Fireware 12.0 – Virenscanner gewechselt: AVG => Bitdefender – AVG Pattern Updates noch bis 15. April 2018

WatchGuard hat den Wechsel der Virenscanner-Engine von AVG nach Bitdefender mit der Version Fireware 12.0 vollzogen. (siehe auch Software-Release: Watchguard Fireware 12.0 erschienen).

Der derzeit (Stand 17.10.2017) angekündigte Endzeitpunkt für Patternupdates für die (alte) AVG Antiviren-Engine ist nun der 15. April 2018.

WatchGuard empfiehlt allen Kunden,, vor dem 15. April 2018 auf die aktuelle Version zu wechseln.

(Hinweis: die Version 12.0 ist seit gut 4 Wochen erhältlich, die Version 12.0.1 wird am 30.10.2017 erscheinen).

KRACK-Attacke: WPA und WPA2 Vulnerabilities – Firmware für Access-Points

Heute (16.10.2017) geht eine Meldung um die Welt, die bei allen Wi-Fi-benutzern für Aufhorchen sorgt: Es gibt in den Protokollen WPA und WPA2 einige Fehler, die herstellerübergreifend fast jegliche Wi-Fi Kommunikation betrifft. Die Fehler sind in Standard-Libraries der WPA- und WPA2 Protokolle enthalten und daher praktisch überall anzutreffen.

Unter bestimmten Umständen kann es möglich sein, WPA- und WPA2-Verschlüsselungen auszuhebeln, da der Fehler bereits im 4-Way-Handshake der Protokolle enthalten ist, also dort, wo die Schlüssel für die Verschlüsselung erzeugt werden. Es geht soweit, daß der Wi-Fi-Datenstrom abgefangen, entschlüsselt und ohne Kenntniss des Users modifiziert werden kann.

Der Artikel beschreibt weitere Details und Firmware-Release-Dates der Access-Point Firmware.

Weiterlesen »

Zu beachten beim Upgrade einer XTMv von 11.x => 12.x

beim Upgrade einer XTMv kann es passieren, daß auf einem oder mehreren Interfaces keine Kommunikation mehr stattfindet. Der Grund hierfür liegt darin, daß die Erkennung der Interface-Reihenfolge bei der XTMv geändert wurde.

Aus dem Artikel aus der Knowledgebase:

On a FireboxV or XTMv on a VMWare ESXi server, after you upgrade from Fireware v11.x to v12.0, communication might be lost on one or more interfaces.

In Fireware v11.x and lower, Firebox interfaces correspond to ESXi interfaces based on the order in which ESXi interfaces become active.

In Fireware v12.0, Firebox interfaces correspond to ESXi interfaces based on the MAC address value of the ESXi interfaces. For example, the lowest ESXi MAC address is assigned to Firebox eth0, and the next lowest MAC address is assigned to eth1.

Empfohlener Workaround:

Before you upgrade from Fireware v11.x to v12.0, configure the ESXi MAC addresses in increasing order by the ESXi interface number. This ensures that the Firebox interfaces correspond to the ESXi interfaces in increasing order.

 

L2TP-VPN Watchguard <=> Windows, Tipps und Tricks

L2TP Routing

Unter Windows wird nativ das L2TP VPN unterstützt. Allerdings gibt es hierbei ein paar Dnge zu beachten:

  • L2TP verwendet Port 1701/UDP. Wenn man in einem Hotel sitzt, ist dieser Port möglicherweise nicht freigeschaltet. Dann hilft leider nur SSLVPN oder normales IPSec VPN oder eine UMTS/LTE Karte im Laptop bzw. der Hotspot im Handy.
  • L2TP verwendet normalerweise eine default route (0.0.0.0) durch den Tunnel. Damit geht der komplette Traffic einmal durch den Tunnel, was gewünscht sein kann, aber nicht muß

Dieser Artikel beschreibt Tipps und Tricks im Umgang mit L2TP VPN unter Windows 2008 und Windows 10.

Weiterlesen »

Ersetzen eines Webserver-Zertifikates auf der Firebox im Fully Managed Mode

Kürzlich ist folgender Fall aufgetreten:

  • SSL-Zertifkate werden typischerweise auf der Firebox über den Firebox System Manager erledigt. Dort konnte das Zertifikat auch hochgeladen werden.
  • Das Zertifikat muß anschließend aber über den Policy Manager unter Setup => Authentication => Web Server Certificate ausgewählt werden.
  • Das geht aber nicht, weil das Zertifikat dort nicht erscheint.

Hintergrund: im fully managed mode liegt die komplette Verwaltung der XML-Konfiguration auf dem Management-Server. Da das Zertifikat dann auch in der XML-Konfiguration stehen muß, zumindest mit der ID, unter der es angesprochen werden soll, fehlt die ID des neu auf die Box importierten Zertifikates. Im Policy Manager gibt es keine Möglichkeit, dieses Zertifikat aufzunehmen.

Workaraound:

  • Zertifikat mittels Firebox System Manager wie üblich auf der Box installieren
  • Box kurzfristig vom fully managed mode in den basic managed mode schalten.
  • Box danach sofort wieder vom basic managed mode in den fully managed mode zurückschalten
  • Policy Manager öffnen und das Zertifikat entsprechend Setup => Authentication => Web Server Certificate  unter auswählen.

Was passiert hier?

  • beim Wechsel vom fully managed mode in den basic managed mode wird auf der Box nur der „managed mode“ geändert.
  • beim Wechsel vom basic managed mode in den fully managed mode wird die komplette policy neu von der Box geladen und in den Management Server geschrieben.
  • dabei werden wohl auch die vorhandenen IDs aller Zertifikate mitübernommen, d.h. das neu importierte Zertifikat ist nun in der Drop-Down-Box verfügbar.