Bericht über Frequenzbereich-Überwachung mit Access Point

Gilt für: WatchGuard Cloud-verwaltete Access Points (AP130, AP230W, AP330, AP332CR, AP430CR, AP432) Dieses Thema gilt für Wi-Fi 6 Access Points, die Sie in WatchGuard Cloud verwalten (AP130, AP230W, AP330, AP332CR, AP430CR, AP432).

Einige der hier beschriebenen Funktionen sind nur für Teilnehmende am Programm ThreatSync Beta verfügbar. Ist eine der hier beschriebenen Funktionen in Ihrer Version der WatchGuard Cloud nicht vorhanden, handelt es sich um eine Beta-Funktion.

Der Bericht über die Frequenzbereich-Überwachung zeigt erkannte bösartige Access Points in Ihrem WLAN-Netzwerk auf, wie Rogue-, Vermutete Rogue- und Evil-Twin-Access Points.

Damit ein Access Point das Netzwerk scannen und Berichte zu WLAN-Bedrohungen erstellen kann, müssen Sie die Frequenzbereich-Überwachung für das Gerät aktivieren. Weitere Informationen finden Sie unter Frequenzbereich-Überwachung mit Access Point.

Wenn WatchGuard Cloud einen bösartigen Access Point erkennt, können Sie für dieses Ereignis eine Warnmeldungsbenachrichtigung generieren lassen, damit Sie Maßnahmen ergreifen und die Bedrohung untersuchen, identifizieren und entfernen können. Weitere Informationen zum Erstellen einer Warnmeldungsbenachrichtigung für Ereignisse der Frequenzbereich-Überwachung finden Sie unter Warnmeldungen der Frequenzbereich-Überwachung.

Frequenzbereich-Überwachung und ThreatSync

Sie können Warnmeldungen der Frequenzbereich-Überwachung mit ThreatSync integrieren. ThreatSync ist ein WatchGuard Cloud-Dienst, der die Technologie eXtended Detection and Response (Erweiterte Erkennung und Bekämpfung von Bedrohungen, XDR) für WatchGuard-Geräte und -Produkte bereitstellt. Sie können in ThreatSync Vorfallswarnungen erhalten, wenn die Frequenzbereich-Überwachung bösartige Access Points wie Rogue- und Evil Twin-Access Points erkennt, und Empfehlungen anzeigen, wie Sie auf diese Bedrohungsgeräte reagieren und Maßnahmen ergreifen können. Weitere Informationen finden Sie unter Über ThreatSync.

Bericht Frequenzbereich-Überwachung anzeigen

So zeigen Sie den Bericht zur Frequenzbereich-Überwachung in WatchGuard Cloud an:

1. Wählen Sie Überwachen > Geräte.
2. Wählen Sie einen Ordner mit Ihren Access Points.

Zur Anzeige des Berichts über Frequenzbereich-Überwachung müssen Sie einen Geräteordner mit Ihren Access Points wählen, da WatchGuard Cloud für die Erkennung bösartiger Access Points alle Access Points nutzt.

3. Wählen Sie im Menü Geräte Access Points > Frequenzbereich-Überwachung.

Bei der erstmaligen Aktivierung der Frequenzbereich-Überwachung kann der Scan der LANs und WLANs einige Minuten dauern. Es werden erst dann Daten angezeigt, wenn WatchGuard Cloud eine Sicherheitsbedrohung erkennt.

• Um den Datumsbereich für den Bericht auszuwählen, klicken Sie auf .
• Wählen Sie aus der Dropdown-Liste Access Point einen spezifischen Access Point zur Anzeige aus oder wählen Sie Alle Access Points.
• Mit einem Klick auf laden Sie den Bericht im CSV-Format herunter.

Informationen zum Planen eines Berichts finden Sie unter Access Point-Berichte planen.

Details des Berichts zur Frequenzbereich-Überwachung

Der Bericht über Frequenzbereich-Überwachung enthält ein Balkendiagramm der erkannten Rogue, vermuteten Rogue und Evil Twin-Access Points.

Die Tabelle beinhaltet folgende Daten:

• Bedrohliche MAC-Adresse — Die MAC-Adresse der kabelgebundenen oder funkgestützten Schnittstellen des erkannten Bedrohungsgerät. Ein Symbol zeigt an, ob es sich bei der MAC-Adresse um eine kabelgebundene oder WLAN-Schnittstelle handelt. Es kann weitere MAC-Adressen bzw. BSSID zur eindeutigen Identifizierung eines WLAN-Zugangspunktes geben.
• Typ — Der Typ des erkannten bösartigen Access Points, wie Rogue AP, Vermuteter Rogue AP oder Evil Twin. Weitere Informationen finden Sie unter Über Bedrohungstypen bösartiger Access Points.
• Bedrohungsgrund — Gibt den Grund für die Einstufung eines Geräts anhand des Signaturstatus als bösartigen Access Point an.
• Keiner — Dieser Status wird für Rogue und vermutete Rogue-Access Points angezeigt, die durch eine Korrelation der LAN- und WLAN-MAC-Adressen erkannt wurden und nicht durch die Erkennung einer Evil Twin-Signatur.
• Keine Signatur erkannt — Auf dem Gerät wurde keine Signatur erkannt. Dieses Gerät ist kein gültiges WatchGuard-Gerät, das von WatchGuard Cloud verwaltet wird, und kein vertrauenswürdiges Gerät.
• Ungültige Signatur erkannt — Bei einem Gerät wird eine ungültige Signatur erkannt. Dies deutet darauf hin, dass die Signatur fehlerhaft ist oder manipuliert sein könnte.
• Es wird eine Signatur mit ungültigem Zeitstempel erkannt — Auf dem Gerät wird eine Signatur erkannt, aber es gibt Unstimmigkeiten beim Zeitstempel, was auf eine mögliche Manipulation der Signatur hinweist und diese damit ungültig macht. Dies könnte auch auf Diskrepanzen mit der NTP-Server-Kommunikation hindeuten. Achten Sie darauf, dass alle Ihre Access Points einen zuverlässigen, regionalen NTP-Server für die zeitliche Synchronisierung all Ihrer Geräte nutzen.
• IP-Adresse der Bedrohung — Die IP-Adresse des erkannten Bedrohungsgeräts. Die IP-Adresse der potenziellen Bedrohung wird nur für Rogue und vermutete Rogue-Access Points angezeigt. Evil Twin-Access Points werden durch die BSSID-MAC-Adressen der WLAN-Schnittstellen identifiziert.
• Zeitpunkt der erstmaligen Erkennung — Datum und Uhrzeit, zu der das Bedrohungsgerät erstmals im Netzwerk erkannt wurde.
• Zeitpunkt der letztmaligen Erkennung — Datum und Uhrzeit, zu der das Bedrohungsgerät letztmalig im Netzwerk erkannt wurde.
• SSSID des Bedrohungsgeräts — Die vom erkannten Bedrohungsgerät ausgesendete SSID.
• Sicherheit des Bedrohungsgeräts — Der vom erkannten Bedrohungsgerät verwendete Sicherheitsmodus, beispielsweise WPA2 Personal Mode.
• RSSI (Empfangsfeldstärke-Anzeiger) — Die Signalstärke des erkannten bösartigen Access Points in dBm. Je näher der Wert bei 0 dBm liegt, desto stärker ist das Signal. Zum Beispiel ist -60 dBm eine bessere Signalstärke als -75 dBm. Verwenden Sie die RSSI des erkannten Bedrohungsgeräts von denjenigen Access Points, die das Gerät erkannt haben, um den Standort der Bedrohung zu schätzen.
  Der RSSI-Wert entspricht diesen ungefähren Entfernungen:

• RSSI zwischen 0 dBm und -39 dBm = 1 bis 10 Fuß, 1 bis 3 Meter
• RSSI zwischen -40 dBm und -50 dBm = 10 bis 20 Fuß, 3 bis 6 Meter
• RSSI zwischen -50 dBm und -55 dBm = 15 bis 25 Fuß, 4 bis 8 Meter
• RSSI zwischen -55 dBm und -60 dBm = 25 bis 35 Fuß, 7 bis 10 Meter
• RSSI zwischen -60 dBm und -65 dBm = 30 bis 45 Fuß, 9 bis 14 Meter
• RSSI zwischen -65 dBm und -70 dBm = 40 bis 60 Fuß, 12 bis 18 Meter
• RSSI zwischen -70 dBm und -75 dBm = 55 bis 80 Fuß, 16 bis 25 Meter
• Unter -75 dBm = Mehr als 70 Fuß, mehr als 21 Meter

• Protokoll des Bedrohungsgeräts — Das vom erkannten Bedrohungsgerät verwendete WLAN-Protokoll, beispielsweise 802.11ax.
• Erkannt von Gerätename — Der Name des WatchGuard-Access Points, der das Bedrohungsgerät erkannt hat.
• Erkannt von MAC-Adresse — Die MAC-Adresse des WatchGuard-Access Points, der das Bedrohungsgerät erkannt hat.
• Erkannt von Seriennummer — Die Seriennummer des WatchGuard-Access Points, der das Bedrohungsgerät erkannt hat.

Über Bedrohungstypen bösartiger Access Points

Ein bösartiger Access Point kann zu einem der folgenden Typen gehören:

Rogue-Access Point

Ein Rogue-Access Point ist ein nicht autorisierter Access Point, der physisch mit Ihrem kabelgebundenen Netzwerk verbunden ist und WLAN-SSIDs aussendet, mit denen sich Ihre Clients eventuell anstatt mit Ihren legitimen Access Point-SSIDs verbinden.

• Der Rogue-Access Point könnte durch einen nicht autorisierten Benutzer installiert worden sein.
• Der Rogue-Access Point könnte von einer Person innerhalb Ihrer Organisation ohne explizite Zustimmung in Ihrem Netzwerk installiert worden sein, oder es könnte ein für Tests eingerichtetes Gerät sein. Diese Access Points stellen Sicherheitsrisiken für Ihre Netzwerke dar, wenn sie falsch konfiguriert oder die erforderlichen Schutzfunktionen nicht aktiviert sind.
• Anhand der erfassten RSSI (Signalstärke) und der Standorte Ihrer Access Points, die die Bedrohung erkannt haben, können Sie den Ort des Bedrohungsgeräts näherungsweise bestimmen. Diese Informationen sind im Bericht zur Frequenzbereich-Überwachung und in der Warnmeldungsbenachrichtigung zum Gerätealarm enthalten. Weitere Informationen finden Sie unter Bericht über Frequenzbereich-Überwachung mit Access Point oder Warnmeldungen der Frequenzbereich-Überwachung.
• Falls Sie das bösartige Gerät nicht lokalisieren können, können Sie den Rogue-Access Point durch die Deaktivierung von Switch-Ports oder das Blockieren von MAC-Adressen auf Ihrem Netzwerk-Switch vom Netzwerk isolieren.
• Mit der ThreatSync-Integration können Sie Reaktionsmaßnahmen gegen einen Rogue-Access Point durchführen, um die WLAN-Verbindungen von Clients zum Bedrohungsgerät zu blockieren. Weitere Informationen finden Sie unter Über ThreatSync.

Vermuteter Rogue-Access Point

Ein vermuteter Rogue-Access Point könnte ein nicht autorisierter Access Point sein, der mit Ihrem kabelgebundenen Netzwerk verbunden ist und WLAN-SSIDs aussendet, mit denen sich Ihre Clients eventuell anstatt mit Ihren legitimen Access Point-SSIDs verbinden werden.

Bei dem Gerät könnte es sich auch um ein legitimes Gerät in Ihrem Netzwerk handeln, das auf Ihrer Liste der vertrauenswürdigen Access Points nicht konfiguriert ist.

• Das Gerät könnte von einer Person aus Ihrer Organisation ohne explizite Zustimmung in Ihrem Netzwerk installiert worden sein, oder es könnte ein für Tests eingerichtetes Gerät sein. Diese Access Points stellen Sicherheitsrisiken für Ihre Netzwerke dar, wenn sie falsch konfiguriert oder die erforderlichen Schutzfunktionen nicht aktiviert sind.
• Falls der Access Point nicht autorisiert ist, trennen Sie ihn vom Netzwerk.
• Wenn es sich bei dem Gerät um einen legitimen Access Point handelt, stellen Sie sicher, dass Sie die MAC-Adresse der kabelgebundenen LAN-Schnittstelle und etwaige WLAN-BSSID-Adressen des Geräts zu Ihrer Liste der vertrauenswürdigen Access Points hinzufügen. Weitere Informationen zu vertrauenswürdigen Access Points finden Sie unter Frequenzbereich-Überwachung mit Access Point.
• Mit der ThreatSync-Integration können Sie Reaktionsmaßnahmen gegen einen Vermuteten Rogue-Access Point durchführen, um die WLAN-Verbindungen von Clients zu dem Bedrohungsgerät zu blockieren. Weitere Informationen finden Sie unter Über ThreatSync.

Evil Twin

Ein Evil Twin ist ein in Ihrem Frequenzbereich arbeitender Access Point, der denselben SSID-Namen wie Ihre verwalteten Access Points aussendet, um sich als legitimer Access Point in Ihrem Netzwerk auszugeben.

• Warnen Sie Ihre Benutzer über das Vorhandensein des Evil Twin-Access Points. WLAN-Clients könnten sich mit dem Evil Twin Access Point verbinden und schutzlose Daten übermitteln.
• Anhand der erfassten RSSI (Signalstärke) und der Standorte Ihrer Access Points, die die Bedrohung erkannt haben, können Sie den Ort des Bedrohungsgeräts näherungsweise bestimmen. Diese Informationen sind im Bericht zur Frequenzbereich-Überwachung und in der Warnmeldungsbenachrichtigung zum Gerätealarm enthalten. Weitere Informationen finden Sie unter Bericht über Frequenzbereich-Überwachung mit Access Point oder Warnmeldungen der Frequenzbereich-Überwachung.
• Mit der ThreatSync-Integration können Sie Reaktionsmaßnahmen gegen einen Evil Twin Access Point durchführen, um die WLAN-Verbindungen von Clients zum Bedrohungsgerät zu blockieren. Weitere Informationen finden Sie unter Über ThreatSync.

Ähnliche Themen

Frequenzbereich-Überwachung mit Access Point

Warnmeldungen der Frequenzbereich-Überwachung

Erweiterte Geräteeinstellungen von Access Points konfigurieren

Über ThreatSync