Sichere Homeoffice-Anbindung mit WatchGuard-Lösungen
Sichere Homeoffice-Anbindung mit WatchGuard-Lösungen
Alle sprechen in diesen Tagen vom Arbeiten im Homeoffice. Eine Herausforderung für die IT-Abteilung bzw. den Systemadministrator. Wir wollen Ihnen hier möglichst viele Informationen und Lösungsansätze in kompakter Form liefern, wie Sie Ihre eigene Homeoffice Strategie mit WatchGuard Produkten erfolgreich umsetzen können.
Wir, die BOC IT-Security GmbH – WatchGuard Platinum Partner und WatchGuard Partner of the Year 2019/2020 – arbeiten schon seit vielen Monaten praktisch vollständig von unseren Homeoffices aus. Alle Kollegen sind voll einsatzbereit – der Warenfluss funktioniert und wir haben viele Produkte bei uns direkt auf Lager. Sie erreichen uns auf den bekannten Kommunikationswegen. Gerne helfen wir Ihnen bei der Umsetzung – sprechen Sie uns an! Aber vor allem: Bleiben Sie gesund!
Mobile User VPN Technologien
Der wichtigste Schlüssel zur sicheren Homeoffice-Anbindung ist die VPN-Technologie. Jede WatchGuard Firewall bietet ohne Zusatzkosten VPN für Mobile User bzw. Homeoffices. Folgende VPN-Technologien stehen auf der WatchGuard zur Verfügung: SSL-VPN, IPSec, L2TP, IKEv2.
Die Anzahl gleichzeitiger VPN-Verbindungen hängt vom jeweiligen Firebox-Modell ab. Sie kann nicht erhöht werden. Natürlich besteht immer die Möglichkeit, im Rahmen der Trade-Up Promotion auf eine größere Firebox mit mehr Verbindungen umzusteigen. Sie könnten aber auch – zumindest vorübergehend – einfach mehrere dieser Technologien konfigurieren und die User darauf verteilen:
| aktuelle Firebox Modelle |
NV5 | T25 T25-W |
T35-R | T45 T45-PoE T45-W-PoE |
T85-PoE | M290 | M390 | M590 | M690 | M4800 | M5800 |
| SSL-VPN | 10 | 10 | 25 | 30 | 60 | 75 | 250 | 500 | 1000 | 10000 | unlimited |
| L2TP | 10 | 10 | 25 | 30 | 60 | 75 | 250 | 500 | 1000 | 10000 | unlimited |
| IPSec/IKEv2 | 10 | 10 | 25 | 30 | 60 | 75 | 250 | 500 | 1000 | 10000 | unlimited |
| Ältere Firebox Modelle |
T15 T15-W |
T20 T20-W |
T35 T35-W |
T40 T40-W |
T50 T50-W |
T55 T55-W |
T70 / T80 | M200 | M300 | M400 | M440 | M500 | M4600 | M5600 |
| SSL-VPN | 5 | 5 | 25 | 30 | 50 | 50 | 60 | 75 | 100 | 150 | 300 | 500 | 10000 | unlimited |
| L2TP | 5 | 5 | 25 | 30 | 50 | 50 | 60 | 75 | 100 | 150 | 300 | 500 | 10000 | unlimited |
| IPSec/IKEv2 | 5 | 5 | 25 | 30 | 50 | 50 | 60 | 75 | 100 | 150 | 300 | 500 | 10000 | unlimited |
[Nähere Infos und Preise zu den jeweiligen Modellen durch Klick auf die Modellbezeichnung. Bei den FETT dargestellten Modellen handelt es sich um die aktuelle Gerätegeneration, bei den dünn dargestellten Modellen um die Vorgängerserien (“End-of-Sale” – kein Neukauf mehr möglich; Lizenzen auf den älteren Modellen können aber noch bis zum 30.06.2023 verlängert werden).]
L2TP und IKEv2 werden schon mit den Bordmitteln der gängigen Betriebssysteme unterstützt, ohne dass ein zusätzlicher Software-Client installiert werden muss. Für SSL-VPN bietet WatchGuard kostenfrei einen Client für Windows und MacOS an. Sie können auch den Original OpenVPN Client verwenden, der noch eine ganze Reihe anderer Betriebssysteme unterstützt. Für IPSec wird der (kostenpflichtige) Premium IPSec Client von NCP empfohlen, der im nächsten Abschnitt vorgestellt wird.
Die Technologien unterscheiden sich bei den Möglichkeiten der User Authentifizierung. Alle Technologien unterstützen die Firebox-DB, also lokal auf der Firebox gepflegte Benutzernamen/Kennwörter. Eine direkte Authentifizierung gegenüber Active Directory ist bei SSL-VPN und IPSec möglich. Bei den anderen Technologien geht dies auch – unter Zuhilfenahme eines RADIUS-Servers, also z.B. dem in Windows Server enthaltenen NPS (Network Policy Server). Über RADIUS lassen sich auch 2FA bzw. MFA (Multi-Factor Authentication) Lösungen anbinden wie z.B. WatchGuard AuthPoint, das weiter unten vorgestellt wird. Mit MFA erhöhen Sie die Sicherheit Ihres VPN-Zugangs, da dann eine Einwahl nur noch dann zugelassen wird, wenn ein zweiter Faktor (Hardware-Token oder Smartphone-App) erfolgreich bedient wird.
Die Technologien unterscheiden sich auch hinsichtlich des Routings, Stichwort Split Tunneling.
Für hohe Performance empfiehlt sich IKEv2 in Verbindung mit AES-GCM. Hier übernimmt der in den meisten Firebox-Modellen integrierte Hardware-Crypto-Beschleuniger die Rechenarbeit und die eigentliche CPU kann sich um ihre anderen Aufgaben kümmern.
Ergänzende Informationen Die WatchGuard SSLVPN-Clients für Windows und MacOS finden Sie im WatchGuard Software Portal, wenn Sie zunächst in der Pulldown-Liste Ihr Modell auswählen und dann etwas herunterscrollen. Ein anderer Weg führt über die Anmeldung an der SSLVPN Authentication Page Ihrer eigenen WatchGuard Firebox (https://[Ihre-IP]/sslvpn.html, ggfs. abweichenden Port beachten). Dort werden Ihnen ebenfalls die Software-Clients zum Download angeboten. Dort finden Sie auch die .ovpn Datei, die Sie für den Import in den Original OpenVPN Client brauchen. IKEv2 und L2TP routen bei aufgebauter VPN-Verbindung sämtlichen Datentraffic zunächst in den VPN-Tunnel hinein (0.0.0.0/0), so dass ein Übergang ins Internet erst in der Zentrale erfolgt, wo mit entsprechenden Firewallregeln, Proxies und Security Services die User gleichermaßen geschützt sind, als wären sie in der Zentrale. Man muss allerdings beachten, dass die vom Client verursachte (Internet-)Bandbreite sogar mit dem Faktor 2 auf der Internet-Leitung der Zentrale anfällt. Bei SSL-VPN und IPSec ist wahlweise auch Split Tunneling möglich. Dabei werden nur die IP-Subnetze der Zentrale über den VPN-Tunnel erreicht, während normaler Internet-Traffic über das lokale Gateway hinausgeroutet wird, auf dem aber evtl. keine Security Services vorhanden sind. Grundsätzlich kann man bei allen Technologien durch geschickte Firewallregeln dafür sorgen, dass bestimmte User auch nur zu bestimmten Zielen durchgelassen werden (i.d.R. auf Basis einer Gruppenmitgliedschaft).
Weiterführende Links >> [Link] WatchGuard Help Center mit ausführlicher Gegenüberstellung der einzelnen VPN-Technologien >> [Link] Mobile VPN mit IKEv2 (Einstiegspunkt WatchGuard Help Center) >> [Link] Mobile VPN mit L2TP (Einstiegspunkt WatchGuard Help Center) >> [Link] Mobile VPN mit SSL (Einstiegspunkt WatchGuard Help Center) >> [Link] Mobile VPN mit IPSec (Einstiegspunkt WatchGuard Help Center)
WatchGuard Firebox T-Serie für Site-to-Site VPN-Verbindung
Wenn die Ausstattung im Homeoffice umfangreicher ist und z.B. auch Netzwerkdrucker oder IP-Telefon(e) von der Zentrale aus erreicht werden müssen, bietet sich eine kleine WatchGuard Firebox der T-Serie für das Homeoffice an, über die eine dauerhafte Site-to-Site Verbindung (BOVPN) eingerichtet werden kann. Durch Segmentierung ist zudem eine klare Trennung von privat und geschäftlich genutzten Endgeräten möglich.
TECH TALK TICKER: +++++ Je nach Routing-Konzept (Stichwort: 0.0.0.0/0 Route) können die Geräte mit den Security Services oder auch nur mit Standard Support lizensiert werden. +++++ Optimalerweise hängt die Firebox direkt am DSL-Anschluss und übernimmt auch die PPPoE-Einwahl. +++++ Der Betrieb hinter einem vorgelagerten Router ist auch möglich (Stichworte: Transfernetz und Exposed Host bzw. DMZ Host). +++++ Damit ist die klassische Site-to-Site BOVPN-Anbindung über IPSec möglich. +++++ Muss der private Internet-Anschluss im Homeoffice mitgenutzt werden, kann als schnelle Lösung auf BOVPN-over-TLS zurückgegriffen werden. +++++ Das External Interface der Firebox wird dabei passend zum Heimnetzwerk konfiguriert (meist DHCP). +++++ Gut zu wissen: das in den Wireless Modellen der T-Serie (-W) vorhandene WLAN-Modul kann auch als “External” genutzt werden. Die Firebox kann so einfach in ein vorhandenes WLAN (!) eingebunden werden. +++++ Damit können Sie eine “Homeoffice in a Box”-Lösung konzipieren, die weitgehend unabhängig von den örtlichen Gegebenheiten in den Homeoffices ist. +++++ Am PoE-Port der T45-PoE/T45-W-PoE/T85-PoE kann ein separater WLAN Access Point oder z.B. ein IP-Telefon angeschlossen werden. +++++ Mehrere Interfaces können zu einer Bridge zusammengefasst werden, meist erübrigt sich dadurch ein zusätzlicher Switch. +++++ Die kleinen Fireboxen können über einen WatchGuard Management Server auch zentral administriert werden.+++++
Premium IPSec Client (basierend auf NCP Technologie)
Der NCP Client bietet erweiterten Komfort wie Windows Pre-Logon und eine integrierte Client-Firewall, mit der das Endgerät bei aufgebauter VPN-Verbindung von seinem lokalen Netzwerk isoliert werden kann – sehr wichtig z.B. beim Betrieb in öffentlichen oder häuslichen WLAN-Netzen!
Der NCP Client arbeitet mit allen Authentifizierungs-Methoden der WatchGuard zusammen, also auch mit MFA-Lösungen über RADIUS. Die Lizensierung erfolgt pro Endgerät. Es gibt Einzellizenzen für Windows und MacOS sowie 10-er und 50-er Volumenlizenzen, für die aber das Aufsetzen und der laufende Betrieb eines (kostenfreien) Lizenzservers erforderlich ist.
Sie können den NCP Client zunächst 30 Tage kostenlos testen. Die Downloads finden Sie im WatchGuard Software Portal bzw. etwas tiefer bei den “Weiterführenden Links”.
WatchGuard Access Portal
Das 
Access Portal stellt Außendienstmitarbeitern und Homeoffice Usern einen browserbasierten Zugang zu internen Ressourcen bereit – ohne dass dafür ein VPN-Client installiert oder konfiguriert werden muss.
Beispiele sind: Zugriff auf Terminalserver über RDP oder Linux-Server über SSH. Auch Microsoft Exchange (OWA, Outlook, ActiveSync) kann über das Access Portal publiziert werden ohne dass der Exchange-Server über eine direkte SNAT-Policy von außen zugänglich sein muss.
Nach erfolgreicher User-Anmeldung – gerne über eine MFA-Lösung wie AuthPoint zusätzlich abgesichert (siehe weiter unten) – stehen auf einer Weboberfläche diverse Icons zu Zielsystemen bzw. Anwendungen zur Verfügung. Auch die Weiterreichung an Cloud-Anwendungen wie Office 365, Dropbox, Salesforce usw. per SAML wird unterstützt.
Access Portal ist Bestandteil der Total Security Suite auf den aktuellen Firebox M Modellen sowie den etwas älteren M400/M500 Boxen. Auf den neuen Firebox T45, T45-PoE, T45-W-PoE und T85-PoE Modellen ist Access Portal in allen Lizensierungsstufen enthalten – auch bei Standard Support und Basic Security Suite.
Falls Ihre Firebox M noch keine “Total Security Suite” hat: Access Portal wird über die Hochstufung Ihrer Firebox M auf die “Total Security Suite” lizensiert. Die genauen Kosten dafür rechnen wir Ihnen basierend auf der Seriennummer Ihres Geräts gerne aus. Die Restlaufzeit der bisherigen Lizenzen wird dabei in voller Höhe berücksichtigt! Das gilt auch beim Umstieg auf eine neuere/größere Firebox im Rahmen der “Trade-Up Promotion”! Nutzen Sie für Ihre Anfrage einfach unser Kontaktformular und geben Sie am besten gleich die betreffende Seriennummer an.
WatchGuard AuthPoint (Multifaktor-Authentifizierung)
Vermeiden Sie das Risiko von schwachen Passwörtern! Mit AuthPoint, der kostengünstigen Multifaktor-Authentifizierung (MFA) Lösung von WatchGuard erhöhen Sie die Sicherheit von VPN-Einwahlen, Cloud-Anwendungen und Webportalen wie dem WatchGuard Access Portal.
Damit sich ein User erfolgreich einloggen kann, ist neben Benutzername und Kennwort ein weiterer “Faktor” erforderlich. Das kann die AuthPoint-App auf dem Smartphone sein, die u.a. eine komfortable Push Notification bietet oder ein klassischer Hardware-Token mit einem 6-stelligen Einmal-Passwort. AuthPoint arbeitet cloudbasiert und benötigt keinen dedizierten Server. Dadurch eignet es sich auch für kleine und mittelständische Unternehmen.WatchGuard AuthPoint arbeitet cloudbasiert und benötigt keinen dedizierten Server. Dadurch eignet es sich auch für kleine und mittelständische Unternehmen.
Gerne stellen wir Ihnen eine kostenlose 60-Tage-Testlizenz zur Verfügung, die später auch sofort in den Dauerbetrieb überführt werden kann. Zum schnellen und einfachen Einstieg bieten wir Ihnen unsere “Geführte Installation” für 280 EUR zzgl. MwSt. an.
WatchGuard EPDR – Endpoint Security
Endpoint Security-Lösungen von WatchGuard bieten die Technologien, die zum Stoppen fortschrittlicher Cyberangriffe auf Endpunkte erforderlich sind, einschließlich Antivirusprogramme der nächsten Generation (EPP), Endpoint Detection and Response (EDR)- sowie DNS-Filterungslösungen. Sie schützen Endgeräte vor Malware, auch außerhalb des Firmennetzwerks – unterwegs oder im Homeoffice.
WatchGuard verfolgt dabei im Gegensatz zu klassischen Antivirus-Herstellern einen “Zero-Trust” Ansatz, d.h. auf den Endgeräten können nur solche Programme und Prozesse gestartet werden, die von WatchGuard als 100% unschädlich eingestuft worden sind. Unbekannte Prozesse werden zunächst im WatchGuard -Labor untersucht und klassifiziert. So kann eine Infektion durch Malware praktisch ausgeschlossen werden.
Neben dem Kernprodukt WatchGuard EPDR gruppieren sich Erweiterungsoptionen wie Patch Management, Full Encryption, Data Control und das Advanced Reporting Tool – alles bereitgestellt über einen einzigen kompakten Agenten und verwaltet über eine zentrale cloudbasierte Plattform.
Gerne stellen wir Ihnen eine kostenlose 30-Tage-Testlizenz zur Verfügung, die später auch sofort in den Dauerbetrieb überführt werden kann.
Schulungen, Webinare, Dienstleistungen, Support
Als WatchGuard Certified Training Partner bieten wir regelmäßig alle 1-2 Monate eine 4-tägige WatchGuard Administrator-Schulung an wechselnden Orten im Bundesgebiet oder auch Online an. Alle Termine finden Sie unter www.boc.de/schulungen. Sollte es zu Terminverschiebungen kommen, behalten Buchungen selbstverständlich ihre Gültigkeit.
Auch Individualschulungen und Installationen als “Training on the job” bei Ihnen vor Ort müssen auf einen späteren Zeitpunkt verschoben werden. Gerne stehen wir Ihnen aber für Teamviewer-Sitzungen und Online-Meetings zur Verfügung.
Nutzen Sie auch die kostenfreien Webinare von WatchGuard selbst. Alle Termine finden Sie regelmäßig in unserem Terminkalender. In unserem Video-Archiv finden Sie auch Aufzeichnungen von vielen vergangenen Veranstaltungen.
Brauchen Sie Support? Nutzen Sie gerne das Webformular www.boc.de/support, um schnell und einfach ein Support-Ticket bei uns zu öffnen.
Das könnte Sie auch interessieren: