Puntos de acceso no autorizados, vecinos y honeypot

¿Qué son los puntos de acceso Rogue, Neighbor y Honeypot?

Los puntos de acceso (AP) no autorizados, vecinos y honeypot son dispositivos no autorizados que operan en o cerca de su red, a menudo con el objetivo de engañar a los usuarios para que se conecten al punto de acceso "falso" con el fin de robar datos o monitorear las comunicaciones.

Los puntos de acceso no autorizados son cualquier punto de acceso inalámbrico instalado en su red cableada sin autorización. Normalmente, este punto de acceso se conecta a la LAN a través de un cable Ethernet. La intención de los pícaros puede ser maliciosa, como obtener acceso ilícito a la red, o benigna, como que un empleado configure su propio punto de acceso Wi-Fi para cubrir un punto muerto percibido. Los clientes no autorizados son usuarios que se han conectado al punto de acceso no autorizado.
Los puntos de acceso vecinos no están conectados a su red, pero Juniper Mist los detecta en las cercanías. Debido a que estos puntos de acceso cercanos suelen tener una señal fuerte, los clientes pueden conectarse al punto de acceso vecino, suponiendo que sea suyo y seguro. Los puntos de acceso del vecino también pueden ser una forma para que los usuarios de sus instalaciones sorteen las restricciones de seguridad en su red, como transmitir música o acceder a sitios bloqueados, o para evitar pagar por los servicios. Los puntos de acceso vecinos no maliciosos son SSID de otra organización. En otras palabras, los SSID legítimos que pertenecen a una organización también se enumerarán como vecinos de otra organización.
Los honeypots, también conocidos como gemelos malvados, son puntos de acceso no autorizados que anuncian su SSID, generalmente con el objetivo de capturar las credenciales de inicio de sesión del cliente. Aquí, un mal actor puede copiar o aproximar su punto de acceso Wi-Fi, falsificar la pantalla de inicio de sesión de su organización y luego recopilar el nombre de usuario y la contraseña de usuarios desprevenidos mientras intentan iniciar sesión en "su" red. El mal actor puede usar las credenciales para iniciar sesión en su red real y causar cualquier estragos que tenga en mente. Los honeypots no maliciosos son SSID de otra organización que difunden la misma WLAN.

Detección de dispositivos anómalos

Los puntos de acceso de Juniper incluyen una radio de escaneo dedicada para detectar puntos de acceso potencialmente maliciosos y sus clientes. Las radios de escaneo dedicadas funcionan en las bandas Wi-Fi de 2,4, 5 y 6 GHz. Proporcionan datos para ajustes de rendimiento en tiempo real en el punto de acceso, así como telemetría de transmisión que Juniper Mist usa para optimizaciones en todo el sitio.

En el portal de Juniper Mist, la página Seguridad > del sitio > inalámbrico proporciona una lista de todos los puntos de acceso anómalos que se han detectado. Puede profundizar en cualquier elemento para encontrar la ubicación física, la conexión Ethernet y los clientes no autorizados conectados al punto de acceso. Haga clic en las entradas distintas de cero en la columna Nº de clientes para abrir una ventana emergente Lista de clientes no autorizados para los clientes asociados a ese dispositivo.

Figura 1: Página Security Page

de seguridad

La página Alertas también muestra alertas para puntos de acceso no autorizados, vecinos y honeypot.

Nota:

Para ver esta información en esta página, debe configurar alertas para honeypot y puntos de acceso no autorizados para el sitio o para toda la organización.

Figura 2: Página Alerts Page Showing Detected Threats

de alertas

Configurar la protección contra amenazas de AP

En la configuración de su sitio, puede habilitar o deshabilitar la detección de puntos de acceso no autorizados, vecinos y honeypot. También puede ajustar la configuración para evitar que los puntos de acceso conocidos se clasifiquen erróneamente como amenazas.

Para configurar la protección contra amenazas de AP:

En el menú izquierdo del portal de Juniper Mist, seleccione Organization > Admin > Site Configuration.
Haga clic en el sitio que desea configurar.
En Configuración de seguridad, ajuste la configuración según sea necesario.
- Detectar puntos de acceso no autorizados y vecinosSeleccione esta opción para activar la detección de no autorizados y vecinos. A continuación, puede configurar alertas yendo a Supervisar alertas > y seleccionando los tipos de alerta necesarios.
  
  Puede ajustar los umbrales de detección:
  - Umbral RSSI del vecino: este umbral se basa en la intensidad de la señal del AP. Por ejemplo, con el umbral predeterminado de -80 dBm, Juniper Mist ignora los AP con RSSI de -80 o superior. El rango admitido es de -40 dBm a -100 dBm.
  - Umbral de tiempo vecino: este umbral se basa en la duración de la señal del AP. Por ejemplo, si observa que los puntos de acceso vecinos aparecen y desaparecen constantemente de la página Monitorear alertas > a medida que la señal aumenta y disminuye, puede establecer un umbral de tiempo más largo. Entonces solo los puntos de acceso con señales duraderas se detectan como amenazas potenciales.
- Detectar puntos de acceso honeypot: seleccione esta opción para activar la detección de puntos de acceso honeypot (la opción está seleccionada de forma predeterminada). Para configurar alertas para honeypots detectados, vaya a Monitorear alertas de > y seleccione las alertas que desea recibir.
- SSID aprobados y BSSID aprobados: para evitar la detección innecesaria de puntos de acceso conocidos en su vecindad, ingrese sus SSID o BSSID, separados con una coma (sin espacio).
  
  Puede utilizar caracteres comodín en estos campos. Esta función es útil si desea permitir varios SSID que tengan nombres similares, como puede ver cuando los usuarios se conectan a través de Wi-Fi Direct a impresoras o televisores. Por ejemplo, si ingresa direct* en la lista de SSID aprobados, Juniper Mist ignora los SSID como DIRECT-roku-123-44AABB y DIRECT-printer9999. Del mismo modo, el campo BSSID aprobados admite coincidencias parciales, por ejemplo "cc-73-*".
- Evitar clientes automáticamente: seleccione esta opción para evitar conexiones de clientes con varios errores de autorización. La página Alertas incluirá alertas como 802.11 Auth Denied y As Blocked: Repeat Authorization Failure.
  
  Ajuste la configuración según sea necesario:
  - Establezca el número de segundos que el cliente no puede asociarse con la WLAN. Por ejemplo, con la configuración predeterminada de 60 segundos, un cliente queda bloqueado durante 60 segundos.
  - Establezca el número de errores de autenticación que desencadenan la acción de prevención automática. Por ejemplo, con la configuración predeterminada de 4, un cliente se bloquea después de fallar cuatro veces.
Haga clic en Guardar en la esquina superior derecha de la página Configuración del sitio.

Buscar y eliminar pícaros

Puede detectar y eliminar clientes no autorizados de su red en la página Site > Wireless > Security del portal de Juniper Mist™.

En la siguiente animación se muestra cómo buscar puntos de acceso no autorizados y eliminarlos. Básicamente, al hacer clic en el botón Finalizar , los puntos de acceso de Juniper cercanos enviarán tramas de desautenticación a los clientes no autorizados, que se identifican por sus direcciones MAC a través de su asociación con el punto de acceso no autorizado. El marco de desautenticación es una notificación, no una solicitud, y el cliente no autorizado se eliminará.

Nota:

Si desea evitar que estos clientes no autorizados se vuelvan a unir a la red, puede clasificarlos como prohibidos y ningún AP del sitio los volverá a autenticar. Por el contrario, para permitir que ciertos clientes terminados vuelvan a la red, puede clasificarlos como aprobados y los AP no rechazarán el intento de autenticación. Para obtener ayuda, consulte Clasificar, aprobar y prohibir clientes inalámbricos designados.

Para buscar y eliminar puntos de acceso no autorizados:

En el menú izquierdo del portal de Juniper Mist, seleccione Site > Wireless > Security.
En la parte superior de la página, utilice la lista desplegable para seleccionar un sitio.

Nota:
También puede ajustar el período de tiempo (la última hora o las últimas 24 horas).
Mantenga las opciones predeterminadas para mostrar la vista Amenazas y Lista.
En la tabla Amenazas, busque el punto de acceso no autorizado que desea eliminar de la red.
En la columna Acción, haga clic en el botón de acción y, a continuación, haga clic en Terminar no autorizado.

Clasificar, aprobar y prohibir clientes inalámbricos designados

Para proteger su red, utilice esta función para permitir o prohibir puntos de acceso en función de sus direcciones MAC.

Para simplificar la seguridad y el control inalámbricos, puede identificar los clientes inalámbricos que desea prohibir o aprobar.

Con la versión de firmware de AP 0.9.x o posterior, los clientes pueden ser prohibidos o aprobados desde un sitio específico o desde toda la organización.

Limitaciones de clasificación:

Versión de firmware 0.14.x y posteriores: se pueden almacenar localmente hasta 512 clasificaciones de cliente para un SSID determinado, en los AP relevantes (más de 512 solo se almacenan en la nube).
Versiones anteriores del firmware: las clasificaciones de los clientes se almacenan en la nube de Mist. El AP debe estar conectado a la nube para hacer referencia a la clasificación y aplicarla.

Identifique las direcciones MAC de los clientes que desea aprobar o prohibir.
Propina:
Primero, siga este procedimiento para los clientes que desea aprobar. A continuación, repita el procedimiento para los clientes que desea prohibir.

Para buscar direcciones MAC en el portal de Mist, utilice uno de estos métodos:
- Vaya a Clientes > clientes WiFi, haga clic en la dirección MAC del cliente y, a continuación, cópiela.
- Vaya a Site > WirelessSecurity, busque el cliente no autorizado y haga clic en el número de recuento de clientes. Cuando aparezca la Lista de clientes no autorizados, copie las direcciones MAC.
Propina:
Si necesita clasificar varias direcciones, péguelas en un archivo de texto. Utilice comas o saltos de línea para separar las direcciones. Guarde el archivo como con una extensión de archivo CSV.
Vaya a Site > Wireless > Security y haga clic en el botón Ver clasificación de clientes en la esquina superior derecha de la página.
Haga clic en la pestaña Aprobado o en la pestaña Prohibido.
- Clientes prohibidos: clientes que desea impedir que se conecten a la red. Estos clientes no podrán unirse, incluso si lo intentan a través de un AP válido. Si elige esta opción, complete también los pasos adicionales para configurar la prohibición.
  
  Clientes aprobados: clientes que desea permitir en su red. Esta función es útil si un cliente legítimo se conectó previamente a través de un punto de acceso no autorizado y perdió el acceso cuando se eliminó el pícreo. Cuando aprueba un cliente legítimo, puede volver a unirse a la red volviéndose a conectar a través de un AP válido.
Introduzca la(s) dirección(es) MAC:
- Para introducir direcciones individualmente, pegue o escriba una dirección MAC en el campo y, a continuación, haga clic en +Agregar. Repita este paso si es necesario. Las direcciones aparecen en una lista en la parte inferior de la ventana emergente. Cuando haya terminado, haga clic en Guardar.
- Direcciones en un archivo CSV: haz clic en Cargar archivo, selecciona o arrastra y suelta el archivo y, a continuación, haz clic en Cargar.
Si ingresó a una lista de clientes prohibidos, complete también estos pasos para evitar que se asocien con sus AP.
1. En el menú de la izquierda, seleccione Sitio > Redes inalámbricas > WLAN.
2. Seleccione la WLAN.
3. En Seguridad, seleccione Impedir que los clientes prohibidos se asocien.
4. Haga clic en Guardar en la parte inferior de la ventana Editar WLAN.
CAUTELA:

La prohibición de clientes no autorizados de un SSID debe considerarse en el contexto más amplio del bloqueo de clientes, lo que, en al menos un caso, ha dado lugar a acciones de la FCC contra el bloqueador. Los clientes prohibidos no podrán conectarse al AP de Juniper ni verán un mensaje o notificación que explique la causa.