不正、ネイバー、ハニーポットアクセスポイント
概要 サイト上またはサイト付近の不正アクセス ポイントによる脅威を把握します。検出された AP のリストを表示し、これらの脅威に対処するための対策を講じる方法について説明します。
不正、ネイバー、ハニーポットアクセスポイントとは何ですか?
不正、ネイバー、およびハニーポットアクセスポイント(AP)は、ネットワーク上またはネットワークの近くで動作する不正なデバイスであり、多くの場合、データを盗んだり通信を監視したりするために、ユーザーをだまして「偽の」アクセスポイントに接続させることを目的としています。
-
不正AP とは、許可なく有線ネットワークにインストールされた無線APのことです。通常、このAPはイーサネットケーブルを介してLANに接続されています。不正なユーザーの意図は、ネットワークへの不正アクセスを取得するなどの悪意のあるものもあれば、従業員がデッドスポットと認識された場所をカバーするために独自のWi-Fiホットスポットを設定するなどの無害なものがある場合もあります。 不正クライアント とは、不正 AP に接続したユーザです。
-
ネイバーAPはネットワークに接続されていませんが、Juniper MistがネイバーAPを近くで検知しています。通常、これらの近くのAPは強い信号を持っているため、クライアントは、ネイバーAPが自分のものであり、安全であると想定して、ネイバーAPに接続する可能性があります。ネイバーAPは、施設内のユーザーが、音楽のストリーミングやブロックされたサイトへのアクセスなど、ネットワーク上のセキュリティ制限を回避したり、サービスの支払いを回避したりするための方法にもなります。悪意のないネイバーAPは、別の組織のSSIDです。つまり、ある組織に属する正規の SSID は、別の組織のネイバーとしてもリストされます。
-
Evil Twinsとしても知られるハニーポットは、SSIDをアドバタイズする不正なAPであり、通常はクライアントのログイン資格情報を取得することを目的としています。ここでは、悪意のある人物がWi-Fiホットスポットをコピーまたは近似し、組織のログイン画面になりすまし、「あなたの」ネットワークにログインしようとする疑いを持たないユーザーのユーザー名とパスワードを収集する可能性があります。悪意のある人物は、資格情報を使用して実際のネットワークにログインし、彼らが考えている大混乱を引き起こす可能性があります。悪意のないハニーポットは、同じ WLAN をブロードキャストしている別の組織の SSID です。
異常デバイスの検知
ジュニパーAPには、悪意のある可能性のあるAPとそのクライアントを検出するための専用のスキャニング無線通信が含まれています。専用のスキャニング無線は、2.4、5、6 GHz Wi-Fi帯域で動作します。APでのリアルタイムなパフォーマンス調整のためのデータや、Juniper Mistがサイト全体の最適化に使用するストリーミングテレメトリを提供します。
Juniper Mistポータルの[Site > Wireless>セキュリティ]ページには、検出されたすべての異常APのリストが表示されます。任意の項目をドリルダウンして、物理的な場所、イーサネット接続、およびAPに接続されている不正クライアントを見つけることができます。 [No. of Clients]列のゼロ以外のエントリをクリックして、そのデバイスに関連付けられているクライアントの不正クライアントリストポップアップを開きます。
[アラート(Alerts)] ページには、不正、ネイバー、およびハニーポット AP のアラートも表示されます。
このページでこの情報を表示するには、サイトまたは組織全体のハニーポットおよび不正 AP のアラートを設定する必要があります。
AP脅威対策を設定する
サイト設定で、不正 AP、ネイバー AP、およびハニーポット AP の検出を有効または無効にできます。また、既知のAPが脅威として誤って分類されないように設定を調整することもできます。
AP脅威対策を設定するには:
不正を見つけて削除する
Juniper Mist™ポータルの[ サイト > 無線 > セキュリティ ]ページで、ネットワークから不正なクライアントを検出して削除できます。
次のアニメーションは、不正な AP を見つけて削除する方法を示しています。基本的に、[ 終了(Terminate )] ボタンをクリックすると、近くにあるジュニパー AP が不正なクライアントに認証解除フレームを送信します。これらのフレームは、不正 AP との関連付けを通じて MAC アドレスによって識別されます。認証解除フレームは通知であり、要求ではないため、不正なクライアントはドロップされます。
これらの不正なクライアントがネットワークに再参加しないようにするには、禁止として分類することができ、サイト内のどの AP によっても再認証されません。逆に、終了した特定のクライアントをネットワークに戻すには、そのクライアントを 承認済みとして分類することができ、AP は認証の試みを拒否しません。ヘルプについては、「 指定されたワイヤレス クライアントを分類、承認、および禁止する」を参照してください。
不正な AP を見つけて削除するには、次の手順を実行します。
指定されたワイヤレスクライアントの分類、承認、および禁止
概要 ネットワークを保護するには、この機能を使用して、MACアドレスに基づいてアクセスポイントを許可または禁止します。
ワイヤレスのセキュリティと制御を簡素化するために、禁止または承認するワイヤレス クライアントを特定できます。
APファームウェアバージョン0.9.x以降では、特定のサイトまたは組織全体からクライアントを禁止または承認できます。
分類の制限:
-
ファームウェア バージョン 0.14.x 以降:特定の SSID に対して最大 512 のクライアント分類をローカルの関連する AP に保存できます(512 を超えるものはクラウドにのみ保存されます)。
-
それ以前のファームウェアバージョン—クライアントの分類はMistクラウドに保存されます。APは、分類を参照して適用するためにクラウドに接続されている必要があります。