Frequenzbereich-Überwachung mit Access Point

Gilt für: WatchGuard Cloud-verwaltete Access Points (AP130, AP330, AP332CR, AP430CR, AP432)

Sie können Frequenzbereich-Überwachung aktivieren und Ihr Netzwerk auf folgende Wi-Fi-Bedrohungen scannen:

Rogue Access Point

Ein Rogue Access Point ist ein nicht autorisierter Access Point, der physisch mit Ihrem kabelgebundenen Netzwerk verbunden ist und WLAN-SSIDs aussendet, mit denen sich Ihre Clients eventuell anstatt mit Ihren legitimen Access Point-SSIDs verbinden.

  • Der Rogue Access Point könnte durch einen nicht autorisierten Benutzer installiert worden sein. Ihre WLAN-Clients könnten sich mit diesen Rogue Access Points anstatt mit Ihren autorisierten, verwalteten Access Points verbinden und ungeschützte Daten übermitteln.
  • Bei dem Rogue Access Point könnte es sich um ein Gerät handeln, das von einer Person innerhalb Ihrer Organisation ohne explizite Zustimmung im Netzwerk installiert wurde, oder es könnte ein für Tests eingerichtetes Gerät sein. Diese Access Points stellen Sicherheitsrisiken für Ihr Netzwerk dar, wenn sie falsch konfiguriert oder die erforderlichen Schutzfunktionen nicht aktiviert sind.
  • Bei dem Gerät könnte es sich um einen legitimen Access Point in Ihrem Netzwerk handeln, der auf Ihrer Liste der vertrauenswürdigen Access Points nicht konfiguriert ist.

Vermuteter Rogue Access Point

Bei einem vermuteten Rogue Access Point könnte es sich um einen nicht autorisierten Access Point handeln, der physisch mit Ihrem kabelgebundenen Netzwerk verbunden ist, oder es könnte auch ein legitimer Access Point sein.

  • Ein vermuteter Rogue Access Point könnte ein nicht autorisierter Access Point sein, der mit Ihrem kabelgebundenen Netzwerk verbunden ist und SSIDs aussendet, mit denen sich Ihre Clients eventuell anstatt mit Ihren legitimen Access Point-SSIDs verbinden werden.
  • Bei dem Gerät könnte es sich auch um einen legitimen Access Point in Ihrem Netzwerk handeln, der auf Ihrer Liste der vertrauenswürdigen Access Points nicht konfiguriert ist.

Evil Twin Access Point

Ein Evil Twin ist ein nahe gelegener und in Ihrem Frequenzbereich arbeitender Access Point, der denselben SSID-Namen wie Ihre verwalteten Access Points aussendet, um sich als legitimer Access Point in Ihrem Netzwerk auszugeben.

  • Der Evil Twin könnte von einem nicht autorisierten Benutzer in der Nähe Ihres Netzwerks eingerichtet worden sein.
  • WLAN-Clients könnten sich mit diesem Evil Twin Access Point anstatt mit Ihren legitimen verwalteten Access Points verbinden und ungeschützte Daten übermitteln.
  • Bei dem Gerät könnte es sich auch um einen legitimen Access Point in Ihrem Netzwerk handeln, der auf Ihrer Liste der vertrauenswürdigen Access Points nicht konfiguriert ist.

Für den Scan nach Evil Twin-Access Points ist ein AP330 oder AP430CR mit einem speziellen scanfähigen Sender erforderlich.

Berichte und Warnmeldungen zur Frequenzbereich-Überwachung

Sie können im Bericht zur Frequenzbereich-Überwachung eine Zusammenfassung der erkannten Sicherheitsbedrohungen anzeigen. Weitere Informationen finden Sie unter Bericht zur Frequenzbereich-Überwachung.

Wenn WatchGuard Cloud einen bösartigen Access Point erkennt, können Sie für dieses Ereignis eine Warnmeldungsbenachrichtigung generieren lassen, damit Sie Maßnahmen ergreifen und die Bedrohung untersuchen, identifizieren und entfernen können. Weitere Informationen zum Erstellen einer Warnmeldungsbenachrichtigung für Ereignisse der Frequenzbereich-Überwachung finden Sie unter Warnmeldungen der Frequenzbereich-Überwachung.

Bevor Sie beginnen

Die Frequenzbereich-Überwachung erfordert:

  • Eine WatchGuard USP Wi-Fi Management-Lizenz
  • Access Point-Firmware v2.0 oder höher auf allen Access Points
  • AP330 oder AP430CR mit scanfähigem Sender für die Erkennung von Evil Twins ist erforderlich. Alle anderen Access Point-Modelle der Wi-Fi in WatchGuard Cloud können nur Rogue und vermutete Rogue Access Points erkennen, die physisch mit dem Netzwerk verbunden sind. Für größere Bereitstellungen empfehlen wir Ihnen, mindestens einen Access Point mit einem scanfähigen Sender für je 3 bis 5 Access Points einzusetzen.
  • Einen für Ihre Access Points konfigurierten NTP-Server (Netzwerkzeitprotokoll). NTP ist für genaues Scannen und Detektieren erforderlich. Der für Access Points konfigurierte Standard-Server lautet pool.ntp.org. Soweit in Ihrem Netzwerk vorhanden, empfehlen wir Ihnen einen internen NTP-Server oder einen zuverlässigen regionalen NTP-Server festzulegen.

Stellen Sie sicher, dass alle WatchGuard-Access Points in Ihrem Netzwerk auf Firmware v2.0 oder höher upgegradet sind, bevor Sie die Frequenzbereich-Überwachung aktivieren. Dies stellt sicher, dass alle verwalteten Access Points in Ihrem Netzwerk richtig identifiziert sind und am Sicherheitsscan teilnehmen können.

Funktionsweise der Frequenzbereich-Überwachung

Die Frequenzbereich-Überwachung nutzt WatchGuards patentierte Identifizierungstechnologie, um Ihr kabelgebundenes Netzwerk und Ihren Funkfrequenzbereich auf Rogue, vermutete Rogue und Evil Twin Access Points zu scannen.

WatchGuard-Access Points können bösartige APs ausschließlich in dem Netzwerk erkennen, mit dem sie verbunden sind. Sie können keine bösartigen APs in anderen Netzwerken bzw. VLANs erkennen.

Rogue Access Point Detection

Ein Rogue Access Point ist ein nicht autorisierter Access Point, der physisch mit Ihrem kabelgebundenen Netzwerk verbunden ist und WLAN-SSIDs aussendet, mit denen sich Ihre Clients eventuell anstatt mit Ihren legitimen Access Point-SSIDs verbinden.

Diagram of Rogue Access Point detection with Airspace Monitoring

Alle über die WatchGuard Cloud verwalteten Access Point-Modelle von WatchGuard können Rogue und vermutete Rogue Access Points in Ihrem Netzwerk erkennen.

  • WatchGuard-Access Points scannen das kabelgebundene Netzwerk auf Access Points, die physisch mit dem Netzwerk verbunden sind, und sie scannen auch Ihren Funkfrequenzbereich auf SSIDs, die von diesen Access Points ausgesendet werden.
  • WatchGuard Cloud kann die MAC-Adressen der erkannten kabelgebundenen und WLAN-Schnittstellen korrelieren, um zu ermitteln, ob es sich bei dem Access Point um einen Rogue Access Point handelt.
  • Können die MAC-Adressen nicht sicher zugeordnet werden, wird der Access Point als vermuteter Rogue Access Point eingestuft, was bedeutet, dass es sich um ein nicht autorisiertes Gerät handeln könnte, das Sie überprüfen müssen. Bei dem Access Point könnte es sich auch um ein legitimes Gerät handeln, das Sie nicht zu Ihrer Liste Vertrauenswürdige Access Points hinzugefügt haben.

Evil Twin Access Point Detection

Ein Evil Twin ist ein naher und in Ihrem Frequenzbereich arbeitender Access Point (nicht mit Ihrem kabelgebundenen Netzwerk verbunden), der denselben SSID-Namen wie Ihre verwalteten Access Points aussendet, um sich als legitimer Access Point in Ihrem Netzwerk auszugeben.

Diagram of Evil Twin Access Point detection with Airspace Monitoring

  • Nur WatchGuard-Access Points mit einem scanfähigen Sender (AP330 und AP430CR) können Evil Twin Access Points erkennen, die in Ihrem Funkfrequenzbereich arbeiten.
  • WatchGuard Cloud nutzt eine patentierte, signaturbasierte Identifizierung, um zu ermitteln, ob es sich bei einem Access Point um einen Evil Twin und nicht um einen bekannten, von WatchGuard verwalteten oder einen vertrauenswürdigen Access Point handelt.
  • Bei dem Gerät könnte es sich auch um einen legitimen Access Point in Ihrem Netzwerk handeln, der auf Ihrer Liste der vertrauenswürdigen Access Points nicht konfiguriert ist.

Vertrauenswürdige Access Points

Dank der patentierten Identifizierungstechnologie von WatchGuard generiert WatchGuard Cloud keine Sicherheitswarnmeldungen für vertrauenswürdige WLAN-Geräte.

Folgende WatchGuard-Geräte werden automatisch als vertrauenswürdige Access Points identifiziert:

  • Von WatchGuard Cloud verwaltete WatchGuard-Access Points
  • Von WatchGuard Cloud verwaltete WLAN-Fireboxen

Verwaltete Access Points und WLAN-Fireboxen müssen im selben WatchGuard Cloud-Konto sein.

Sie können die MAC-Adressen weiterer Geräte in Ihrem Netzwerk, die Sie für verwaltete, vertrauenswürdige Geräte halten, zur Liste Vertrauenswürdige Access Points hinzufügen.

Beispielsweise können Sie die MAC-Adressen bekannter Geräte als vertrauenswürdige Access Points hinzufügen, wie z. B. andere WatchGuard-Produkte und Access Points von Drittanbietern. Weitere Informationen finden Sie unter Vertrauenswürdige Access Points konfigurieren.

Frequenzbereich-Überwachung konfigurieren

So konfigurieren Sie die Frequenzbereich-Überwachung für einen Access Point:

  1. Wählen Sie Konfigurieren > Geräte.
  2. Wählen Sie einen Cloud-verwalteten Access Point.
  3. Wählen Sie Gerätekonfiguration.
  4. Wählen Sie in der Kachel Einstellungen die Option Erweiterte Einstellungen.
  5. Aktivieren Sie Frequenzbereich-Überwachung.
  6. Speichern Sie die Konfiguration.
  7. Stellen Sie die Konfiguration für Ihren Access Point bereit.

Screenshot of the access point Airspace Monitoring settings in WatchGuard Cloud

Wir empfehlen Ihnen die Konfiguration der Frequenzbereich-Überwachung in einer Access Point Site vorzunehmen und diese auf mehrere Access Points anzuwenden. Weitere Informationen finden Sie unter Über Access Point Sites.

Vertrauenswürdige Access Points konfigurieren

Alle von Ihnen in WatchGuard Cloud verwalteten Access Points und WLAN-Fireboxen von WatchGuard gelten standardmäßig als vertrauenswürdige Access Points. Dank der patentierten Identifizierungstechnologie von WatchGuard generiert WatchGuard Cloud keine Sicherheitswarnmeldungen für Geräte, die Sie in Ihrem WatchGuard Cloud-Konto verwalten.

Sie können die MAC-Adressen weiterer mit Ihrem Netzwerk verbundener Access Points hinzufügen, die Sie als vertrauenswürdige Access Points klassifizieren möchten. Zum Beispiel:

  • Von WatchGuard Wi-Fi Cloud verwaltete Wi-Fi 5 Access Points
  • Von einem Gateway Wireless Controller auf einer Firebox verwaltete Wi-Fi 5 Access Points
  • Nicht von WatchGuard Cloud verwaltete WLAN-Fireboxen
  • Access Points von Drittanbietern

Achten Sie darauf, sowohl die MAC-Adresse des Access Points im kabelgebundenen Ethernet als auch alle BSSID MAC-Adressen des WLAN-Netzwerks hinzuzufügen, die vom Access Point gesendet werden, um Meldungen in Bezug auf Rogue und Evil Twin Access Points zu vermeiden.

Zum Hinzufügen von MAC-Adressen vertrauenswürdiger Access Points klicken Sie auf MAC-Adresse hinzufügen. Wenn Sie fertig sind, klicken Sie auf Hinzufügen, um die Liste der vertrauenswürdigen Access Points zu speichern.

Zum Hochladen einer Liste mit mehreren MAC-Adressen klicken Sie auf Liste der MAC-Adressen importieren.

Screenshot of the Import MAC Address List dialog box

Sie können eine Liste der MAC-Adressen in das Feld ziehen oder die Datei mit der Liste der MAC-Adressen auswählen.

Die Datei mit der Liste der MAC-Adressen muss im Format mit kommagetrennten Werten (CSV) vorliegen und eine MAC-Adresse sowie eine optionale Beschreibung beinhalten.

Um beispielsweise Adressen mit einer Beschreibung zu importieren:

00:aa:00:bb:00:c1, Description
00:aa:00:bb:00:c2, Description

Um Adressen ohne eine Beschreibung zu importieren:

00:aa:00:bb:00:c1
00:aa:00:bb:00:c2

Um Adressen mit und ohne Beschreibung zu importieren:

00:aa:00:bb:00:c1, Description
00:aa:00:bb:00:c2
00:aa:00:bb:00:c3, Description
00:aa:00:bb:00:c4

Wenn die importierte Datei analysiert ist, können Sie die MAC-Adressen für den Import auswählen. Mit einem Klick auf Speichern importieren Sie die MAC-Adressen.

Screenshot of the Trusted Access Poiints import settings

Fehlersuche bei der Frequenzbereich-Überwachung

Falls Sie nach der Aktivierung der Frequenzbereich-Überwachung falsch-positive Warnmeldungen für bekannte Access Points erhalten, die als Rogue, Vermuteter Rogue oder Evil Twin-Access Point erkannt werden, untersuchen Sie Folgendes:

  • Stellen Sie sicher, dass alle Ihre Access Points auf Firmware v2.0 oder höher upgegradet sind.
  • Stellen Sie sicher, dass Frequenzbereich-Überwachung auf allen Access Points aktiviert ist. Wir empfehlen Ihnen die Verwendung von Access Point Sites, um die Konfiguration auf mehrere Access Points anzuwenden.
  • Stellen Sie sicher, dass die Konfiguration korrekt auf den Access Point bereitgestellt ist. Weitere Informationen finden Sie unter Bereitstellungsverlauf für einen Access Point.
  • Stellen Sie sicher, dass alle Access Points so konfiguriert sind, dass sie denselben NTP-Server abfragen. Die Standardeinstellung ist pool.ntp.org. Stellen Sie sicher, dass die Verbindung zum NTP-Server funktionsbereit ist. Falls verfügbar, empfehlen wir Ihnen die Nutzung eines internen NTP-Servers, oder sonst einen zuverlässigen NTP-Server in der Region.
  • Stellen Sie sicher, dass nicht von Ihnen in WatchGuard Cloud verwaltete Geräte in Ihrer Liste Vertrauenswürdiger Access Point konfiguriert sind.

Related Topics

Bericht zur Frequenzbereich-Überwachung

Warnmeldungen der Frequenzbereich-Überwachung

Erweiterte Geräteeinstellungen von Access Points konfigurieren