Category Archives: Allgemeine Informationen

Fireware 12.0 kommt mit neuer Gateway AntiVirus-Engine

2 Comments

Neue Gateway AntiVirus Engine von BitDefender

WatchGuard hat turnusmäßig seine Antimalware- und Gateway AntiVirus-Technologie (bislang vom Hersteller AVG) einem umfassenden Check unterzogen, um sicherzustellen, dass den Kunden weiterhin die bestmögliche Lösung geboten wird. Die Ergebnisse haben WatchGuard dazu veranlasst, den Technologiepartner hinter dem Gateway AntiVirus Service zu wechseln. Die neue Engine wird von BitDefender bereitgestellt.

Die Änderung tritt mit der Fireware-Betriebssystemversion 12.0 in Kraft, die erstmals ab September 2017 bereitgestellt werden soll. Die Versionen Fireware 11.x verwenden nach wie vor die AVG Engine und die AVG Signaturen. Der Update-Service für die AVG Signaturen wird aber zum 15.01.2018 eingestellt, so dass der GAV-Service dann deutlich eingeschränkt wäre. Es ist also anzuraten, vor dem 15.01.2018 von Fireware 11.x auf eine neuere Version von Fireware 12.x zu wechseln. Alle derzeit unterstützten XTM- und Firebox Appliances können auf Version 12.0 umgestellt werden – mit Ausnahme der Modelle XTM 505, XTM 510, XTM 520 und XTM 530, die ohnehin am 3. Dezember 2017 auslaufen.

Gründe für die Auswahl von BitDefender waren unter anderem:

  • Bessere Erkennungsleistung über das gesamte Portfolio. Als Pionier auf dem Gebiet des maschinellen Lernens zur Erkennung von Schadsoftware erreicht BitDefender in unabhängigen Tests unbestritten Platz eins im Hinblick auf Bedrohungserkennung, Reduzierung von False-Positives und hoher Systemleistung.
  • Schnellere Reaktion bei auftretenden Bedrohungen. BitDefender führt Signaturaktualisierungen in sehr kurzen Abständen durch. Auf diese Weise sind Kunden so früh wie möglich gegenüber neuen Bedrohungen geschützt.
  • Höhere Performance durch optimiertes Scannen von .exe-, Microsoft Office- und PDF-Dateien.

Wichtig zu wissen:

  • Beim Wechsel auf Fireware 12.0 erfolgt die Umstellung auf die neue Gateway Antivirus Lösung automatisch.
  • Kunden, die dennoch auf einer Fireware 11.x-Version bleiben, erhalten ab 15.01.2018 keine Aktualisierungen für den Gateway AntiVirus Service mehr.

Neues Software Release Fireware 11.12.2 und WSM 11.12.2

Comment

Seit wenigen Tagen ist das Fireware Release  v11.12.2 verfügbar.

Wichtig – zur Beachtung:

  • PFS bei TLS und HTTPS-DPI wurde nun auch für T10/30/50 & XTM-33 konfigurierbar
  • verbesserter Support für VPN zu Amazon AWS
  • Für APs wurde ein Truststore eingeführt – neue APs müssen einzeln den “trusted” Status erhalten (Firebox System Manager => Gateway Wireless Controller => bei den Aktionen).
  • Längere Mindest-Länge der AP-Passphrases
  • Änderungen bei Port 4100 Authentication Policy, bitte nach Update prüfen, ob die Policy noch so eingetstellt ist, wie man Sie konfiguriert hat, insbesondere bei Verwendung von Any-External.

Weiterlesen »

err_ssl_version_or_cipher_mismatch – HTTPS-Proxy DPI T10 T30 T50 XTM 25/26/33 11.12.1

2 Comments

Mit dem heutigen Release von Fireware 11.12.1 ist es möglich, dass auf manchen Fireboxen manche Websites nicht mehr dargestellt werden können.

Voraussetzungen:
  • aktivierter HTTPSs-Proxy mit Deep Inspection
  • die Website erzwingt PFS (Perfect Forward Security)
  • die Firebox ist eine der kleineren Modelle (z.B. XTM 25/26, XTM 33, T10, T30 oder T50)
  • die Config wurde mindestens einmal mit dem aktuellen Policy-Manager 11.12.1 bearbeitet und auf die Box geschrieben.
Symptom:
  • err_ssl_version_or_cipher_mismatch (Fehlermeldung im Chrome)
Bestätigen, ob es genau dieses Problem ist:
  • Server auf https://www.ssllabs.com/ testen
  • Wenn der Server ausschließlich Ciphers anbietet, die mit TLS_DHE:* oder TLS_ECDHE_* beginnen, dann stellt der Server keine anderen Verschlüsselungsmechanismen mehr zur Verfügung.
Workaround 1:

Die Site kann in den Ausnahmen der Deep Inspection unter Domain Names eingetragen werden.

Workaround 2 (nur für Profis):
  • auf der Watchguard per SSH einloggen
  • mittels CLI die config per tftp exportieren
  • die exportierte XML editieren:
    • den HTTPS-Proxy suchen (<proxy name>…</proxy-name>)
    • in den XML-Containern proxy-action => https => sslfilter => client bzw. … => server
      das SSL_ECDHE_NO in SSL_ECDHE_OPTIONAL ändern
  • die geänderte XML per tftp auf die Box importieren
  • dies muß nach jeder Änderung mit dem Policy Manger wiederholt werden, da dieser die Option wieder auf ECDHE_NO zurücksetzt.
Quellen:

 

WatchGuard hat angekündigt, dies in Fireware v11.12.2 auch für die kleinen Boxen konfigurierbar zu machen. Das Release von 11.12.2 ist für Ende März geplant.

Neues Software Release Fireware 11.12 Update 1 und WSM 11.12 Update 1

Comment

On 21 December, WatchGuard released Fireware v11.12 Update 1, a maintenance update for Fireware v11.12 that resolves several outstanding issues.For information about the issues resolved in the Update 1 release, see Enhancements and Resolved Issues. We have updated these release notes for Fireware v11.12 Update 1 but most information related to Fireware v11.12 remains the same.

 

Neues Software Release Fireware 11.12 und WSM 11.12

Comment

Fireware 11.12 and WSM 11.12

WatchGuard is pleased to announce the release of Fireware v11.12 and WatchGuard System Manager v11.12. In addition to resolving many outstanding bugs, we’re pleased to announce these new features and functions for our Firebox users:

ConnectWise Integration

With Fireware v11.12, we deepen our integration capabilities with ConnectWise, a leading Professional Service Automation tool used by many managed service providers, to add support for the auto-synchronization of asset information, including subscription start and end dates, device serial numbers OS versions, etc., as well as closed-loop ticketing of system, security, and subscription events.

Threat Detection and Response

Built using technology acquired with Hexis, Threat Detection and Response (TDR) is our new cloud hosted security service that detects malware activity, correlates it with network events, and proactively responds to malware on endpoints. This release includes support for TDR, which is currently in Beta. Click here to join the TDR beta program.

Geolocation Service

With the Geolocation service, you can prevent malware communication and attacks from areas where you never have any need for legitimate business communication. Available as part of your Reputation Enabled Defense (RED) security subscription.

Dynamic VPN Tunnels to Azure

Hybrid cloud environments are becoming much more common, where companies have moved some workloads to cloud services such as AWS or Azure, but some key applications remain on premise. Secure VPN communication is needed between the on premise application and the cloud. Previously we supported only a single static or policy-based tunnel to Azure. Now we add the ability to have multiple tunnels, even with dynamic routes and failover between them.

IPv6 Support in Services and Proxies

WatchGuard firewalls have IPv6 Gold logo certification, but previously application proxies and the full set of security services were not supported. Now customers can apply full range of security services, including WebBlocker for content filtering and APT Blocker and Gateway AV to prevent malware in IPv6 environments.

Services and Proxies Enabled by Default

Customers that buy the appliance with Basic or Total Security Suite often neglect to turn on the security services that they have purchased. Now, services will be enabled by default during the initial setup wizard with a secure set of default settings to save time and simplify the initial setup for everyone.

Gateway Wireless Controller

This release introduces several updates to the Gateway Wireless Controller, including auto channel selection to enable smoother deployments without channel conflict, and a new repeater mode that allows access points to communicate over the air without a physical Ethernet connection.

FireCluster with DHCP on External Interface

If your ISP provides external-facing interface IP addresses by DHCP, you can now enable an active/passive FireCluster to provide high availability.

X-forwarded Information from Header in Logs and Dimension

If a company uses an explicit proxy service or a web gateway, like WebMarshal, all of the information in Dimension shows only the IP address for that proxy. Now we can go a level deeper and find the original source IP address and show this in Dimension, too.

The Release Notes include a comprehensive list of resolved issues, and the What’s New presentation provides a detailed review of the new enhancements.

Does This Release Pertain to Me?
The Fireware release applies to all Firebox T, Firebox M, and all XTM appliances, except XTM 21/21-W, 22/22-W, or 23/23-W.

Software Download Center
Firebox and XTM appliance owners with active support subscriptions can obtain this update without additional charge by downloading the applicable packages from the WatchGuard Software Download Center. Please read the Release Notes before you
upgrade to understand what’s involved.

Neues Software Release Dimension 2.1.1

Comment

Dimension 2.1.1

WatchGuard is pleased to announce the General Availability (GA) of new updates for  Dimension, available now at the software download site.  These releases include many important bug fixes, and some small enhancements:

  • A new Dimension administrator role that is restricted from seeing reports, dashboards, and managing devices.
  • Localization into French, Spanish, and Japanese languages.

The Release Notes include a comprehensive list of resolved issues, and the What’s New presentation provides a detailed review of the new enhancements.

Note: This release also adds support for new AP120 and AP320 wireless access points.Training and product launch
material will be available in early September.

Software Download Center
Firebox and XTM appliance owners with active support subscriptions can obtain this update without additional charge by downloading the applicable packages from the WatchGuard Software Download Center. Please read the Release Notes before you
upgrade to understand what’s involved.

The WatchGuard Team