Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Points d’accès non autorisés, voisins et honeypot

Comprendre la menace que représentent les points d’accès non autorisés sur votre site ou à proximité. Découvrez comment consulter la liste des points d’accès détectés et comment prendre des mesures pour répondre à ces menaces.

Que sont les points d’accès non autorisés, de voisinage et en pot de miel ?

Les points d’accès non autorisés, les points d’accès voisins et les pots de miel sont des appareils non autorisés qui fonctionnent sur votre réseau ou à proximité de celui-ci, souvent dans le but d’inciter les utilisateurs à se connecter au « faux » point d’accès afin de voler des données ou de surveiller les communications.

  • Les points d’accès non autorisés sont des points d’accès sans fil installés sur votre réseau filaire sans autorisation. En règle générale, cet AP est connecté au LAN via un câble Ethernet. L’intention des pirates malveillants peut être malveillante, comme obtenir un accès illicite au réseau, ou bénigne, comme un employé qui configure son propre point d’accès Wi-Fi pour couvrir une zone apparemment sans mort. Les clients non autorisés désignent les utilisateurs qui se sont connectés à l'AP malveillant.

  • Les points d’accès voisins ne sont pas connectés à votre réseau, mais Juniper Mist les détecte à proximité. Étant donné que ces points d'accès à proximité ont généralement un signal fort, les clients peuvent se connecter à l'AP voisin, en supposant qu'il est le vôtre et sécurisé. Les points d’accès voisins peuvent également permettre aux utilisateurs de votre établissement de contourner les restrictions de sécurité sur votre réseau, comme la diffusion de musique en streaming ou l’accès à des sites bloqués, ou d’éviter de payer pour des services. Les points d’accès voisins non malveillants sont des SSID d’une autre organisation. En d’autres termes, les SSID légitimes appartenant à une organisation seront également répertoriés comme voisins d’une autre organisation.

  • Les honeypots, également connus sous le nom de jumeaux maléfiques, sont des points d’accès non autorisés qui annoncent votre SSID, généralement dans le but de capturer les identifiants de connexion des clients. Dans ce cas, un acteur malveillant peut copier ou approcher votre point d'accès Wi-Fi, usurper l'écran de connexion de votre organisation, puis collecter le nom d'utilisateur et le mot de passe des utilisateurs peu méfiants lorsqu'ils tentent de se connecter à « votre » réseau. L’acteur malveillant peut ensuite utiliser ses identifiants pour se connecter à votre réseau réel et faire des ravages. Les honeypots non malveillants sont des SSID d’une autre organisation qui diffusent le même WLAN.

Détection des dispositifs anormaux

Les points d’accès Juniper comprennent une radio d’analyse dédiée pour détecter les points d’accès potentiellement malveillants et leurs clients. Les radios de balayage dédiées fonctionnent sur les bandes Wi-Fi 2,4, 5 et 6 GHz. Ils fournissent des données permettant d’ajuster les performances en temps réel sur l’AP, ainsi que la télémétrie en continu que Juniper Mist utilise pour optimiser l’ensemble du site.

Dans le portail Juniper Mist, la page Site > Wireless> Sécurité fournit une liste de tous les points d’accès anormaux qui ont été détectés. Vous pouvez explorer n’importe quel élément pour trouver l’emplacement physique, la connexion Ethernet et les clients non autorisés connectés à l’AP. Cliquez sur des entrées non nulles dans la colonne Nombre de clients pour ouvrir une fenêtre contextuelle Liste des clients non autorisés pour les clients associés à cet appareil.

Figure 1 : page Security Page de sécurité

L’onglet Menaces de la page Sécurité affiche une liste des points d’accès non autorisés et des pots de miel. Vous pouvez voir les listes des AP voisins, des AP approuvés et des clients en cliquant sur l’onglet approprié au-dessus de la liste.

Remarque :

Pour afficher ces informations sur cette page, vous devez configurer des alertes pour les pots de miel et les points d’accès non autorisés pour le site ou l’ensemble de l’organisation.
Figure 2 : page Alerts Page Showing Detected Threats Alertes

Configurer la protection contre les menaces d’AP

Dans les paramètres de votre site, vous pouvez activer ou désactiver la détection des points d’accès non autorisés, voisins et honeypot. Vous pouvez également ajuster les paramètres pour éviter que les points d’accès connus ne soient classés à tort comme des menaces.

Pour configurer la protection contre les menaces d’AP :

  1. Dans le menu de gauche du portail Juniper Mist, sélectionnez Organisation > Administrateur > Configuration du site.
  2. Cliquez sur le site que vous souhaitez configurer.
  3. Sous Configuration de la sécurité, ajustez les paramètres si nécessaire.
    Security Configuration Section of the Site Configuration Page

    • Détection des points d’accès non autorisés et voisinsSélectionnez cette option pour activer la détection des non-autorisés et des voisins. Vous pouvez ensuite configurer les alertes en accédant à Surveiller les alertes > et en sélectionnant les types d’alertes requis.

      Vous pouvez ajuster les seuils de détection :

      Tableau 1 : Options de seuil de détection
      En option Descriptif
      Seuil RSSI des voisins Ce seuil est basé sur la puissance du signal de l’AP. Par exemple, avec le seuil par défaut de -80 dBm, Juniper Mist ignore les points d’accès dont le RSSI est supérieur ou égal à -80. La plage prise en charge est de -40 dBm à -100 dBm.
      Seuil de temps de voisinage Ce seuil est basé sur la durée du signal de l’AP. Par exemple, si vous remarquez que des points d’accès voisins apparaissent et disparaissent constamment de la page Surveiller > alertes lorsque le signal augmente ou diminue, vous pouvez définir un seuil de temps plus long. Dans ce cas, seuls les points d’accès dotés de signaux durables sont détectés comme des menaces potentielles.
      Détection des points d’accès Honeypot

      Sélectionnez cette option pour activer la détection des points d’accès honeypot (l’option est sélectionnée par défaut). Pour configurer des alertes pour les honeypots détectés, accédez à Surveiller les alertes > et sélectionnez les alertes que vous souhaitez recevoir.
      SSID et BSSID approuvés

      Pour éviter toute détection inutile de points d’accès connus à proximité, saisissez leurs SSID ou BSSID, séparés par une virgule (sans espace).

      Vous pouvez utiliser des caractères génériques dans ces champs. Cette fonctionnalité est utile si vous souhaitez autoriser plusieurs SSID portant des noms similaires, comme vous pouvez le voir lorsque vos utilisateurs se connectent via Wi-Fi Direct à des imprimantes ou des téléviseurs. Par exemple, si vous saisissez direct* dans la liste des SSID approuvés, Juniper Mist ignore les SSID tels que DIRECT-roku-123-44AABB et DIRECT-printer9999. De même, le champ BSSID approuvés prend en charge la correspondance partielle, par exemple « cc-73-* ».
      Empêcher automatiquement les clients

      : sélectionnez cette option pour empêcher les connexions provenant de clients ayant plusieurs échecs d’autorisation. La page Alertes comprendra des alertes telles que 802.11 Authentification refusée et Bloqué : échec répété de l’autorisation.

      Ajustez les paramètres selon vos besoins :

      • Définissez le nombre de secondes pendant lesquelles le client ne peut pas s’associer au WLAN. Par exemple, avec le paramètre par défaut de 60 secondes, un client est banni pendant 60 secondes.

      • Définissez le nombre d’échecs d’authentification qui déclenchent l’action d’arrêt automatique. Par exemple, avec le paramètre par défaut 4, un client est banni après avoir échoué quatre fois.
  4. Cliquez sur Enregistrer dans le coin supérieur droit de la page Configuration du site.

Rechercher et supprimer les éléments malveillants

Vous pouvez détecter et supprimer les clients non autorisés de votre réseau sur la page Site > Wireless > Sécurité du portail Mist Juniper™.

L’animation suivante montre comment détecter et supprimer les points d’accès non autorisés. En gros, lorsque vous cliquez sur le bouton Terminer , les points d’accès Juniper à proximité envoient des trames de désauthentification aux clients non autorisés, qui sont identifiés par leur adresse MAC grâce à leur association avec l’AP non autorisé. La trame de désauthentification est une notification et non une demande, et le client non autorisé sera abandonné.

Remarque :

Si vous souhaitez empêcher ces clients non autorisés de rejoindre le réseau, vous pouvez les classer comme bannis et ils ne seront pas réauthentifiés par les AP du site. Inversement, pour permettre à certains clients résiliés de revenir sur le réseau, vous pouvez les classer comme approuvés et les points d’accès ne rejetteront pas la tentative d’authentification. Pour obtenir de l’aide, consultez Classer, approuver et interdire des clients sans fil désignés.

Pour rechercher et supprimer les points d’accès non autorisés :

  1. Dans le menu de gauche du portail Mist Juniper, sélectionnez Site > > sans fil Sécurité.
  2. En haut de la page, utilisez la liste déroulante pour sélectionner un site.
    Remarque :

    Vous pouvez également ajuster la période (l’heure dernière ou les dernières 24 heures).
  3. Conservez les options par défaut pour afficher les menaces et la vue Liste.
  4. Dans le tableau Menaces, recherchez l’AP non autorisé que vous souhaitez supprimer du réseau.
  5. Dans la colonne Action, cliquez sur le bouton d’action, puis sur Mettre fin aux réseaux non autorisés.
    Action Button on the Security Page

Classification, approbation et interdiction de clients sans fil désignés

Pour protéger votre réseau, utilisez cette fonctionnalité pour autoriser ou interdire des points d’accès en fonction de leurs adresses MAC.

Pour simplifier la sécurité et le contrôle sans fil, vous pouvez identifier les clients sans fil que vous souhaitez bannir ou approuver.

Avec la version 0.9.x ou ultérieure du firmware de l’AP, les clients peuvent être bannis ou approuvés à partir d’un site spécifique ou de toute l’organisation.

Limites de classification :

  • Micrologiciel version 0.14.x et ultérieure : jusqu’à 512 classifications de clients pour un SSID donné peuvent être stockées localement, sur les points d’accès concernés (plus de 512 sont stockées uniquement sur le cloud.)

  • Versions antérieures du firmware : les classifications des clients sont stockées sur le cloud Mist. L’AP doit être connecté au cloud pour référencer et appliquer la classification.

  1. Identifiez les adresses MAC des clients que vous souhaitez approuver ou interdire.
    Conseil :

    Tout d’abord, suivez cette procédure pour les clients que vous souhaitez approuver. Répétez ensuite la procédure pour les clients que vous souhaitez bannir.

    Pour rechercher des adresses MAC dans le portail Mist, utilisez l’une des méthodes suivantes :

    • Accédez à Clients > Wi-Fi Clients, cliquez sur le adresse MAC du client, puis copiez-le.

    • Accédez à Site > WirelessSécurité, recherchez le client non autorisé et cliquez sur le nombre de clients. Lorsque la liste des clients non autorisés s’affiche, copiez les adresses MAC.

    Conseil :

    Si vous devez classer plusieurs adresses, collez-les dans un fichier texte. Utilisez des virgules ou des sauts de ligne pour séparer les adresses. Enregistrez le fichier sous une extension de fichier CSV.
  2. Accédez à Site > Wireless > Sécurité, puis cliquez sur le bouton Afficher la classification des clients dans le coin supérieur droit de la page.
  3. Cliquez sur l’onglet Approuvé ou sur l’onglet Banni.

    • Clients interdits : clients que vous souhaitez empêcher de se connecter à votre réseau. Ces clients ne pourront pas se joindre, même s’ils essaient via un AP valide. Si vous choisissez cette option, suivez également les étapes supplémentaires pour configurer le bannissement.

      Clients approuvés : clients que vous souhaitez autoriser à accéder à votre réseau. Cette fonctionnalité est utile si un client légitime s’est précédemment connecté via un AP non autorisé et a perdu l’accès lors de la suppression du système malveillant. Lorsque vous approuvez un client légitime, il peut rejoindre le réseau en se reconnectant via un AP valide.

  4. Entrez l’adresse MAC :

    • Pour entrer des adresses individuellement, collez ou tapez une adresse MAC dans le champ, puis cliquez sur +Ajouter. Répétez cette étape si nécessaire. Les adresses apparaissent dans une liste en bas de la fenêtre contextuelle. Lorsque vous avez terminé, cliquez sur Enregistrer.

      Client Classification Window - Input Field and Add Button

    • Adresses dans un fichier CSV : cliquez sur Télécharger le fichier, sélectionnez ou faites glisser le fichier, puis cliquez sur Télécharger.

      Client Classification Window - Upload File Button

  5. Si vous avez saisi une liste de clients interdits, suivez également ces étapes pour éviter qu’ils ne s’associent à vos points d’accès.
    1. Dans le menu de gauche, sélectionnez Site > WLAN sans fil >.
    2. Sélectionnez le WLAN.
    3. Sous Sécurité, sélectionnez Empêcher l’association des clients interdits.
    4. Cliquez sur Enregistrer en bas de la fenêtre Modifier le WLAN.
    MISE EN GARDE :

    L’exclusion des clients non autorisés d’un SSID doit être envisagée dans le contexte plus large du blocage des clients. Consultez les réglementations applicables, telles que l’interdiction de blocage Wi-Fi de la Federal Communications Commission des États-Unis.