Category Archives: Allgemeine Informationen

WatchGuard übernimmt Datablink und erweitert Authentisierungs-Portfolio

Laut einer Pressemeldung vom 08. August 2017 übernimmt WatchGuard die Firma Datablink.

Datablink hat verschiedene Authentisierungs-Lösungen im Angebot:

  • Hardware Token
  • Software Authenticators für mobile Endgeräte
    • QR-Code: mit dem Mobiltelefon wird ein auf dem Bildschirm dargestellter QR-Code gescannt. Das Mobiltelefon authentifiziert dann gegen
    • Push-Nachricht: zur Authentisierung wird der App auf dem Mobiltelefon eine Nachricht per Push-Meldung geschickt
    • OTP (One Time Password): vergleichbar mit Google Authenticator

WatchGuard beabsichtigt, Datablink Advanced Authentication im Jahr 2018 als vollständige Cloud-Lösung anzubieten.

Weiterführende Links:

Point-to-Point Tunneling-Protokoll (PPTP) entfällt bei Fireware 12.x

Was ist PPTP?
Das Point-to-Point Tunneling-Protokoll (PPTP) ist eine inzwischen veraltete Methode zur Implementierung von VPN-Netzwerken. Es wurden massive Sicherheitslücken festgestellt, die – insbesondere bei fehlerhafter Konfiguration – von Angreifern ausgenutzt werden könnten, um Kennwörter im Netzwerk auszuspähen, das VPN-Verschlüsselungsschema zu knacken und so an vertrauliche Daten zu gelangen.

Mobile User VPN mit PPTP ab Fireware 12.x nicht mehr möglich
Wegen dieser Sicherheitsbedenken gegenüber PPTP hat WatchGuard entschieden, PPTP-VPN bei den kommenden Fireware-Betriebssystemversionen ab Version 12.x nicht mehr anzubieten. Die Version 12.0 befindet sich derzeit im Beta-Stadium, die öffentliche Verfügbarkeit ist für September 2017 geplant.

WatchGuard Kunden, die derzeit noch Mobile User VPN mit PPTP verwenden, sollten schon jetzt auf eine der anderen in der WatchGuard enthaltenen VPN-Technologien mit höherer Sicherheit zu wechseln: IPSec-VPN, SSL-VPN und L2TP-VPN. Der Umstieg zu L2TP-VPN ist dabei am einfachsten, da hierfür keine separate VPN-Client-Software installiert werden muss, weil die Client-Komponenten wie bei PPTP in den gängigen Betriebssystemen wie Windows, iOS und Android bereits integriert ist. Im WatchGuard Support Center finden Sie einen Artikel zum Thema Migration von PPTP zu L2TP.

Fireware 12.0 kommt mit neuer Gateway AntiVirus-Engine

Neue Gateway AntiVirus Engine von BitDefender

WatchGuard hat turnusmäßig seine Antimalware- und Gateway AntiVirus-Technologie (bislang vom Hersteller AVG) einem umfassenden Check unterzogen, um sicherzustellen, dass den Kunden weiterhin die bestmögliche Lösung geboten wird. Die Ergebnisse haben WatchGuard dazu veranlasst, den Technologiepartner hinter dem Gateway AntiVirus Service zu wechseln. Die neue Engine wird von BitDefender bereitgestellt.

Die Änderung tritt mit der Fireware-Betriebssystemversion 12.0 in Kraft, die erstmals ab September 2017 bereitgestellt werden soll. Die Versionen Fireware 11.x verwenden nach wie vor die AVG Engine und die AVG Signaturen. Der Update-Service für die AVG Signaturen wird aber zum 15.01.2018 eingestellt, so dass der GAV-Service dann deutlich eingeschränkt wäre. Es ist also anzuraten, vor dem 15.01.2018 von Fireware 11.x auf eine neuere Version von Fireware 12.x zu wechseln. Alle derzeit unterstützten XTM- und Firebox Appliances können auf Version 12.0 umgestellt werden – mit Ausnahme der Modelle XTM 505, XTM 510, XTM 520 und XTM 530, die ohnehin am 3. Dezember 2017 auslaufen.

Gründe für die Auswahl von BitDefender waren unter anderem:

  • Bessere Erkennungsleistung über das gesamte Portfolio. Als Pionier auf dem Gebiet des maschinellen Lernens zur Erkennung von Schadsoftware erreicht BitDefender in unabhängigen Tests unbestritten Platz eins im Hinblick auf Bedrohungserkennung, Reduzierung von False-Positives und hoher Systemleistung.
  • Schnellere Reaktion bei auftretenden Bedrohungen. BitDefender führt Signaturaktualisierungen in sehr kurzen Abständen durch. Auf diese Weise sind Kunden so früh wie möglich gegenüber neuen Bedrohungen geschützt.
  • Höhere Performance durch optimiertes Scannen von .exe-, Microsoft Office- und PDF-Dateien.

Wichtig zu wissen:

  • Beim Wechsel auf Fireware 12.0 erfolgt die Umstellung auf die neue Gateway Antivirus Lösung automatisch.
  • Kunden, die dennoch auf einer Fireware 11.x-Version bleiben, erhalten ab 15.01.2018 keine Aktualisierungen für den Gateway AntiVirus Service mehr.

Neues Software Release Fireware 11.12.2 und WSM 11.12.2

Seit wenigen Tagen ist das Fireware Release  v11.12.2 verfügbar.

Wichtig – zur Beachtung:

  • PFS bei TLS und HTTPS-DPI wurde nun auch für T10/30/50 & XTM-33 konfigurierbar
  • verbesserter Support für VPN zu Amazon AWS
  • Für APs wurde ein Truststore eingeführt – neue APs müssen einzeln den „trusted“ Status erhalten (Firebox System Manager => Gateway Wireless Controller => bei den Aktionen).
  • Längere Mindest-Länge der AP-Passphrases
  • Änderungen bei Port 4100 Authentication Policy, bitte nach Update prüfen, ob die Policy noch so eingetstellt ist, wie man Sie konfiguriert hat, insbesondere bei Verwendung von Any-External.

Weiterlesen »

err_ssl_version_or_cipher_mismatch – HTTPS-Proxy DPI T10 T30 T50 XTM 25/26/33 11.12.1

Mit dem heutigen Release von Fireware 11.12.1 ist es möglich, dass auf manchen Fireboxen manche Websites nicht mehr dargestellt werden können.

Voraussetzungen:
  • aktivierter HTTPSs-Proxy mit Deep Inspection
  • die Website erzwingt PFS (Perfect Forward Security)
  • die Firebox ist eine der kleineren Modelle (z.B. XTM 25/26, XTM 33, T10, T30 oder T50)
  • die Config wurde mindestens einmal mit dem aktuellen Policy-Manager 11.12.1 bearbeitet und auf die Box geschrieben.
Symptom:
  • err_ssl_version_or_cipher_mismatch (Fehlermeldung im Chrome)
Bestätigen, ob es genau dieses Problem ist:
  • Server auf https://www.ssllabs.com/ testen
  • Wenn der Server ausschließlich Ciphers anbietet, die mit TLS_DHE:* oder TLS_ECDHE_* beginnen, dann stellt der Server keine anderen Verschlüsselungsmechanismen mehr zur Verfügung.
Workaround 1:

Die Site kann in den Ausnahmen der Deep Inspection unter Domain Names eingetragen werden.

Workaround 2 (nur für Profis):
  • auf der Watchguard per SSH einloggen
  • mittels CLI die config per tftp exportieren
  • die exportierte XML editieren:
    • den HTTPS-Proxy suchen (<proxy name>…</proxy-name>)
    • in den XML-Containern proxy-action => https => sslfilter => client bzw. … => server
      das SSL_ECDHE_NO in SSL_ECDHE_OPTIONAL ändern
  • die geänderte XML per tftp auf die Box importieren
  • dies muß nach jeder Änderung mit dem Policy Manger wiederholt werden, da dieser die Option wieder auf ECDHE_NO zurücksetzt.
Quellen:

 

WatchGuard hat angekündigt, dies in Fireware v11.12.2 auch für die kleinen Boxen konfigurierbar zu machen. Das Release von 11.12.2 ist für Ende März geplant.

Neues Software Release Fireware 11.12 Update 1 und WSM 11.12 Update 1

On 21 December, WatchGuard released Fireware v11.12 Update 1, a maintenance update for Fireware v11.12 that resolves several outstanding issues.For information about the issues resolved in the Update 1 release, see Enhancements and Resolved Issues. We have updated these release notes for Fireware v11.12 Update 1 but most information related to Fireware v11.12 remains the same.