Threat Landscape Auswertung August 2020

WatchGuards Threat Lab ist eine Gruppe von Bedrohungsforschern, die sich mit der Analyse und Aufbereitung der letzten Malware- und Netzwerk-Attacken beschäftigen. Sie greifen dabei auf die Daten zurück, die sie vom WatchGuard Firebox Feed bekommen, aber auch aus internen und externen Threat Intelligences und einem Forschungs-Honeynet. Daraus werden Analysen und praktische Sicherheitshinweise über die größten Gefahren und Bedrohungen abgeleitet.
Weiterlesen »

Minimum AP Firmware v8.6.0 in Fireware v12.5.4 und höher

Sollten Sie ein Upgrade Ihrer WatchGuard Firebox auf v12.5.4 oder höher planen, müssen vorab die Access Points (via Gateway Wireless Controller) mindestens auf die Firmware v8.6 oder höher aktualisiert werden.

Falls Sie das Upgrade der Firebox bereits durchgeführt haben, wechselt der AP Status permanent zwischen Online/Offline und kann daher nicht mehr verwaltet werden. Sie können ein entsprechendes Downgrade der Firebox durchführen, anschließend die Firmware der APs auf v8.6.0 oder höher upgraden und danach dann wieder die Firmware der Firebox auf v12.5.4 oder höher upgraden.

Falls Sie Ihre Access Points via Wi-Fi Cloud verwalten, können Sie die Updates unabhängig von der Firebox Firmware durchführen.

>> weitere Infos in diesem Knowledge Base Artikel

DCHP Server Probleme mit 12.6.2

Symptom:

“WLAN geht nicht mehr”

Ursache:

im VLAN wurde keine IP mehr vergeben. DHCP-Server verteilt keine IP-Adressen mehr.

Recherche:

>> Knowledge-Base-Artikel bei WatchGuard

Der DHCP-Prozess scheint sich hier mit erhöhter CPU-Last zu verklemmen und liefert keine IP-Adressen mehr aus.

Laut KB vorgeschlagener Workaround:
  • Reboot (hat in diesem Fall nur für 10-12h geholfen, danach ging es wieder los)
  • Alle DHCP Reservierungen in allen Scopes entfernen (ist hier nicht sinnvoll, da sehr intensiv mit Reservierungen gearbeitet wurde)
Verwendeter Workaround
  • Downgrade auf 12.5.4 (die Version lief vorher seit dem Upgrade stabil).

Swyxit! IPS false positive

Setup:

SwyxIt!-Softphone greift auf Swyx-TK-Anlage via BOVPN-Tunnel zu.

Symptom:

Swyxit Softphone Client zeigt keinen Status nach Login.

Beobachtung:

auf der Firewall sind folgende Log-Einträge zu sehen:

2020-09-07 10:14:43 Deny 10.xxx.xxx.xxx 10.xxx.yyy.zzz sip/udp 5070 5060 [...] IPS detected [...] proc_id="firewall" rc="301" msg_id="3000-0150" 
src_ip_nat="10.xxx.xxx.xxx" signature_name="SIP Digium Asterisk SIP CSeq Heap Buffer Overflow (CVE-2017-937" 
signature_cat="Buffer Over Flow" signature_id="1133858" severity="4" [...]

Scheinbar triggert der Swyx-Client hier beim Verbindungsaufbau zur Swyx-TK-Anlage gelegentlich das IPS.

Abhilfe:
  • Policy-Manager
    => Subscription-Services
    => [Exceptions] => Entsprechende ID einfügen => ADD => OK => OK
    => Policy auf Firewall schreiben.

DNSWatchGO unterstützt nun mehrfache Client Policies und Client Grouping

WatchGuard hat zwei neue Funktionen in DNSWatchGO integriert, mit denen Sie eindeutige Richtlinien für die Inhaltsfilterung in DNSWatchGO einfacher anwenden und verwalten können. Dies bedeutet, dass die Richtlinien nun an die spezifischen Anforderungen der Benutzer angepasst werden können. In der Vergangenheit konnten Benutzer eine Standardclientrichtlinie nur auf allen aktiven DNSWatchGO-Clients anwenden. Jetzt ist es möglich, Clientgruppen zu erstellen und einen eindeutigen Satz von Richtlinien für diese Gruppen anzuwenden, anstatt dass Benutzer eine Richtlinie auf jeden einzelnen Client anwenden müssen.

Weiterlesen »

Dark Web Scan ab sofort in der WatchGuard Cloud verfügbar

Milliarden von durchgesickerten und gestohlenen Benutzernamen, Passwörtern und persönlichen Informationen stehen derzeit zum Verkauf und werden im Dark Web frei geteilt. Der Dark Web Scan ist ein kostenloser Dienst von WatchGuard, mit dem Sie prüfen können, ob Ihre E-Mail-Adresse oder die E-Mail-Adressen einer bestimmten Domain unter Ihrer Kontrolle von öffentlich bekannten Hacks oder Datenverletzungen betroffen sind. In Ihrem WatchGuard Cloud Account unter Administration können Sie das neue Feature finden:

Weiterlesen »

Best Practices: Die Dunkle Seite des Web – Trickbetrug und Datendiebstahl

Das “Dark Web” ist der unregulierte Teil des Internets, das Tor und Tür für illegale Aktivitäten öffnet. Vom Identitätsdiebstahl bis zum Kreditkartenbetrug sind den Möglichkeiten keine Grenzen gesetzt. Zum Glück gibt es Mittel und Wege, um persönliche Daten zu schützen.

In diesem Webinar diskutiert Michael Haas, Area Sales Director, die Top-Methoden zum Schutz Ihrer persönlichen Daten:

Folgende Themen werden in diesem Webinar behandelt:

Weiterlesen »

Threat Landscape Auswertung Juli 2020

WatchGuards Threat Lab ist eine Gruppe von Bedrohungsforschern, die sich mit der Analyse und Aufbereitung der letzten Malware- und Netzwerk-Attacken beschäftigen. Sie greifen dabei auf die Daten zurück, die sie vom WatchGuard Firebox Feed bekommen, aber auch aus internen und externen Threat Intelligences und einem Forschungs-Honeynet. Daraus werden Analysen und praktische Sicherheitshinweise über die größten Gefahren und Bedrohungen abgeleitet.
Weiterlesen »