Puntos de acceso rogue, neighbor y honeypot

¿Qué son los puntos de acceso rogue, neighbor y honeypot?

Los puntos de acceso (AP) no autorizados, vecinos y honeypot son dispositivos no autorizados que operan en su red o cerca de ella, a menudo con el objetivo de engañar a los usuarios para que se conecten al punto de acceso "falso" con el fin de robar datos o monitorear las comunicaciones.

Los puntos de acceso no autorizados son puntos de acceso inalámbricos instalados en su red por cable sin autorización. Normalmente, este AP se conecta a la LAN a través de un cable Ethernet. La intención de los pícaros puede ser maliciosa, como obtener acceso ilícito a la red, o benigna, como un empleado que configura su propio punto de acceso Wi-Fi para cubrir un punto muerto percibido. Los clientes no autorizados son usuarios que se han conectado a la AP no autorizada.
Los AP vecinos no están conectados a su red, pero Juniper Mist los detecta en las cercanías. Dado que estos puntos de acceso cercanos suelen tener una señal fuerte, es posible que los clientes se conecten al AP vecino, suponiendo que es suyo y que es seguro. Los puntos de acceso vecinos también pueden ser una forma para que los usuarios de sus instalaciones eludan las restricciones de seguridad en su red, como transmitir música en vivo o acceder a sitios bloqueados, o para evitar pagar por servicios. Los puntos de acceso vecinos no maliciosos son SSID de otra organización. En otras palabras, los SSID legítimos que pertenecen a una organización también se enumerarán como vecinos de otra organización.
Los honeypots, también conocidos como gemelos malvados, son puntos de acceso no autorizados que anuncian su SSID, generalmente con el objetivo de capturar las credenciales de inicio de sesión del cliente. Aquí, un mal actor puede copiar o aproximarse a su punto de acceso Wi-Fi, falsificar la pantalla de inicio de sesión de su organización y luego recopilar el nombre de usuario y la contraseña de usuarios desprevenidos mientras intentan iniciar sesión en "su" red. El mal actor puede usar las credenciales para iniciar sesión en su red real y causar los estragos que tenga en mente. Los honeypots no maliciosos son SSID de otra organización que difunden la misma WLAN.

Detección de dispositivos anómalos

Los puntos de acceso de Juniper incluyen una radio de escaneo dedicada para detectar puntos de acceso potencialmente maliciosos y sus clientes. Las radios de escaneo dedicadas operan en bandas Wi-Fi de 2,4, 5 y 6 GHz. Proporcionan datos para ajustes de rendimiento en tiempo real en la AP, así como transmisión de telemetría que Juniper Mist utiliza para optimizaciones en todo el sitio.

En el portal de Mist Juniper, la página de Seguridad Site > Wireless> proporciona una lista de todos los AP anómalos que se han detectado. Puede profundizar en cualquier elemento para encontrar la ubicación física, la conexión Ethernet y los clientes no autorizados conectados al AP. Haga clic en las entradas distintas de cero en la columna No. de clientes para abrir una ventana emergente de lista de clientes no autorizados para los clientes asociados con ese dispositivo.

Figura 1: Página Security Page

de Seguridad

La pestaña Amenazas en la página de Seguridad muestra una lista de AP Rogue y Honeypot. Para ver las listas de AP vecinos, AP aprobados y clientes , haga clic en la pestaña correspondiente situada encima de la lista.

Nota:

Para ver esta información en esta página, debe configurar alertas para puntos de acceso honeypot y no autorizados para el sitio o para toda la organización.

Figura 2: Página Alerts Page Showing Detected Threats

de alertas

Configurar la protección contra amenazas de AP

En la configuración del sitio, puede habilitar o deshabilitar la detección de AP no autorizados, vecinos y honeypot. También puede ajustar la configuración para evitar que los AP conocidos se clasifiquen erróneamente como amenazas.

Para configurar la protección contra amenazas de AP:

En el menú de la izquierda del portal de Mist de Juniper, seleccione Organización > administrador > Configuración del sitio.
Haga clic en el sitio que desea configurar.

En Configuración de seguridad, ajuste la configuración según sea necesario.

Security Configuration Section of the Site Configuration Page

Detectar AP no autorizados y vecinosSeleccione esta opción para habilitar la detección de Rogue y Neighbor. A continuación, puede configurar alertas yendo a Monitorear alertas > y seleccionando los tipos de alerta necesarios.

Puede ajustar los umbrales de detección:

Tabla 1: Opciones de umbral de detección
Opción	Descripción
Umbral RSSI de vecino	Este umbral se basa en la intensidad de la señal de AP. Por ejemplo, con el umbral predeterminado de -80 dBm, Juniper Mist ignora los AP con un RSSI de -80 o superior. El rango admitido es de -40 dBm a -100 dBm.
Umbral de tiempo del vecino	Este umbral se basa en la duración de la señal de AP. Por ejemplo, si observa que los AP vecinos aparecen y desaparecen constantemente de la página Alertas de > de monitoreo a medida que la señal aumenta y disminuye, puede establecer un umbral de tiempo más largo. Entonces, solo los puntos de acceso con señales duraderas se detectan como amenazas potenciales.
Detectar puntos de acceso honeypot	Seleccione esta opción para habilitar la detección de puntos de acceso honeypot (la opción está seleccionada de forma predeterminada). Para configurar alertas para honeypots detectados, vaya a Monitorear alertas > y seleccione las alertas que desea recibir.
SSID y BSSID aprobados	Para evitar la detección innecesaria de AP conocidos en su vecindad, ingrese sus SSID o BSSID separados por una coma (sin espacio). Puede usar comodines en estos campos. Esta función es útil si desea permitir varios SSID que tengan nombres similares, como puede ver cuando los usuarios se conectan a través de Wi-Fi Direct a impresoras o televisores. Por ejemplo, si ingresa direct* en la lista de SSID aprobados, Juniper Mist ignora los SSID, como DIRECT-roku-123-44AABB y DIRECT-printer9999. Del mismo modo, el campo BSSIDs aprobados admite la coincidencia parcial, por ejemplo "cc-73-".*
Clientes de prevención automática	: seleccione esta opción para evitar conexiones de clientes con varios errores de autorización. La página Alertas incluirá alertas como 802.11 Auth Denied y As Blocked: Repeat Authorization Failure. Ajuste la configuración según sea necesario: Establezca el número de segundos durante los cuales el cliente no puede asociarse con la WLAN. Por ejemplo, con la configuración predeterminada de 60 segundos, un cliente se bloquea durante 60 segundos. Establezca el número de errores de autenticación que desencadenan la acción de prevención automática. Por ejemplo, con la configuración predeterminada de 4, se prohíbe a un cliente después de fallar cuatro veces.

Haga clic en Guardar en la esquina superior derecha de la página Configuración del sitio.

Encuentra y elimina pícaros

Puede descubrir y eliminar clientes no autorizados de su red en el sitio > la página de > inalámbrico Seguridad del portal de Mist de Juniper™.

La siguiente animación muestra cómo encontrar puntos de acceso no autorizados y eliminarlos. Básicamente, cuando hace clic en el botón Terminar , los puntos de acceso de Juniper cercanos enviarán tramas de desautenticación a los clientes no autorizados, que se identifican por sus direcciones MAC a través de su asociación con el AP no autorizado. El marco de desautenticación es una notificación, no una solicitud, y el cliente no autorizado se eliminará.

Nota:

Si desea evitar que estos clientes no autorizados vuelvan a unirse a la red, puede clasificarlos como prohibidos y ningún AP del sitio los volverá a autenticar. Por el contrario, para permitir que ciertos clientes terminados vuelvan a la red, puede clasificarlos como aprobados y los AP no rechazarán el intento de autenticación. Para obtener ayuda, consulte Clasificar, aprobar y prohibir clientes inalámbricos designados.

Para buscar y eliminar puntos de acceso no autorizados:

En el menú de la izquierda del portal de Mist Juniper, seleccione Sitio > > inalámbrico Seguridad.
En la parte superior de la página, use la lista desplegable para seleccionar un sitio.

Nota:
También puede ajustar el período de tiempo (la última hora o las últimas 24 horas).
Mantenga las opciones predeterminadas para mostrar las amenazas y la vista de lista.
En la tabla Amenazas, busque el AP no autorizado que desea eliminar de la red.
En la columna Acción, haga clic en el botón de acción y, a continuación, haga clic en Terminar no autorizado.

Clasificar, aprobar y prohibir clientes inalámbricos designados

Para proteger su red, use esta función para permitir o prohibir puntos de acceso en función de sus direcciones MAC.

Para simplificar la seguridad y el control inalámbricos, puede identificar los clientes inalámbricos que desea prohibir o aprobar.

Con la versión 0.9.x o posterior del firmware de AP, los clientes pueden ser prohibidos o aprobados en un sitio específico o en toda la organización.

Limitaciones de clasificación:

Versión de firmware 0.14.x y posterior: se pueden almacenar hasta 512 clasificaciones de clientes para un SSID dado localmente, en los AP relevantes (más de 512 se almacenan solo en la nube).
Versiones de firmware anteriores: las clasificaciones de los clientes se almacenan en la nube de Mist. El AP debe estar conectado a la nube para hacer referencia a la clasificación y aplicarla.

Identifique las direcciones MAC de los clientes que desea aprobar o prohibir.
Propina:
Primero, realice este procedimiento para los clientes que desea aprobar. Luego repita el procedimiento para los clientes que desea prohibir.

Para buscar direcciones MAC en el portal de Mist, utilice uno de estos métodos:
- Vaya a Clientes > Clientes de Wi-Fi, haga clic en el dirección MAC del cliente y, a continuación, cópielo.
- Vaya a Sitio > Seguridad inalámbrica, busque el cliente no autorizado y haga clic en el número de recuento de clientes. Cuando aparezca la lista de clientes no autorizados, copie las direcciones MAC.
Propina:
Si necesita clasificar varias direcciones, péguelas en un archivo de texto. Use comas o saltos de línea para separar las direcciones. Guarde el archivo como con una extensión de archivo CSV.
Vaya a Sitio > > inalámbrico Seguridad y haga clic en el botón Ver clasificación de clientes en la esquina superior derecha de la página.
Haga clic en la pestaña Aprobado o en la pestaña Prohibido.
- Clientes prohibidos: clientes que desea evitar que se conecten a su red. Estos clientes no podrán unirse, incluso si lo intentan a través de un AP válido. Si elige esta opción, complete también los pasos adicionales para configurar la prohibición.
  
  Clientes aprobados: clientes que desea permitir en su red. Esta función es útil si un cliente legítimo se conectó previamente a través de un AP no autorizado y perdió el acceso cuando se eliminó el enrutador. Cuando aprueba a un cliente legítimo, este puede volver a unirse a la red reconectándose a través de un AP válido.
Ingrese la(s) dirección MAC(es):
- Para introducir direcciones individualmente, pegue o escriba una dirección MAC en el campo y, a continuación, haga clic en +Agregar. Repita este paso si es necesario. Las direcciones aparecen en una lista en la parte inferior de la ventana emergente. Cuando haya terminado, haga clic en Guardar.
- Direcciones en un archivo CSV: haga clic en Cargar archivo, seleccione o arrastre y suelte el archivo y, a continuación, haga clic en Cargar.
Si ingresó una lista de clientes prohibidos, también complete estos pasos para evitar que se asocien con sus AP.
1. En el menú de la izquierda, seleccione Site > Wireless > WLANs.
2. Seleccione la WLAN.
3. En Seguridad, seleccione Impedir que los clientes prohibidos se asocien.
4. Haga clic en Guardar en la parte inferior de la ventana Editar WLAN.
PRECAUCIÓN:

La prohibición de clientes no autorizados de un SSID debe considerarse en el contexto más amplio del bloqueo de clientes. Consulte las regulaciones aplicables, como la prohibición del bloqueo de Wi-Fi de la Comisión Federal de Comunicaciones de EE. UU.