HOWTO: Best Practices für Firebox Remote Management

Es ist mittlerweile üblich, die Firebox (auch) aus der Ferne verwalten zu wollen. Wie Sie eine sichere Fernverwaltung zulassen können erfahren Sie in diesem Aritkel.

Wir empfehlen grundsätzlich, dass Sie niemals den Alias “Any-External” ​​oder andere Aliase, die die Firebox-Verwaltungsschnittstellen dem Internet zugänglich machen, zu einer der Firebox Management Policies (WatchGuard und WatchGuard Web UI) hinzufügen, da damit die Verwaltungsschnittstellen für jeden im Internet verfügbar gemacht werden und somit auch angreifbar sind. Sie haben stattdessen drei Optionen wie Sie die Fernverwaltung sicher aktivieren können, welche im Folgenden in der Reihenfolge der größten Sicherheit aufgeführt sind:

1. Verwenden Sie Mobile VPN, um sich remote mit den Verwaltungsschnittstellen zu verbinden

Wenn Sie Mobile VPN verwenden, legen Sie die Verwaltungsschnittstellen niemals öffentlichen Netzwerken (wie dem Internet) offen. Das VPN ermöglicht nur authentifizierten Benutzern den Zugriff auf die Verwaltungsschnittstellen über ihre internen privaten Adressen unter Verwendung eines stark verschlüsselten Tunnels. WatchGuard bietet verschiedene VPN-Typen an, die alle diese sichere Fernverbindung bieten. Details zu all Ihren VPN-Optionen sowie Links zu Konfigurationsanweisungen finden Sie auf der WatchGuard Mobile VPN-Hilfeseite. Nachdem Sie Mobile VPN aktiviert haben, können Sie den entsprechenden VPN-Alias ​​zu beiden Firebox-Verwaltungsrichtlinien hinzufügen. Wenn Sie über eine Multifaktor-Authentifizierungslösung (MFA) wie WatchGuard AuthPoint verfügen, können Sie Ihrem VPN für eine zusätzliche Sicherheitsebene auch MFA hinzufügen.

2. Nutzen Sie die Firebox-Authentifizierungsfunktion

Mit den Firebox-Authentifizierungseinstellungen können Sie den Zugriff auf die Verwaltungsschnittstelle nur auf vorauthentifizierte Benutzer beschränken. Auf dieser Hilfeseite finden Sie Anweisungen zum Konfigurieren der Authentifizierung zum Einschränken eingehender Verbindungen. Diese Hilfeseite enthält spezifische Anweisungen dazu, wie dies sowohl für die WatchGuard- als auch für die WatchGuard Web-UI-Richtlinien zu tun ist. Je nachdem, welchen Authentifizierungsservertyp Sie wählen, können Sie auch MFA für eine zusätzliche Sicherheitsebene hinzufügen.

3. Erlauben Sie nur bestimmten IP-Adressen, sich mit Ihren Verwaltungsschnittstellen zu verbinden

Schließlich können Sie die WatchGuard- und WatchGuard-Web-UI-Richtlinien so konfigurieren, dass der Remote-Zugriff nur von einer sehr begrenzten Liste öffentlicher IP-Adressen oder Netzwerke zugelassen wird, die Sie oder Ihre Remote-Benutzer kontrollieren. Sie sollten versuchen, diese IP-Zugriffskontrollliste (ACL) auf die absolute Mindestanzahl von Adressen zu beschränken, um das “Security Principle Of Least Privilege” aufrechtzuerhalten. Diese Methode zur Einschränkung der Verwaltungsschnittstellen ist akzeptabel und relativ sicher, aber wir empfehlen dennoch Mobile VPN als die sicherste Methode zur Fernverwaltung Ihrer Firebox. Diese Links enthalten Schritt-für-Schritt-Anleitungen zum Konfigurieren von IP-Adressen in Ihren WatchGuard- und WatchGuard-Web-UI-Richtlinien.

Durch die Nutzung von VPN oder das Sperren Ihrer Firebox-Verwaltungsrichtlinien können Sie Ihre Firebox sicher und remote verwalten. Wir empfehlen jedoch auch, dass Sie bei jeder Verwendung von Authentifizierungsseiten einige grundlegende bewährte Verfahren für Authentifizierung und Anmeldeinformationen befolgen, auch wenn Sie bereits durch die oben genannten Richtlinienempfehlungen geschützt sind. Die folgenden Best Practices stärken die Authentifizierung:

• Verwenden Sie ein starkes Passwort! Sie sollten Passwörter mit mindestens 16 Zeichen verwenden. Vermeiden Sie einfache Wörter aus dem Wörterbuch zu verwenden. Je zufälliger das Wort/die Zeichen desto besser. Wenn Sie einen Passwort-Manager haben, sollten Sie ihn einfach ein langes zufälliges Passwort festlegen lassen, das Sie sich nicht merken müssen. Wenn Sie keinen Passwort-Manager haben, können Sie auch einen kurzen Satz mit Satzzeichen verwenden, der komplex und lang, aber dennoch leicht zu merken ist. Dies wird manchmal als Passphrase bezeichnet.
• Ändern Sie regelmäßig Ihr Passwort! Ihre Firebox hat mindestens zwei Konten, die immer denselben Namen haben – Admin und Status. Sie sollten die Passwörter für diese Konten regelmäßig ändern, für den Fall, dass sie jemals bei einem anderen Angriff (z. B. einem Phishing-Versuch) durchgesickert sind. Wir empfehlen Ihnen, diese Passwörter mindestens einmal im Jahr zu ändern, aber es schadet nicht, dies auch vierteljährlich zu tun.
• Aktivieren und konfigurieren Sie die Kontosperreinstellungen (Account Lockout Settings) Ihrer Firebox! Diese Funktion sperrt Benutzerkonten, wenn die Firebox eine wiederholte Anzahl fehlgeschlagener Anmeldungen erkennt. Dieser Schutz schützt vor Brute-Force-Kennwortangriffen und anderen Angriffen auf Anmeldeinformationen, bei denen Angreifer eine Liste von Kennwörtern ausprobieren müssen. Beachten Sie, dass die Kontosperrfunktion das Administratorkonto anders beeinflusst als andere. Weitere Einzelheiten finden Sie im Abschnitt Kontosperrung (Account Lockout Settings) dieses Hilfedokuments.