Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

不正、ネイバー、ハニーポットアクセスポイント

概要 サイト上またはサイト付近の不正アクセス ポイントによる脅威を把握します。検出された AP のリストを表示し、これらの脅威に対処するための対策を講じる方法について説明します。

不正、ネイバー、ハニーポットアクセスポイントとは何ですか?

不正、ネイバー、およびハニーポットアクセスポイント(AP)は、ネットワーク上またはネットワークの近くで動作する不正なデバイスであり、多くの場合、データを盗んだり通信を監視したりするために、ユーザーをだまして「偽の」アクセスポイントに接続させることを目的としています。

  • 不正AP とは、許可なく有線ネットワークにインストールされた無線APのことです。通常、このAPはイーサネットケーブルを介してLANに接続されています。不正なユーザーの意図は、ネットワークへの不正アクセスを取得するなどの悪意のあるものもあれば、従業員がデッドスポットと認識された場所をカバーするために独自のWi-Fiホットスポットを設定するなどの無害なものがある場合もあります。 不正クライアント とは、不正 AP に接続したユーザです。

  • ネイバーAPはネットワークに接続されていませんが、Juniper MistがネイバーAPを近くで検知しています。通常、これらの近くのAPは強い信号を持っているため、クライアントは、ネイバーAPが自分のものであり、安全であると想定して、ネイバーAPに接続する可能性があります。ネイバーAPは、施設内のユーザーが、音楽のストリーミングやブロックされたサイトへのアクセスなど、ネットワーク上のセキュリティ制限を回避したり、サービスの支払いを回避したりするための方法にもなります。悪意のないネイバーAPは、別の組織のSSIDです。つまり、ある組織に属する正規の SSID は、別の組織のネイバーとしてもリストされます。

  • Evil Twinsとしても知られるハニーポットは、SSIDをアドバタイズする不正なAPであり、通常はクライアントのログイン資格情報を取得することを目的としています。ここでは、悪意のある人物がWi-Fiホットスポットをコピーまたは近似し、組織のログイン画面になりすまし、「あなたの」ネットワークにログインしようとする疑いを持たないユーザーのユーザー名とパスワードを収集する可能性があります。悪意のある人物は、資格情報を使用して実際のネットワークにログインし、彼らが考えている大混乱を引き起こす可能性があります。悪意のないハニーポットは、同じ WLAN をブロードキャストしている別の組織の SSID です。

異常デバイスの検知

ジュニパーAPには、悪意のある可能性のあるAPとそのクライアントを検出するための専用のスキャニング無線通信が含まれています。専用のスキャニング無線は、2.4、5、6 GHz Wi-Fi帯域で動作します。APでのリアルタイムなパフォーマンス調整のためのデータや、Juniper Mistがサイト全体の最適化に使用するストリーミングテレメトリを提供します。

Juniper Mistポータルの[Site > Wireless>セキュリティ]ページには、検出されたすべての異常APのリストが表示されます。任意の項目をドリルダウンして、物理的な場所、イーサネット接続、およびAPに接続されている不正クライアントを見つけることができます。 [No. of Clients]列のゼロ以外のエントリをクリックして、そのデバイスに関連付けられているクライアントの不正クライアントリストポップアップを開きます。

図1:セキュリティページの Security Page

[アラート(Alerts)] ページには、不正、ネイバー、およびハニーポット AP のアラートも表示されます。

手記:

このページでこの情報を表示するには、サイトまたは組織全体のハニーポットおよび不正 AP のアラートを設定する必要があります。

図 2: アラート ページ Alerts Page Showing Detected Threats

AP脅威対策を設定する

サイト設定で、不正 AP、ネイバー AP、およびハニーポット AP の検出を有効または無効にできます。また、既知のAPが脅威として誤って分類されないように設定を調整することもできます。

AP脅威対策を設定するには:

  1. Juniper Mistポータルの左側のメニューから、[組織] > [管理者] > [サイトの構成] を選択します。
  2. 構成するサイトをクリックします。
  3. [セキュリティ構成] で、必要に応じて設定を調整します。
    Security Configuration Section of the Site Configuration Page
    • 不正APおよびネイバーAPの検出不正とネイバーの検出を有効にするには、このオプションを選択します。その後、[>アラートの監視] に移動し、必要なアラートの種類を選択することで、アラートを構成できます。

      検出しきい値は、次のように調整できます。

      • ネイバーRSSIしきい値—このしきい値は、AP信号の強度に基づいています。例えば、デフォルトのしきい値が -80 dBm の場合、Juniper Mist は RSSI が -80 以上の AP を無視します。サポートされている範囲は -40 dBm から -100 dBm です。

      • ネイバータイムしきい値—このしきい値は、AP 信号の継続時間に基づいています。たとえば、信号の増減に伴い、ネイバー AP が [モニター > アラート( Monitor Alerts )] ページから絶えず表示および非表示になっていることに気付いた場合は、より長い時間のしきい値を設定できます。永続的な信号を持つAPのみが潜在的な脅威として検知されます。

    • ハニーポットAPの検出:ハニーポットAPの検出を無効にするには、このオプションを選択します。これが有効になっている場合は、[> アラートの監視] に移動し、必要なアラートの種類を選択することで、検出されたハニーポットのアラートを構成できます。

    • 承認済み SSID と承認済み BSSID - 近くにある既知の AP が不必要に検出されないように、SSID または BSSID をカンマ(スペースなし)で区切って入力します。

      これらのフィールドにはワイルドカードを使用できます。この機能は、ユーザーが Wi-Fi Direct 経由でプリンターやテレビに接続するときに表示される可能性があるように、類似した名前を持つ複数の SSID を許可する場合に便利です。例えば、[承認済み SSID] リストに 「direct* 」と入力すると、Juniper Mist は DIRECT-roku-123-44AABBDIRECT-printer9999 などの SSID を無視します。同様に、承認済み BSSID フィールドは、 "cc-73-*" などの部分一致をサポートしています。

    • [クライアントの自動防止(Auto-Prevent Clients)]:複数の認証に失敗したクライアントからの接続を防ぐには、このオプションを選択します。[アラート] ページには、[ 802.11 認証が拒否されました ] や [ ブロック済み: 承認エラーの繰り返し] などのアラートが表示されます。

      必要に応じて設定を調整します。

      • クライアントが WLAN にアソシエートできない秒数を設定します。たとえば、デフォルト設定の 60 秒では、クライアントは 60 秒間禁止されます。

      • 自動防止アクションをトリガーする 認証エラー の数を設定します。たとえば、既定の設定が 4 の場合、クライアントは 4 回失敗すると禁止されます。

  4. [サイトの構成] ページの右上隅にある [保存] をクリックします。

不正を見つけて削除する

Juniper Mist™ポータルの[ サイト > 無線 > セキュリティ ]ページで、ネットワークから不正なクライアントを検出して削除できます。

次のアニメーションは、不正な AP を見つけて削除する方法を示しています。基本的に、[ 終了(Terminate )] ボタンをクリックすると、近くにあるジュニパー AP が不正なクライアントに認証解除フレームを送信します。これらのフレームは、不正 AP との関連付けを通じて MAC アドレスによって識別されます。認証解除フレームは通知であり、要求ではないため、不正なクライアントはドロップされます。

手記:

これらの不正なクライアントがネットワークに再参加しないようにするには、禁止として分類することができ、サイト内のどの AP によっても再認証されません。逆に、終了した特定のクライアントをネットワークに戻すには、そのクライアントを 承認済みとして分類することができ、AP は認証の試みを拒否しません。ヘルプについては、「 指定されたワイヤレス クライアントを分類、承認、および禁止する」を参照してください。

不正な AP を見つけて削除するには、次の手順を実行します。

  1. Juniper Mistポータルの左側のメニューから、[サイト>無線>セキュリティ]を選択します。
  2. ページの上部にあるドロップダウン リストを使用して [サイト] を選択します。
    手記:

    期間(過去1時間または過去24時間)を調整することもできます。

  3. デフォルトのオプションのままにして、脅威とリストビューを表示します。
  4. 脅威 テーブルで、ネットワークから削除する不正 AP を見つけます。
  5. [アクション] 列で、アクション ボタンをクリックし、[不正の終了] をクリックします。
    Example: Threats Table and Action Button

指定されたワイヤレスクライアントの分類、承認、および禁止

概要 ネットワークを保護するには、この機能を使用して、MACアドレスに基づいてアクセスポイントを許可または禁止します。

ワイヤレスのセキュリティと制御を簡素化するために、禁止または承認するワイヤレス クライアントを特定できます。

APファームウェアバージョン0.9.x以降では、特定のサイトまたは組織全体からクライアントを禁止または承認できます。

分類の制限:

  • ファームウェア バージョン 0.14.x 以降:特定の SSID に対して最大 512 のクライアント分類をローカルの関連する AP に保存できます(512 を超えるものはクラウドにのみ保存されます)。

  • それ以前のファームウェアバージョン—クライアントの分類はMistクラウドに保存されます。APは、分類を参照して適用するためにクラウドに接続されている必要があります。

  1. 承認または禁止するクライアントの MAC アドレスを特定します。
    先端:

    まず、承認するクライアントに対してこの手順を実行します。次に、禁止するクライアントに対して手順を繰り返します。

    Mist ポータルで MAC アドレスを検索するには 、次のいずれかの方法 を使用します。

    • [クライアント] > [WiFi クライアント] に移動し、クライアントの MAC アドレスをクリックしてコピーします。

    • [サイト > ワイヤレスセキュリティ] に移動し、不正なクライアントを見つけて、クライアント カウント番号をクリックします。不正クライアントリストが表示されたら、MACアドレスをコピーします。

    先端:

    複数の住所を分類する必要がある場合は、テキスト ファイルに貼り付けます。アドレスを区切るには、コンマまたは改行を使用します。CSV ファイル拡張子を付けてファイルを保存します。

  2. [サイト > ワイヤレス > セキュリティ] に移動し、ページの右上隅にある [クライアント分類の表示] ボタンをクリックします。
  3. [承認済み] タブまたは [禁止] タブをクリックします。
    • 禁止されたクライアント - ネットワークに接続できないようにしたいクライアント。これらのクライアントは、有効なAP経由で試行しても参加できません。このオプションを選択した場合は、禁止を構成するための追加の手順も実行します。

      承認済みクライアント - ネットワークへのアクセスを許可するクライアント。この機能は、正規のクライアントが以前に不正な AP を介して接続していて、不正が削除されたときにアクセスを失った場合に便利です。正規のクライアントを 承認 すると、有効な AP 経由で再接続することで、そのクライアントはネットワークに再参加できます。

  4. MACアドレスを入力します。
    • アドレスを個別に入力するには、フィールドにMACアドレスを貼り付けるか入力し、[ +追加]をクリックします。必要に応じて、この手順を繰り返します。アドレスは、ポップアップ ウィンドウの下部にあるリストに表示されます。完了したら、[ 保存] をクリックします。

      Client Classification Window - Input Field and Add Button

    • CSV ファイル内の住所 - [ ファイルのアップロード] をクリックし、ファイルを選択またはドラッグ アンド ドロップして、[ アップロード] をクリックします。

      Client Classification Window - Upload File Button

  5. 禁止されたクライアントのリストを入力した場合は、次の手順も実行して、それらのクライアントが AP に関連付けられないようにします。
    1. 左側のメニューから、[サイト>ワイヤレス>WLAN]を選択します。
    2. WLAN を選択します。
    3. [セキュリティ] で、[禁止されたクライアントの関連付けを禁止する] を選択します。
    4. [WLANの編集]ウィンドウの下部にある[保存]をクリックします。
    注意:

    SSID から不正なクライアントを禁止することは、少なくとも 1 つのケースでブロッカーに対する FCC アクションにつながったクライアント ブロッキングという大きなコンテキストで検討する必要があります。禁止されたクライアントはジュニパーAPに接続できず、原因を説明するメッセージや通知も表示されません。