Bericht zur Frequenzbereich-Überwachung

Gilt für: WatchGuard Cloud-verwaltete Access Points (AP130, AP330, AP332CR, AP430CR, AP432) Dieses Thema gilt für Wi-Fi 6 Access Points, die Sie in WatchGuard Cloud verwalten (AP130, AP330, AP430CR, AP432).

Der Bericht über die Frequenzbereich-Überwachung zeigt erkannte Sicherheitsprobleme in Ihrem WLAN-Netzwerk auf, wie Rogue-, Vermutete Rogue- und Evil-Twin-Access Points.

Damit ein Access Point das Netzwerk scannen und Berichte zu Bedrohungen erstellen kann, müssen Sie die Frequenzbereich-Überwachung für das Gerät aktivieren. Weitere Informationen finden Sie unter Frequenzbereich-Überwachung mit Access Point.

Das System kann keine aktiven Abwehrmaßnahmen ergreifen, um Verbindungen zum bedrohlichen Access Point zu verhindern oder bereits mit dem bedrohlichen Access Point verbundene WLAN-Clients zu trennen.

So zeigen Sie den Bericht zur Frequenzbereich-Überwachung in WatchGuard Cloud an:

1. Wählen Sie Überwachen > Geräte.
2. Wählen Sie einen Ordner mit Ihren Access Points.

Zur Anzeige des Berichts zur Frequenzbereich-Überwachung müssen Sie einen Geräte-Ordner mit Ihren Access Points wählen, da WatchGuard Cloud für die Bedrohungserkennung alle Access Points nutzt.

3. Wählen Sie im Menü GeräteAccess Points > Frequenzbereich-Überwachung.

Bei der erstmaligen Aktivierung der Frequenzbereich-Überwachung kann der Scan der Wired- und WLAN-Netzwerke einige Minuten dauern. Es werden erst dann Daten angezeigt, wenn WatchGuard Cloud eine Sicherheitsbedrohung erkennt.

• Um den Datumsbereich für den Bericht auszuwählen, klicken Sie auf .
• Wählen Sie aus der Dropdown-Liste Access Point einen spezifischen Access Point zur Anzeige aus oder wählen Sie Alle Access Points.
• Mit einem Klick auf laden Sie den Bericht im CSV-Format herunter.

Informationen zum Planen eines Berichts finden Sie unter WatchGuard Cloud-Berichte planen.

Details des Berichts zur Frequenzbereich-Überwachung

Der Bericht zur Frequenzbereich-Überwachung enthält ein Balkendiagramm der erkannten Rogue, vermuteten Rogue und Evil Twin Access Points.

Die Tabelle beinhaltet folgende Daten:

• MAC-Adresse der Bedrohung — Die MAC-Adresse der kabelgebundenen oder funkgestützten Schnittstellen des erkannten bösartigen Geräts. Ein Symbol zeigt an, ob es sich bei der MAC-Adresse um eine kabelgebundene oder WLAN-Schnittstelle handelt. Es kann weitere MAC-Adressen bzw. BSSID zur eindeutigen Identifizierung eines WLAN-Zugangspunktes geben.
• Typ — Der Typ der erkannten Bedrohung, wie Rogue AP, vermuteter Rogue AP oder Evil Twin. Weitere Informationen finden Sie unter Über Bedrohungstypen.
• Bedrohungsgrund — Gibt den Grund für die Einstufung eines Geräts anhand des Signaturstatus als bösartig an.
• Keiner — Dieser Status wird für Rogue und vermutete Rogue Access Points angezeigt, die durch eine Korrelation der Wired- und WLAN-MAC-Adressen erkannt wurden und nicht durch die Erkennung einer Evil Twin-Signatur.
• Keine Signatur erkannt — Vom Evil Twin-Gerät wurde keine Signatur erkannt, die auf ein ordnungsgemäß in WatchGuard Cloud verwaltetes Gerät von WatchGuard oder ein anderes vertrauenswürdiges Gerät hinweist.
• Ungültige Signatur erkannt — Bei einem Gerät wird eine ungültige Signatur erkannt. Dies deutet darauf hin, dass die Signatur fehlerhaft ist oder manipuliert sein könnte.
• Es wird eine Signatur mit ungültigem Zeitstempel erkannt - Auf dem Gerät wird eine Signatur erkannt, aber es gibt Unstimmigkeiten beim Zeitstempel, was auf eine mögliche Manipulation der Signatur hinweist und diese damit ungültig macht. Dies könnte auch auf Diskrepanzen mit der NTP-Server-Kommunikation hindeuten. Achten Sie darauf, dass alle Ihre Access Points einen zuverlässigen, regionalen NTP-Server für die zeitliche Synchronisierung all Ihrer Geräte nutzen.
• IP-Adresse der Bedrohung — Die IP-Adresse des erkannten bösartigen Geräts. Die IP-Adresse der potenziellen Bedrohung wird nur für Rogue und vermutete Rogue Access Points angezeigt. Evil Twin Access Points werden durch die BSSID-MAC-Adressen der WLAN-Schnittstellen identifiziert.
• Zeitpunkt der erstmaligen Erkennung — Datum und Uhrzeit, zu der das bösartige Gerät erstmals im Netzwerk erkannt wurde.
• Zeitpunkt der letztmaligen Erkennung — Datum und Uhrzeit, zu der das bösartige Gerät letztmalig im Netzwerk erkannt wurde.
• SSID des bösartigen Geräts — Die vom erkannten bösartigen Gerät ausgesendete SSID.
• Sicherheit des bösartigen Geräts — Der vom erkannten bösartigen Gerät verwendete Sicherheitsmodus, beispielsweise WPA2 Personal Mode.
• RSSI (Empfangsfeldstärke-Anzeiger) — Die Signalstärke des erkannten bösartigen Access Points in dBm. Je näher der Wert bei 0 dBm liegt, desto stärker ist das Signal. Zum Beispiel ist -60 dBm eine bessere Signalstärke als -75 dBm. Verwenden Sie die RSSI des erkannten bösartigen Geräts von denjenigen Access Points, die das Gerät erkannt haben, um den Standort der Bedrohung zu schätzen.
• Protokoll des bösartigen Geräts — Das vom erkannten bösartigen Gerät verwendete WLAN-Protokoll, beispielsweise 802.11ax.
• Erkannt von Gerätename — Der Name des WatchGuard-Access Points, der das bösartige Gerät erkannt hat.
• Erkannt von MAC-Adresse — Die MAC-Adresse des WatchGuard-Access Points, der das bösartige Gerät erkannt hat.
• Erkannt von Seriennummer — Die Seriennummer des WatchGuard-Access Points, der das bösartige Gerät erkannt hat.

Über Bedrohungstypen

Ein bösartiger Access Point kann zu einem der folgenden Typen gehören:

Rogue Access Point

Ein Rogue Access Point ist ein nicht autorisierter Access Point, der physisch mit Ihrem kabelgebundenen Netzwerk verbunden ist und WLAN-SSIDs aussendet, mit denen sich Ihre Clients eventuell anstatt mit Ihren legitimen Access Point-SSIDs verbinden.

• Der Rogue Access Point könnte durch einen nicht autorisierten Benutzer installiert worden sein.
• Der Rogue Access Point könnte von einer Person innerhalb Ihrer Organisation ohne explizite Zustimmung in Ihrem Netzwerk installiert worden sein, oder es könnte ein für Tests eingerichtetes Gerät sein. Diese Access Points stellen Sicherheitsrisiken für Ihre Netzwerke dar, wenn sie falsch konfiguriert oder die erforderlichen Schutzfunktionen nicht aktiviert sind.
• Anhand der erfassten RSSI (Signalstärke) und der Standorte Ihrer Access Points, die die Bedrohung erkannt haben, können Sie den Ort des Bedrohungsgeräts näherungsweise bestimmen. Diese Informationen sind im Bericht zur Frequenzbereich-Überwachung und in der Warnmeldungsbenachrichtigung zum Gerätealarm enthalten. Weitere Informationen finden Sie unter Bericht zur Frequenzbereich-Überwachung oder Warnmeldungen der Frequenzbereich-Überwachung.
• Falls Sie das bösartige Gerät nicht lokalisieren können, können Sie den Rogue Access Point durch die Deaktivierung von Switch-Ports oder das Blockieren von MAC-Adressen auf Ihrem Netzwerk-Switch vom Netzwerk isolieren.

Vermuteter Rogue Access Point

Ein vermuteter Rogue Access Point könnte ein nicht autorisierter Access Point sein, der mit Ihrem kabelgebundenen Netzwerk verbunden ist und WLAN-SSIDs aussendet, mit denen sich Ihre Clients eventuell anstatt mit Ihren legitimen Access Point-SSIDs verbinden werden.

Bei dem Gerät könnte es sich auch um ein legitimes Gerät in Ihrem Netzwerk handeln, das auf Ihrer Liste der vertrauenswürdigen Access Points nicht konfiguriert ist.

• Das Gerät könnte von einer Person aus Ihrer Organisation ohne explizite Zustimmung in Ihrem Netzwerk installiert worden sein, oder es könnte ein für Tests eingerichtetes Gerät sein. Diese Access Points stellen Sicherheitsrisiken für Ihre Netzwerke dar, wenn sie falsch konfiguriert oder die erforderlichen Schutzfunktionen nicht aktiviert sind.
• Falls der Access Point nicht autorisiert ist, trennen Sie ihn vom Netzwerk.
• Wenn es sich bei dem Gerät um einen legitimen Access Point handelt, stellen Sie sicher, dass Sie die MAC-Adresse der kabelgebundenen LAN-Schnittstelle und etwaige WLAN-BSSID-Adressen des Geräts zu Ihrer Liste der vertrauenswürdigen Access Points hinzufügen. Weitere Informationen zu vertrauenswürdigen Access Points finden Sie unter Frequenzbereich-Überwachung mit Access Point.

Evil Twin

Ein Evil Twin ist ein in Ihrem Frequenzbereich arbeitender Access Point, der denselben SSID-Namen wie Ihre verwalteten Access Points aussendet, um sich als legitimer Access Point in Ihrem Netzwerk auszugeben.

• Warnen Sie Ihre Benutzer über das Vorhandensein des Evil Twin-Access Points. WLAN-Clients könnten sich mit dem Evil Twin Access Point verbinden und schutzlose Daten übermitteln.
• Anhand der erfassten RSSI (Signalstärke) und der Standorte Ihrer Access Points, die die Bedrohung erkannt haben, können Sie den Ort des Bedrohungsgeräts näherungsweise bestimmen. Diese Informationen sind im Bericht zur Frequenzbereich-Überwachung und in der Warnmeldungsbenachrichtigung zum Gerätealarm enthalten. Weitere Informationen finden Sie unter Bericht zur Frequenzbereich-Überwachung oder Warnmeldungen der Frequenzbereich-Überwachung.

Related Topics

Frequenzbereich-Überwachung mit Access Point

Warnmeldungen der Frequenzbereich-Überwachung

Erweiterte Geräteeinstellungen von Access Points konfigurieren