空域の監視レポート

適用対象:WatchGuard のクラウド管理のアクセス ポイント (AP130、AP330、AP332CR、AP430CR、AP432)

空域の監視レポートには、Rogue Access Point、不審な Rogue Access Point、Evil Twin アクセス ポイントなど、ワイヤレス ネットワークで検出されたセキュリティ問題が表示されます。

ネットワークをスキャンして脅威のレポートを生成するには、アクセス ポイントの空域の監視を有効化する必要があります。詳細については、アクセス ポイントの空域の監視 を参照してください。

システム側では、脅威アクセス ポイントへの接続を防止する積極的な緩和策を講じることができません。また、脅威アクセス ポイントにすでに関連付けられているワイヤレス クライアントを切断することもできません。

WatchGuard Cloud で空域の監視レポートを表示するには、以下の手順を実行します。

  1. 監視 > デバイス の順に選択します。
  2. アクセス ポイントが含まれているフォルダを選択します。

WatchGuard Cloud では、すべてのアクセス ポイントを使用して脅威が検出されるため、空域の監視レポートを表示するには、アクセス ポイントが含まれているデバイス フォルダを選択する必要があります。

  1. デバイス メニューで、アクセス ポイント > 空域の監視 の順に選択します。

初めて空域の監視を有効化した場合は、有線ネットワークとワイヤレス ネットワークのスキャンに数分かかる場合があります。WatchGuard Cloud でセキュリティ脅威が検出されるまで、データは表示されません。

Screenshot of the Airspace Monitoring Report

  • レポートの日付範囲を選択するには、 をクリックします。
  • アクセス ポイント ドロップダウン リストから、表示する特定のアクセス ポイントを選択するか、すべてのアクセス ポイント を選択します。
  • をクリックして、CSV バージョンのレポートをダウンロードします。

レポートをスケジュールする方法については、WatchGuard Cloud レポートをスケジュールする を参照してください。

空域の監視レポートの詳細

空域の監視レポートには、検出された Rogue Access Point、不審な Rogue Access Point、Evil Twin アクセス ポイントの棒グラフが含まれます。

表には、以下のデータが含まれています。

  • 脅威 MAC アドレス — 検出された脅威デバイスのワイヤレス インターフェイスまたは有線インターフェイスの MAC アドレス。アイコンにより、MAC アドレスが有線インターフェイスかワイヤレス インターフェイスかが示されます。ワイヤレス BSSID に対応する追加の MAC アドレスが存在する可能性があります。
  • 種類 — Rogue AP、不審な Rogue AP、Evil Twin アクセス ポイントなど、検出された脅威の種類。詳細については、脅威の種類について を参照してください。
  • 脅威の理由 — 署名ステータスに基づきデバイスが脅威デバイスとして分類された理由。
  • なし — Evil Twin 署名検出ではなく、有線とワイヤレスの MAC アドレスの相関により Rogue Access Point または不審な Rogue Access Point が検出された場合にこのステータスが表示されます。
  • 署名の検出はありません — これが WatchGuard Cloud 管理対象の有効な WatchGuard デバイスまたは信頼済みデバイスであることを示す署名が、Evil Twin デバイスから検出されなかった場合に、これが表示されます。
  • 無効な署名が検出されました — デバイスで無効な署名が検出された場合に、これが表示されます。これは、署名が破損しているか、改ざんされている可能性があることを示すものです。
  • 署名は検出されましたが、タイムスタンプが無効です — デバイスで署名は検出されましたが、タイムスタンプに不一致がある場合に、これが表示されます。これは、署名が改ざんされた可能性があり、無効であることを示すものです。また、NTP サーバー通信との不一致が考えらえる可能性もあります。すべてのアクセス ポイントで信頼性の高い地域の NTP サーバーが使用されていること、およびすべてのデバイスの時刻が同期されていることを確認してください。
  • 脅威 IP アドレス — 検出された脅威デバイスの IP アドレス。Rogue Access Point および不審な Rogue Access Point の脅威 IP アドレスのみが表示されます。Evil Twin アクセス ポイントは、ワイヤレス インターフェイスの BSSID MAC アドレスにより識別されます。
  • 最初に検出された時間 — 脅威デバイスがネットワークで最初に検出された日時。
  • 最後に検出された時間 — 脅威デバイスがネットワークで最後に検出された日時。
  • 脅威デバイスの SSID — 検出された脅威デバイスからブロードキャストされた SSID。
  • 脅威デバイスのセキュリティ — WPA2 パーソナルなど、検出された脅威デバイスで使用されているセキュリティ モード。
  • RSSI (受信信号強度インジケータ) — 検出された脅威アクセス ポイントの信号強度 (dBm)。値が 0 dBm に近いほど、信号は強くなります。たとえば、-60 dBm の信号強度のほうが -75 dBm よりも強いということになります。脅威デバイスが検出されたアクセス ポイントにおける脅威デバイスの RSSI を用いて、脅威デバイスの位置を推定します。
  • 脅威デバイス プロトコル — 802.11ax など、検出された脅威デバイスで使用されているワイヤレス プロトコル。
  • デバイス名で検出 — 脅威デバイスが検出された WatchGuard アクセス ポイントの名前。
  • MAC アドレスで検出 — 脅威デバイスが検出された WatchGuard アクセス ポイントの MAC アドレス。
  • シリアル番号で検出 — 脅威デバイスが検出された WatchGuard アクセス ポイントのシリアル番号。

脅威の種類について

脅威アクセス ポイントの種類は、以下のいずれかとなります。

Rogue Access Point

Rogue Access Point とは、有線ネットワークに物理的に接続し、ワイヤレス SSID をブロードキャストする不正なアクセス ポイントです。これにより、クライアントが、正規のアクセス ポイント SSID ではなく、この不正なアクセス ポイントに接続される可能性があります。

  • Rogue Access Point には、不正なユーザーが接続している可能性があります。
  • Rogue Access Point は、組織内の誰かが同意なしにネットワークに接続したデバイスである可能性、またはテスト用にセットアップされたデバイスである可能性があります。こうしたアクセス ポイントの構成が正しくない場合、または必要なセキュリティ機能が有効化されていない場合は、これによりネットワークにセキュリティ リスクが発生します。
  • 検出された RSSI (信号強度) と脅威が検出されたアクセス ポイントの位置を用いて、デバイスの位置を概算します。この情報は、空域の監視レポートとデバイス アラーム アラート通知に含まれています。詳細については、空域の監視レポート または 空域の監視アラート を参照してください。
  • デバイスが見つからない場合は、スイッチ ポートを無効化すること、またはネットワーク スイッチで MAC アドレスのブロックを使用することで、ネットワークで Rogue Access Point を隔離することもできます。

不審な Rogue Access Point

不審な Rogue Access Point は、有線ネットワークに接続されている不正なアクセス ポイントである可能性があります。クライアントは、正当なアクセス ポイントの SSID ではなく、この Rogue Access Point からブロードキャストされるワイヤレス SSID に接続される可能性があります。

このデバイスは、ユーザーの信頼済みアクセス ポイント リストに構成されていないだけで、ネットワークの正当なデバイスである可能性もあります。

  • デバイスは、組織内の誰かが同意なしにネットワークに接続したデバイスである可能性、またはテスト用にセットアップされたデバイスである可能性があります。こうしたアクセス ポイントの構成が正しくない場合、または必要なセキュリティ機能が有効化されていない場合は、これによりネットワークにセキュリティ リスクが発生します。
  • アクセス ポイントが未承認のものである場合は、ネットワークから切断してください。
  • デバイスが正当なアクセス ポイントである場合は、有線 LAN インターフェイスの MAC アドレスおよびデバイスのワイヤレス BSSID アドレスを信頼済みアクセス ポイント リストに追加してください。信頼済みアクセス ポイントの詳細については、アクセス ポイントの空域の監視 を参照してください。

Evil Twin

Evil Twin とは、空域内で、管理対象アクセス ポイントと同じ SSID 名をブロードキャストすることで、ネットワークにおける正当なアクセス ポイントになりすます不正なアクセス ポイントです。

  • Evil Twin アクセス ポイントが存在していることを、ユーザーに警告してください。ワイヤレス クライアントから Evil Twin アクセス ポイントへの接続が発生すると、脆弱なデータへの通信が発生する可能性があります。
  • 検出された RSSI (信号強度) と脅威が検出されたアクセス ポイントの位置を用いて、デバイスの位置を概算します。この情報は、空域の監視レポートとデバイス アラーム アラート通知に含まれています。詳細については、空域の監視レポート または 空域の監視アラート を参照してください。

関連トピック

アクセス ポイントの空域の監視

空域の監視アラート

アクセス ポイント デバイス詳細設定を構成する