アクセス ポイントの空域の監視

適用対象:WatchGuard のクラウド管理のアクセス ポイント (AP130、AP330、AP332CR、AP430CR、AP432)

空域の監視を有効化すると、ネットワークで以下の Wi-Fi 脅威をスキャンすることができます。

Rogue Access Point

Rogue Access Point とは、有線ネットワークに物理的に接続し、ワイヤレス SSID をブロードキャストする不正なアクセス ポイントです。これにより、クライアントが、正規のアクセス ポイント SSID ではなく、この不正なアクセス ポイントに接続される可能性があります。

  • Rogue Access Point には、不正なユーザーが接続している可能性があります。ワイヤレス クライアントが、承認済み管理対象アクセス ポイントではなく、こうした Rogue Access Point に接続され、脆弱なデータを通信する可能性があります。
  • Rogue Access Point は、組織内の誰かが同意なしにネットワークに接続したデバイスである可能性、またはテスト用にセットアップされたデバイスである可能性があります。こうしたアクセス ポイントが適切に構成されていない場合、または必要なセキュリティ機能が有効化されていない場合は、ネットワークにセキュリティ リスクが発生します。
  • このデバイスは、ユーザーの 信頼済みアクセス ポイント リストに設定されていないだけで、ネットワークの正当なアクセス ポイントである可能性もあります。

不審な Rogue Access Point

不審な Rogue Access Point は、有線ネットワークに物理的に接続されている不正なアクセス ポイントである可能性もあれば、正当なアクセス ポイントである可能性もあります。

  • 不審な Rogue Access Point は、有線ネットワークに接続されている不正なアクセス ポイントである可能性があります。クライアントは、正当なアクセス ポイントの SSID ではなく、この Rogue Access Point からブロードキャストされる SSID に接続する可能性があります。
  • このデバイスは、ユーザーの 信頼済みアクセス ポイント リストに設定されていないだけで、ネットワークの正当なアクセス ポイントである可能性もあります。

Evil Twin アクセス ポイント

Evil Twin とは、空域内の近距離で、管理対象アクセス ポイントと同じ SSID 名をブロードキャストすることで、ネットワークにおける正当なアクセス ポイントとして表示されるようにする不正なアクセス ポイントです。

  • 不正なユーザーがネットワーク内の近距離で Evil Twin を運用している可能性があります。
  • ワイヤレス クライアントが、正当な管理対象アクセス ポイントではなく、Evil Twin アクセス ポイントに接続され、脆弱なデータが通信される可能性があります。
  • このデバイスは、ユーザーの 信頼済みアクセス ポイント リストに設定されていないだけで、ネットワークの正当なアクセス ポイントである可能性もあります。

Evil Twin アクセス ポイントを検出するには、セキュリティ スキャンに使用される専用無線が備わっている AP330 または AP430CR が必要となります。

空域の監視レポートとアラート

空域の監視レポートで、検出されたセキュリティ脅威の概要を確認することができます。詳細については、空域の監視レポート を参照してください。

WatchGuard Cloud で脅威アクセス ポイントが検出された際に、アラート通知を生成することができます。これを利用して、脅威を調査、特定、削除するアクションを実行することが可能となります。空域の監視イベントのアラート通知を作成する方法の詳細については、空域の監視アラート を参照してください。

開始する前に

空域の監視を使用するには、以下の条件を満たす必要があります。

  • WatchGuard USP Wi-Fi Management ライセンス
  • すべてのアクセス ポイントにアクセス ポイント ファームウェア v2.0 以降がインストールされている必要があります。
  • Evil Twin の検出には、スキャンに使用される無線を搭載した AP330 または AP430CR が必要となります。その他すべての Wi-Fi in WatchGuard Cloud アクセス ポイント モデルでは、ネットワークに物理的に接続されている Rogue Access Point と不審な Rogue Access Point しか検出することができません。大規模な配備の場合は、スキャンに使用される無線を搭載したアクセス ポイントを 3 ~ 5 つのアクセス ポイントごとに少なくとも 1 つ配置することが勧められます。
  • アクセス ポイントに構成された NTP (ネットワーク タイム プロトコル) サーバーが必要です。正確なスキャンと検出を実現するには NTP が必要となります。アクセス ポイントに構成されている既定サーバーは pool.ntp.org です。ネットワークで使用可能な場合は、内部 NTP サーバーを指定すること、または信頼性の高い地域の NTP サーバーを指定することが勧められます。

空域の監視を有効化する前に、ネットワークに存在するすべての WatchGuard アクセス ポイントをファームウェア v2.0 以降にアップグレードしてください。これにより、ネットワークのすべての管理対象アクセス ポイントが正しく識別され、セキュリティ スキャンの対象になります。

空域の監視の仕組み

空域の監視では、WatchGuard の特許取得済み識別技術により、有線ネットワークとワイヤレスの空域がスキャンされ、Rogue Access Point、不審な Rogue Access Point、および Evil Twin アクセス ポイントが検出されます。

WatchGuard アクセス ポイントでは、これが接続されているのと同じネットワークに存在する脅威 AP のみが検出されます。他のネットワーク/VLAN に存在する脅威 AP は検出することができません。

Rogue Access Point Detection

Rogue Access Point とは、有線ネットワークに物理的に接続し、ワイヤレス SSID をブロードキャストする不正なアクセス ポイントです。これにより、クライアントが、正規のアクセス ポイント SSID ではなく、この不正なアクセス ポイントに接続される可能性があります。

Diagram of Rogue Access Point detection with Airspace Monitoring

WatchGuard Cloud の管理対象となるすべての WatchGuard アクセス ポイント モデルでは、ネットワークに存在する Rogue Access Point と不審な Rogue Access Point が検出されます。

  • WatchGuard アクセス ポイントでは、有線ネットワークをスキャンして、ネットワークに物理的に接続されているアクセス ポイントがチェックされます。また、ワイヤレス空域をスキャンして、こうしたアクセス ポイントからブロードキャストされている SSID が検査されます。
  • WatchGuard Cloud では、検出された有線インターフェイスとワイヤレス インターフェイスの MAC アドレスが相関付けられ、アクセス ポイントが Rogue Access Point であるかどうかが判断されます。
  • MAC アドレス間の相関関係が不確かであると、そのアクセス ポイントが不審な Rogue Access Point として分類されます。これは、不正なデバイスである可能性があるため、調査が必要となりますこれは、信頼済みアクセス ポイント リストに追加されていないだけで、正当なデバイスである可能性もあります。

Evil Twin Access Point Detection

Evil Twin とは、空域内 (有線ネットワークに接続されていないもの) の近距離で、管理対象アクセス ポイントと同じ SSID 名をブロードキャストすることで、ネットワークにおける正当なアクセス ポイントのように表示される不正なアクセス ポイントです。

Diagram of Evil Twin Access Point detection with Airspace Monitoring

  • ワイヤレス空域に存在する Evil Twin アクセス ポイントを検出できるのは、ワイヤレス スキャンに使用される無線を搭載した WatchGuard アクセス ポイント (AP330 および AP430CR) のみです。
  • WatchGuard Cloud では、特許取得済みの署名ベースの識別技術により、アクセス ポイントが Evil Twin であること、および既知の WatchGuard 管理対象アクセス ポイントや信頼済みアクセス ポイントではないことが確認されます。
  • このデバイスは、ユーザーの 信頼済みアクセス ポイント リストに設定されていないだけで、ネットワークの正当なアクセス ポイントである可能性もあります。

信頼済みアクセス ポイント

WatchGuard の特許取得済み識別技術により、WatchGuard Cloud で信頼済みワイヤレス デバイスに関するセキュリティ アラートが生成されるというようなことはありません。

以下の WatchGuard デバイスは、信頼済みアクセス ポイントとして自動的に識別されます。

  • WatchGuard Cloud の管理対象 WatchGuard アクセス ポイント
  • WatchGuard Cloud の管理対象ワイヤレス Firebox

管理対象アクセス ポイントとワイヤレス Firebox は、同じ WatchGuard Cloud アカウントに割り当てられている必要があります。

ネットワークで信頼済み管理対象デバイスとみなされる追加デバイスの MAC アドレスを、信頼済みアクセス ポイントのリストに追加することができます。

たとえば、他の WatchGuard 製品やサードパーティのアクセス ポイントといった既知のデバイスの MAC アドレスを、信頼済みアクセス ポイントとして追加することが可能です。詳細については、信頼済みアクセス ポイントを構成する を参照してください。

空域の監視を構成する

アクセス ポイントに空域の監視を構成するには、以下の手順を実行します。

  1. 構成 > デバイス の順に選択します。
  2. クラウド管理のアクセス ポイントを選択します。
  3. デバイス構成 を選択します。
  4. 設定 タイルで、詳細設定 を選択します。
  5. 空域の監視 を有効化します。
  6. 構成を保存します。
  7. 構成をアクセス ポイントに配備します。

Screenshot of the access point Airspace Monitoring settings in WatchGuard Cloud

単一の Access Point Site に空域の監視を構成して、その構成を複数のアクセス ポイントに適用することが勧められます。詳細については、Access Point Site について を参照してください。

信頼済みアクセス ポイントを構成する

既定では、WatchGuard Cloud で管理されるすべての WatchGuard アクセス ポイントとワイヤレス Firebox は、信頼済みアクセス ポイントとみなされます。WatchGuard の特許取得済み識別技術により、WatchGuard Cloud で、WatchGuard Cloud アカウントで管理されているデバイスに関するセキュリティ アラートが生成されるというようなことはありません。

ネットワークに接続されている以下のようなアクセス ポイントの MAC アドレスを追加すると、それが信頼済みアクセス ポイントとして分類されます。

  • WatchGuard Wi-Fi Cloud の管理対象 Wi-Fi 5 アクセス ポイント
  • Firebox の Gateway Wireless Controller の管理対象 Wi-Fi 5 アクセス ポイント
  • WatchGuard Cloud の管理対象外の Wireless Firebox
  • サードパーティのアクセス ポイント

アクセス ポイントの有線イーサネット MAC アドレスおよびアクセス ポイントからブロードキャストされるワイヤレス ネットワークの BSSID MAC アドレスの両方を必ず追加してください。そうすれば、こうしたアドレスで、Rogue Access Point と Evil Twin アクセス ポイントに関するアラートが発信されることがなくなります。

信頼済みアクセス ポイントの MAC アドレスを追加するには、MAC アドレスを追加する をクリックします。完了したら、追加 をクリックして、信頼済みアクセス ポイントのリストを保存します。

複数の MAC アドレスのリストをアップロードするには、MAC アドレス リストをインポートする をクリックします。

Screenshot of the Import MAC Address List dialog box

MAC アドレス リストをボックスにドラッグ&ドロップするか、MAC アドレス リスト ファイルを選択します。

MAC アドレス リスト ファイルは、カンマ区切り値形式 (CSV) で、MAC アドレスとオプションの説明が含まれている必要があります。

たとえば、説明付きでアドレスをインポートする場合は、以下のようになります。

00:aa:00:bb:00:c1, Description
00:aa:00:bb:00:c2, Description

たとえば、説明なしでアドレスをインポートする場合は、以下のようになります。

00:aa:00:bb:00:c1
00:aa:00:bb:00:c2

説明付きまたは説明なしでアドレスをインポートする場合は、以下のようになります。

00:aa:00:bb:00:c1, Description
00:aa:00:bb:00:c2
00:aa:00:bb:00:c3, Description
00:aa:00:bb:00:c4

インポートされたファイルの分析時に、インポートする MAC アドレスを選択することができます。保存 をクリックして MAC アドレスをインポートします。

Screenshot of the Trusted Access Poiints import settings

空域の監視をトラブルシューティングする

空域の監視を有効化している場合に、既知のアクセス ポイントが Rogue Access Point、不審な Rogue Access Point、または Evil Twin アクセス ポイントとして検出され、誤検知アラートが発信された場合は、以下を確認してください。

  • すべてのアクセス ポイントがファームウェア v2.0 以降にアップグレードされていることを確認します。
  • すべてのアクセス ポイントで空域の監視が有効化されていることを確認します。Access Point Site を使用して、複数のアクセス ポイントに構成を適用することが勧められます。
  • 構成がアクセス ポイントに正しく配備されていることを確認します。詳細については、アクセス ポイントの配備履歴 を参照してください。
  • すべてのアクセス ポイントから同じ NTP サーバーがポーリングされるように構成されていることを確認します。既定は pool.ntp.org です。NTP サーバーへの接続が適切に機能していることを確認します。ネットワークで使用可能な場合は、内部 NTP サーバーを指定すること、または信頼性の高い地域の NTP サーバーを使用することが勧められます。
  • WatchGuard Cloud で管理されていないデバイスが、信頼済みアクセス ポイント リストに構成されていることを確認します。

関連トピック

空域の監視レポート

空域の監視アラート

アクセス ポイント デバイス詳細設定を構成する