Massive Angriffe auf SSLVPN – Maßnahmen und Härtung der Firewall

Update: 23.10.24
WatchGuard hat weltweit Brute-Force-Angriffe auf SSL-VPNs festgestellt, die zu einer ungewöhnlich hohen Anzahl unbekannter Anmeldeversuche beim AuthPoint-Authentifizierungsdienst geführt haben. Diese Angriffe können Dienstunterbrechungen verursachen, die die Servicequalität beeinträchtigen und bei einigen Kunden zu fehlgeschlagenen Authentifizierungssitzungen, Zeitüberschreitungen oder Abbrüchen führen können. Die Brute-Force-Angriffe sind jedoch nicht direkt gegen AuthPoint gerichtet und haben keine Sicherheitsverletzungen bei den WatchGuard-Diensten verursacht. Weitere Infos unter https://status.watchguard.com oder im WatchGuard Support Center unter >> Detect and mitigate brute force attacks that target Mobile VPN with SSL (SSLVPN).

Problem:

Aktuell sehen wir in den Logs vieler Kundenfirewalls Brute-Force-Attacken auf den WatchGuard SSLVPN bzw. das dazugehörige SSLVPN Portal (https://<Ext.-IP>/sslvpn_logon.shtml).

Die Logs zeigen, dass die Angreifer nicht nur Benutzernamen und Passwörter „raten“, sondern auch gezielt die Anmeldeserver des SSLVPN Portals auslesen. Neben typischen Benutzernamen werden so auch alternative Anmeldeserver angesprochen, welche ggf. keine MFA (Multifaktor-Authentifizierung) konfiguriert haben.

Bin ich betroffen?

Prüfen Sie über Ihren Log-Server, ob Sie von dem SSLVPN-Angriff betroffen sind. Via WatchGuard Dimension oder Cloud Visiblity sehen Sie alle fehlgeschlagenen und erfolgreichen Authentifizierungen.

Variante 1: Prüfung der Logs via „WatchGuard Dimension“
Melden Sie sich in Ihrer WatchGuard Dimension an, öffnen Sie die entsprechenden Firewalls:

Variante 2: Prüfung der Logs via „WatchGuard Cloud Visibility“
Melden Sie sich unter https://watchguard.com an und wechseln Sie in die WatchGuard Cloud:

Wechseln Sie zu „Überwachen“ -> „Geräte“:

Auswertung:

Lösungsvorschläge:

Zur Härtung der Firewall können folgende Lösungsansätze kombiniert werden:

  1. Datenhygiene: Bereinigen/Deaktivieren Sie unnötige User in der Firebox-DB, Ihrem LDAP,…
  2. AuthPoint MFA: Absicherung des Zugriffs via MFA (z.B. >> WatchGuard AuthPoint)
    Wichtig: Deaktivieren Sie alternative Anmeldeserver ohne MFA!
  3. Secure-VPN, Network Access Control, Durchsetzung des Netzwerkzugriffs (VPN-Verbindungen werden geblockt, wenn kein WatchGuard Endpoint Schutz aus Ihrem Account installiert wurde): https://www.boc.de/boc-wp-test/2022/06/howto-absichern-des-mobile-vpn-zugriffs-via-secure-vpn
  4. Geo-Filter: Einschränkung des VPN-Zugriffs auf relevante Länder (z.B. bei Behörden oder regionalen Firmen auf GER oder EU)
    HOWTO: SSLVPN/Access Portal via Geolocation auf bestimmte Länder einschränken
    Die vorhandene Default Firewall Rule „WatchGuard SSLVPN“ wie folgt mit dem Watchguard System Manager (WSM) konfigurieren:

    1. Haken bei „Gelocation“ setzen und den Button „Clone Geolocation Action (Global)" anklicken:
    2. Name der Geolocation in diesem Bsp. „DEU-ONLY“ vergeben. Unter „Country List“ alle Länder/Kontinente auswählen bis auf Germany (DEU):

    3. Haken bei „Enable deny page“ entfernen:
    4. Logging aktivieren:

    Weitere Informationen im WatchGuard Help Center:
    https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/Fireware/services/geo/geo_intro_c.html

  5. Abschalten des SSLVPN-Portals
    HOWTO: SSLVPN-Portal abschalten
    Mit der Aktivierung des SSLVPN auf der Firebox wird im Default ein Anmeldeportal bereitgestellt: https://[Firebox IP address]:[port]/sslvpn.html

    Wichtig:

    • Sie können die von der Firebox gehostete Download-Seite für Mobile VPN mit SSLVPN-Client deaktivieren.
    • Die Deaktivierung des Portals ist ab der Firmware Version 12.5.4 und höher möglich.
    • Nachdem Sie diese Seite deaktiviert haben, kann die SSLVPN-Client Applikation nur noch von der WatchGuard-Seite (https://software.watchguard.com) oder als Administrator von der Firebox (WSM/Web-UI) bezogen werden.
    • Das SSLVPN-Portal können Sie aktuell nur über die CLI deaktivieren. Über die WebUI oder dem Firebox System-Manager ist das nicht möglich.
    • Sollten Sie die Firebox via Cloud verwalten, können Sie das SSLVPN Portal nicht deaktivieren.
    • Managen Sie die Firewall im "Fully Managed Mode" über den Management Server, muss die Firebox temporär in den "Basic Managed Mode" versetzt werden.
    • Im Falle eines FireClusters muss der CLI-Befehl auf beiden Fireboxen abgesetzt werden (CLI-Befehl absetzen, Failover auf zweiter Firebox durchführen, CLI-Befehl erneut durchführen). Mit dem Befehl "show sslvpn" kann der Status geprüft werden, die wichtige Zeile ist "Web Download: disabled".
    • Da die Settings nicht in der Konfigurationsdatei gespeichert werden (XML), muss bei einem Hardwarewechsel das Portal erneut deaktiviert werden (z. B. Trade-Up auf neue Generation). 

    Deaktivierung des SSLVPN-Portals:
    Melden Sie sich via SSH (z. B. mit Putty) und dem abweichenden Port 4118 als Admin-User an. Nach der Anmeldung können Sie mit folgenden Befehlen das SSLVPN-Portal deaktivieren:

    WG#config
     
    WG(config)#policy
     
    WG(config/policy)#no sslvpn web-download enable
     
    WG(config/policy)#exit

    Wenn Sie das Portal wieder aktivieren möchten:

    WG#config
     
    WG(config)#policy
     
    WG(config/policy)#sslvpn web-download enable
     
    WG(config/policy)#exit

    Ein Reboot der Firewall ist nicht erforderlich. Wir empfehlen im Nachangang zu testen, ob das Portal auch wirklich deaktiviert wurde (es sollte ein 404 Fehler erscheinen):

    Weitere Informationen im WatchGuard Help Center:
    https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/Fireware/mvpn/ssl/configure_fb_for_mpvpn_ssl_c_before.html

  6. Least-Privilege-Prinzip: User sollten immer nur die nötigsten Berechtigungen zugewiesen bekommen
  7. Erstellen Sie einen automatischen Report für Firewall-Authentifizierungen (erfolgreiche sowie gescheiterte Logins)
  8. Schalten Sie nicht genutzte Mobile-VPN Protokolle auf Ihrer Firewall aus
  9. Verwenden Sie alternative Mobile-VPNs
  10. Abweichender Port für SSLVPN (geringer Security-Mehrwert)
  11. Update: Fireware 12.10.4 U2 (Build B702217): Aktivieren des Block Failed Login Features
  12. Bei vorhandenem Linux-Know-How: Setup eines Syslog-Servers mit Fail2Ban-for-WatchGuard

Fazit / Empfehlung:

Primär sehen wir MFA (z.B. via WatchGuard AuthPoint) als effizientesten Schutz gegen Angriffe auf sichere VPN-Protokolle. Eine >> geführte Installation von AuthPoint MFA ist in zwei Stunden leicht zu bewerkstelligen und bietet einen erheblichen Security Mehrwert (MFA ist häufig eine Grundvoraussetzung für Cyber-Versicherungen oder Zertifizierungen).

Neben MFA sollte die Angriffsfläche auf ein Minimum reduziert werden (Datenhygiene, Geo-Filterung, Least-Privilege-Prinzip).

Falls Sie Unterstützung bei der Härtung Ihres Mobile-VPNs benötigen, können Sie gerne einen >> Support-Case bei uns eröffnen.

WatchGuard AuthPoint MFA kann kurzfristig über Trial Lizenzen mit bis zu 60 Tagen Laufzeit getestet werden, die Einrichtung geschieht typischerweise pauschal in 2 Stunden. Aktuell gibt es auch deutliche Rabatte bspw. über die MSSP Promotion, sprechen Sie hierzu gerne mit unserem Vertrieb (Tel.: +49 208 8596440 oder via eMail an vertrieb@boc.de). Hier der Link zu unserer AuthPoint Startseite >> WatchGuard AuthPoint Startseite.

9 Kommentare zu “Massive Angriffe auf SSLVPN – Maßnahmen und Härtung der Firewall”

  1. N

    bei verwendung von radius ist NPS logmonitor hilfreich
    das grössere problem sehe ich allerdings bei BOVPN über TLS !!!
    wenn hier ein schwaches kennwort über viele jahre nicht geändert wird.

    1. Johannes Wolfsteiner Post Author

      Hallo N,

      danke für die Ergänzung. BOVPN over TLS ist für mich nicht der Favorit für Standortvernetzungen, aber hat natürlich seine Daseinsberechtigung!

      Grüße

      Johannes Wolfsteiner

  2. ML

    Kann es sein, dass der Punkt, bzw. das LOG für Authentifizierung aus der Watchguard Cloud entfernt wurde? Ich habe es gestern noch an der Stelle kontrolliert. Heute gibt es den Menüpunkt nicht mehr…

    1. Johannes Wolfsteiner Post Author

      Hallo ML,

      prüfen Sie bitte, ob bei der Policy “WatchGuard SSLVPN” das Logging aktiv ist (“Send log message”, sowie “Send log message for reports”). Triggern Sie ein Log-Event durch eine Authentifizierung am SSLVPN. Nach ein paar Minuten sollte das Log-Event in der Cloud sichtbar sein. Geben Sie gerne Feedback, ob das Problem gelöst wurde.

      Grüße

      Johannes Wolfsteiner

      1. ML

        Hallo Herr Wolfsteiner,

        Das Logging ist aktiviert, allerdings fehlt der Punkt im Cloud Menü völlig. Gestern war er noch da.
        Unter Gerät steht normalerweise:
        Abgelehnte Pakete
        Blockierte Standardbedrohungen
        Authentifizierung
        Audit-Trail
        DHCP Lease Aktivität
        Alarme

        Bei uns fehlt nun aber der komplette Punkt Authentifizierung

  3. Frank

    Wenn wir den Port der SSLVPN-Verbindung geändert haben und trotzdem abgelehnte Verbindungsversuche protokolliert werden, heißt das, das
    – die Angreifer versuchen, über den Port 443, der für SSLVPN nicht verwendet wird, einzudringen ?
    … oder…
    – die Angreifer vorher ermittelt haben, welcher Port verwendet wird und attackieren über diesen Port ?
    Danke und Grüße
    Frank

    1. Johannes Wolfsteiner Post Author

      Hallo Frank,

      falls die Firebox ansonsten nicht auf Port 443 lauscht (sollte nicht der Fall sein), wird der Zugriff über den angepassten Port kommen (ist auch bei anderen Fireboxen bereits aufgefallen). Im Log-Search kann nach der Policy “WatchGuard SSLVPN” gesucht werden. Die Source-IPs können mit den IPs der fehlgeschlagenen Authentifizierungen abgeglichen werden.

Leave a Reply

Your email address will not be published. Required fields are marked *