Informe Monitorización del Espacio Aéreo

Se aplica A: Puntos de Acceso Administrados en WatchGuard Cloud (AP130, AP330, AP332CR, AP430CR, AP432)

El informe Monitorización del Espacio Aéreo muestra los problemas de seguridad detectados en su red inalámbrica, como los puntos de acceso Rogue, Rogue Sospechoso y Evil Twin.

Debe habilitar la Monitorización del Espacio Aéreo para que un punto de acceso escanee la red e informe sobre amenazas. Para más información, vaya a Monitorización del Espacio Aéreo del Punto de Acceso.

El sistema no puede ejecutar una mitigación activa para prevenir conexiones al punto de acceso de amenaza ni desconectar clientes inalámbricos que ya se han asociado al punto de acceso de amenaza.

Para ver el informe Monitorización del Espacio Aéreo, en WatchGuard Cloud:

Seleccione Monitorizar > Dispositivos.
Seleccione una carpeta que contenga sus puntos de acceso.

Debe seleccionar una carpeta de dispositivos que contenga sus puntos de acceso para ver el informe Monitorización del Espacio Aéreo porque WatchGuard Cloud utiliza todos los puntos de acceso para detectar amenazas.

En el menú Dispositivos, selecciona Puntos de Acceso > Monitorización del Espacio Aéreo.

La primera vez que habilite la Monitorización del Espacio Aéreo, puede tardar varios minutos en escanear las redes cableadas e inalámbricas. No aparecen datos hasta que WatchGuard Cloud detecta amenazas de seguridad.

Screenshot of the Airspace Monitoring Report

Para seleccionar el intervalo de fechas del informe, haga clic en .
En la lista desplegable Punto de Acceso, seleccione un Punto de Acceso específico para verlo o seleccione Todos los Puntos de Acceso.
Haga clic en para descargar una versión CSV del informe.

Para obtener información sobre cómo programar un informe, vaya a Programar Informes en WatchGuard Cloud.

Detalles del Informe Monitorización del Espacio Aéreo

El informe Monitorización del Espacio Aéreo incluye un gráfico de barras de los puntos de acceso detectados como Rogue, Rogue Sospechoso y Evil Twin.

La tabla incluye estos datos:

Dirección MAC de Amenaza — La dirección MAC de las interfaces inalámbricas o cableadas del dispositivo de amenaza detectado. Un icono indica si la dirección MAC es una interfaz cableada o inalámbrica. Puede haber direcciones MAC adicionales que correspondan a un BSSID inalámbrico.
Tipo — El tipo de amenaza detectada, como Rogue AP, Rogue AP Sospechoso o Evil Twin. Para más información, vaya a Acerca de los Tipos de Amenazas.
Razón de la Amenaza — Indica la razón por el que un dispositivo se clasificó como dispositivo de amenaza en función del estado de la firma.
Ninguno — Este estado aparece para puntos de acceso Rogue o Rogue Sospechoso que han sido detectados por correlación de dirección MAC cableada e inalámbrica, en lugar de detección de firma Evil Twin.
No se ha detectado ninguna firma — No se ha detectado ninguna firma del dispositivo Evil Twin para indicar que se trata de un dispositivo WatchGuard válido administrado por WatchGuard Cloud o un dispositivo de confianza.
Firma no válida detectada — Se detecta una firma no válida en el dispositivo. Esto indica que la firma está dañada o puede haber sido manipulada.
Se detecta una firma, pero tiene una marca de tiempo inválida — Se detecta una firma en el dispositivo, pero hay inconsistencias en la marca de tiempo que indican que la firma podría haber sido manipulada y se considera no válida. Esto también podría indicar discrepancias con las comunicaciones del servidor NTP. Asegúrese de que todos sus puntos de acceso utilicen un servidor NTP confiable y regional para sincronizar la hora de todos sus dispositivos.
Dirección IP de la Amenaza — La dirección IP del dispositivo de amenaza detectado. Una dirección IP de amenaza solo aparece para los puntos de acceso Rogue y Rogue Sospechosos. Los puntos de acceso Evil Twin se identifican por las direcciones MAC BSSID de las interfaces inalámbricas.
Hora de la Primera Detección — La fecha y hora en que el dispositivo de amenaza se detectó por primera vez en la red.
Hora de la Última Detección — La fecha y hora en que el dispositivo de amenaza se detectó por última vez en la red.
SSID del Dispositivo de Amenaza — El SSID emitido por el dispositivo de amenaza detectado.
Seguridad de los Dispositivos de Amenaza — El modo de seguridad que utiliza el dispositivo de amenaza detectado, como WPA2 Personal.
RSSI (Indicador de Fuerza de Señal Recibida) — La fuerza de señal del punto de acceso de amenaza detectado en dBm. Mientras más cercano sea el valor a 0 dBm, más fuerte será la señal. Por ejemplo, -60 dBm es mejor fuerza de señal que -75 dBm. Utilice el RSSI del dispositivo de amenaza detectado de los puntos de acceso que detectaron el dispositivo para estimar la ubicación de la amenaza.
Protocolo del Dispositivo de Amenaza — El protocolo inalámbrico que utiliza el dispositivo de amenaza detectado, como 802.11ax.
Detectado por Nombre de Dispositivo — El nombre del punto de acceso WatchGuard que detectó el dispositivo de amenaza.
Detectado por Dirección MAC — La dirección MAC del punto de acceso WatchGuard que detectó el dispositivo de amenaza.
Detectado por Número de Serie — El número de serie del punto de acceso WatchGuard que detectó el dispositivo de amenaza.

Acerca de los Tipos de Amenazas

Un punto de acceso a amenazas puede ser de uno de estos tipos:

Rogue Access Point

Un Rogue Access Point es un punto de acceso no autorizado que está físicamente conectado a su red cableada y difunde SSID inalámbricos a los que sus clientes podrían conectarse en lugar de los SSID legítimos de su punto de acceso.

El Rogue access point podría haber sido conectado por un usuario no autorizado.
El Rogue access point podría haber sido conectado a su red por alguien de su organización sin su consentimiento, o podría ser un dispositivo configurado para realizar pruebas. Estos puntos de acceso suponen un riesgo para la seguridad de sus redes si están configurados incorrectamente o no tienen habilitadas las funciones de seguridad necesarias.
Utilice el RSSI (fuerza de la señal) detectado y la ubicación de sus puntos de acceso que detectaron la amenaza para aproximar la ubicación del dispositivo. Esta información se incluye en el informe de Monitorización del Espacio Aéreo y en la notificación de alerta de alarma del dispositivo. Para más información, vaya a Informe Monitorización del Espacio Aéreo o Alertas de Monitorización del Espacio Aéreo.
También puede deshabilitar los puertos del conmutador o utilizar el bloqueo de direcciones MAC en su conmutador de red para aislar el Rogue access point de la red si no puede encontrar el dispositivo.

Rogue Access Point Sospechoso

Un Rogue Access Point Sospechoso podría ser un punto de acceso no autorizado conectado a su red cableada que difunde SSID inalámbricos a los que sus clientes pueden conectarse en lugar de los SSID de su punto de acceso legítimo.

El dispositivo también podría ser un dispositivo legítimo en su red que no está configurado en su lista de puntos de acceso de confianza.

El dispositivo podría haber sido conectado a la red por alguien de su organización sin su consentimiento, o podría ser un dispositivo configurado para realizar pruebas. Estos puntos de acceso suponen un riesgo para la seguridad de sus redes si están configurados incorrectamente o no tienen habilitadas las funciones de seguridad necesarias.
Si el punto de acceso no está autorizado, desconéctelo de la red.
Si el dispositivo es un punto de acceso legítimo, asegúrese de agregar la dirección MAC de la interfaz LAN por cable y cualquier dirección BSSID inalámbrica del dispositivo a su lista de Puntos de Acceso de Confianza. Para obtener más información sobre los Puntos de Acceso de Confianza, visite Monitorización del Espacio Aéreo del Punto de Acceso.

Evil Twin

Un Evil Twin es un punto de acceso que opera en su espacio aéreo que difunde el mismo nombre de SSID que sus puntos de acceso administrados para que aparezca como un punto de acceso legítimo en su red.

Alerte a sus usuarios de la existencia del punto de acceso Evil Twin. Los clientes inalámbricos pueden conectarse al punto de acceso Evil Twin y comunicar datos vulnerables.
Utilice el RSSI (fuerza de la señal) detectado y la ubicación de sus puntos de acceso que detectaron la amenaza para aproximar la ubicación del dispositivo. Esta información se incluye en el informe de Monitorización del Espacio Aéreo y en la notificación de alerta de alarma del dispositivo. Para más información, vaya a Informe Monitorización del Espacio Aéreo o Alertas de Monitorización del Espacio Aéreo.

Temas Relacionados

Monitorización del Espacio Aéreo del Punto de Acceso

Alertas de Monitorización del Espacio Aéreo

Configurar los Ajustes Avanzados del Dispositivo de Punto de Acceso

© 2024 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Las demás marcas comerciales pertenecen a sus respectivos propietarios.