Monitorización del Espacio Aéreo del Punto de Acceso

Se aplica A: Puntos de Acceso Administrados en WatchGuard Cloud (AP130, AP330, AP332CR, AP430CR, AP432)

Puede habilitar la Monitorización del Espacio Aéreo para analizar su red en busca de estas amenazas Wi-Fi:

Rogue Access Point

Un Rogue Access Point es un punto de acceso no autorizado que está físicamente conectado a su red cableada y difunde SSID inalámbricos a los que sus clientes podrían conectarse en lugar de los SSID legítimos de su punto de acceso.

El Rogue access point podría haber sido conectado por un usuario no autorizado. Sus clientes inalámbricos podrían conectarse a estos rogue access points en lugar de a sus puntos de acceso administrados autorizados y comunicar datos vulnerables.
El rogue access point podría ser un dispositivo conectado a la red por alguien de su organización sin su consentimiento, o podría ser un dispositivo configurado para realizar pruebas. Estos puntos de acceso suponen un riesgo para la seguridad de su red si están configurados incorrectamente o no tienen habilitadas las funciones de seguridad necesarias.
El dispositivo podría ser un punto de acceso legítimo de su red que no está configurado en su lista Punto de Acceso de Confianza.

Rogue Access Point Sospechoso

Un Rogue Access Point Sospechoso podría ser un punto de acceso no autorizado conectado físicamente a su red cableada, o también podría ser un punto de acceso legítimo.

Un Rogue Access Point Sospechoso podría ser un punto de acceso no autorizado conectado a su red cableada que difunde SSID a los que sus clientes pueden conectarse en lugar de los SSID de su punto de acceso legítimo.
El dispositivo también podría ser un punto de acceso legítimo de su red que no esté configurado en su lista Punto de Acceso de Confianza.

Punto de Acceso Evil Twin

Un Evil Twin es un punto de acceso cercano que opera en su espacio aéreo que difunde el mismo nombre de SSID que sus puntos de acceso administrados para que aparezca como un punto de acceso legítimo en su red.

El Evil Twin puede haber sido instalado cerca de su red por un usuario no autorizado.
Los clientes inalámbricos podrían conectarse al punto de acceso Evil Twin en lugar de a sus puntos de acceso administrados legítimos y comunicar datos vulnerables.
El dispositivo también podría ser un punto de acceso legítimo de su red que no esté configurado en su lista Punto de Acceso de Confianza.

La capacidad de escanear puntos de acceso Evil Twin requiere un AP330 o AP430CR que tengan una radio de escaneo dedicada.

Informes y Alertas de Monitorización del Espacio Aéreo

Puede ver un resumen de las amenazas a la seguridad detectadas en el informe de Monitorización del Espacio Aéreo. Para más información, vaya a Informe Monitorización del Espacio Aéreo.

Cuando WatchGuard Cloud detecta un punto de acceso de amenaza, puede generar una notificación de alerta para que pueda tomar medidas para investigar, identificar y eliminar la amenaza. Para más información sobre cómo crear una notificación de alerta para eventos de Monitorización del Espacio Aéreo, vaya a Alertas de Monitorización del Espacio Aéreo.

Antes de empezar

La Monitorización del Espacio Aéreo requiere:

Una licencia WatchGuard USP Wi-Fi Management
Firmware de punto de acceso v2.0 o superior en todos los puntos de acceso
Se requiere AP330 o AP430CR con una radio de escaneo para la detección de Evil Twin. Todos los demás modelos de puntos de acceso Wi-Fi in WatchGuard Cloud solo pueden detectar puntos de acceso Rogue y Rogue Sospechosos conectados físicamente a la red. Para implementaciones más grandes, le recomendamos que tenga al menos un punto de acceso con una radio de escaneo por cada 3 a 5 puntos de acceso.
Servidor NTP (Protocolo de Tiempo de Red) configurado para sus puntos de acceso. El NTP es necesario para un escaneo y detección precisos. El servidor configurado de forma predeterminada para los puntos de acceso es pool.ntp.org. Le recomendamos que especifique un servidor NTP interno si está disponible en su red, o un servidor NTP regional confiable.

Asegúrese de actualizar todos los puntos de acceso WatchGuard de su red al firmware v2.0 o superior antes de habilitar la Monitorización del Espacio Aéreo. Esto garantiza que todos los puntos de acceso administrados de su red se identifiquen correctamente y puedan participar en la exploración de seguridad.

Cómo Funciona la Monitorización del Espacio Aéreo

La Monitorización del Espacio Aéreo utiliza la tecnología de identificación patentada de WatchGuard para escanear su red cableada y su espacio aéreo inalámbrico en busca de puntos de acceso Rogue, Rogue Sospechosos y Evil Twin.

Los puntos de acceso WatchGuard solo pueden detectar puntos de acceso de amenaza en la misma red a la que están conectados. No pueden detectar AP de amenaza en otras redes/VLAN.

Rogue Access Point Detection

Diagram of Rogue Access Point detection with Airspace Monitoring

Todos los modelos de puntos de acceso WatchGuard administrados por WatchGuard Cloud pueden detectar puntos de acceso Rogue y Rogue Sospechoso en su red.

Los puntos de acceso WatchGuard escanean la red cableada en busca de puntos de acceso conectados físicamente a la red, y también escanean su espacio aéreo inalámbrico en busca de los SSID difundidos por estos puntos de acceso.
WatchGuard Cloud puede correlacionar las direcciones MAC de las interfaces cableadas e inalámbricas detectadas para determinar si el punto de acceso es un Rogue access point.
Si la correlación entre las direcciones MAC es incierta, el punto de acceso se clasifica como un Rogue Access Point Sospechoso, lo que significa que podría ser un dispositivo no autorizado que debe investigar. El acceso también podría ser un dispositivo legítimo que no ha agregado a su lista de Puntos de Acceso de Confianza.

Detección de Puntos de Acceso Evil Twin

Un Evil Twin es un punto de acceso cercano que opera en su espacio aéreo (no conectado a su red cableada) que difunde el mismo nombre de SSID que sus puntos de acceso administrados para que aparezca como un punto de acceso legítimo en su red.

Diagram of Evil Twin Access Point detection with Airspace Monitoring

Solo los puntos de acceso WatchGuard con radio de escaneo inalámbrico (AP330 y AP430CR) son capaces de detectar los puntos de acceso Evil Twin que operan en su espacio aéreo inalámbrico.
WatchGuard Cloud utiliza una identificación patentada basada en firmas para determinar si un punto de acceso es un Evil Twin y no un punto de acceso administrado WatchGuard conocido o un punto de acceso de confianza.
El dispositivo también podría ser un punto de acceso legítimo de su red que no esté configurado en su lista Punto de Acceso de Confianza.

Puntos de Acceso de Confianza

La tecnología de identificación patentada de WatchGuard garantiza que WatchGuard Cloud no genere alertas de seguridad para dispositivos inalámbricos de confianza.

Estos dispositivos WatchGuard se identifican automáticamente como puntos de acceso de confianza:

Puntos de acceso de WatchGuard administrados por WatchGuard Cloud
Fireboxes inalámbricos administrados por WatchGuard Cloud

Los puntos de acceso administrados y los Fireboxes inalámbricos deben estar en la misma cuenta de WatchGuard Cloud.

Puede agregar las direcciones MAC de dispositivos adicionales de su red que considere como dispositivos administrados y de confianza a la lista de Puntos de Acceso de Confianza.

Por ejemplo, puede agregar las direcciones MAC de dispositivos conocidos como otros productos WatchGuard y puntos de acceso de terceros como puntos de acceso de confianza. Para más información, vaya a Configurar Puntos de Acceso de Confianza.

Configurar la Monitorización del Espacio Aéreo

Para configurar la Monitorización del Espacio Aéreo para un punto de acceso:

Seleccione Configurar > Dispositivos.
Seleccione un punto de acceso administrado en la nube.
Seleccione Configuración del Dispositivo.
En el mosaico Ajustes, seleccione Ajustes Avanzados.
Habilite la Monitorización del Espacio Aéreo.
Guarde la configuración.
Implemente la configuración a su punto de acceso.

Screenshot of the access point Airspace Monitoring settings in WatchGuard Cloud

Le recomendamos que configure la Monitorización del Espacio Aéreo en un Access Point Site y aplique la configuración a múltiples puntos de acceso. Para más información, vaya a Acerca de los Access Point Sites.

Configurar Puntos de Acceso de Confianza

De forma predeterminada, todos los puntos de acceso WatchGuard y Fireboxes inalámbricos que administra desde WatchGuard Cloud se consideran puntos de acceso de confianza. La tecnología de identificación patentada de WatchGuard garantiza que WatchGuard Cloud no genere alertas de seguridad para los dispositivos que usted administra en su cuenta de WatchGuard Cloud.

Puede agregar las direcciones MAC de puntos de acceso adicionales conectados a su red que desee clasificar como puntos de acceso de confianza, por ejemplo:

Puntos de acceso Wi-Fi 5 administrados por WatchGuard Wi-Fi Cloud
Puntos de acceso Wi-Fi 5 administrados por un Gateway Wireless Controller en un Firebox
Fireboxes inalámbricos no administrados por WatchGuard Cloud
Puntos de acceso de terceros

Asegúrese de agregar tanto la dirección MAC Ethernet cableada del punto de acceso como cualquier dirección MAC BSSID de redes inalámbricas difundidas por el punto de acceso para evitar alertas de puntos de acceso Rogue y Evil Twin.

Para agregar direcciones MAC de puntos de acceso de confianza, haga clic en Agregar Dirección MAC. Cuando haya terminado, haga clic en Agregar para guardar la lista de puntos de acceso de confianza.

Para cargar una lista de varias direcciones MAC, haga clic en Importar Lista de Direcciones MAC.

Screenshot of the Import MAC Address List dialog box

Puede arrastrar y soltar una lista de direcciones MAC en la casilla o seleccione el archivo de la lista de direcciones MAC.

El archivo de la lista de direcciones MAC debe estar en formato de valores separados por comas (CSV), con una dirección MAC y una descripción opcional.

Por ejemplo, para importar direcciones con una descripción:

00:aa:00:bb:00:c1, Description
00:aa:00:bb:00:c2, Description

Para importar direcciones sin descripción:

00:aa:00:bb:00:c1
00:aa:00:bb:00:c2

Para importar direcciones con y sin descripciones:

00:aa:00:bb:00:c1, Description
00:aa:00:bb:00:c2
00:aa:00:bb:00:c3, Description
00:aa:00:bb:00:c4

Cuando se analiza el archivo importado, puede seleccionar las direcciones MAC que desea importar. Haga clic en Guardar para importar las direcciones MAC.

Screenshot of the Trusted Access Poiints import settings

Resolución de Problemas de Monitorización del Espacio Aéreo

Si habilita la Monitorización del Espacio Aéreo y se encuentra con alertas de falsos positivos para puntos de acceso conocidos que se detectan como Rogue, Rogue Sospechoso o un punto de acceso Evil Twin, examine lo siguiente:

Asegúrese de que todos sus puntos de acceso estén actualizados al firmware v2.0 o superior.
Asegúrese de habilitar la Monitorización del Espacio Aéreo en todos los puntos de acceso. Se recomienda utilizar Access Point Sites para aplicar la configuración a varios puntos de acceso.
Asegúrese de que la configuración esté implementada correctamente en el punto de acceso. Para más información, vaya a Historial de Implementaciones de Puntos de Acceso.
Asegúrese de que todos los puntos de acceso estén configurados para sondear el mismo servidor NTP. De forma predeterminada es pool.ntp.org. Asegúrese de que la conexión con el servidor NTP funciona. Le recomendamos que utilice un servidor NTP interno, si está disponible en su red, o un servidor NTP regional confiable.
Asegúrese de que los dispositivos que no administra en WatchGuard Cloud están configurados en su lista de Punto de Acceso de Confianza.

Temas Relacionados

Informe Monitorización del Espacio Aéreo

Alertas de Monitorización del Espacio Aéreo

Configurar los Ajustes Avanzados del Dispositivo de Punto de Acceso

© 2024 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Las demás marcas comerciales pertenecen a sus respectivos propietarios.