HOWTO: Absichern des Mobile-VPN-Zugriffs via Network Access Enforcement

Neben dem Einsatz von WatchGuard AuthPoint als MFA-Lösung zur Absicherung von mobilen Arbeitsplätzen, kann auch geprüft werden, ob der VPN-Client über einen installierten EPP/EDR-Core/EDR/EPDR/Advanced EPDR Schutz von WatchGuard verfügt. Die Überprüfung erfolgt für den Benutzer völlig transparent im Hintergrund und ist daher besonders komfortabel.

  1. Voraussetzungen
    1. WatchGuard Firewall
    2. Funktionierender Mobile-VPN (IKEv2, SSLVPN, L2TP)
    3. Aktuelles Windows oder macOS Betriebssystem
    4. Die Endpoint-Firewall erlaubt eingehende TCP-Verbindungen via Port 33000 von der Firebox
    5. WatchGuard Endpoint Protection auf dem VPN-Client
  2. Testaufbau
    1. WatchGuard T45-CW (Fireware 12.10.2)
    2. Windows 10 VM mit installiertem IKEv2 VPN
    3. Authentifizierung via RADIUS
    4. Installierter EPDR-Client
  3. Konfiguration in der WatchGuard Cloud
    1. Wechseln Sie in der WatchGuard Cloud unter “Administration” zu “Mein Konto”
    2. Kopieren Sie sich Ihre Account UUID und den zugehörigen Authentication Key:
    3. Wechseln Sie zu “Konfiguration” -> “Einstellungen” -> “Netzwerkdienste” -> “Durchsetzung des Netzwerkzugriffs”
      Tragen Sie die UUID und den Schlüssel unter „Durchsetzung des Netzwerkzugriffs“ ein:
  4. Konfiguration Firebox
    1. Policy-Manager -> Subscription Services -> Network Access Enforcement
      Aktivieren Sie Network Access Enforcement, tragen Sie die kopierte UUID und den Schlüssel ein:
    2. Aktivieren Sie das Network Access Enforcement für den VPN und die Gruppe Ihrer Wahl
      IKEv2: Policy-Manager -> VPN -> Mobile-VPN -> IKEv2 -> Authentication
  5. Testen Sie den VPN-Zugriff von je einem VPN-Client mit und ohne installiertem Endpoint-Schutz
    1. Mit installiertem EPDR-Client
      Die Firebox prüft via Port 33000 ob der passende EPDR-Client installiert ist. Nach der erfolgreichen Prüfung wird der Traffic erlaubt:

    2. Ohne installiertem EPDR-Client
      Traffic wird bis zum Check geblockt. Der VPN wird getrennt, da die Endpoint Protection nicht verifiziert werden konnte.

    1. Fazit

      Die Umsetzung von Network Access Enforcement ist sehr einfach und transparent. AuthPoint ist eine hervorragende Lösung, persönliche Zugänge zu schützen. Network Access Enforcement rundet den Schutz für VPN-Zugriffe ab, da hier sichergestellt wird, dass die VPN-Verbindung nur von autorisierten Geräten aufgebaut wird.

      Tipp: Schützen Sie Ihre WLAN-Netzwerke ebenfalls via Network Access Enforcement:

Ein Kommentar zu “HOWTO: Absichern des Mobile-VPN-Zugriffs via Network Access Enforcement”

Leave a Reply

Your email address will not be published. Required fields are marked *