適用対象: WatchGuard Cloud の管理対象アクセス ポイント (AP130、AP230W、AP330、AP332CR、AP430CR、AP432)
このセクションで説明されている一部の機能は、ThreatSync ベータ プログラムの参加者のみが利用することができます。このトピックで説明した機能がご利用の WatchGuard Cloud にない場合は、それはベータのみの機能となります。
空域の監視レポートには、Rogue Access Point、不審な Rogue Access Point、Evil Twin アクセス ポイントなど、ワイヤレス ネットワークで検出された悪質なアクセス ポイントが表示されます。
ネットワークをスキャンしてワイヤレスの脅威のレポートを生成するには、アクセス ポイントの空域の監視を有効化する必要があります。詳細については、次を参照してください:アクセス ポイントの空域の監視。
WatchGuard Cloud で悪質なアクセス ポイントが検出された際に、アラート通知を生成することができます。これを利用して、脅威を調査、特定、削除するアクションを実行することが可能となります。空域の監視イベントのアラート通知を作成する方法の詳細については、次を参照してください:空域の監視アラート。
空域の監視と ThreatSync
空域の監視アラートを ThreatSync と統合することができます。ThreatSync は、WatchGuard Cloud サービスの一部です。これにより、WatchGuard デバイスや製品で eXtended Detection and Response (XDR) テクノロジーを利用することが可能となります。空域の監視が Rogue や Evil Twin アクセス ポイントなどの悪質なアクセス ポイントを検出した場合、ThreatSync 内でインシデント アラートを受信し、それらの脅威デバイスに対処しアクションを実行する方法に関する推奨事項を確認することができます。詳細については、次を参照してください:ThreatSync について。
空域の監視レポートを表示する
WatchGuard Cloud で空域の監視レポートを表示するには、以下の手順を実行します。
- 監視 > デバイス の順に選択します。
- アクセス ポイントが含まれているフォルダを選択します。
WatchGuard Cloud では、すべてのアクセス ポイントを使用して悪質なアクセス ポイントが検出されるため、空域の監視レポートを表示するには、アクセス ポイントが含まれているデバイス フォルダを選択する必要があります。
- デバイス メニューで、アクセス ポイント > 空域の監視 の順に選択します。
初めて空域の監視を有効化した場合は、有線ネットワークとワイヤレス ネットワークのスキャンに数分かかる場合があります。WatchGuard Cloud でセキュリティ脅威が検出されるまで、データは表示されません。
- レポートの日付範囲を選択するには、
をクリックします。 - アクセス ポイント ドロップダウン リストから、表示する特定のアクセス ポイントを選択するか、すべてのアクセス ポイント を選択します。
-
をクリックして、CSV バージョンのレポートをダウンロードします。
レポートをスケジュールする方法については、次を参照してください:アクセス ポイント レポートをスケジュールする。
空域の監視レポートの詳細
空域の監視レポートには、検出された Rogue Access Point、不審な Rogue Access Point、Evil Twin アクセス ポイントの棒グラフが含まれます。
表には、以下のデータが含まれています。
- 脅威 MAC アドレス — 検出された脅威デバイスのワイヤレス インターフェイスまたは有線インターフェイスの MAC アドレス。アイコンにより、MAC アドレスが有線インターフェイスかワイヤレス インターフェイスかが示されます。ワイヤレス BSSID に対応する追加の MAC アドレスが存在する可能性があります。
- 種類 — Rogue AP、不審な Rogue AP、Evil Twin アクセス ポイントなど、検出された悪質なアクセス ポイントの種類。詳細については、次を参照してください:悪質なアクセス ポイントの脅威の種類について。
- 脅威の理由 — 署名ステータスに基づきデバイスが悪質なアクセス ポイントとして分類された理由。
- なし — Evil Twin 署名検出ではなく、有線とワイヤレスの MAC アドレスの相関により Rogue Access Point または不審な Rogue Access Point が検出された場合にこのステータスが表示されます。
- 検出された署名なし — デバイスから署名が検出されませんでした。このデバイスは、WatchGuard Cloud によって監理されている有効な WatchGuard デバイスまたは信頼済みデバイスではありません。
- 無効な署名が検出されました — デバイスで無効な署名が検出された場合に、これが表示されます。これは、署名が破損しているか、改ざんされている可能性があることを示すものです。
- 署名は検出されましたが、タイムスタンプが無効です — デバイスで署名は検出されましたが、タイムスタンプに不一致がある場合に、これが表示されます。これは、署名が改ざんされた可能性があり、無効であることを示すものです。また、NTP サーバー通信との不一致が考えらえる可能性もあります。すべてのアクセス ポイントで信頼性の高い地域の NTP サーバーが使用されていること、およびすべてのデバイスの時刻が同期されていることを確認してください。
- 脅威 IP アドレス — 検出された脅威デバイスの IP アドレス。Rogue Access Point および不審な Rogue Access Point の脅威 IP アドレスのみが表示されます。Evil Twin アクセス ポイントは、ワイヤレス インターフェイスの BSSID MAC アドレスにより識別されます。
- 最初に検出された時間 — 脅威デバイスがネットワークで最初に検出された日時。
- 最後に検出された時間 — 脅威デバイスがネットワークで最後に検出された日時。
- 脅威デバイスの SSID — 検出された脅威デバイスからブロードキャストされた SSID。
- 脅威デバイスのセキュリティ — WPA2 パーソナルなど、検出された脅威デバイスで使用されているセキュリティ モード。
- RSSI (受信信号強度インジケータ) — 検出された脅威アクセス ポイントの信号強度 (dBm)。値が 0 dBm に近いほど、信号は強くなります。たとえば、-60 dBm の信号強度のほうが -75 dBm よりも強いということになります。脅威デバイスが検出されたアクセス ポイントにおける脅威デバイスの RSSI を用いて、脅威デバイスの位置を推定します。
RSSI 値は、以下のおおよその距離に対応します。
- RSSI 0 dBm ~ -39 dBm = 1 〜 10 フィート、1 ~ 3 メートル
- RSSI -40 dBm 〜 -50 dBm = 10 〜 20 フィート、3 〜 6 メートル
- RSSI -50 dBm 〜 -55 dBm = 15 〜 25 フィート、4 〜 8 メートル
- RSSI -55 dBm 〜 -60 dBm = 25 〜 35 フィート、7 〜 10 メートル
- RSSI -60 dBm 〜 -65 dBm = 30 〜 45 フィート、9 〜 14 メートル
- RSSI -65 dBm 〜 -70 dBm = 40 〜 60 フィート、12 〜 18 メートル
- RSSI -70 dBm 〜 -75 dBm = 55 〜 80 フィート、16 〜 25 メートル
- -75 dBm 未満 = 70 フィート超、21 メートル超
- 脅威デバイス プロトコル — 802.11ax など、検出された脅威デバイスで使用されているワイヤレス プロトコル。
- デバイス名で検出 — 脅威デバイスが検出された WatchGuard アクセス ポイントの名前。
- MAC アドレスで検出 — 脅威デバイスが検出された WatchGuard アクセス ポイントの MAC アドレス。
- シリアル番号で検出 — 脅威デバイスが検出された WatchGuard アクセス ポイントのシリアル番号。
悪質なアクセス ポイントの脅威の種類について
悪質なアクセス ポイントの種類は、以下のいずれかとなります。
Rogue Access Point
Rogue Access Point とは、有線ネットワークに物理的に接続し、ワイヤレス SSID をブロードキャストする不正なアクセス ポイントです。これにより、クライアントが、正規のアクセス ポイント SSID ではなく、この不正なアクセス ポイントに接続される可能性があります。
- Rogue Access Point には、不正なユーザーが接続している可能性があります。
- Rogue Access Point は、組織内の誰かが同意なしにネットワークに接続したデバイスである可能性、またはテスト用にセットアップされたデバイスである可能性があります。こうしたアクセス ポイントの構成が正しくない場合、または必要なセキュリティ機能が有効化されていない場合は、これによりネットワークにセキュリティ リスクが発生します。
- 検出された RSSI (信号強度) と脅威が検出されたアクセス ポイントの位置を用いて、デバイスの位置を概算します。この情報は、空域の監視レポートとデバイス アラーム アラート通知に含まれています。詳細については、次を参照してください:アクセス ポイントの空域の監視レポート または 空域の監視アラート。
- デバイスが見つからない場合は、スイッチ ポートを無効化すること、またはネットワーク スイッチで MAC アドレスのブロックを使用することで、ネットワークで Rogue Access Point を隔離することもできます。
- ThreatSync 統合により、Rogue Access Point に対する対応策を実行し、脅威デバイスに対するワイヤレス クライアント接続性をブロックすることができます。詳細については、次を参照してください:ThreatSync について。
不審な Rogue Access Point
不審な Rogue Access Point は、有線ネットワークに接続されている不正なアクセス ポイントである可能性があります。クライアントは、正当なアクセス ポイントの SSID ではなく、この Rogue Access Point からブロードキャストされるワイヤレス SSID に接続される可能性があります。
このデバイスは、ユーザーの信頼済みアクセス ポイント リストに構成されていないだけで、ネットワークの正当なデバイスである可能性もあります。
- デバイスは、組織内の誰かが同意なしにネットワークに接続したデバイスである可能性、またはテスト用にセットアップされたデバイスである可能性があります。こうしたアクセス ポイントの構成が正しくない場合、または必要なセキュリティ機能が有効化されていない場合は、これによりネットワークにセキュリティ リスクが発生します。
- アクセス ポイントが未承認のものである場合は、ネットワークから切断してください。
- デバイスが正当なアクセス ポイントである場合は、有線 LAN インターフェイスの MAC アドレスおよびデバイスのワイヤレス BSSID アドレスを信頼済みアクセス ポイント リストに追加してください。信頼済みアクセス ポイントの詳細については、次を参照してください:アクセス ポイントの空域の監視。
- ThreatSync の統合により、不審な Rogue Access Point に対する対応策を実行し、脅威デバイスに対するワイヤレス クライアント接続性をブロックすることができます。詳細については、次を参照してください:ThreatSync について。
Evil Twin
Evil Twin とは、空域内で、管理対象アクセス ポイントと同じ SSID 名をブロードキャストすることで、ネットワークにおける正当なアクセス ポイントになりすます不正なアクセス ポイントです。
- Evil Twin アクセス ポイントが存在していることを、ユーザーに警告してください。ワイヤレス クライアントから Evil Twin アクセス ポイントへの接続が発生すると、脆弱なデータへの通信が発生する可能性があります。
- 検出された RSSI (信号強度) と脅威が検出されたアクセス ポイントの位置を用いて、デバイスの位置を概算します。この情報は、空域の監視レポートとデバイス アラーム アラート通知に含まれています。詳細については、次を参照してください:アクセス ポイントの空域の監視レポート または 空域の監視アラート。
- ThreatSync 統合により、Evil Twin アクセス ポイントに対する対応策を実行し、脅威デバイスに対するワイヤレス クライアント接続性をブロックすることができます。詳細については、次を参照してください:ThreatSync について。