HOWTO: Absichern des Mobile-VPN-Zugriffs via Network Access Enforcement
Neben dem Einsatz von WatchGuard AuthPoint als MFA-Lösung zur Absicherung von mobilen Arbeitsplätzen, kann auch geprüft werden, ob der VPN-Client über einen installierten EPP/EDR-Core/EDR/EPDR/Advanced EPDR Schutz von WatchGuard verfügt. Die Überprüfung erfolgt für den Benutzer völlig transparent im Hintergrund und ist daher besonders komfortabel.
-
Voraussetzungen
- WatchGuard Firewall
- Funktionierender Mobile-VPN (IKEv2, SSLVPN, L2TP)
- Aktuelles Windows oder macOS Betriebssystem
- Die Endpoint-Firewall erlaubt eingehende TCP-Verbindungen via Port 33000 von der Firebox
- WatchGuard Endpoint Protection auf dem VPN-Client
-
Testaufbau
- WatchGuard T45-CW (Fireware 12.10.2)
- Windows 10 VM mit installiertem IKEv2 VPN
- Authentifizierung via RADIUS
- Installierter EPDR-Client
-
Konfiguration in der WatchGuard Cloud
- Wechseln Sie in der WatchGuard Cloud unter “Administration” zu “Mein Konto”
- Kopieren Sie sich Ihre Account UUID und den zugehörigen Authentication Key:
- Wechseln Sie zu “Konfiguration” -> “Einstellungen” -> “Netzwerkdienste” -> “Durchsetzung des Netzwerkzugriffs”
Tragen Sie die UUID und den Schlüssel unter „Durchsetzung des Netzwerkzugriffs“ ein:
-
Konfiguration Firebox
- Policy-Manager -> Subscription Services -> Network Access Enforcement
Aktivieren Sie Network Access Enforcement, tragen Sie die kopierte UUID und den Schlüssel ein:
- Aktivieren Sie das Network Access Enforcement für den VPN und die Gruppe Ihrer Wahl
IKEv2: Policy-Manager -> VPN -> Mobile-VPN -> IKEv2 -> Authentication
- Policy-Manager -> Subscription Services -> Network Access Enforcement
-
Testen Sie den VPN-Zugriff von je einem VPN-Client mit und ohne installiertem Endpoint-Schutz
- Mit installiertem EPDR-Client
Die Firebox prüft via Port 33000 ob der passende EPDR-Client installiert ist. Nach der erfolgreichen Prüfung wird der Traffic erlaubt:
- Ohne installiertem EPDR-Client
Traffic wird bis zum Check geblockt. Der VPN wird getrennt, da die Endpoint Protection nicht verifiziert werden konnte.
-
Fazit
Die Umsetzung von Network Access Enforcement ist sehr einfach und transparent. AuthPoint ist eine hervorragende Lösung, persönliche Zugänge zu schützen. Network Access Enforcement rundet den Schutz für VPN-Zugriffe ab, da hier sichergestellt wird, dass die VPN-Verbindung nur von autorisierten Geräten aufgebaut wird.
Tipp: Schützen Sie Ihre WLAN-Netzwerke ebenfalls via Network Access Enforcement:
- Mit installiertem EPDR-Client
Massive Angriffe auf den SSLVPN – Maßnahmen und Härtung der Firewall - BOC IT-Security GmbH