Massive Angriffe auf SSLVPN – Maßnahmen und Härtung der Firewall

Problem:

Aktuell sehen wir in den Logs vieler Kundenfirewalls Brute-Force-Attacken auf den WatchGuard SSLVPN bzw. das dazugehörige SSLVPN Portal (https://<Ext.-IP>/sslvpn_logon.shtml).

Die Logs zeigen, dass die Angreifer nicht nur Benutzernamen und Passwörter „raten“, sondern auch gezielt die Anmeldeserver des SSLVPN Portals auslesen. Neben typischen Benutzernamen werden so auch alternative Anmeldeserver angesprochen, welche ggf. keine MFA (Multifaktor-Authentifizierung) konfiguriert haben.

Bin ich betroffen?

Prüfen Sie über Ihren Log-Server, ob Sie von dem SSLVPN-Angriff betroffen sind. Via WatchGuard Dimension oder Cloud Visiblity sehen Sie alle fehlgeschlagenen und erfolgreichen Authentifizierungen.

Variante 1: Prüfung der Logs via „WatchGuard Dimension“
Melden Sie sich in Ihrer WatchGuard Dimension an, öffnen Sie die entsprechenden Firewalls:

Variante 2: Prüfung der Logs via „WatchGuard Cloud Visibility“
Melden Sie sich unter https://watchguard.com an und wechseln Sie in die WatchGuard Cloud:

Wechseln Sie zu „Überwachen“ -> „Geräte“:

Auswertung:

Lösungsvorschläge:

Zur Härtung der Firewall können folgende Lösungsansätze kombiniert werden:

1. Datenhygiene: Bereinigen/Deaktivieren Sie unnötige User in der Firebox-DB, Ihrem LDAP,…
2. AuthPoint MFA: Absicherung des Zugriffs via MFA (z.B. >> WatchGuard AuthPoint)
   Wichtig: Deaktivieren Sie alternative Anmeldeserver ohne MFA!
3. Secure-VPN, Network Access Control, Durchsetzung des Netzwerkzugriffs (VPN-Verbindungen werden geblockt, wenn kein WatchGuard Endpoint Schutz aus Ihrem Account installiert wurde): https://www.boc.de/watchguard-info-portal/2022/06/howto-absichern-des-mobile-vpn-zugriffs-via-secure-vpn
4. Geo-Filter: Einschränkung des VPN-Zugriffs auf relevante Länder (z.B. bei Behörden oder regionalen Firmen auf GER oder EU)
   
   HOWTO: SSLVPN/Access Portal via Geolocation auf bestimmte Länder einschränken

   Die vorhandene Default Firewall Rule „WatchGuard SSLVPN“ wie folgt mit dem Watchguard System Manager (WSM) konfigurieren:

   1. Haken bei „Gelocation“ setzen und den Button „Clone Geolocation Action (Global)" anklicken:
      
   2. Name der Geolocation in diesem Bsp. „DEU-ONLY“ vergeben. Unter „Country List“ alle Länder/Kontinente auswählen bis auf Germany (DEU):
      
      
   3. Haken bei „Enable deny page“ entfernen:
      
   4. Logging aktivieren:
      

   Weitere Informationen im WatchGuard Help Center:
   https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/Fireware/services/geo/geo_intro_c.html
   

5. Abschalten des SSLVPN-Portals
   
   HOWTO: SSLVPN-Portal abschalten

   Mit der Aktivierung des SSLVPN auf der Firebox wird im Default ein Anmeldeportal bereitgestellt: https://[Firebox IP address]:[port]/sslvpn.html
   
   Wichtig:

   • Sie können die von der Firebox gehostete Download-Seite für Mobile VPN mit SSLVPN-Client deaktivieren.
   • Die Deaktivierung des Portals ist ab der Firmware Version 12.5.4 und höher möglich.
   • Nachdem Sie diese Seite deaktiviert haben, kann die SSLVPN-Client Applikation nur noch von der WatchGuard-Seite (https://software.watchguard.com) oder als Administrator von der Firebox (WSM/Web-UI) bezogen werden.
   • Das SSLVPN-Portal können Sie aktuell nur über die CLI deaktivieren. Über die WebUI oder dem Firebox System-Manager ist das nicht möglich.
   • Sollten Sie die Firebox via Cloud verwalten, können Sie das SSLVPN Portal nicht deaktivieren.
   • Managen Sie die Firewall im "Fully Managed Mode" über den Management Server, muss die Firebox temporär in den "Basic Managed Mode" versetzt werden.
   • Im Falle eines FireClusters muss der CLI-Befehl auf beiden Fireboxen abgesetzt werden (CLI-Befehl absetzen, Failover auf zweiter Firebox durchführen, CLI-Befehl erneut durchführen). Mit dem Befehl "show sslvpn" kann der Status geprüft werden, die wichtige Zeile ist "Web Download: disabled".
   • Da die Settings nicht in der Konfigurationsdatei gespeichert werden (XML), muss bei einem Hardwarewechsel das Portal erneut deaktiviert werden (z. B. Trade-Up auf neue Generation). 

   Deaktivierung des SSLVPN-Portals:
   Melden Sie sich via SSH (z. B. mit Putty) und dem abweichenden Port 4118 als Admin-User an. Nach der Anmeldung können Sie mit folgenden Befehlen das SSLVPN-Portal deaktivieren:

   WG#config
    
   WG(config)#policy
    
   WG(config/policy)#no sslvpn web-download enable
    
   WG(config/policy)#exit

   Wenn Sie das Portal wieder aktivieren möchten:

   WG#config
    
   WG(config)#policy
    
   WG(config/policy)#sslvpn web-download enable
    
   WG(config/policy)#exit

   Ein Reboot der Firewall ist nicht erforderlich. Wir empfehlen im Nachangang zu testen, ob das Portal auch wirklich deaktiviert wurde (es sollte ein 404 Fehler erscheinen):
   

   Weitere Informationen im WatchGuard Help Center:
   https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/Fireware/mvpn/ssl/configure_fb_for_mpvpn_ssl_c_before.html
   

6. Least-Privilege-Prinzip: User sollten immer nur die nötigsten Berechtigungen zugewiesen bekommen
7. Erstellen Sie einen automatischen Report für Firewall-Authentifizierungen (erfolgreiche sowie gescheiterte Logins)
8. Schalten Sie nicht genutzte Mobile-VPN Protokolle auf Ihrer Firewall aus
9. Verwenden Sie alternative Mobile-VPNs
10. Abweichender Port für SSLVPN (geringer Security-Mehrwert)
11. Bei vorhandenem Linux-Know-How: Setup eines Syslog-Servers mit Fail2Ban-for-WatchGuard

Fazit / Empfehlung:

Primär sehen wir MFA (z.B. via WatchGuard AuthPoint) als effizientesten Schutz gegen Angriffe auf sichere VPN-Protokolle. Eine >> geführte Installation von AuthPoint MFA ist in zwei Stunden leicht zu bewerkstelligen und bietet einen erheblichen Security Mehrwert (MFA ist häufig eine Grundvoraussetzung für Cyber-Versicherungen oder Zertifizierungen).

Neben MFA sollte die Angriffsfläche auf ein Minimum reduziert werden (Datenhygiene, Geo-Filterung, Least-Privilege-Prinzip).

Falls Sie Unterstützung bei der Härtung Ihres Mobile-VPNs benötigen, können Sie gerne einen >> Support-Case bei uns eröffnen.

WatchGuard AuthPoint MFA kann kurzfristig über Trial Lizenzen mit bis zu 60 Tagen Laufzeit getestet werden, die Einrichtung geschieht typischerweise pauschal in 2 Stunden. Aktuell gibt es auch deutliche Rabatte bspw. über die MSSP Promotion, sprechen Sie hierzu gerne mit unserem Vertrieb (Tel.: +49 208 8596440 oder via eMail an vertrieb@boc.de). Hier der Link zu unserer AuthPoint Startseite >> WatchGuard AuthPoint Startseite.