불량, 이웃 및 허니팟 액세스 포인트

불량, 이웃 및 허니팟 액세스 포인트란 무엇입니까?

불량, 이웃 및 허니팟 액세스 포인트(AP)는 네트워크 위나 근처에서 작동하는 승인되지 않은 디바이스로, 데이터를 훔치거나 통신을 모니터링하기 위해 사용자를 속여 "허위" 액세스 포인트에 연결하도록 하는 것을 목표로 합니다.

불량 AP 는 허가 없이 유선 네트워크에 설치된 모든 무선 AP를 말합니다. 일반적으로 이 AP는 이더넷 케이블을 통해 LAN에 연결됩니다. 불량의 의도는 네트워크에 대한 불법 액세스를 얻으려는 것과 같이 악의적일 수도 있고, 직원이 인식된 사각지대를 커버하기 위해 자체 Wi-Fi 핫스팟을 설정하는 것과 같은 무해할 수도 있습니다. 불량 클라이언트 는 불량 AP에 연결된 사용자입니다.
이웃 AP가 네트워크에 연결되어 있지 않지만 주니퍼 Mist가 주변에서 감지합니다. 이러한 주변 AP는 일반적으로 강한 신호를 가지고 있기 때문에 클라이언트는 이웃 AP가 사용자의 것이고 안전하다고 가정하고 연결할 수 있습니다. 또한 인접 AP는 시설의 사용자가 음악 스트리밍 또는 차단된 사이트 액세스와 같은 네트워크의 보안 제한을 우회하거나 서비스 비용을 지불하지 않는 방법이 될 수 있습니다. 비악성 이웃 AP는 다른 조직의 SSID입니다. 즉, 한 조직에 속한 합법적인 SSID도 다른 조직의 이웃으로 나열됩니다.
Evil Twins라고도 알려진 허니팟은 일반적으로 클라이언트 로그인 자격 증명을 캡처하는 것을 목표로 SSID를 보급하는 승인되지 않은 AP입니다. 여기에서 악의적인 공격자는 Wi-Fi 핫스팟을 복사 또는 근사화하여 조직의 로그인 화면을 스푸핑한 다음 의심하지 않는 사용자가 "귀하의" 네트워크에 로그인하려고 시도할 때 사용자 이름과 암호를 수집할 수 있습니다. 그런 다음 악의적인 행위자는 자격 증명을 사용하여 실제 네트워크에 로그인하고 염두에 두고 있는 모든 혼란을 일으킬 수 있습니다. 악의적이지 않은 허니팟은 동일한 WLAN을 브로드캐스트하는 다른 조직의 SSID입니다.

이상 디바이스 탐지

주니퍼 AP에는 잠재적으로 악의적인 AP와 클라이언트를 탐지하기 위한 전용 스캐닝 라디오가 포함되어 있습니다. 전용 스캐닝 라디오는 2.4, 5, 6GHz Wi-Fi 대역에서 작동합니다. AP의 실시간 성능 조정을 위한 데이터는 물론 주니퍼 Mist가 사이트 전체의 최적화에 사용하는 스트리밍 텔레메트리도 제공합니다.

주니퍼 Mist 포털의 Site > Wireless> 보안 페이지는 탐지된 모든 이상 AP 목록을 제공합니다. 항목을 드릴다운하여 물리적 위치, 이더넷 연결 및 AP에 연결된 불량 클라이언트를 찾을 수 있습니다. Number of Clients(클라이언트 수) 열에서 0이 아닌 항목을 클릭하여 해당 디바이스와 연결된 클라이언트에 대한 Rogue Clients List(불량 클라이언트 목록) 팝업을 엽니다.

그림 1: 보안 페이지 Security Page

보안 페이지의 위협 탭에는 불량 및 허니팟 AP 목록이 표시됩니다. 목록 위의 해당 탭을 클릭하면 인접 AP, 승인된 AP 및 클라이언트 목록을 볼 수 있습니다.

참고:

이 페이지에서 이 정보를 보려면 사이트 또는 전체 조직에 대한 허니팟 및 불량 AP에 대한 경고를 구성해야 합니다.

그림 2: 경고 페이지 Alerts Page Showing Detected Threats

AP 위협 보호 구성

사이트 설정에서 불량, 이웃 및 허니팟 AP의 탐지를 활성화 또는 비활성화할 수 있습니다. 또한 알려진 AP가 위협으로 잘못 분류되지 않도록 설정을 조정할 수도 있습니다.

AP 위협 방지 구성:

주니퍼 Mist 포털의 왼쪽 메뉴에서 조직 > 관리 > 사이트 구성을 선택합니다.
구성할 사이트를 클릭합니다.

보안 구성에서 필요에 따라 설정을 조정합니다.

Security Configuration Section of the Site Configuration Page

불량 및 이웃 AP 탐지불량 및 이웃 감지를 활성화하려면 이 옵션을 선택합니다. 그런 다음 모니터링 > 경고로 이동하여 필요한 경고 유형을 선택하여 경고를 구성할 수 있습니다.

탐지 임계값을 조정할 수 있습니다.

표 1: 감지 임계값 옵션
옵션	설명
이웃 RSSI 임계값	이 임계값은 AP 신호의 강도를 기반으로 합니다. 예를 들어, 기본 임계값이 -80dBm인 경우 주니퍼 Mist는 RSSI가 -80 이상인 AP를 무시합니다. 지원되는 범위는 -40dBm에서 -100dBm입니다.
이웃 시간 임계값	이 임계값은 AP 신호의 지속 시간을 기반으로 합니다. 예를 들어, 신호가 오르락내리락할 때 Monitor > Alerts 페이지에서 이웃 AP가 끊임없이 나타났다가 사라지는 것을 발견하면 더 긴 시간 임계값을 설정할 수 있습니다. 그런 다음 지속적인 신호를 가진 AP만 잠재적 위협으로 탐지됩니다.
허니팟 AP 탐지	허니팟 AP 탐지를 활성화하려면 이 옵션을 선택합니다(옵션은 기본적으로 선택됨). 감지된 허니팟에 대한 경고를 구성하려면 모니터링 > 경고로 이동하여 수신할 경고를 선택합니다.
승인된 SSID 및 승인된 BSSID	주변에서 알려진 AP가 불필요하게 탐지되는 것을 방지하려면 SSID 또는 BSSID를 쉼표(공백 없음)로 구분하여 입력하십시오. 이 필드에서 와일드카드를 사용할 수 있습니다. 이 기능은 사용자가 Wi-Fi Direct를 통해 프린터 또는 TV에 연결할 때 볼 수 있는 것처럼 유사한 이름을 가진 여러 SSID를 허용하려는 경우에 유용합니다. 예를 들어 승인된 SSID 목록에 direct* 를 입력하면 주니퍼 Mist는 DIRECT-roku-123-44AABB 및 DIRECT-printer9999와 같은 SSID를 무시합니다. 마찬가지로 승인된 BSSID 필드는 부분 일치를 지원합니다(예: "cc-73-"*).
클라이언트 자동 방지	- 여러 권한 부여 실패가 있는 클라이언트와의 연결을 차단하려면 이 옵션을 선택합니다. 경고 페이지에는 802.11 인증 거부됨 및 차단됨: 반복된 권한 부여 실패와 같은 경고가 포함됩니다. 필요에 따라 설정을 조정합니다. 클라이언트가 WLAN과 연결할 수 없게 되는 시간(초 )을 설정합니다. 예를 들어 기본 설정인 60초에서는 클라이언트가 60초 동안 금지됩니다. 자동 방지 작업을 트리거하는 인증 실패 수를 설정합니다. 예를 들어 기본 설정 4에서는 클라이언트가 4번 실패한 후 금지됩니다.

사이트 구성 페이지의 오른쪽 상단 모서리에 있는 저장을 클릭합니다.

불량 찾기 및 제거

주니퍼 Mist™ 포털의 사이트 > 무선 > 보안 페이지에서 네트워크에서 불량 클라이언트를 검색하고 제거할 수 있습니다.

다음 애니메이션은 불량 AP를 찾아 제거하는 방법을 보여줍니다. 기본적으로 종료 버튼을 클릭하면 근처주니퍼 AP가 불량 클라이언트에 인증 해제 프레임을 전송하며, 이는 불량 AP과의 연결을 통해 MAC 주소로 식별됩니다. 인증 해제 프레임은 요청이 아닌 알림이며 불량 클라이언트는 삭제됩니다.

참고:

이러한 불량 클라이언트가 네트워크에 다시 합류하는 것을 막으려면 이러한 클라이언트를 금지된 것으로 분류할 수 있으며, 사이트의 어떤 AP에서도 재인증되지 않습니다. 반대로 종료된 특정 클라이언트가 네트워크에 다시 오도록 허용하려면 해당 클라이언트를 승인된 것으로 분류할 수 있으며 AP는 인증 시도를 거부하지 않습니다. 도움이 필요하면 지정 무선 클라이언트 분류, 승인 및 금지를 참조하십시오.

불량 AP를 찾아 제거하려면:

주니퍼 Mist 포털의 왼쪽 메뉴에서 사이트 > 무선 > 보안을 선택합니다.
페이지 맨 위에서 드롭다운 목록을 사용하여 사이트를 선택합니다.

참고:
기간(지난 시간 또는 지난 24시간)을 조정할 수도 있습니다.
위협 및 목록 보기를 표시하는 기본 옵션을 유지합니다.
위협 테이블에서 네트워크에서 제거하려는 불량 AP를 찾습니다.
작업 열에서 작업 단추를 클릭한 다음 비인증 종료를 클릭합니다.

지정 무선 클라이언트 분류, 승인, 차단

네트워크를 보호하려면 이 기능을 사용하여 MAC 주소를 기반으로 액세스 포인트를 허용하거나 금지합니다.

무선 보안 및 제어를 단순화하기 위해 금지하거나 승인하려는 무선 클라이언트를 식별할 수 있습니다.

AP 펌웨어 버전 0.9.x 이상을 사용하면 특정 사이트 또는 전체 조직에서 클라이언트를 금지하거나 승인할 수 있습니다.

분류 제한 사항:

펌웨어 버전 0.14.x 이상 - 주어진 SSID에 대한 최대 512개의 클라이언트 분류를 관련 AP에 로컬로 저장할 수 있습니다(512개 이상은 클라우드에만 저장됨).
이전 펌웨어 버전 - 클라이언트 분류는 Mist 클라우드에 저장됩니다. 분류를 참조하고 적용하려면 AP가 클라우드에 연결되어 있어야 합니다.

승인 또는 차단하려는 클라이언트의 MAC 주소를 식별합니다.
팁:
먼저 승인하려는 클라이언트에 대해 이 절차를 진행합니다. 그런 다음 차단하려는 클라이언트에 대해 절차를 반복합니다.

Mist 포털에서 MAC 주소를 찾으려면 다음 방법 중 하나를 사용합니다.
- 클라이언트> WiFi 클라이언트로 이동하여 클라이언트의 MAC 주소 클릭한 다음 복사합니다.
- Site > Wireless보안로 이동하여 불량 클라이언트를 찾은 다음 클라이언트 수 번호를 클릭합니다. 불량 클라이언트 목록이 나타나면 MAC 주소를 복사합니다.
팁:
여러 주소를 분류해야 하는 경우 텍스트 파일에 붙여넣습니다. 쉼표나 줄 바꿈을 사용하여 주소를 구분합니다. CSV 파일 확장자를 사용하여 파일을 저장합니다.
Site > Wireless > 보안으로 이동하고 페이지 오른쪽 상단 모서리에 있는 클라이언트 분류 보기 단추를 클릭합니다.
승인됨 탭 또는 금지됨 탭을 클릭합니다.
- 금지된 클라이언트 - 네트워크에 연결하지 못하도록 하려는 클라이언트입니다. 이러한 클라이언트는 유효한 AP를 통해 시도하더라도 가입할 수 없습니다. 이 옵션을 선택하는 경우 금지를 구성하는 추가 단계도 완료합니다.
  
  승인된 클라이언트 - 네트워크에 허용하려는 클라이언트입니다. 이 기능은 합법적인 클라이언트가 이전에 불량 AP를 통해 연결되었다가 불량이 제거되었을 때 액세스 권한을 잃은 경우에 유용합니다. 합법적인 클라이언트를 승인 하면 유효한 AP를 통해 다시 연결하여 네트워크에 다시 연결할 수 있습니다.
MAC 주소 입력:
- 주소를 개별적으로 입력하려면 필드에 MAC 주소를 붙여넣거나 입력한 다음 +추가를 클릭합니다. 필요한 경우 이 단계를 반복합니다. 주소가 팝업 창 하단의 목록에 나타납니다. 완료되면 저장을 클릭합니다.
- CSV 파일의 주소— 파일 업로드를 클릭하고 파일을 선택하거나 끌어다 놓은 다음 업로드를 클릭합니다.
금지된 클라이언트 목록을 입력한 경우, 다음 단계도 완료하여 해당 클라이언트가 AP와 연결되지 않도록 합니다.
1. 왼쪽 메뉴에서 사이트 > 무선 > WLAN을 선택합니다.
2. WLAN을 선택합니다.
3. 보안에서 금지된 클라이언트 연결 방지를 선택합니다.
4. WLAN 편집 창의 하단에 있는 저장을 클릭합니다.
주의:

SSID에서 불량 클라이언트를 금지하는 것은 클라이언트 차단이라는 더 큰 맥락에서 고려해야 합니다. 미국 연방통신위원회(U.S. Federal Communications Commission)의 Wi-Fi 차단 금지와 같은 관련 규정을 참조하십시오.

이 페이지의 내용