- play_arrow 开始使用
- play_arrow 接入点
- 瞻博网络接入点概述
- 瞻博网络接入点端口及其用法
- 瞻博网络接入点的 PoE 要求
- play_arrow 接入点仪表板
- play_arrow 入职培训
- 请求有关新部署 Juniper Mist 设备的帮助
- 申请瞻博网络接入点
- 为站点分配接入点
- 启用配置持久性
- play_arrow 添加和缩放平面图
- play_arrow 将接入点添加到平面图
- 在Mist门户中重命名瞻博网络接入点
- 从清单中释放接入点
- play_arrow 升级瞻博网络接入点上的固件
- play_arrow 配置
- play_arrow 设备配置文件
- 接入点常见问题解答
- play_arrow 集成
- play_arrow WLAN 访客门户
- 比较 WLAN 访客门户选项
- 自动客户端 VLAN 分配
- play_arrow 自定义访客门户
- 使用外部门户进行访客访问
- play_arrow 使用身份提供商进行访客访问
- 授权、重新授权和重新连接来宾客户端
- 对无法正常工作的访客网络进行故障排除
- 常见问题解答:访客门户
- play_arrow 无线电管理
- play_arrow 无线 SLE
- play_arrow 故障 排除
- play_arrow 技术参考
恶意接入点、邻居接入点和蜜罐接入点
总结 了解您站点上或附近的未经授权的接入点构成的威胁。了解如何查看检测到的接入点列表,并采取措施应对这些威胁。
什么是恶意接入点、邻居接入点和蜜罐接入点?
恶意接入点、邻居接入点和蜜罐接入点 (AP) 是在网络上或附近运行的未经授权的设备,通常目的是欺骗用户连接到“虚假”接入点,以便窃取数据或监控通信。
恶意接入点 是指未经授权安装在有线网络上的任何无线接入点。通常,此 AP 通过以太网电缆连接到 LAN。流氓的意图可以是恶意的,例如非法访问网络,也可以是良性的,例如员工设置自己的 Wi-Fi 热点以覆盖感知到的死点。 恶意客户端 是已连接到恶意 AP 的用户。
邻居接入点未连接到您的网络,但瞻博网络 Mist 会在附近检测到它们。由于这些附近的 AP 通常具有较强的信号,因此客户端可能会连接到邻居 AP,假设它是您的并且是安全的。邻居接入点也可以成为您设施中的用户绕过网络安全限制的一种方式,例如流式传输音乐或访问被阻止的站点,或避免为服务付费。非恶意邻居接入点是来自其他组织的 SSID。换句话说,属于一个组织的合法 SSID 也将列为另一个组织的邻居。
蜜罐(也称为邪恶双胞胎)是未经授权的 AP,它们通告您的 SSID,通常目的是捕获客户端登录凭据。在这里,不良行为者可能会复制或接近您的 Wi-Fi 热点,欺骗您组织的登录屏幕,然后在毫无戒心的用户尝试登录“您的”网络时收集他们的用户名和密码。然后,不良行为者可以使用凭据登录到您的实际网络并造成他们想到的任何破坏。非恶意蜜罐是来自广播相同 WLAN 的其他组织的 SSID。
异常设备检测
瞻博网络接入点包括专用扫描无线电,用于检测和潜在恶意接入点及其客户端。专用扫描无线电可在 2.4、5 和 6 GHz Wi-Fi 频段上运行。它们提供用于接入点实时性能调整的数据,以及瞻博网络 Mist 用于站点范围优化的流遥测。
在瞻博网络 Mist 门户的“ 站点 > 无线> 安全性 ”页面提供了已检测到的所有异常接入点的列表。您可以向下钻取任何项目以查找连接到 AP 的物理位置、以太网连接和恶意客户端。 单击 “客户端数” 列中的非零条目,为与该设备关联的客户端打开“无管理系统客户端列表”弹出窗口。
“警报”页面还显示针对恶意接入点、邻居和蜜罐接入点的告警。
若要在此页上查看此信息,必须为站点或整个组织配置蜜罐和恶意 AP 警报。
查找和删除恶意程序
您可以在瞻博网络 Mist™ 门户的“ 站点 > 无线 > 安全 ”页面上发现并移除网络中的恶意客户端。
以下动画演示如何查找恶意 AP 并将其删除。基本上,当您单击 终止 按钮时,附近的瞻博网络接入点会向恶意客户端发送取消身份验证帧,这些帧通过与恶意接入点的关联,由其 MAC 地址识别。取消身份验证帧是通知,而不是请求,恶意客户端将被丢弃。
如果要防止这些流氓客户端重新加入网络,可以将它们归类为已禁止,并且站点中的任何AP都不会对其进行重新身份验证。相反,要允许某些已终止的客户端重新接入网络,您可以将它们分类为 已批准,并且 AP 不会拒绝身份验证尝试。有关帮助,请参阅 分类、批准和禁止指定的无线客户端。
要查找并移除恶意接入点,请执行以下操作: