適用対象: WatchGuard Cloud の管理対象アクセス ポイント (AP130、AP230W、AP330、AP332CR、AP430CR、AP432)
アクセス ポイントで空域の監視を有効化すると、ネットワークをスキャンして以下の種類の悪質なアクセス ポイントを検出することができます:
Rogue Access Point
Rogue Access Point とは、有線ネットワークに物理的に接続し、ワイヤレス SSID をブロードキャストする不正なアクセス ポイントです。これにより、クライアントが、正規のアクセス ポイント SSID ではなく、この不正なアクセス ポイントに接続される可能性があります。
- Rogue Access Point には、不正なユーザーが接続している可能性があります。ワイヤレス クライアントが、承認済み管理対象アクセス ポイントではなく、こうした Rogue Access Point に接続され、脆弱なデータを通信する可能性があります。
- Rogue Access Point は、組織内の誰かが同意なしにネットワークに接続したデバイスである可能性、またはテスト用にセットアップされたデバイスである可能性があります。こうしたアクセス ポイントが適切に構成されていない場合、または必要なセキュリティ機能が有効化されていない場合は、ネットワークにセキュリティ リスクが発生します。
- このデバイスは、ユーザーの 信頼済みアクセス ポイント リストに設定されていないだけで、ネットワークの正当なアクセス ポイントである可能性もあります。
不審な Rogue Access Point
不審な Rogue Access Point は、有線ネットワークに物理的に接続されている不正なアクセス ポイントである可能性もあれば、正当なアクセス ポイントである可能性もあります。
- 不審な Rogue Access Point は、有線ネットワークに接続されている不正なアクセス ポイントである可能性があります。クライアントは、正当なアクセス ポイントの SSID ではなく、この Rogue Access Point からブロードキャストされる SSID に接続する可能性があります。
- このデバイスは、ユーザーの 信頼済みアクセス ポイント リストに設定されていないだけで、ネットワークの正当なアクセス ポイントである可能性もあります。
Evil Twin アクセス ポイント
Evil Twin とは、空域内の近距離で、管理対象アクセス ポイントと同じ SSID 名をブロードキャストすることで、ネットワークにおける正当なアクセス ポイントとして表示されるようにする不正なアクセス ポイントです。
- 不正なユーザーがネットワーク内の近距離で Evil Twin を運用している可能性があります。
- ワイヤレス クライアントが、正当な管理対象アクセス ポイントではなく、Evil Twin アクセス ポイントに接続され、脆弱なデータが通信される可能性があります。
- このデバイスは、ユーザーの 信頼済みアクセス ポイント リストに設定されていないだけで、ネットワークの正当なアクセス ポイントである可能性もあります。
Evil Twin アクセス ポイントを検出するには、専用のスキャニング ラジオが備わっている AP230W、AP330 または AP430CR が必要となります。
空域の監視レポートとアラート
空域の監視レポートで、検出された悪質なアクセス ポイントの脅威の概要を確認することができます。詳細については、次を参照してください:アクセス ポイントの空域の監視レポート。
WatchGuard Cloud で悪質なアクセス ポイントが検出された際に、アラート通知を生成することができます。これを利用して、脅威を調査、特定、削除するアクションを実行することが可能となります。空域の監視イベントのアラート通知を作成する方法の詳細については、次を参照してください:空域の監視アラート。
空域の監視と ThreatSync
このセクションで説明されている一部の機能は、ThreatSync ベータ プログラムの参加者のみが利用することができます。このトピックで説明した機能がご利用の WatchGuard Cloud にない場合は、それはベータのみの機能となります。
アクセス ポイントの空域の監視を ThreatSync と統合することができます。ThreatSync は、WatchGuard Cloud サービスの一部です。これにより、WatchGuard デバイスや製品で eXtended Detection and Response (XDR) テクノロジーを利用することが可能となります。空域の監視が Rogue や Evil Twin アクセス ポイントなどの悪質なアクセス ポイントを検出した場合、ThreatSync でインシデント アラートを受信することができます。
ThreatSync を統合すると、それらの脅威インシデントに対する措置を ThreatSync で実行し、悪質なアクセス ポイントへのワイヤレス クライアント接続をブロックしたり、配備内の既知のアクセス ポイントを信頼したりすることもできます。
- データを ThreatSync に送信するには、アクセス ポイントがファームウェア v2.0 以降を実行している必要があります。
- ThreatSync 対応アクションを実行し、悪質なアクセス ポイントへのワイヤレス クライアント接続をブロックするには、アクセス ポイントがファームウェア v2.7 以上を実行している必要があります。
- 無線で Evil Twin を検出し、ThreatSync の対応アクションを実行し、悪質なアクセス ポイントへの接続をブロックするための専用のスキャニング ラジオを搭載した AP230W、AP330、または AP430CR が必要です。
詳細については、次を参照してください:ThreatSync について。
開始する前に
空域の監視を使用するには、以下の条件を満たす必要があります。
- WatchGuard USP Wi-Fi Management ライセンス
- すべてのアクセス ポイントにアクセス ポイント ファームウェア v2.0 以降がインストールされている必要があります。
- 対応のアクションを実行し、Rogue および Evil Twin アクセス ポイントへのワイヤレス クライアント接続をブロックするための、ThreatSync と統合したアクセス ポイント ファームウェア v2.7 以上。
- 無線で Evil Twin を検出し、ThreatSync の対応アクションを実行し、悪質なアクセス ポイントへのワイヤレス クライアント接続をブロックするための専用のスキャニング ラジオを搭載した AP230W、AP330、または AP430CR。
- その他すべての Wi-Fi in WatchGuard Cloud アクセス ポイント モデルでは、ネットワークに物理的に接続されている Rogue Access Point と不審な Rogue Access Point しか検出することができません。
- 大規模な配備の場合は、専用のスキャニング ラジオを搭載したアクセス ポイントを 3 ~ 5 つのアクセス ポイントごとに少なくとも 1 つ配置することが勧められます。
- アクセス ポイントに構成された NTP (ネットワーク タイム プロトコル) サーバーが必要です。正確なスキャンと検出を実現するには NTP が必要となります。アクセス ポイント用に構成された既定のサーバーは、0.pool.ntp.org、1.pool.ntp.org、2.pool.ntp.org となります。ネットワークで使用可能な場合は、内部 NTP サーバーを指定すること、または信頼性の高い地域の NTP サーバーを指定することが勧められます。
空域の監視の仕組み
空域の監視では、WatchGuard の特許取得済み識別技術により、有線ネットワークとワイヤレスの空域がスキャンされ、Rogue Access Point、不審な Rogue Access Point、および Evil Twin アクセス ポイントなどの悪質なアクセス ポイントが検出されます。
WatchGuard アクセス ポイントでは、接続されているのと同じネットワークに存在する悪質なアクセス ポイントのみを検出できます。他のネットワーク/VLAN 上の悪質なアクセス ポイントを検出することはできません。
Rogue Access Point Detection
Rogue Access Point とは、有線ネットワークに物理的に接続し、ワイヤレス SSID をブロードキャストする不正なアクセス ポイントです。これにより、クライアントが、正規のアクセス ポイント SSID ではなく、この不正なアクセス ポイントに接続される可能性があります。
WatchGuard Cloud の管理対象となるすべての WatchGuard アクセス ポイント モデルでは、ネットワークに存在する Rogue Access Point と不審な Rogue Access Point が検出されます。
- WatchGuard アクセス ポイントでは、有線ネットワークをスキャンして、ネットワークに物理的に接続されているアクセス ポイントがチェックされます。また、ワイヤレス空域をスキャンして、こうしたアクセス ポイントからブロードキャストされている SSID が検査されます。
- WatchGuard Cloud は、検出された有線および無線インターフェースの MAC アドレスを相関させることで、アクセス ポイントが Rogue Access Point であるかどうかを判断します。
- MAC アドレス間の相関関係が不確かであると、そのアクセス ポイントが不審な Rogue Access Point として分類されます。これは、不正なデバイスである可能性があるため、調査が必要となります これは、信頼済みアクセス ポイント リストに追加されていないだけで、正当なデバイスである可能性もあります。
Evil Twin アクセス ポイント検出
Evil Twin とは、空域内 (有線ネットワークに接続されていないもの) の近距離で、管理対象アクセス ポイントと同じ SSID 名をブロードキャストすることで、ネットワークにおける正当なアクセス ポイントのように表示される不正なアクセス ポイントです。
- ワイヤレス空域に存在する Evil Twin アクセス ポイントを検出できるのは、ワイヤレス スキャニング ラジオを搭載した WatchGuard アクセス ポイント (AP230W、AP330 および AP430CR) のみです。
- WatchGuard Cloud では、特許取得済みの署名ベースの識別技術により、アクセス ポイントが Evil Twin であること、および既知の WatchGuard 管理対象アクセス ポイントや信頼済みアクセス ポイントではないことが確認されます。
- このデバイスは、ユーザーの 信頼済みアクセス ポイント リストに設定されていないだけで、ネットワークの正当なアクセス ポイントである可能性もあります。
信頼済みアクセス ポイント
WatchGuard の特許取得済み識別技術により、WatchGuard Cloud で信頼済みワイヤレス デバイスに関するセキュリティ アラートが生成されるというようなことはありません。
以下の WatchGuard デバイスは、信頼済みアクセス ポイントとして自動的に識別されます。
- WatchGuard Cloud の管理対象 WatchGuard アクセス ポイント
- WatchGuard Cloud の管理対象ワイヤレス Firebox
管理対象アクセス ポイントとワイヤレス Firebox は、同じ WatchGuard Cloud アカウントに割り当てられている必要があります。
ネットワークで信頼済み管理対象デバイスと見なされる追加デバイスの MAC アドレスを、信頼済みアクセス ポイントのリストに追加することができます。
たとえば、他の WatchGuard 製品やサードパーティのアクセス ポイントといった既知のデバイスの MAC アドレスを、信頼済みアクセス ポイントとして追加することが可能です。詳細については、次を参照してください:信頼済みアクセス ポイントを構成する。
悪質なアクセス ポイントを検出するために ThreatSync インシデントをレビューする際にアクセス ポイントを信頼することもできます。詳細については、次を参照してください:インシデントの詳細を確認する および ThreatSync で信頼済みアクセス ポイントを構成する。
空域の監視を構成する
アクセス ポイントに空域の監視を構成するには、以下の手順を実行します。
- 構成 > デバイス の順に選択します。
- クラウド管理のアクセス ポイントを選択します。
- デバイス構成 を選択します。
- 設定 タイルで、詳細設定 を選択します。
- 空域の監視 を有効化します。
- 構成を保存します。
- 構成をアクセス ポイントに配備します。
単一の Access Point Site に空域の監視を構成して、その構成を複数のアクセス ポイントに適用することが勧められます。詳細については、次を参照してください:Access Point Site について。
信頼済みアクセス ポイントを構成する
既定では、WatchGuard Cloud で管理されるすべての WatchGuard アクセス ポイントとワイヤレス Firebox は、信頼済みアクセス ポイントとみなされます。WatchGuard の特許取得済み識別技術により、WatchGuard Cloud で、WatchGuard Cloud アカウントで管理されているデバイスに関するセキュリティ アラートが生成されるというようなことはありません。
ネットワークに接続されている以下のようなアクセス ポイントの MAC アドレスを追加すると、それが信頼済みアクセス ポイントとして分類されます。
- WatchGuard Wi-Fi Cloud の管理対象 Wi-Fi 5 アクセス ポイント
- Firebox の Gateway Wireless Controller の管理対象 Wi-Fi 5 アクセス ポイント
- WatchGuard Cloud の管理対象外の Wireless Firebox
- サードパーティのアクセス ポイント
Rogue Access Point と Evil Twin アクセス ポイントに関するアラートの発生を防ぐために、アクセス ポイントの有線イーサネット MAC アドレスおよびアクセス ポイントからブロードキャストされるワイヤレス ネットワークの BSSID MAC アドレスの両方を必ず追加してください。
信頼済みアクセス ポイントの MAC アドレスを追加するには、MAC アドレスを追加する をクリックします。完了したら、追加 をクリックして、信頼済みアクセス ポイントのリストを保存します。
複数の MAC アドレスのリストをアップロードするには、MAC アドレス リストをインポートする をクリックします。
MAC アドレス リストをボックスにドラッグ&ドロップするか、MAC アドレス リスト ファイルを選択します。
MAC アドレス リスト ファイルは、カンマ区切り値形式 (CSV) で、MAC アドレスとオプションの説明が含まれている必要があります。
たとえば、説明付きでアドレスをインポートする場合は、以下のようになります。
00:aa:00:bb:00:c1,Description
00:aa:00:bb:00:c2,Description
たとえば、説明なしでアドレスをインポートする場合は、以下のようになります。
00:aa:00:bb:00:c1
00:aa:00:bb:00:c2
説明付きまたは説明なしでアドレスをインポートする場合は、以下のようになります。
00:aa:00:bb:00:c1,Description
00:aa:00:bb:00:c2
00:aa:00:bb:00:c3,Description
00:aa:00:bb:00:c4
インポートされたファイルの分析時に、インポートする MAC アドレスを選択することができます。保存 をクリックして MAC アドレスをインポートします。
空域の監視をトラブルシューティングする
空域の監視を有効化している場合に、既知のアクセス ポイントが Rogue Access Point、不審な Rogue Access Point、または Evil Twin アクセス ポイントとして検出され、誤検知アラートが発信された場合は、以下を確認してください。
- すべてのアクセス ポイントがファームウェア v2.0 以降にアップグレードされていることを確認します。ThreatSync と統合されている脅威のアクセス ポイントに対し対応アクションを実行するには、アクセス ポイントでファームウェア v2.7 以上が実行されている必要があります。
- すべてのアクセス ポイントで空域の監視が有効化されていることを確認します。Access Point Site を使用して、複数のアクセス ポイントに構成を適用することが勧められます。
- 構成がアクセス ポイントに正しく配備されていることを確認します。詳細については、次を参照してください:アクセス ポイントの配備履歴。
- すべてのアクセス ポイントから同じ NTP サーバーがポーリングされるように構成されていることを確認します。既定は pool.ntp.org です。NTP サーバーへの接続が適切に機能していることを確認します。ネットワークで使用可能な場合は、内部 NTP サーバーを指定すること、または信頼性の高い地域の NTP サーバーを使用することが勧められます。
- WatchGuard Cloud で管理されていないネットワーク上の信頼済みワイヤレス デバイスが、信頼済みアクセス ポイント リストで構成されていることを確認します。