HOWTO: Absichern des Mobile-VPN-Zugriffs via Secure-VPN

Neben dem Einsatz von WatchGuard AuthPoint als MFA-Lösung zur Absicherung von mobilen Arbeitsplätzen, kann auch geprüft werden, ob der VPN Client über einen installierten EPP/EDR/EPDR Schutz von WatchGuard verfügt. Die Überprüfung erfolgt für den Benutzer völlig transparent im Hintergrund und ist daher besonders komfortabel.

  1. Voraussetzungen
    1. WatchGuard Firewall
    2. Windows Client mit VPN Zugriff (IKEv2, SSLVPN, L2TP)
    3. Installierte WatchGuard Endpoint Protection auf dem Windows Client
    4. Die Windows Firewall erlaubt eingehende Verbindungen via TCP 33000 von der WatchGuard Firebox
  2. Testaufbau
    1. WatchGuard T40
    2. Windows 10 VM mit installiertem IKEv2 VPN
    3. Authentifizierung via RADIUS
    4. Installierter EPDR Client
  3. Konfiguration (Endpoint Konsole)
    1. Erstellen Sie eine UUID und einen (sicheren) Schlüssel. Die UUID kann z. B. via Powershell generiert werden:
      powershell -Command “[guid]::NewGuid().ToString()”
    2. Einstellungen -> Netzwerkdienste -> Sicheres VPN
      Tragen Sie die UUID und den Schlüssel unter „Sicheres VPN“ ein:
  4. Konfiguration Firebox
    1. Policy-Manager -> Subscription Services -> Thread Detection
      Aktivieren Sie TDR (Threat Detection & Response), tragen Sie die generierte UUID und den Schlüssel ein
    2. Aktivieren Sie das Host-Sensor-Enforcement für den VPN und die Gruppe Ihrer Wahl
      IKEv2: Policy-Manager -> VPN -> Mobile-VPN -> IKEv2 -> Authentication
  5. Testen Sie den VPN-Zugriff von je einem VPN-Client mit und ohne installiertem Endpoint-Schutz
    1. Mit installiertem EPDR Client
      Die Firebox prüft via Port 33000 ob der passende EPDR Client installiert ist. Nach der erfolgreichen Prüfung wird der Traffic erlaubt:

    2. Ohne installiertem EPDR Client
      Traffic wird bist zum Check geblockt. Der VPN wird getrennt, da der Host-Sensor nicht verifiziert werden konnte.

    1. Fazit

      Die Umsetzung von Secure-VPN ist sehr einfach und transparent. AuthPoint ist eine hervorragende Lösung, persönliche Zugänge zu schützen. Secure VPN rundet den Schutz für VPN-Zugriffe ab, da hier sichergestellt wird, dass die VPN-Verbindung nur von autorisierten Geräten aufgebaut wird.
      Weitere Informationen: Configure Secure VPN

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:


<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>