identifier les clients sans fil que vous souhaitez interdire ou approuver.

Avec la version 0.9.x ou ultérieure du firmware du point d’accès, les clients peuvent être bannis ou approuvés d’un site spécifique ou de l’ensemble de l’organisation.

Limites de classification :

  • Version 0.14.x et ultérieure du firmware : jusqu’à 512 classifications de clients pour un SSID donné peuvent être stockées localement, sur les points d’accès concernés (pas plus de 512 sont stockées uniquement sur le cloud).

  • Versions antérieures du firmware : les classifications des clients sont stockées sur le cloud Mist. Le point d’accès doit être connecté au cloud pour référencer et appliquer la classification.

  1. Identifiez les adresses MAC des clients que vous souhaitez approuver ou bannir.
    Pourboire:

    Tout d’abord, suivez cette procédure pour les clients que vous souhaitez approuver. Répétez ensuite la procédure pour les clients que vous souhaitez bannir.

    Pour rechercher des adresses MAC dans le portail Mist, utilisez l’une des méthodes suivantes :

    • Accédez à Clients > Clients Wi-Fi, cliquez sur le adresse MAC du client, puis copiez-le.

    • Accédez à Site > WirelessSecurity, recherchez le client non autorisé, puis cliquez sur le nombre de clients. Lorsque la liste des clients non autorisés s’affiche, copiez les adresses MAC.

    Pourboire:

    Si vous devez classer plusieurs adresses, collez-les dans un fichier texte. Utilisez des virgules ou des sauts de ligne pour séparer les adresses. Enregistrez le fichier sous une extension de fichier CSV.
  2. Accédez à Site > Sécurité des > sans fil, puis cliquez sur le bouton Afficher la classification des clients dans le coin supérieur droit de la page.
  3. Cliquez sur l’onglet Approuvé ou sur l’onglet Interdit.

    • Clients interdits : clients que vous souhaitez empêcher de se connecter à votre réseau. Ces clients ne pourront pas se connecter, même s’ils essaient via un point d’accès valide. Si vous choisissez cette option, suivez également les étapes supplémentaires pour configurer le bannissement.

      Clients approuvés : clients que vous souhaitez autoriser à accéder à votre réseau. Cette fonctionnalité est utile si un client légitime s’est précédemment connecté via un point d’accès non autorisé et a perdu l’accès lorsque celui-ci a été supprimé. Lorsque vous approuvez un client légitime, il peut rejoindre le réseau en se reconnectant via un point d’accès valide.

  4. Entrez la ou les adresses MAC :

    • Pour saisir les adresses individuellement, collez ou saisissez une adresse MAC dans le champ, puis cliquez sur +Ajouter. Répétez cette étape si nécessaire. Les adresses apparaissent dans une liste en bas de la fenêtre contextuelle. Lorsque vous avez terminé, cliquez sur Enregistrer.

      Client Classification Window - Input Field and Add Button

    • Adresses dans un fichier CSV : cliquez sur Télécharger le fichier, sélectionnez ou glissez-déposez le fichier, puis cliquez sur Charger.

      Client Classification Window - Upload File Button

  5. Si vous avez entré une liste de clients bannis, suivez également ces étapes pour les empêcher de s’associer à vos points d’accès.
    1. Dans le menu de gauche, sélectionnez Site > Réseau sans fil > WLAN.
    2. Sélectionnez le WLAN.
    3. Sous Sécurité, sélectionnez Empêcher les clients interdits de s’associer.
    4. Cliquez sur Enregistrer en bas de la fenêtre Modifier le WLAN.
    PRUDENCE:

    L’interdiction des clients malveillants d’un SSID doit être envisagée dans le contexte plus large du blocage de clients, qui a, dans au moins un cas, conduit à des actions de la FCC contre le bloqueur. Les clients bannis ne pourront pas se connecter au point d’accès Juniper et ne verront pas non plus de message ou de notification expliquant la cause.