HOWTO: Konfiguration WatchGuard Cache Computer (Manual Mode)
Gilt für WatchGuard EPDR, EDR, EPP, EDR Core sowie die ehemalige Panda Welt (AD360 & Co.).
Aufgabe des Cache Computers:
Cache Computer laden Dateien (WatchGuard Endpoint Signatur Updates / Installationspakete, Microsoft Updates und Third-Party Updates (>> Patch-Library)) herunter und stellen diese für andere WatchGuard Endpoints zur Verfügung. Vorteil: Einsparung der Internetbandbreite.
Zusätzlich ist der Cache Computer zwingend bei “Manuellen Updates” erforderlich.
Ein mit der Cache-Rolle versehener Computer kann folgende Elemente im Cache speichern:
- WatchGuard Endpoint Signaturdateien / Installationspakete -> werden so lange zwischengespeichert, bis diese nicht mehr benötigt werden bzw. gültig sind
- Microsoft/Third-Party Updates im Rahmen des Zusatzmoduls „Patch Management“ -> werden 30 Tage zwischengespeichert
Die Kapazität eines Cache-Computers hängt von der Anzahl der gleichzeitigen Verbindungen ab, die er bedienen kann, sowie von der Art des Datenverkehrs, den er verwaltet (z. B. Downloads von Signaturdateien oder Installationsprogrammen). Ein Cache-Computer kann ca. 1000 Geräte gleichzeitig verwalten.
In den Default Einstellungen wird der “Automatic Mode” angewendet. Dieser Modus funktioniert nur innerhalb eines Subnetzes, sprich man muss pro VLAN einen Cache Computer definieren. Abhilfe schafft wie folgt dargestellt der “Manual Mode”.
Cache Computer im Manual Mode:
Hinweis:
Damit das Laufwerk “C” nicht volllaufen kann, ist es empfehlenswert beim Punkt “Zwischengespeicherte Daten Speicher unter” (im Screenshot „Save cached data to“) ein eigenes Laufwerk Bsp. “D” anzugeben bzw. auszuwählen.
Falls der Cache Computer nicht erreichbar ist, greift ein automatischer Fallback -> Der Client lädt die benötigten Dateien direkt aus dem Internet herunter.
Falls für die betroffenen Netze die WatchGuard Firewall als Routing Instanz genutzt wird, wird folgende Firewall-Regel hierfür benötigt.
Ob der Cache Computer wirklich ordnungsgemäß funktioniert, kann über das vorherige Einschalten vom Debug Modus (C:\Program Files (x86)\Panda Security\Panda Aether Agent\Additional files\PSInfo.exe) überprüft werden. Der DebugModus muss 1x auf dem Cache Computer und 1x auf dem betroffenen Client/Server gestartet werden.
Beispiel von meiner Demo/Lab Umgebung => hier sieht man den Fehler 12002 (TimeOut), dies bedeutet, dass der Client nicht via Port 18226 auf den Cache Computer/Server zugreifen kann.
Client Ansicht:
[REQUEST]
Time=2023-03-23 10:31:24.400
Verb=GET
URL=http://Mgmt-Server:18226/PatchManagement/
00800bfd7e7373d4f416d1689f2a33c97f754574523d4783fab74206a892a004
User-Agent=WatchGuard Endpoint Agent;1.20.00.0000;5db53acf-e3b9-4fdb-88b8-941f4437bfc6
Headers=x-panda-messageDate: 2023-03-23T09:31:03.337Z |
x-panda-messageId: 9d0bcc59-74ad-4ce1-bec0-421698083d3c |
LastError=12002
Die “Erweiterten Logs” findet man im Verzeichnis “C:\ProgramData\Panda Security\Panda Aether Agent\Messages”.
Alternativ kann die Cache Computer Funktion auch über den WatchGuard Proxy Server getestet werden.
Voraussetzung “Deny Internet Access” des betroffenen Clients/Servers.
Weitere Informationen zum Cache Computer finden Sie unter >> Designate a Cache Computer (Windows computers).
HOWTO: Download und Installation von manuellen Patches via WatchGuard Patch Management - BOC IT-Security GmbH