Category Archives: Allgemeine Informationen

Fireware 12.1 – Known Issues

1 Comment

Die wichtigsten Known Issues bei Fireware 12.1

Die vollständige Liste der “Known Issues Fireware 12.1” finden Sie in der WatchGuard Knowledgebase

Webblocker Server is not available (seit 25.01.2018)

5 Comments

[UPDATE, 26.01.2018, 10:39 Uhr]: Das Problem scheint mittlerweile behoben zu sein!

Seit dem 25.01.2018 abends gibt es offenbar Probleme mit der WebBlocker-Infrastruktur.

Symptome / Notification E-Mail:

  • WebBlocker.<name der webblocker action>
    Appliance: <name der appliance>
    Time: Fri Jan 26 07:42:42 2018 (CET)
    Process: https
    Message: Policy Name: Internet.HTTPS-proxy.Out-00 Action: ProxyAllow: Reason: HTTPS service unavailable
    Source IP: x.x.x.x Source Port: 64223 Destination IP: y.y.y.y Destination Port: 443
    error: Webblocker server is not available service: WebBlocker.Standard cats: dstname: xxx.xxx.xxx

  • Surfen im Web ist allgemein langsam

Wenn der Webblocker Server nicht erreichbar ist, läuft für jeden Webzugriff ein voreingestellter Timeout von 5 Sekunden, ab dem dann die ausgewählte Action greift.
Zu finden unter: Policy Manager => Setup => Actions => Webblocker => <Webblocker action auswählen> => Tab Advanced.

Als System Default ist dort hinterlegt: Deny access to the web site, was dazu führt, dass eben auf gar keine Webseiten mehr zugegriffen werden kann, weil die Zugehörigkeit zu einer WebBlocker-Kategorie nicht überprüft werden kann. Wir empfehlen grundsätzlich, auf Allow the user to view the web site umzustellen (nicht nur wegen der aktuellen Situation). Im Zustand “Allow” würde dann trotz Nicht-Errreichbarkeit der Webblocker-Infrastruktur der Zugriff auf HTTP / HTTPS Webseiten möglich sein – wenn auch durch den Timeout zeitverzögert, aus Usersicht also “langsam”. Um dies in der aktuellen Situation etwas zu entzerren, empfehlen wir, den Timeout auf einen niedrigeren Wert von z.B. 2 Sekunden einzustellen. Auch Alarm, sprich die Notification per E-Mail sollte derzeit temporär ausgeschaltet werden.

Vorsicht bei Fireware 12.1

2 Comments

Bei Support-Einsätzen kommen nun leider vermehrt einige seltsame Verhaltensweisen zutage.

Derzeit scheint es Probleme zu geben mit

  • HTTP-Proxy in Verbindung mit PPPoE-Leitungen (möglicherweise MTU Aushandlungsproblem)
  • DNS-Requests von der Firewall selbst, die in MultiWAN-Umgebungen unter bestimmten Voraussetzungen auf der falschen Leitung gesendet werden

Wir raten daher zum derzeitigen Stand vom Einsatz der 12.1 ab.

Warum wird das erst jetzt sichtbar?

Fireware 12.1 wurde Mitte Dezember veröffentlicht (kurz vor Weihnachten). Der typische Administrator spielt Feature-Updates nicht kurz vor Weihnachten ein, so daß sich etwa folgendes Schema etabliert haben könnte: nach den Weihnachtsferien (also je nach Bundesland nach Dreikönig oder nochmal eine Woche später) wird zunächst der während der freien Tage angesammelte Stapel durchgesehen und ggf. abgearbeitet und danach wird das Feature-Update eingespielt. So kommt es, daß die “breite Masse” erst Mitte/Ende Januar (also jetzt) mit der 12.1 Erfahrungen sammelt.

Gateway Antivirus Probleme ab 01.01.2018 auf Fireware 11.10.5 und älter

Comment

Wie bereits vermeldet, hat WatchGuard mit der Fireware 12.x den Technologiepartner für Gateway Antivirus gewechselt. Bei den 11.x Versionen war es AVG, bei 12.x ist es nun Bitdefender. Als Übergangszeit wurde zunächst verkündet, dass die AVG-Antivirus-Engine und Signaturen noch bis April 2018 lauffähig sein sollen. Wie sich nun herausstellt, gilt dies aber nur für Softwareversion 11.10.7 und höher. Seit dem 01.01.2018 kommt es bei noch älteren Softwareversionen 11.10.5 und früher zu Scanning Errors. Und je nachdem wie die WatchGuard für diesen Fall konfiguriert worden ist, wird sie sich verhalten, z.B. indem die nun nicht (mehr) scanbaren Dateien ge-locked werden (mit Dateiendung *.clk versehen). Wir haben in unserem Blog auch einen älteren Artikel, der beschreibt, wie die *.clk Dateien wieder in den ursprünglichen Zustand versetzt werden können: https://www.boc.de/watchguard-info-portal/2016/06/lock-unlock-bei-smtp-e-mails.

2018-01-02 10:00:00 scand license init failed(The license has expired.) Debug
2018-01-02 10:00:00 scand Instance_Create failed. Debug

Die Application Proxies melden zudem “avg scanner is not created”.

Der o.g. Hinweis “The license has expired” bezieht sich hierbei auf die AVG-Lizenz (von WatchGuard) – nicht auf den Feature Key der eigentlichen Appliance. Vor dem Hintergrund, dass das gleiche Szenario wie jetzt im April 2018 auch alle anderen 11.x Softwareversionen ereilen wird, empfehlen wir nun den zeitnahen Umstieg auf eine 12.x Softwareversion. Bitte beachten Sie aber beim Umstieg unbedingt die Release Notes. Speziell bei ganz alten Softwareversionen ist mitunter ein Zwischenschritt erforderlich, damit die XML-Konfigurationsdatei nicht beschädigt wird. Auch ist es wichtig zu wissen, dass sich die WatchGuard-Box beim erstmaligen Starten mit einer Fireware 12.x erst noch die aktuelle Bitdefender-Engine und die Bitdefender-Signaturen herunterladen und installieren muss. Dies ist zwar ein automatischer Vorgang, er dauert aber nach unseren bisherigen Erfahrungen mindestens 10 Minuten, teilweise auch bis zu 30 Minuten. Während dieser Phase findet ebenfalls keine Antivirus-Überprüfung statt. Möglicherweise wollen Sie z.B. sicherstellen, dass zu dieser Zeit keine ungeprüften E-Mails durchrutschen. Hier könnten Sie z.B. vorübergehend die SMTP-Proxy Firewallregel deaktivieren oder den MTA Ihres Mailservers kurz anhalten.

Neues Software Release Dimension 2.1.1 Update 2

Comment

WatchGuard Dimension 2.1.1 Update 2

WatchGuard is pleased to announce the availability of WatchGuard Dimension 2.1.1 Update 2. This maintenance release is now available from the Software Downloads Center, together with release notes and update instructions. WatchGuard Dimension 2.1.1 Update 2 addresses several frequently reported issues and introduces some security enhancements, including:

  • APT content names with reserved characters would cause PDF reports to fail
  • Log Collector issue that caused incorrect logging status to be displayed for devices
  • Log Collector process unexpectedly restarts due to large number of simultaneous connections
  • Backup locations are now clearly indicated using sftp:// URLs instead of local mount points
  • Dimension SSH service now correctly rejects weak ciphers

Weiterlesen »

Neues Software Release Fireware 12.1 und System Manager 12.1

Comment

Jetzt verfügbar: Fireware Release  v12.1.

Fireware 12.1 General Availability

We are pleased to announce the new release of Fireware 12.1 and WSM 12.1! These significant new releases are now available for download from the software download center. The highlight of Fireware 12.1 is the Access Portal, a clientless application portal that is available for SSO integration for cloud assets and internal resources via RDP and SSH. With the rate and notoriety of recent cybersecurity incidents involving compromised personal information, the marketplace for web-based authentication solutions continues to grow at a Compound Annual Growth Rate upwards of 10%.1 The Access Portal is uniquely positioned to integrate into existing authentication markets to provide a clientless experience while encouraging strong authentication with existing SSO vendors or even providing MFA access (i.e. Google Authenticator, etc.) to the portal itself.

The release of Fireware 12.1 adds a bevy of networking, VPN and proxy improvements that allow the network administrator to focus on the network without compromising security:

Weiterlesen »

Neues Software Release Fireware 12.0.2 und System Manager 12.0.2

Comment

Jetzt verfügbar: Fireware Release  v12.0.2.

 

Fireware 12.0.2 General Availability
We are pleased to announce the General Availability (GA) of Fireware 12.0.2 and WSM 12.0.2 today. These releases, which are now available at the software download center, resolve several issues that had been reported from the field. Since these are maintenance releases, there are no new features included. Please review the Release Notes for a comprehenisve list of issues that are addressed. Notable highlights include:

  • A fix for an issue that caused some websites to fail to load correctly when using Microsoft Internet Explorer 11 or Edge browser.
  • An option to mitigate the KRACK WPA2 vulnerability for client connections to wireless Fireboxes.

WatchGuard partners and customers should review the Release Notes and What’s New presentations prior to upgrading.

Does this release pertain to me?
The Fireware release applies to all Firebox T, Firebox M, and XTM appliances, except XTM 21/21-W, 22/22-W, or 23/23-W, XTM 505, 510, 520, and 530 which have reached the End of Life.

AV Signatures in 11.x releases
WatchGuard will discontinue support for AV signatures for the older AVG engine in Fireware 11.x by April 2018. Customers with active Gateway Antivirus subscriptions should update to a 12.x release before then.

Software Download Center
Firebox and XTM appliance owners with active support subscriptions can obtain this update without additional charge by downloading the applicable packages from the WatchGuard Software Download Center.

Contact
For Sales or Support questions, you can find phone numbers for your region online. If you contact WatchGuard Technical Support, please have your registered appliance Serial Number or Partner ID available.