Frequenzbereich-Überwachung mit Access Point

Gilt für: WatchGuard Cloud-verwaltete Access Points (AP130, AP230W, AP330, AP332CR, AP430CR, AP432)

Zum Scannen Ihres Netzwerks auf folgende bösartige Access Points können Sie die Frequenzbereich-Überwachung auf Ihren Access Points aktivieren:

Rogue-Access Point

Ein Rogue-Access Point ist ein nicht autorisierter Access Point, der physisch mit Ihrem kabelgebundenen Netzwerk verbunden ist und WLAN-SSIDs aussendet, mit denen sich Ihre Clients eventuell anstatt mit Ihren legitimen Access Point-SSIDs verbinden.

  • Der Rogue-Access Point könnte durch einen nicht autorisierten Benutzer installiert worden sein. Ihre WLAN-Clients könnten sich mit diesen Rogue-Access Points anstatt mit Ihren autorisierten, verwalteten Access Points verbinden und ungeschützte Daten übermitteln.
  • Bei dem Rogue-Access Point könnte es sich um ein Gerät handeln, das von einer Person innerhalb Ihrer Organisation ohne explizite Zustimmung im Netzwerk installiert wurde, oder es könnte ein für Tests eingerichtetes Gerät sein. Diese Access Points stellen Sicherheitsrisiken für Ihr Netzwerk dar, wenn sie falsch konfiguriert oder die erforderlichen Schutzfunktionen nicht aktiviert sind.
  • Bei dem Gerät könnte es sich um einen legitimen Access Point in Ihrem Netzwerk handeln, der auf Ihrer Liste der vertrauenswürdigen Access Points nicht konfiguriert ist.

Vermuteter Rogue-Access Point

Bei einem vermuteten Rogue-Access Point könnte es sich um einen nicht autorisierten Access Point handeln, der physisch mit Ihrem kabelgebundenen Netzwerk verbunden ist, oder es könnte auch ein legitimer Access Point sein.

  • Ein vermuteter Rogue-Access Point könnte ein nicht autorisierter Access Point sein, der mit Ihrem kabelgebundenen Netzwerk verbunden ist und SSIDs aussendet, mit denen sich Ihre Clients eventuell anstatt mit Ihren legitimen Access Point-SSIDs verbinden werden.
  • Bei dem Gerät könnte es sich auch um einen legitimen Access Point in Ihrem Netzwerk handeln, der auf Ihrer Liste der vertrauenswürdigen Access Points nicht konfiguriert ist.

Evil Twin-Access Point

Ein Evil Twin ist ein nahe gelegener und in Ihrem Frequenzbereich arbeitender Access Point, der denselben SSID-Namen wie Ihre verwalteten Access Points aussendet, um sich als legitimer Access Point in Ihrem Netzwerk auszugeben.

  • Der Evil Twin könnte von einem nicht autorisierten Benutzer in der Nähe Ihres Netzwerks eingerichtet worden sein.
  • WLAN-Clients könnten sich mit diesem Evil Twin-Access Point anstatt mit Ihren legitimen verwalteten Access Points verbinden und ungeschützte Daten übermitteln.
  • Bei dem Gerät könnte es sich auch um einen legitimen Access Point in Ihrem Netzwerk handeln, der auf Ihrer Liste der vertrauenswürdigen Access Points nicht konfiguriert ist.

Für den Scan auf Evil Twin-Access Points ist ein AP230W, AP330 oder AP430CR mit einem speziellen scanfähigen Sender erforderlich.

Berichte und Warnmeldungen zur Frequenzbereich-Überwachung

Sie können im Bericht zur Frequenzbereich-Überwachung eine Zusammenfassung der erkannten Bedrohungen durch bösartige Access Points anzeigen. Weitere Informationen finden Sie unter Bericht über Frequenzbereich-Überwachung mit Access Point.

Wenn WatchGuard Cloud einen bösartigen Access Point erkennt, können Sie für dieses Ereignis eine Warnmeldungsbenachrichtigung generieren lassen, damit Sie Maßnahmen ergreifen und die Bedrohung untersuchen, identifizieren und entfernen können. Weitere Informationen zum Erstellen einer Warnmeldungsbenachrichtigung für Ereignisse der Frequenzbereich-Überwachung finden Sie unter Warnmeldungen der Frequenzbereich-Überwachung.

Frequenzbereich-Überwachung und ThreatSync

Einige der hier beschriebenen Funktionen sind nur für Teilnehmende am Programm ThreatSync Beta verfügbar. Ist eine der hier beschriebenen Funktionen in Ihrer Version der WatchGuard Cloud nicht vorhanden, handelt es sich um eine Beta-Funktion.

Sie können die Frequenzbereich-Überwachung von Access Points mit ThreatSync integrieren. ThreatSync ist ein WatchGuard Cloud-Dienst, der die Technologie eXtended Detection and Response (Erweiterte Erkennung und Bekämpfung von Bedrohungen, XDR) für WatchGuard-Geräte und -Produkte bereitstellt. Sie können in ThreatSync Vorfallswarnungen erhalten, wenn die Frequenzbereich-Überwachung bösartige Access Points wie Rogue- und Evil Twin-Access Points erkennt.

Mit der ThreatSync-Integration können Sie auch Reaktionsmaßnahmen gegen diese Bedrohungsvorfälle in ThreatSync durchführen, um die WLAN-Verbindungen von Clients zu bedrohten Access Points zu blockieren oder bekannten Access Points in Ihrer Bereitstellung vertrauen.

  • Um Daten an ThreatSync senden zu können, müssen Access Points Firmware v2.0 oder höher ausführen.
  • Um ThreatSync-Reaktionsmaßnahmen zum Blockieren von WLAN-Client-Verbindungen zu bösartigen Access Points auszuführen, müssen die Access Points mit Firmware v2.7 und höher ausgeführt werden.
  • Für die Drahtlos-Erkennung von Evil Twins und ThreatSync-Reaktionsmaßnahmen zum Blockieren von Verbindungen zu bösartigen Access Points ist ein AP230W, AP330 oder AP430CR mit einem speziellen scanfähigen Sender erforderlich.

Weitere Informationen finden Sie unter Über ThreatSync.

Bevor Sie beginnen

Die Frequenzbereich-Überwachung erfordert:

  • Eine WatchGuard USP Wi-Fi Management-Lizenz
  • Access Point-Firmware v2.0 oder höher auf allen Access Points
  • Access Point-Firmware v2.7 oder höher bei Integration mit ThreatSync, um Reaktionsmaßnahmen durchzuführen und WLAN-Client-Verbindungen zu Rogue- und Evil Twin-Access Points zu blockieren.
  • Für die Drahtlos-Erkennung von Evil Twins und ThreatSync-Reaktionsmaßnahmen zum Blockieren von WLAN-Client-Verbindungen zu bösartigen Access Points ein AP230W, AP330 oder AP430CR mit einem speziellen scanfähigen Sender.
  • Alle anderen Access Point-Modelle der Wi-Fi in WatchGuard Cloud können nur Rogue und vermutete Rogue-Access Points erkennen, die physisch mit dem Netzwerk verbunden sind.
  • Für größere Bereitstellungen empfehlen wir Ihnen, mindestens einen Access Point mit einem speziellen Scan-Sender für je 3 bis 5 Access Points einzusetzen.
  • Einen für Ihre Access Points konfigurierten NTP-Server (Netzwerkzeitprotokoll). NTP ist für genaues Scannen und Detektieren erforderlich. Die für Access Points konfigurierten Standardserver sind 0.pool.ntp.org, 1.pool.ntp.org, 2.pool.ntp.org. Soweit in Ihrem Netzwerk vorhanden, empfehlen wir Ihnen einen internen NTP-Server oder einen zuverlässigen regionalen NTP-Server festzulegen.

Funktionsweise der Frequenzbereich-Überwachung

Die Frequenzbereich-Überwachung nutzt WatchGuards patentierte Identifizierungstechnologie, um Ihr kabelgebundenes Netzwerk und Ihren Funkfrequenzbereich auf Rogue-, Vermutete Rogue- und Evil Twin-Access Points zu scannen.

WatchGuard-Access Points können bösartige Access Points ausschließlich in dem Netzwerk erkennen, mit dem sie verbunden sind. Sie können keine bösartigen Access Points in anderen Netzwerken bzw. VLANs erkennen.

Rogue-Access Point Detection

Ein Rogue-Access Point ist ein nicht autorisierter Access Point, der physisch mit Ihrem kabelgebundenen Netzwerk verbunden ist und WLAN-SSIDs aussendet, mit denen sich Ihre Clients eventuell anstatt mit Ihren legitimen Access Point-SSIDs verbinden.

Diagram of Rogue-Access Point detection with Airspace Monitoring

Alle über die WatchGuard Cloud verwalteten Access Point-Modelle von WatchGuard können Rogue und vermutete Rogue-Access Points in Ihrem Netzwerk erkennen.

  • WatchGuard-Access Points scannen das kabelgebundene Netzwerk auf Access Points, die physisch mit dem Netzwerk verbunden sind, und sie scannen auch Ihren Funkfrequenzbereich auf SSIDs, die von diesen Access Points ausgesendet werden.
  • WatchGuard Cloud kann die MAC-Adressen der erkannten kabelgebundenen und WLAN-Schnittstellen korrelieren, um zu ermitteln, ob es sich bei dem Access Point um einen Rogue-Access Point handelt.
  • Können die MAC-Adressen nicht sicher zugeordnet werden, wird der Access Point als vermuteter Rogue-Access Point eingestuft, was bedeutet, dass es sich um ein nicht autorisiertes Gerät handeln könnte, das Sie überprüfen müssen. Bei dem Access Point könnte es sich auch um ein legitimes Gerät handeln, das Sie nicht zu Ihrer Liste Vertrauenswürdige Access Points hinzugefügt haben.

Evil Twin-Access Point Erkennung

Ein Evil Twin ist ein naher und in Ihrem Frequenzbereich arbeitender Access Point (nicht mit Ihrem kabelgebundenen Netzwerk verbunden), der denselben SSID-Namen wie Ihre verwalteten Access Points aussendet, um sich als legitimer Access Point in Ihrem Netzwerk auszugeben.

Diagram of Evil Twin Access Point detection with Airspace Monitoring

  • Nur WatchGuard-Access Points mit einem Scan-Sender (AP230W, AP330 und AP430CR) können Evil Twin Access Points erkennen, die in Ihrem Funkfrequenzbereich arbeiten.
  • WatchGuard Cloud nutzt eine patentierte, signaturbasierte Identifizierung, um zu ermitteln, ob es sich bei einem Access Point um einen Evil Twin und nicht um einen bekannten, von WatchGuard verwalteten oder einen vertrauenswürdigen Access Point handelt.
  • Bei dem Gerät könnte es sich auch um einen legitimen Access Point in Ihrem Netzwerk handeln, der auf Ihrer Liste der vertrauenswürdigen Access Points nicht konfiguriert ist.

Vertrauenswürdige Access Points

Dank der patentierten Identifizierungstechnologie von WatchGuard generiert WatchGuard Cloud keine Sicherheitswarnmeldungen für vertrauenswürdige WLAN-Geräte.

Folgende WatchGuard-Geräte werden automatisch als vertrauenswürdige Access Points identifiziert:

  • Von WatchGuard Cloud verwaltete WatchGuard-Access Points
  • Von WatchGuard Cloud verwaltete WLAN-Fireboxen

Verwaltete Access Points und WLAN-Fireboxen müssen im selben WatchGuard Cloud-Konto sein.

Sie können die MAC-Adressen weiterer Geräte in Ihrem Netzwerk, die Sie für verwaltete, vertrauenswürdige Geräte halten, zur Liste Vertrauenswürdige Access Points hinzufügen.

Beispielsweise können Sie die MAC-Adressen bekannter Geräte als vertrauenswürdige Access Points hinzufügen, wie z. B. andere WatchGuard-Produkte und Access Points von Drittanbietern. Weitere Informationen finden Sie unter Vertrauenswürdige Access Points konfigurieren.

Sie können auch auf Access Points vertrauen, wenn Sie einen ThreatSync-Vorfall auf die Erkennung bösartiger Access Points überprüfen. Weitere Informationen finden Sie unter Vorfallsdetails prüfen und Vertrauenswürdige Access Points in ThreatSync konfigurieren.

Frequenzbereich-Überwachung konfigurieren

So konfigurieren Sie die Frequenzbereich-Überwachung für einen Access Point:

  1. Wählen Sie Konfigurieren > Geräte.
  2. Wählen Sie einen Cloud-verwalteten Access Point.
  3. Wählen Sie Gerätekonfiguration.
  4. Wählen Sie in der Kachel Einstellungen die Option Erweiterte Einstellungen.
  5. Aktivieren Sie Frequenzbereich-Überwachung.
  6. Speichern Sie die Konfiguration.
  7. Stellen Sie die Konfiguration für Ihren Access Point bereit.

Screenshot of the access point Airspace Monitoring settings in WatchGuard Cloud

Wir empfehlen Ihnen die Konfiguration der Frequenzbereich-Überwachung in einer Access Point Site vorzunehmen und diese auf mehrere Access Points anzuwenden. Weitere Informationen finden Sie unter Über Access Point Sites.

Vertrauenswürdige Access Points konfigurieren

Alle von Ihnen in WatchGuard Cloud verwalteten Access Points und WLAN-Fireboxen von WatchGuard gelten standardmäßig als vertrauenswürdige Access Points. Dank der patentierten Identifizierungstechnologie von WatchGuard generiert WatchGuard Cloud keine Sicherheitswarnmeldungen für Geräte, die Sie in Ihrem WatchGuard Cloud-Konto verwalten.

Sie können die MAC-Adressen weiterer mit Ihrem Netzwerk verbundener Access Points hinzufügen, die Sie als vertrauenswürdige Access Points klassifizieren möchten. Beispiel:

  • Von WatchGuard Wi-Fi Cloud verwaltete Wi-Fi 5 Access Points
  • Von einem Gateway Wireless Controller auf einer Firebox verwaltete Wi-Fi 5 Access Points
  • Nicht von WatchGuard Cloud verwaltete WLAN-Fireboxen
  • Access Points von Drittanbietern

Achten Sie darauf, sowohl die MAC-Adresse des Access Points im kabelgebundenen Ethernet als auch alle BSSID MAC-Adressen des WLAN-Netzwerks hinzuzufügen, die vom Access Point gesendet werden, um Meldungen in Bezug auf Rogue und Evil Twin-Access Points zu vermeiden.

Zum Hinzufügen von MAC-Adressen vertrauenswürdiger Access Points klicken Sie auf MAC-Adresse hinzufügen. Wenn Sie fertig sind, klicken Sie auf Hinzufügen, um die Liste der vertrauenswürdigen Access Points zu speichern.

Zum Hochladen einer Liste mit mehreren MAC-Adressen klicken Sie auf Liste der MAC-Adressen importieren.

Screenshot of the Import MAC Address List dialog box

Sie können eine Liste der MAC-Adressen in das Feld ziehen oder die Datei mit der Liste der MAC-Adressen auswählen.

Die Datei mit der Liste der MAC-Adressen muss im Format mit kommagetrennten Werten (CSV) vorliegen und eine MAC-Adresse sowie eine optionale Beschreibung beinhalten.

Um beispielsweise Adressen mit einer Beschreibung zu importieren:

00:aa:00:bb:00:c1,Description
00:aa:00:bb:00:c2,Description

Um Adressen ohne eine Beschreibung zu importieren:

00:aa:00:bb:00:c1
00:aa:00:bb:00:c2

Um Adressen mit und ohne Beschreibung zu importieren:

00:aa:00:bb:00:c1,Description
00:aa:00:bb:00:c2
00:aa:00:bb:00:c3,Description
00:aa:00:bb:00:c4

Wenn die importierte Datei analysiert ist, können Sie die MAC-Adressen für den Import auswählen. Mit einem Klick auf Speichern importieren Sie die MAC-Adressen.

Screenshot of the Trusted Access Poiints import settings

Fehlersuche bei der Frequenzbereich-Überwachung

Falls Sie nach der Aktivierung der Frequenzbereich-Überwachung falsch-positive Warnmeldungen für bekannte Access Points erhalten, die als Rogue, Vermuteter Rogue oder Evil Twin-Access Point erkannt werden, untersuchen Sie Folgendes:

  • Stellen Sie sicher, dass alle Ihre Access Points auf Firmware v2.0 oder höher upgegradet sind. Um bei Integration mit ThreatSync Reaktionsmaßnahmen gegen bösartige Access Points ausführen zu können, müssen die Access Points mit Firmware v2.7 oder höher laufen.
  • Stellen Sie sicher, dass Frequenzbereich-Überwachung auf allen Access Points aktiviert ist. Wir empfehlen Ihnen die Verwendung von Access Point Sites, um die Konfiguration auf mehrere Access Points anzuwenden.
  • Stellen Sie sicher, dass die Konfiguration korrekt auf den Access Point bereitgestellt ist. Weitere Informationen finden Sie unter Bereitstellungsverlauf für einen Access Point.
  • Stellen Sie sicher, dass alle Access Points so konfiguriert sind, dass sie denselben NTP-Server abfragen. Die Standardeinstellung ist pool.ntp.org. Stellen Sie sicher, dass die Verbindung zum NTP-Server funktionsbereit ist. Falls verfügbar, empfehlen wir Ihnen die Nutzung eines internen NTP-Servers, oder sonst einen zuverlässigen NTP-Server in der Region.
  • Stellen Sie sicher, dass nicht von Ihnen in WatchGuard Cloud verwaltete, vertrauenswürdige WLAN-Geräte in Ihrer Liste Vertrauenswürdiger Access Point konfiguriert sind.

Ähnliche Themen

Bericht über Frequenzbereich-Überwachung mit Access Point

Warnmeldungen der Frequenzbereich-Überwachung

Erweiterte Geräteeinstellungen von Access Points konfigurieren

Über ThreatSync

Vertrauenswürdige Access Points in ThreatSync konfigurieren

Vorfallsdetails prüfen