Rapport de Surveillance de l'Espace de Fréquences

S'applique À : Points d'accès gérés dans WatchGuard Cloud (AP130, AP330, AP332CR, AP430CR, AP432)

Le rapport de Surveillance de l'Espace de Fréquences énumère les problèmes de sécurité détectés sur votre réseau sans fil tels que les points d'accès Rogue, Rogue Suspecté et Evil Twin.

Vous devez activer la Surveillance de l'Espace de Fréquences avant qu'un point d'accès puisse analyser le réseau et signaler les menaces. Pour de plus amples informations, accédez à Surveillance de l'Espace de Fréquences des Points d'Accès.

Le système ne peut pas exécuter de mesures d'atténuation actives pour bloquer les connexions au point d'accès menaçant, ni déconnecter les clients sans fil déjà associés à un point d'accès menaçant.

Pour afficher le rapport de Surveillance de l'Espace de Fréquences, dans WatchGuard Cloud :

Sélectionnez Surveiller > Périphériques.
Sélectionnez le dossier contenant vos points d'accès.

Vous devez sélectionner un dossier de périphérique contenant vos points d'accès pour afficher le rapport de Surveillance de l'Espace de Fréquences, car WatchGuard Cloud utilise tous les points d'accès pour détecter les menaces.

Dans le menu Périphériques, sélectionnez Points d'accès > Surveillance de l'Espace de Fréquences.

Lorsque vous activez la Surveillance de l'Espace de Fréquences pour la première fois, l'analyse des réseaux câblés et sans fil peut prendre plusieurs minutes. Aucune donnée n'apparaît jusqu'à ce que WatchGuard Cloud détecte les menaces de sécurité.

Screenshot of the Airspace Monitoring Report

Pour sélectionner la période du rapport, cliquez sur .
Dans la liste déroulante Point d'Accès, sélectionnez le Point d'Accès spécifique que vous souhaitez afficher ou sélectionnez Tous les Points d'Accès.
Cliquez sur pour télécharger une version CSV du rapport.

Pour plus d'informations sur la façon de planifier un rapport, accédez à Planifier les Rapports WatchGuard Cloud.

Détails du Rapport de Surveillance de l'Espace de Fréquences

Le rapport de Surveillance de l'Espace de Fréquences comprend un graphique à barres des points d'accès Rogue, Rogue Suspecté et Evil Twin détectés.

Le tableau comprend ces données :

Adresse MAC de la Menace — Adresse MAC des interfaces sans fil ou câblées du périphérique de la menace détecté. Une icône indique si l'adresse MAC correspond à une interface câblée ou sans fil. Des adresses MAC supplémentaires correspondant à un BSSID sans fil peuvent être présentes.
Type — Type de menace détectée, par exemple Rogue AP, Rogue Suspecté ou Evil Twin. Pour de plus amples informations, accédez à À propos des Types de Menaces.
Raison de la Menace — Indique la raison pour laquelle un périphérique a été classifié comme périphérique de la menace sur la base de l'état de la signature.
Aucun — Cet état apparaît pour les points d'accès Rogue ou Rogue Suspecté qui ont été détectés par corrélation d'adresses MAC sans fil et câblées au lieu de la détection de signature Evil Twin.
Aucune signature détectée — Sur le périphérique Evil Twin, aucune signature susceptible d'indiquer qu'il s'agit d'un périphérique WatchGuard valide géré par WatchGuard Cloud ou d'un périphérique approuvé n'a été détectée.
Signature invalide détectée — Une signature invalide a été détectée sur le périphérique. Cela indique que la signature est corrompue ou a peut-être été falsifiée.
Une signature est détectée, mais son horodatage est invalide. — Une signature est détectée sur le périphérique, mais il existe des incohérences dans l'horodatage qui indiquent que la signature a peut-être été falsifiée et est considérée comme non valide. Cela peut également indiquer des divergences avec les communications du serveur NTP. Assurez-vous que tous vos points d'accès utilisent un serveur NTP régional fiable pour synchroniser l'heure de tous vos périphériques.
Adresse IP de la Menace — Adresse IP du périphérique de la menace détecté. Une adresse IP de menace apparaît uniquement pour les points d'accès Rogue et Rogue Suspecté. Les points d'accès Evil Twin sont identifiés par les adresses MAC BSSID des interfaces sans fil.
Heure de Première Détection — Date et heure auxquelles le périphérique de la menace a été détecté pour la première fois sur le réseau.
Heure de Dernière Détection — Date et heure auxquelles le périphérique de la menace a été détecté pour la dernière fois sur le réseau.
SSID du Périphérique de la Menace — SSID diffusé par le périphérique de la menace détecté.
Sécurité du Périphérique de la Menace — Mode de sécurité utilisé par le périphérique de la menace détecté, par exemple WPA2 Personal.
RSSI (Received Signal Strength Indicator) — Intensité du signal du point d'accès menaçant détecté en dBm. Plus la valeur est proche de 0 dBm, plus le signal est fort. À titre d'exemple, -60 dBm représente une meilleure intensité de signal que -75 dBm. Utilisez le RSSI du périphérique menaçant détecté à partir des points d'accès qui ont détecté le périphérique pour estimer l'emplacement de la menace.
Protocole du Périphérique de la Menace — Protocole sans fil utilisé par le périphérique de la menace détecté, par exemple 802.11ax.
Détecté par Nom du Périphérique — Nom du point d'accès WatchGuard ayant détecté le périphérique de la menace.
Détecté par Adresse MAC — Adresse MAC du point d'accès WatchGuard ayant détecté le périphérique de la menace.
Détecté par Numéro de Série — Numéro de série du point d'accès WatchGuard ayant détecté le périphérique de la menace.

À propos des Types de Menaces

Un point d'accès menaçant peut correspondre à l'un des types suivants :

Rogue Access Point

Un Rogue access point est un point d'accès non autorisé qui est physiquement connecté à votre réseau câblé et diffuse les SSID sans fil auxquels vos clients pourraient se connecter au lieu des SSID de votre point d'accès légitime.

Le Rogue access point peut avoir été connecté par un utilisateur non autorisé.
Le Rogue access point peut avoir été connecté à votre réseau par un membre de votre organisation sans autorisation, ou il peut s'agir d'un périphérique mis en place à des fins de test. Ces points d'accès constituent des risques de sécurité pour vos réseaux s'ils sont mal configurés ou s'ils ne disposent pas des fonctionnalités de sécurité requises activées.
Utilisez le RSSI (intensité du signal) détecté ainsi que l'emplacement des points d'accès ayant détecté la menace pour déterminer l'emplacement approximatif du périphérique. Ces informations figurent dans le rapport de Surveillance de l'Espace de Fréquences et dans la notification d'alerte d'alarme du périphérique. Pour de plus amples informations, accédez à Rapport de Surveillance de l'Espace de Fréquences ou Alertes de Surveillance de l'Espace de Fréquences.
Vous pouvez également désactiver des ports de commutateur ou utiliser le blocage d'adresses MAC sur votre commutateur réseau pour isoler le Rogue access point du réseau si vous ne parvenez pas à trouver le périphérique.

Rogue Access Point Suspecté

Un Rogue Access Point Suspecté peut être un point d'accès non autorisé connecté à votre réseau câblé qui diffuse des SSID sans fil auxquels vos clients sont susceptibles de se connecter en lieu et place des SSID de votre point d'accès légitime.

Il peut également s'agir d'un périphérique légitime de votre réseau qui n'a pas été configuré dans votre liste de points d'accès approuvés.

Le périphérique peut avoir été connecté à votre réseau par un membre de votre organisation sans autorisation, ou il peut s'agir d'un périphérique mis en place à des fins de test. Ces points d'accès constituent des risques de sécurité pour vos réseaux s'ils sont mal configurés ou s'ils ne disposent pas des fonctionnalités de sécurité requises activées.
Si le point d'accès n'a pas été autorisé, déconnectez-le du réseau.
Si le périphérique est un point d'accès légitime, ajoutez l'adresse MAC de l'interface LAN câblée ainsi que toutes les adresses BSSID sans fil du périphérique à votre liste de Points d'Accès Approuvés. Pour de plus amples informations concernant les Points d'Accès Approuvés, consultez la section Surveillance de l'Espace de Fréquences des Points d'Accès.

Evil Twin

Un Evil Twin est un point d'accès opérant dans votre espace de fréquences qui diffuse le même nom de SSID que vos points d'accès gérés de manière à se faire passer pour un point d'accès légitime sur votre réseau.

Avertissez vos utilisateurs qu'il existe un point d'accès Evil Twin. Les clients sans fil risquent de se connecter au point d'accès Evil Twin et de communiquer des données vulnérables.
Utilisez le RSSI (intensité du signal) détecté ainsi que l'emplacement des points d'accès ayant détecté la menace pour déterminer l'emplacement approximatif du périphérique. Ces informations figurent dans le rapport de Surveillance de l'Espace de Fréquences et dans la notification d'alerte d'alarme du périphérique. Pour de plus amples informations, accédez à Rapport de Surveillance de l'Espace de Fréquences ou Alertes de Surveillance de l'Espace de Fréquences.

Rubriques Connexes

Surveillance de l'Espace de Fréquences des Points d'Accès

Alertes de Surveillance de l'Espace de Fréquences

Configurer les Paramètres Avancés du Périphérique d'un Point d'Accès

© 2024 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard et le logo WatchGuard sont des marques déposées de WatchGuard Technologies, Inc. aux États-Unis et dans d'autres pays. Les autres marques sont détenues par leurs propriétaires respectifs.