不正、ネイバー、およびハニーポットアクセスポイント |Mist |ジュニパーネットワークス

不正アクセスポイント、ネイバーアクセスポイント、ハニーポットアクセスポイントとは?

不正アクセスポイント、ネイバーアクセスポイント、ハニーポットアクセスポイント(AP)とは、お客様のネットワーク上またはネットワーク近くで動作する不正デバイスであり、多くの場合、ユーザーを騙してデータを盗んだり、通信を監視したりするために「偽の」アクセスポイントに接続させることを目的としています。

不正APとは 、有線ネットワークに無許可で設置された無線APのことです。通常、このAPはイーサネットケーブルを介してLANに接続されます。不正者の目的は、ネットワークへの不正アクセスを取得するなどの悪意のあるものから、デッドスポットと思われる場所をカバーするために従業員が独自のWi-Fiホットスポットを設定するなどの無害なものまであります。 不正クライアント とは、不正 AP に接続したユーザのことです。
ネイバーAPはネットワークに接続されていませんが、Juniper Mistは近くでネイバーAPを検出します。これらの近接APは通常、強い信号を持っているため、クライアントは、それが自分のものであり、安全であると仮定して、ネイバーAPに接続する可能性があります。ネイバーAPは、施設内のユーザーが音楽のストリーミングやブロックされたサイトへのアクセスなど、ネットワークのセキュリティ制限を回避したり、サービス料金の支払いを回避したりするための手段にもなります。悪意のないネイバーAPは、別の組織のSSIDです。つまり、ある組織に属する正規の SSID は、別の組織のネイバーとしてもリストされます。
ハニーポットは、Evil Twinsとも呼ばれ、通常、クライアントのログイン認証情報を取得する目的で、SSIDをアドバタイズする不正なAPです。ここでは、悪意のある人物がWi-Fiホットスポットをコピーまたは近似し、組織のログイン画面を偽装し、「あなたの」ネットワークにログインしようとする無防備なユーザーのユーザー名とパスワードを収集する可能性があります。そして、攻撃者はその認証情報を使って実際のネットワークにログインし、あらゆる大混乱を引き起こすことができます。悪意のないハニーポットは、同じ WLAN をブロードキャストしている別の組織の SSID です。

異常デバイスの検出

ジュニパーのAPには、悪意のあるAPとそのクライアントを検出するための専用のスキャニング無線が含まれています。専用のスキャニング無線は、2.4、5、6GHzのWi-Fi帯域で動作します。APのリアルタイムのパフォーマンス調整のためのデータと、Juniper Mistサイト全体の最適化に使用するストリーミングテレメトリも提供します。

Juniper Mist ポータルの [Site > Wireless> Security ] ページには、検出されたすべての異常な AP のリストが表示されます。任意の項目をドリルダウンして、AP に接続されている物理的な場所、イーサネット接続、および不正クライアントを見つけることができます。 [No. of Clients] 列の 0 以外のエントリをクリックすると、そのデバイスに関連付けられているクライアントの [Rogue Clients List] ポップアップが開きます。

図1:[Security]ページ Security Page

[Alerts] ページには、不正、ネイバー、およびハニーポット AP のアラートも表示されます。

手記：

このページでこの情報を表示するには、サイトまたは組織全体のハニーポットおよび不正 AP のアラートを設定する必要があります。

図 2: [Alerts](アラート)ページ Alerts Page Showing Detected Threats

AP 脅威防御を構成する

サイト設定で、不正、ネイバー、およびハニーポットAPの検出を有効または無効にすることができます。また、既知のAPが脅威として誤って分類されるのを防ぐために、設定を調整することもできます。

AP 脅威防御を設定するには:

Juniper Mist ポータルの左側のメニューから、 [組織] > [管理>サイト構成] を選択します。
構成するサイトをクリックします。
[セキュリティ設定] で、必要に応じて設定を調整します。
- 不正およびネイバーAPの検出このオプションを選択すると、不正およびネイバー検出が有効になります。その後、 Monitor > Alerts に移動し、必要なアラートタイプを選択することで、アラートを設定できます。
  
  検出しきい値は、次のように調整できます。
  - ネイバーRSSI閾値—この閾値は、AP信号の強度に基づきます。たとえば、デフォルトのしきい値が -80 dBm の場合、Juniper Mist は RSSI が -80 以上の AP を無視します。サポートされている範囲は -40 dBm から -100 dBm です。
  - ネイバー時間のしきい値—このしきい値は、AP 信号の継続時間に基づきます。たとえば、信号の増減に伴い、ネイバー AP が [ Monitor > Alerts ] ページに絶えず表示および非表示していることに気付いた場合は、より長い時間しきい値を設定できます。これにより、持続信号を持つAPのみが潜在的な脅威として検知されます。
- [ハニーポット AP の検出(Detect Honeypot APs)]:ハニーポット AP の検出を有効にするには、このオプションを選択します(このオプションはデフォルトで選択されています)。検出されたハニーポットのアラートを設定するには、[ Monitor > Alerts ] に移動し、受信するアラートを選択します。
- [Approved SSID and Approved BSSID]:自分の近くにある既知の AP が不必要に検出されるのを防ぐには、それらの SSID または BSSID をカンマ(スペースなし)で区切って入力します。
  
  これらのフィールドではワイルドカードを使用できます。この機能は、ユーザーがWi-Fi Directを介してプリンターやテレビに接続するときに表示されるような、類似した名前の複数のSSIDを許可する場合に便利です。たとえば、[Approved SSIDs] リストに「direct* 」と入力すると、Juniper Mist は DIRECT-roku-123-44AABB や DIRECT-printer9999 などの SSID を無視します。同様に、[承認済み BSSID(Approved BSSIDs)] フィールドは、「 cc-73-*」などの部分一致をサポートしています。
- [クライアントの自動防止(Auto-Prevent Clients)]:複数の認証に失敗したクライアントからの接続を防止するには、このオプションを選択します。[アラート] ページには、 802.11 Auth Denied や as Blocked: Repeated Authorization Failure などのアラートが含まれます。
  
  必要に応じて設定を調整します。
  - クライアントが WLAN にアソシエートできないようにする秒数を設定します。たとえば、デフォルト設定の 60 秒では、クライアントは 60 秒間禁止されます。
  - 自動防止アクションをトリガーする認証エラーの数を設定します。たとえば、デフォルト設定の 4 では、クライアントは 4 回失敗すると禁止されます。
[ サイト構成] ページの右上隅にある [ 保存 ] をクリックします。

不正の検出と削除

Juniper Mist™ ポータルの [Site > Wireless > Security ] ページで、ネットワークから不正なクライアントを検出して削除できます。

次のアニメーションは、不正な AP を見つけて削除する方法を示しています。基本的に、[ Terminate](終了 )ボタンをクリックすると、近くにあるジュニパーAPから不正クライアントに認証解除フレームが送信されます。このフレームは、不正APと関連付けることでMACアドレスで識別されます。認証解除フレームは要求ではなく通知であり、不正なクライアントはドロップされます。

手記：

これらの不正なクライアントがネットワークに再参加するのを防ぎたい場合は、禁止済みとして分類でき、サイト内のどのAPによっても再認証されないようにすることができます。反対に、終了した特定のクライアントをネットワークに戻すには、そのクライアントを 承認済みとして分類し、AP は認証の試行を拒否しません。ヘルプについては、「指定されたワイヤレスクライアントの分類、承認、および禁止」を参照してください。

不正なAPを見つけて削除するには:

Juniper Mist ポータルの左側のメニューから、[Site > Wireless > Security] を選択します。
ページ上部のドロップダウンリストを使用して、サイトを選択します。

手記：
また、期間(過去1時間または過去24時間)を調整することもできます。
デフォルトのオプションのままにして、脅威とリストビューを表示します。
[Threats] テーブルで、ネットワークから削除する不正 AP を見つけます。
[アクション] 列で、アクションボタンをクリックし、[不正の終了] をクリックします。

指定された無線クライアントの分類、承認、および禁止

ネットワークを保護するには、この機能を使用して、MACアドレスに基づいてアクセスポイントを許可または禁止します。

ワイヤレスのセキュリティと制御を簡略化するために、禁止または承認するワイヤレスクライアントを特定できます。

AP ファームウェアバージョン 0.9.x 以降では、特定のサイトまたは組織全体からクライアントを禁止または承認できます。

分類の制限:

ファームウェアバージョン0.14.x以降:特定のSSIDに対して最大512のクライアント分類を、関連するAPにローカルに保存できます(512を超える分類はクラウドにのみ保存されます)。
以前のバージョンのファームウェア—クライアント分類はMistクラウドに保存されます。APは、分類を参照および適用するためにクラウドに接続する必要があります。

承認または禁止するクライアントのMACアドレスを特定します。
先端：
まず、承認するクライアントに対してこの手順を実行します。次に、禁止するクライアントに対して手順を繰り返します。

Mist ポータルで MAC アドレスを検索するには、 次のいずれかの方法 を使用します。
- [ クライアント ] > [WiFi クライアント] に移動し、クライアントの MAC アドレスをクリックしてコピーします。
- [Site > WirelessSecurity] に移動し、不正クライアントを見つけて、クライアント数の数値をクリックします。[Rogue Clients List] が表示されたら、MAC アドレスをコピーします。
先端：
複数の住所を分類する必要がある場合は、それらをテキストファイルに貼り付けます。アドレスを区切るには、カンマを使用または改行します。ファイルを CSVファイル拡張子を付けて保存します。
[Site > Wireless > Security] に移動し、ページの右上隅にある [クライアント分類の表示] ボタンをクリックします。
「承認済み」タブまたは「禁止」タブをクリックします。
- 禁止されたクライアント - ネットワークへの接続を禁止するクライアント。これらのクライアントは、有効な AP を介して試行しても参加できません。このオプションを選択した場合は、追加の手順も完了して禁止を構成します。
  
  承認済みクライアント - ネットワークへのアクセスを許可するクライアント。この機能は、正規のクライアントが以前に不正な AP を介して接続し、不正が削除されたときにアクセスを失った場合に便利です。正規 のクライアント を承認すると、そのクライアントは有効なAPを介して再接続することで、ネットワークに再参加できるようになります。
MACアドレスを入力します。
- アドレスを個別に入力するには、フィールドにMACアドレスを貼り付けるか入力し、[ +追加]をクリックします。必要に応じて、この手順を繰り返します。アドレスは、ポップアップウィンドウの下部のリストに表示されます。完了したら、「保存」をクリックします。
- CSV ファイル内のアドレス - [ファイルをアップロードする] をクリックし、ファイルを選択またはドラッグアンドドロップして [ アップロード] をクリックします。
禁止されたクライアントのリストを入力した場合は、これらの手順も実行して、それらのクライアントが AP に関連付けられないようにします。
1. 左側のメニューから [Site > Wireless > WLANs] を選択します。
2. WLANを選択します。
3. [セキュリティ] で、[禁止されたクライアントの関連付けを禁止する] を選択します。
4. [Edit WLAN] ウィンドウの下部にある [Save] をクリックします。
注意：

SSIDからの不正なクライアントの禁止は、少なくとも1つのケースでブロッカーに対するFCCの措置につながったクライアントブロッキングというより大きなコンテキストで検討する必要があります。禁止されたクライアントはジュニパーAPに接続できず、原因を説明するメッセージや通知も表示されません。