Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

不正アクセスポイント、ネイバーアクセスポイント、ハニーポットアクセスポイント

お客様のサイト上またはその近くにある不正アクセスポイントがもたらす脅威を理解します。検出されたAPのリストを表示し、これらの脅威に対処するためのアクションを講じる方法を学びましょう。

不正、ネイバー、ハニーポットアクセスポイントとは何ですか?

不正、ネイバー、ハニーポットアクセスポイント(AP)は、ネットワーク上またはネットワークの近くで動作する不正なデバイスで、多くの場合、データを盗んだり通信を監視したりするために、ユーザーをだまして「偽の」アクセスポイントに接続させることを目的としています。

  • 不正APとは 、有線ネットワークに許可なくインストールされた無線APです。通常、このAPはイーサネットケーブルを介してLANに接続されます。不正の意図は、ネットワークへの不正アクセスを取得するなどの悪意のあるものから、従業員が認識されたデッドスポットをカバーするために独自のWi-Fiホットスポットを設定するなどの無害なものにも対応します。 不正クライアント とは、不正なAPに接続したユーザーです。

  • 近隣のAPがネットワークに接続されていませんが、ジュニパーMistが近くでAPを検知します。これらの近くのAPは通常、信号が強いため、クライアントは隣接するAPに接続し、それがあなたのもので安全であると仮定するかもしれません。また、施設内のユーザーは、音楽のストリーミングやブロックされたサイトへのアクセスなど、ネットワークのセキュリティ制限を回避したり、サービス料金の支払いを回避したりするための手段にもなり得ます。悪意のないネイバーAPは、他の組織のSSIDです。つまり、ある組織に属する正規のSSIDは、別の組織のネイバーとしてもリストされます。

  • ハニーポットは、邪悪な双子とも呼ばれ、通常、クライアントのログイン認証情報を取得することを目的として、SSIDをアドバタイズする不正なAPです。ここでは、悪意のある攻撃者がWi-Fiホットスポットをコピーまたは近似し、組織のログイン画面を偽装し、「あなたの」ネットワークにログインしようとする無防備なユーザーのユーザー名とパスワードを収集する可能性があります。その後、悪意のある攻撃者は資格情報を使用して実際のネットワークにログインし、意図しているあらゆる大混乱を引き起こす可能性があります。悪意のないハニーポットとは、同じWLANをブロードキャストしている別の組織のSSIDです。

異常なデバイスの検出

ジュニパーのAPには、悪意のある可能性のあるAPとそのクライアントを検知するための専用のスキャン無線が搭載されています。専用のスキャン無線は、2.4、5、6GHzのWi-Fi帯域で動作します。AP上のパフォーマンスをリアルタイムで調整するためのデータや、ジュニパーMistがサイト全体の最適化に使用するストリーミングテレメトリも提供されます。

ジュニパー Mistポータルの[ Site > Wireless> セキュリティ ]ページには、検出されたすべての異常なAPのリストが表示されます。任意の項目をドリルダウンして、物理的な場所、イーサネット接続、APに接続されている不正クライアントを見つけることができます。 クライアント数 列のエントリがゼロ以外のものをクリックすると、そのデバイスに関連付けられているクライアントの不正クライアントリストポップアップが開きます。

図1:セキュリティページ Security Page

セキュリティページの脅威タブには、不正APとハニーポットAPのリストが表示されます。 ネイバーAP承認済みAPクライアント のリストは、リストの上にある適切なタブをクリックすると表示できます。

注:

このページでこの情報を確認するには、サイトまたは組織全体のハニーポットおよび不正APのアラートを設定する必要があります。
図2:[Alerts](アラート)ページAlerts Page Showing Detected Threats

AP脅威防御の設定

サイト設定で、不正、ネイバー、ハニーポットAPの検出を有効または無効にできます。また、既知のAPが脅威として誤って分類されないように設定を調整することもできます。

AP脅威防御を設定するには:

  1. ジュニパー Mistポータルの左側のメニューから、組織>管理>サイト設定を選択します。
  2. 設定するサイトをクリックします。
  3. セキュリティ設定で、必要に応じて設定を調整します。
    Security Configuration Section of the Site Configuration Page

    • 不正APとネイバーAPの検出このオプションを選択すると、不正とネイバーの検出が有効になります。次に、 監視 > アラート に移動し、必要なアラートタイプを選択してアラートを設定できます。

      検出しきい値を調整できます。

      表1:検出しきい値オプション
      オプション 説明
      近隣RSSIしきい値 このしきい値は、AP信号の強度に基づいています。例えば、デフォルトのしきい値が-80dBmの場合、ジュニパーMistはRSSIが-80以上のAPを無視します。サポートされている範囲は-40dBm〜-100dBmです。
      ネイバー時間のしきい値 このしきい値は、AP信号の持続時間に基づいています。例えば、信号の増減に伴い、近隣のAPが モニター > アラートページに 絶えず現れたり消えたりすることに気付いた場合、より長い時間しきい値を設定できます。そして、永続的な信号を持つAPのみが潜在的な脅威として検出されます。
      ハニーポットAPの検出

      このオプションを選択すると、ハニーポットAPの検出が有効になります(オプションがデフォルトで選択されています)。検出されたハニーポットのアラートを構成するには、 監視 > アラート に移動し、受信するアラートを選択します。
      承認済みSSIDと承認済みBSSID

      近くにある既知のAPが不要に検出されないように、SSIDまたはBSSIDをカンマ(スペースなし)で区切って入力します。

      これらのフィールドではワイルドカードを使用できます。この機能は、ユーザーが Wi-Fi Direct 経由でプリンターやテレビに接続するときに表示されるように、類似した名前の複数の SSID を許可する場合に便利です。たとえば、[承認済みSSIDs]リストに direct* と入力すると、ジュニパー Mistは DIRECT-roku-123-44AABBDIRECT-printer9999などのSSIDを無視します。同様に、承認済みBSSIDフィールドも部分一致をサポートしています( 例:"cc-73-*")。
      クライアントの自動防止

      —このオプションを選択すると、複数の認証エラーがあるクライアントからの接続を防止できます。アラートページには、 802.11 Auth Denied やAs Blocked:Repeated Authorization Failureなどのアラートが含まれます。

      必要に応じて設定を調整します。

      • クライアントが WLAN に関連付けられないようにする 数を設定します。例えば、デフォルト設定の60秒では、クライアントは60秒間禁止されます。

      • 自動防止アクションをトリガーする 認証失敗 の数を設定します。例えば、デフォルト設定の4では、クライアントは4回失敗すると禁止されます。
  4. サイト設定ページの右上隅にある保存をクリックします。

不正を見つけて削除する

ジュニパー Mist™ポータルのサイト>無線>セキュリティページで、ネットワークから不正なクライアントを検出して削除できます。

次のアニメーションは、不正なAPを見つけて削除する方法を示しています。基本的に、 終了 ボタンをクリックすると、近くのジュニパー APが不正クライアントに認証解除フレームを送信します。不正クライアントは、不正APとの関連付けを通じてMACアドレスによって識別されます。認証解除フレームは通知であり、リクエストではなく、不正なクライアントはドロップされます。

注:

これらの不正なクライアントがネットワークに再参入するのを防ぎたい場合は、それらを禁止として分類することができ、サイト内のどのAPからも再認証されなくなります。逆に、終端した特定のクライアントをネットワークに戻せるようにするには、承認 済みとして分類することができ、APは認証の試みを拒否しません。ヘルプについては、「 指定された無線クライアントの分類、承認、禁止」を参照してください。

不正なAPを見つけて削除するには:

  1. ジュニパー Mistポータルの左側のメニューから、サイト>無線>セキュリティを選択します。
  2. ページ上部のドロップダウンリストを使用してサイトを選択します。
    注:

    期間(過去1時間または過去24時間)を調整することもできます。
  3. 脅威とリストビューを表示するデフォルトのオプションを維持します。
  4. 脅威テーブルで、ネットワークから削除する不正なAPを見つけます。
  5. アクション列でアクションボタンをクリックし、不正を終了をクリックします
    Action Button on the Security Page

指定された無線クライアントの分類、承認、禁止

ネットワークを保護するには、この機能を使用して、MACアドレスに基づいてアクセスポイントを許可または禁止します。

無線のセキュリティと制御を簡素化するために、禁止または承認する無線クライアントを特定できます。

APファームウェアバージョン0.9.x以降では、特定のサイトまたは組織全体からクライアントを禁止または承認できます。

分類の制限:

  • ファームウェアバージョン0.14.x以降—特定のSSIDに対して最大512のクライアント分類をローカルの関連するAPに保存できます(512を超える場合はクラウドにのみ保存されます)。

  • 以前のファームウェアバージョン—クライアント分類はMistクラウドに保存されます。分類を参照して適用するには、APをクラウドに接続する必要があります。

  1. 承認または禁止するクライアントのMACアドレスを特定します。
    ヒント:

    まず、承認したいクライアントに対してこの手順を実行します。次に、禁止するクライアントに対して手順を繰り返します。

    MistポータルでMACアドレスを検索するには、 次のいずれかの 方法を使用します。

    • [クライアント] > [Wi-Fi クライアント] に移動し、クライアントのMACアドレスをクリックしてコピーします。

    • Site > Wireless セキュリティに移動し、不正なクライアントを見つけて、クライアント数をクリックします。不正クライアントリストが表示されたら、MACアドレスをコピーします。

    ヒント:

    複数のアドレスを分類する必要がある場合は、テキストファイルに貼り付けます。アドレスを区切るには、カンマまたは改行を使用してください。CSVファイル拡張子を持つファイルとしてファイルを保存します。
  2. Site > Wireless > セキュリティに移動し、ページの右上隅にあるクライアント分類を表示ボタンをクリックします。
  3. 承認済みタブまたは禁止タブをクリックします。

    • 禁止されたクライアント—ネットワークへの接続を阻止したいクライアント。これらのクライアントは、有効なAPを介して試みても参加できません。このオプションを選択した場合は、追加の手順も完了して禁止を設定します。

      承認済みクライアント—ネットワークへの参加を許可するクライアント。この機能は、正規のクライアントが以前に不正APを介して接続していましたが、不正が削除されたときにアクセスを失った場合に有効です。正規のクライアントを 承認 すると、有効なAPを介して再接続することで、ネットワークに再参加できます。

  4. MACアドレスを入力します。

    • アドレスを個別に入力するには、フィールドにMACアドレスを貼り付けるか入力し、 +追加をクリックします。必要に応じて、この手順を繰り返します。アドレスは、ポップアップウィンドウの下部にあるリストに表示されます。完了したら、[ 保存]をクリックします。

      Client Classification Window - Input Field and Add Button

    • CSVファイル内のアドレス— ファイルのアップロードをクリックし、ファイルを選択またはドラッグアンドドロップしてから、 アップロードをクリックします。

      Client Classification Window - Upload File Button

  5. 禁止されたクライアントのリストを入力した場合は、これらのクライアントがAPに関連付けられないように、以下の手順も実行してください。
    1. 左側のメニューから、サイト>無線>WLANを選択します
    2. WLANを選択します。
    3. [セキュリティ] で、[禁止されたクライアントの関連付けを防止する] を選択します。
    4. WLANの編集ウィンドウの下部にある保存をクリックします。
    注意:

    SSID からの不正なクライアントの禁止は、 クライアント ブロックという大きなコンテキストで検討する必要があります。米国連邦通信委員会によるWi-Fiブロックの禁止など、適用される規制を参照してください。