S'applique À : Points d'accès gérés dans WatchGuard Cloud (AP130, AP330, AP332CR, AP430CR, AP432)
Vous pouvez activer la Surveillance de l'Espace de Fréquences de manière à analyser votre réseau à la recherche des menaces Wi-Fi suivantes :
Rogue Access Point
Un Rogue access point est un point d'accès non autorisé qui est physiquement connecté à votre réseau câblé et diffuse les SSID sans fil auxquels vos clients pourraient se connecter au lieu des SSID de votre point d'accès légitime.
- Le Rogue access point peut avoir été connecté par un utilisateur non autorisé. Vos clients sans fil peuvent se connecter à ces points d'accès rogue au lieu de vos points d'accès gérés autorisés et communiquer des données vulnérables.
- Le rogue access point peut être un appareil connecté au réseau par une personne au sein de votre organisation sans consentement, ou il peut s'agir d'un périphérique configuré à des fins de test. Ces points d'accès constituent des risques de sécurité pour vôtre réseau s'ils sont mal configurés ou s'ils ne disposent pas des fonctionnalités de sécurité requises activées.
- Le périphérique peut être un point d'accès légitime sur votre réseau qui n'est pas configuré dans votre liste de Points d'Accès Approuvés.
Rogue Access Point Suspecté
Un Rogue access point Suspecté peut être un point d'accès non autorisé physiquement connecté à votre réseau câblé, ou il peut également s'agir d'un point d'accès légitime.
- Un Rogue access point Suspecté peut être un point d'accès non autorisé connecté à votre réseau câblé qui diffuse les SSID auxquels vos clients peuvent se connecter au lieu des SSID de votre point d'accès légitime.
- Le périphérique peut également être un point d'accès légitime sur votre réseau qui n'est pas configuré dans votre liste de Points d'Accès Approuvés.
Point d'Accès Evil Twin
Un Evil Twin est un point d'accès à proximité fonctionnant dans votre espace de fréquences qui diffuse le même nom de SSID que vos points d'accès gérés pour apparaître comme un point d'accès légitime sur votre réseau.
- L'Evil Twin a peut-être été installé à proximité de votre réseau par un utilisateur non autorisé.
- Les clients sans fil peuvent se connecter au point d'accès Evil Twin au lieu de vos points d'accès gérés légitimes et communiquer des données vulnérables.
- Le périphérique peut également être un point d'accès légitime sur votre réseau qui n'est pas configuré dans votre liste de Points d'Accès Approuvés.
Pour rechercher les points d'accès Evil Twin, vous devez disposer d'un modèle AP330 ou AP430CR équipé d'une radio d'analyse dédiée.
Rapports et Alertes de Surveillance de l'Espace de Fréquences
Vous pouvez consulter la vue d'ensemble des menaces de sécurité détectées dans le rapport de Surveillance de l'Espace de Fréquences. Pour de plus amples informations, accédez à Rapport de Surveillance de l'Espace de Fréquences.
Lorsque WatchGuard Cloud détecte un point d'accès menaçant, vous pouvez générer une notification d'alerte afin de prendre des mesures visant à enquêter, identifier et supprimer la menace. Pour de plus amples informations concernant la procédure de création d'une notification d'alerte pour les événements de la Surveillance de l'Espace de Fréquences, consultez la section Alertes de Surveillance de l'Espace de Fréquences.
Avant de commencer
La Surveillance de l'Espace de Fréquences nécessite :
- Une licence WatchGuard USP Wi-Fi Management
- Microprogramme du point d'accès v2.0 ou ultérieur sur tous les points d'accès
- AP330 ou AP430CR avec une radio à balayage est requis pour la détection d'Evil Twin. Tous les autres modèles de points d'accès Wi-Fi in WatchGuard Cloud ne peuvent détecter que les points d'accès Rogue et Rogue Suspecté physiquement connectés au réseau. Pour les déploiements plus importants, nous vous recommandons de disposer d'au moins un point d'accès avec une radio à balayage pour 3 à 5 points d'accès.
- Serveur NTP (Network Time Protocol) configuré pour vos points d'accès. NTP est requis pour une analyse et une détection précises. Le serveur configuré par défaut pour les points d'accès est pool.ntp.org. Nous vous recommandons de spécifier un serveur NTP interne s'il est disponible sur votre réseau, ou un serveur NTP régional fiable.
Assurez-vous d'avoir mis à niveau tous les points d'accès WatchGuard de votre réseau vers le microprogramme v2.0 ou une version ultérieure avant d'activer la Surveillance de l'Espace de Fréquences. Cela garantit que tous les points d'accès gérés sur votre réseau sont correctement identifiés et capables de participer à l'analyse de sécurité.
Comment Fonctionne la Surveillance de l'Espace de Fréquences
La Surveillance de l'Espace de Fréquences utilise la technologie d'identification brevetée de WatchGuard pour analyser votre réseau câblé et votre espace de fréquences sans fil à la recherche de points d'accès Rogue, Rogue Suspecté et Evil Twin.
Les points d'accès WatchGuard ne peuvent détecter que les AP menaçants appartenant au réseau auquel ils sont eux-mêmes connectés. Ils ne peuvent pas détecter les AP menaçants connectés à d'autres réseaux/VLAN.
Détection d'un Rogue Access Point
Un Rogue access point est un point d'accès non autorisé qui est physiquement connecté à votre réseau câblé et diffuse les SSID sans fil auxquels vos clients pourraient se connecter au lieu des SSID de votre point d'accès légitime.
Tous les modèles de points d'accès WatchGuard gérés par WatchGuard Cloud peuvent détecter les points d'accès Rogue et Rogue Suspecté sur votre réseau.
- Les points d'accès WatchGuard analysent le réseau câblé à la recherche de points d'accès physiquement connectés au réseau, et analysent également votre espace de fréquences sans fil à la recherche des SSID diffusés par ces points d'accès.
- WatchGuard Cloud peut corréler les adresses MAC des interfaces sans fil et câblées détectées pour déterminer si le point d'accès est un Rogue access point.
- Si la corrélation entre les adresses MAC est incertaine, le point d'accès est classé comme Rogue access point Suspecté, ce qui signifie qu'il peut s'agir d'un périphérique non autorisé sur lequel vous devez enquêter. L'accès peut également être un périphérique légitime que vous n'avez pas ajouté à votre liste de Points d'Accès Approuvés.
Détection de Points d'Accès Evil Twin
Un Evil Twin est un point d'accès à proximité fonctionnant dans votre espace de fréquences (non connecté à votre réseau câblé) qui diffuse le même nom SSID que vos points d'accès gérés pour apparaître comme un point d'accès légitime sur votre réseau.
- Seuls les points d'accès WatchGuard dotés d'une radio à balayage sans fil (AP330 et AP430CR) sont capables de détecter les points d'accès Evil Twin qui fonctionnent dans votre espace ade fréquences sans fil.
- WatchGuard Cloud utilise une identification brevetée basée sur les signatures pour déterminer si un point d'accès est un Evil Twin et non un point d'accès géré ou approuvé WatchGuard connu.
- Le périphérique peut également être un point d'accès légitime sur votre réseau qui n'est pas configuré dans votre liste de Points d'Accès Approuvés.
Points d'Accès Approuvés
La technologie d'identification brevetée de WatchGuard évite que WatchGuard Cloud ne génère des alertes de sécurité liées aux périphériques sans fil approuvés.
Ces périphériques WatchGuard sont automatiquement identifiés en tant que points d'accès approuvés :
- Points d'accès WatchGuard gérés par WatchGuard Cloud
- Fireboxes sans fil gérés par WatchGuard Cloud
Les points d'accès gérés et les Fireboxes sans fil doivent appartenir au même compte WatchGuard Cloud.
Vous pouvez ajouter les adresses MAC des autres périphériques de votre réseau considérés comme gérés et approuvés à la liste des Points d'Accès Approuvés.
Par exemple, vous pouvez ajouter les adresses MAC de périphériques connus tels que les autres produits WatchGuard ainsi que les points d'accès tiers en tant que points d'accès approuvés. Pour de plus amples informations, accédez à Configurer les Points d'Accès Approuvés.
Configurer la Surveillance de l'Espace de Fréquences
Pour configurer la Surveillance de l'Espace de Fréquences pour un point d'accès :
- Sélectionnez Configurer > Périphériques.
- Sélectionnez un point d'accès géré sur le cloud.
- Sélectionnez Configuration du Périphérique.
- Dans la mosaïque Paramètres, sélectionnez Paramètres Avancés.
- Activer la Surveillance de l'Espace de Fréquences.
- Enregistrez la configuration.
- Déployez la configuration sur votre point d'accès.
Nous vous recommandons de configurer la Surveillance de l'Espace de Fréquences dans un Access Point Site et d'appliquer la configuration à plusieurs points d'accès. Pour de plus amples informations, accédez à À propos des Sites de Point d'Accès.
Configurer les Points d'Accès Approuvés
Par défaut, tous les points d'accès et Fireboxes sans fil WatchGuard que vous gérez depuis WatchGuard Cloud sont considérés comme des points d'accès approuvés. La technologie d'identification brevetée de WatchGuard évite que WatchGuard Cloud ne génère des alertes de sécurité liées aux périphériques que vous gérez dans votre compte WatchGuard Cloud.
Vous pouvez ajouter les adresses MAC d'autres points d'accès connectés à votre réseau que vous souhaitez classifier comme des points d'accès approuvés, par exemple :
- Points d'accès Wi-Fi 5 gérés par WatchGuard Wi-Fi Cloud
- Points d'accès Wi-Fi 5 gérés par un Gateway Wireless Controller sur un Firebox
- Fireboxes sans fil non gérés par WatchGuard Cloud
- Points d'accès tiers
Assurez-vous d'ajouter à la fois l'adresse MAC Ethernet câblée du point d'accès et toutes les adresses MAC BSSID des réseaux sans fil diffusées par le point d'accès pour éviter les alertes de point d'accès Rogue et Evil Twin.
Pour ajouter les adresses MAC des points d'accès approuvés, cliquez sur Ajouter une Adresse MAC. Une fois terminé, cliquez sur Ajouter pour enregistrer la liste des points d'accès approuvés.
Pour télécharger une liste contenant plusieurs adresses MAC, cliquez sur Importer une Liste d'Adresses MAC.
Vous pouvez faire glisser et déplacer la liste d'adresses MAC sur le champ ou sélectionnez le fichier de liste d'adresses MAC.
Le fichier de la liste d'adresses MAC doit être au format CSV (valeurs séparées par des virgules) avec une adresse MAC et une description facultative.
Par exemple, pour importer des adresses avec une description :
00:aa:00:bb:00:c1, Description
00:aa:00:bb:00:c2, Description
Pour importer des adresses sans description :
00:aa:00:bb:00:c1
00:aa:00:bb:00:c2
Pour importer des adresses avec ou sans description :
00:aa:00:bb:00:c1, Description
00:aa:00:bb:00:c2
00:aa:00:bb:00:c3, Description
00:aa:00:bb:00:c4
Une fois le fichier importé est analysé, vous pouvez sélectionner les adresses MAC à importer. Cliquez sur Enregistrer pour importer les adresses MAC.
Dépannage de la Surveillance de l'Espace de Fréquences
Si vous activez la Surveillance de l'Espace de Fréquences et que vous observez des alertes faussement positives concernant des points d'accès connus mais détectés en tant que Rogue, Rogue Access Point Suspecté ou point d'accès Evil Twin, contrôlez les points suivants :
- Vérifiez que tous vos points d'accès ont été mis à niveau avec le microprogramme v2.0 ou une version ultérieure.
- Assurez-vous d'avoir activé la Surveillance de l'Espace de Fréquences sur tous les points d'accès. Nous vous recommandons d'utiliser les Access Point Sites pour appliquer la configuration sur plusieurs points d'accès.
- Vérifiez que la configuration a correctement été déployée sur le point d'accès. Pour de plus amples informations, accédez à Historique des Déploiements des Points d'Accès.
- Vérifiez que tous les points d'accès ont été configurés pour interroger le même serveur NTP. La valeur par défaut est pool.ntp.org. Vérifiez que la connexion au serveur NTP fonctionne. Nous vous recommandons d'utiliser un serveur NTP interne s'il est disponible sur votre réseau, ou un serveur NTP régional fiable.
- Vérifiez que les périphériques que vous ne gérez pas dans WatchGuard Cloud ont été configurés dans votre liste des Points d'Accès Approuvés.
Rapport de Surveillance de l'Espace de Fréquences
Alertes de Surveillance de l'Espace de Fréquences
Configurer les Paramètres Avancés du Périphérique d'un Point d'Accès