비인가 액세스 포인트, 네이버 액세스 포인트 및 허니팟 액세스 포인트 | Mist

Rogue, Neighbor 및 Honeypot 액세스 포인트란 무엇입니까?

비인가 액세스 포인트, 이웃 액세스 포인트, 허니팟 액세스 포인트(AP)는 네트워크 상이나 근처에서 작동하는 인증되지 않은 디바이스로, 데이터를 훔치거나 통신을 모니터링하기 위해 사용자를 속여 "가짜" 액세스 포인트에 연결하도록 하는 경우가 많습니다.

비인가 AP 는 인증 없이 유선 네트워크에 설치된 무선 AP입니다. 일반적으로 이 AP는 이더넷 케이블을 통해 LAN에 연결됩니다. 악의적인 인텐트는 네트워크에 대한 불법 액세스를 얻으려는 악의적인 것일 수도 있고, 사각지대를 커버하기 위해 직원이 자체 Wi-Fi 핫스팟을 설정하는 것처럼 악의적일 수도 있습니다. 비인가 클라이언트 는 비인가 AP에 연결된 사용자입니다.
인접 AP는 네트워크에 연결되어 있지 않지만 주변에서 AP를 탐지Juniper Mist. 이러한 근처의 AP는 일반적으로 신호가 강하기 때문에 클라이언트는 사용자의 AP이며 안전하다고 가정하고 이웃 AP에 연결할 수 있습니다. 또한 네이버 AP는 시설 내 사용자가 음악 스트리밍 또는 차단된 사이트 액세스 등 네트워크의 보안 제한을 우회하거나 서비스 비용을 지불하지 않도록 하는 수단이 될 수도 있습니다. 비악성 neighbor AP는 다른 조직의 SSID입니다. 즉, 한 조직에 속한 합법적인 SSID도 다른 조직의 인접 디바이스로 나열됩니다.
Evil Twins라고도 하는 허니팟은 일반적으로 클라이언트 로그인 자격 증명을 캡처하기 위해 SSID를 알리는 승인되지 않은 AP입니다. 여기에서 악의적인 행위자는 Wi-Fi 핫스팟을 복사하거나 대략적으로 복사하고 조직의 로그인 화면을 스푸핑한 다음 "귀하의" 네트워크에 로그인하려고 할 때 의심하지 않는 사용자의 사용자 이름과 암호를 수집할 수 있습니다. 그런 다음 악의적인 행위자는 자격 증명을 사용하여 실제 네트워크에 로그인하고 원하는 대로 혼란을 일으킬 수 있습니다. 악의적이지 않은 허니팟은 동일한 WLAN을 브로드캐스트하는 다른 조직의 SSID입니다.

변칙 장치 감지

주니퍼 AP에는 AP 및 해당 클라이언트를 탐지하고 잠재적으로 악의적인 AP를 탐지하기 위한 전용 스캐닝 라디오가 포함되어 있습니다. 전용 스캐닝 라디오는 2.4GHz, 5GHz 및 6GHz Wi-Fi 대역에서 작동합니다. AP의 실시간 성능 조정을 위한 데이터는 물론 사이트 전체의 최적화에 사용할 Juniper Mist 있는 스트리밍 텔레메트리도 제공합니다.

Juniper Mist 포털의 Site > Wireless> Security(사이트 무선 보안 페이지는 탐지된 모든 이상 AP 목록을 제공합니다. 모든 항목을 드릴다운하여 물리적 위치, 이더넷 연결 및 AP에 연결된 불량 클라이언트를 찾을 수 있습니다. No. of Clients(클라이언트 수 ) 열에서 0이 아닌 항목을 클릭하여 해당 디바이스와 연결된 클라이언트에 대한 Rogue Clients List(불량 클라이언트 목록) 팝업을 엽니다.

그림 1: 보안 페이지 Security Page

Security(보안) 페이지의 Threats(위협) 탭에는 Rogue 및 Honeypot AP 목록이 표시됩니다. 목록 위의 해당 탭을 클릭하면 Neighbor AP, Approved AP, Clients 목록을 볼 수 있습니다.

메모:

이 페이지에서 이 정보를 보려면 사이트 또는 전체 조직에 대해 허니팟 및 비인가 AP에 대한 경고를 구성해야 합니다.

그림 2: 경고 페이지 Alerts Page Showing Detected Threats

AP 위협 방지 구성

사이트 설정에서 비인가, 이웃 및 허니팟 AP 탐지를 활성화하거나 비활성화할 수 있습니다. 또한 알려진 AP가 위협으로 잘못 분류되지 않도록 설정을 조정할 수도 있습니다.

AP 위협 방지 구성 방법:

Juniper Mist 포털의 왼쪽 메뉴에서 조직 > 관리자 > 사이트 구성을 선택합니다.
구성할 사이트를 클릭합니다.
보안 구성에서 필요에 따라 설정을 조정합니다.
- 비인가 및 이웃 AP 탐지이 옵션을 선택하면 Rogue 및 Neighbor 탐지가 활성화됩니다. 그런 다음 경고 모니터링 으로 이동하고 필요한 경고 유형을 선택하여 경고를 구성할 > 있습니다.
  
  탐지 임계값을 조정할 수 있습니다.
  - Neighbor RSSI Threshold(네이버 RSSI 임계값) - 이 임계값은 AP 신호의 강도를 기반으로 합니다. 예를 들어 기본 임계값이 -80dBm인 경우 Juniper Mist는 RSSI가 -80 이상인 AP를 무시합니다. 지원되는 범위는 -40dBm - -100dBm입니다.
  - Neighbor Time Threshold(인접 시간 임계값) - 이 임계값은 AP 신호의 지속 시간을 기반으로 합니다. 예를 들어, 신호가 잦아들고 약해질 때 Monitor > Alerts 페이지에서 인접 AP가 지속적으로 나타났다가 사라지는 경우 더 긴 시간 임계값을 설정할 수 있습니다. 그런 다음 지속적인 신호를 가진 AP만 잠재적 위협으로 탐지합니다.
- Detect Honeypot APs(허니팟 AP 탐지) - 허니팟 AP 탐지를 활성화하려면 이 옵션을 선택합니다(옵션은 기본적으로 선택됨). 검색된 허니팟에 대한 경고를 구성하려면 Monitor > Alerts(경고 모니터링)로 이동하여 수신할 경고를 선택합니다.
- Approved SSIDs and Approved BSSIDs(승인된 SSID 및 승인된 BSSID) - 근처에 있는 알려진 AP가 불필요하게 탐지되는 것을 방지하려면 해당 SSID 또는 BSSID를 쉼표(공백 없음)로 구분하여 입력합니다.
  
  이 필드에 와일드카드를 사용할 수 있습니다. 이 기능은 사용자가 Wi-Fi Direct를 통해 프린터 또는 TV에 연결할 때 볼 수 있듯이 유사한 이름을 가진 여러 SSID를 허용하려는 경우에 유용합니다. 예를 들어, 승인된 SSID 목록에 direct* 를 입력하면 Juniper Mist는 DIRECT-roku-123-44AABB 및 DIRECT-printer9999와 같은 SSID를 무시합니다. 마찬가지로 승인된 BSSID 필드는 부분 일치를 지원합니다(예: 'cc-73-*').
- Auto-Prevent Clients(클라이언트 자동 차단) - 여러 번의 권한 부여가 실패한 클라이언트로부터의 연결을 차단하려면 이 옵션을 선택합니다. 경고 페이지에는 802.11 인증 거부 및 차단됨: 반복된 권한 부여 실패와 같은 경고가 포함됩니다.
  
  필요에 따라 설정을 조정합니다.
  - 클라이언트가 WLAN과 연결할 수 없는 시간(초 )을 설정합니다. 예를 들어 기본 설정이 60초인 경우 클라이언트는 60초 동안 금지됩니다.
  - 자동 방지 작업을 트리거하는 인증 실패 횟수를 설정합니다. 예를 들어 기본 설정이 4인 경우 클라이언트는 4번 실패하면 금지됩니다.
사이트 구성 페이지의 오른쪽 상단 모서리에 있는 저장을 클릭합니다.

불량 찾기 및 제거

Juniper Mist™ 포털의 Site > Wireless > Security 페이지에서 네트워크에서 불량 클라이언트를 검색하고 제거할 수 있습니다.

다음 애니메이션은 불량 AP를 찾아 제거하는 방법을 보여줍니다. 기본적으로 Terminate(종료 ) 버튼을 클릭하면 근처에 있는 주니퍼 AP가 인증 해제 프레임을 비인가 클라이언트로 전송합니다. 비인가 클라이언트는 비인가 AP와의 연결을 통해 MAC 주소로 식별됩니다. 인증 해제 프레임은 요청이 아니라 알림이며, 불량 클라이언트는 삭제됩니다.

메모:

이러한 불량 클라이언트가 네트워크에 다시 연결되지 않도록 하려면 해당 클라이언트를 금지된 것으로 분류할 수 있으며, 사이트의 AP에서 다시 인증되지 않습니다. 반대로, 종료된 특정 클라이언트를 네트워크에서 다시 허용하려면 해당 클라이언트를 승인된 클라이언트로 분류할 수 있으며 AP는 인증 시도를 거부하지 않습니다. 도움이 필요하면 지정된 무선 클라이언트 분류, 승인 및 금지를 참조하십시오.

불량 AP를 찾아 제거하려면 다음을 수행합니다.

Juniper Mist 포털의 왼쪽 메뉴에서 Site > Wireless > Security를 선택합니다.
페이지 상단에서 드롭다운 목록을 사용하여 사이트를 선택합니다.

메모:
기간(지난 시간 또는 지난 24시간)을 조정할 수도 있습니다.
기본 옵션을 유지하여 위협 및 목록 보기를 표시합니다.
Threats(위협) 테이블에서 네트워크에서 제거할 비인가 AP를 찾습니다.
Action(작업) 열에서 action(작업) 버튼을 클릭한 다음 Terminate Rogue(Rogue 종료)를 클릭합니다.

지정된 무선 클라이언트를 분류, 승인, 금지합니다

네트워크를 보호하려면 이 기능을 사용하여 MAC 주소를 기반으로 액세스 포인트를 허용하거나 금지할 수 있습니다.

무선 보안 및 제어를 단순화하기 위해 금지하거나 승인할 무선 클라이언트를 식별할 수 있습니다.

AP 펌웨어 버전 0.9.x 이상을 사용하면 특정 사이트 또는 전체 조직에서 클라이언트를 금지하거나 승인할 수 있습니다.

분류 제한:

펌웨어 버전 0.14.x 이상—지정된 SSID에 대해 최대 512개의 클라이언트 분류를 관련 AP에 로컬로 저장할 수 있습니다(512개 이상은 클라우드에만 저장됨).
이전 펌웨어 버전 - 클라이언트 분류는 Mist 클라우드에 저장됩니다. 분류를 참조하고 적용하려면 AP가 클라우드에 연결되어 있어야 합니다.

승인 또는 금지할 클라이언트의 MAC 주소를 식별합니다.
팁:
먼저 승인하려는 클라이언트에 대해 이 절차를 수행합니다. 그런 다음 금지할 클라이언트에 대해 절차를 반복합니다.

Mist 포털에서 MAC 주소를 찾으려면 다음 방법 중 하나를 사용합니다.
- 클라이언트 > WiFi 클라이언트로 이동하여 클라이언트의 MAC 주소 클릭한 다음 복사합니다.
- Site > Wireless Security(사이트 무선보안)로 이동하여 불량 클라이언트를 찾은 다음 클라이언트 수 숫자를 클릭합니다. Rogue Clients List(불량 클라이언트 목록)가 나타나면 MAC 주소를 복사합니다.
팁:
여러 주소를 분류해야 하는 경우 텍스트 파일에 붙여넣습니다. 쉼표 또는 줄 바꿈을 사용하여 주소를 구분합니다. CSV 파일 확장자를 사용하여 파일을 다른 이름으로 저장합니다.
Site > Wireless > Security(무선 보안 사이트)로 이동하고 페이지 오른쪽 상단 모서리에 있는 View Client Classification(클라이언트 분류 보기) 버튼을 클릭합니다.
Approved(승인됨) 탭 또는 Prohibited(금지됨) 탭을 클릭합니다.
- 금지된 클라이언트: 네트워크에 연결하지 못하도록 하려는 클라이언트입니다. 이러한 클라이언트는 유효한 AP를 통해 시도하더라도 참여할 수 없습니다. 이 옵션을 선택하는 경우 차단을 구성하는 추가 단계도 완료합니다.
  
  승인된 클라이언트: 네트워크에서 허용하려는 클라이언트입니다. 이 기능은 이전에 비인가 AP를 통해 연결된 적법한 클라이언트가 비인가 AP를 제거했을 때 액세스 권한을 잃은 경우에 유용합니다. 합법적인 클라이언트를 승인 하면 유효한 AP를 통해 다시 연결하여 네트워크에 다시 연결할 수 있습니다.
MAC 주소 입력:
- 주소를 개별적으로 입력하려면 필드에 MAC 주소를 붙여넣거나 입력한 다음 +추가를 클릭합니다. 필요한 경우 이 단계를 반복합니다. 팝업 창 하단의 목록에 주소가 나타납니다. 완료되면 저장을 클릭합니다.
- CSV 파일의 주소 - Upload File(파일 업로드)을 클릭하고 파일을 선택하거나 드래그 앤 드롭한 다음 Upload(업로드)를 클릭합니다.
금지된 클라이언트 목록을 입력한 경우 다음 단계도 완료하여 AP와 연결되지 않도록 합니다.
1. 왼쪽 메뉴에서 사이트 > 무선 > WLAN을 선택합니다.
2. WLAN을 선택합니다.
3. 보안에서 금지된 클라이언트가 연결되지 않도록 방지를 선택합니다.
4. Edit WLAN(WLAN 편집) 창 하단에서 Save(저장)를 클릭합니다.
주의:

SSID에서 비인가 클라이언트를 금지하는 것은 클라이언트 차단이라는 더 큰 맥락에서 고려해야 합니다. 미국 연방통신위원회(FCC)의 Wi-Fi 차단 금지와 같은 관련 규정을 참조하세요.

이 페이지 내용

비인가 액세스 포인트, 네이버 액세스 포인트, 허니팟 액세스 포인트