Trennung der SSLVPN- und Authentication Login-Seiten

17. Juli 2017 Werner Maier Comment

WatchGuard hat mit Fireware 11.12.2 das Authentication Portal (üblicherweise auf Port 4100) noch weiter vom SSLVPN-Portal abgetrennt. Bei älteren Fireware Releases war es möglich, über https://[IP-der-Firebox]/sslvpn_logon.shtml die SSLVPN-Login-Seite aufzurufen und über https://[IP-der-Firebox]/logon.shtml die Login-Seite für die normale User Authentifizierung an der Firewall – unabhängig davon, welcher Port (4100/Authentification oder 443/SSLVPN bzw. anderer eingestellter Port) aufgerufen wurde. Die saubere Trennung der beiden Dienste führt nun einerseits zu einer erhöhten Sicherheit, ist aber möglicherweise für den einen oder anderen etwas hinderlich. Beispielsweise wenn jemand, der die Authentifizierung von External nutzen soll, an seinem aktuellen Internet-Zugang nicht über Port 4100 ins Internet hinaus darf. Hier war es extrem praktisch, die Authentifizierung eben auch auf dem üblicherweise in ausgehende Richtung offenen Port 443 ansprechen zu können.

Folgende Workarounds können nun eingerichtet werden:

Falls der Port 443 noch gar nicht verwendet wird: Einrichten eines SNAT von Any-External an IP:443 mit Weiterleitung an die interne IP der Firewall auf Port 4100!
Falls der Port 443 bereits für SSLVPN verwendet wird: Sekundäre IP für den o.g. SNAT verwenden, sofern vom Provider mehrere externe IPs zur Verfügung gestellt werden
Evtl. SSLVPN auf einem anderen Port als 443 betreiben, um den Port 443 für User Authentication freizuschalten. Hier verlagert man das Problem aber nur, denn wenn SSLVPN z.B. auf Port 444 umkonfiguriert wird, dann müssen eben mögliche SSLVPN-Nutzer an deren Standort eben auch über diesen Port 444 ins Internet hinaus können…

Falls der externe Port 443 bereits für Microsoft Outlook Web Access (OWA) oder einen anderen Dienst (interner Webserver mit HTTPS) für die Weiterleitung nach innen benutzt wird, hilft hierbei künftig eventuell ein für Fireware 12.x angekündigtes neues Feature: Host Header Redirection. Mit diesem Feature soll es möglich werden, auf der WatchGuard Firewall ein Multidomain/SAN-Zertifikat zu installieren und dann abhängig vom jeweiligen Hostnamen auf unterschiedliche interne IPs weiterzuleiten. Leider wird hier nach meinem Kenntnisstand SSLVPN außen vor bleiben.

Mein Warenkorb

WatchGuard Firewall / VPN

WatchGuard Tabletop Modelle

WatchGuard Rackmount Modelle

Virtuelle Appliances

Zubehör und weitere Services

Ältere WatchGuard Modelle

WatchGuard Access Points

Wi-Fi 6 WatchGuard Access Points

ältere WatchGuard Access Points

WatchGuard AuthPoint

Multifaktor-Authentifizierung

WatchGuard Endpoint Security & Panda

Einzelprodukte

Zusatzmodule

Bundles

Für Bestandskunden von Panda empfehlen wir weiterhin:

WatchGuard Schulungen

Unsere WatchGuard Administrator-Schulung

Individualschulungen vor Ort

WatchGuard Videos und Webinare (kostenfrei)

Nächste Schulungs-Termine:

Weitere Termine:

WatchGuard Support

Support durch BOC IT-Security GmbH

Häufig nachgefragt...

Support durch WatchGuard (kostenfrei)

Hilfe zur Selbsthilfe (kostenfrei)

WatchGuard Informationen

Trennung der SSLVPN- und Authentication Login-Seiten

Das könnte Sie auch interessieren:

Leave a Reply Cancel Reply

BOC IT-Security GmbH
Künzeller Straße 93 D-36043 Fulda Deutschland / Germany Tel: +49 661 9440440 Fax: +49 661 9440490 E-Mail: info@boc.de Internet: https://www.boc.de	Geschäftsführer: Dipl.-Ing. Bernd Och Maik Lumler Handelsregister: Fulda 5 HRB 5345 USt-IdNr.: DE 256 847 327