Category Archives: Technischer Blog

Fireware 12.8 mit Problemen bei IKEv2 – behoben mit 12.8 Update 1

Update 2022-04-29:

Das Release 12.8 Update 1 enthält einen Fix für das in diesem Artikel beschriebene Problem.
Bei uns sind in den letzten 2 Wochen keine negativen Rückmeldungen zu 12.8 Update 1 eingegangen.

Wir haben inzwischen mehrere Kundenfälle, bei denen nach Upgrade auf die Version 12.8 Probleme mit IKEv2 aufgetreten sind. Leider ist es noch nicht klar ersichtlich, unter welchen Bedingungen die Probleme auftreten – bei manchen Kunden gibt es keine Probleme, bei anderen treten die Probleme auf.

Die Symptome sind i.d.R. “unstabile” BOVPN.Tunnel, meist mit BOVPN-Virtual-Interfaces.

Es scheint möglich, dass die Änderungen für die IKEv2-Erweiterung für MOBIKE (also der MOBIKE-Support für IKEv2, der mit der 12.8 reingekommen ist) damit zusammen hängen.

Der Mobike-Support kann über die CLI wie folgt abgeschaltet werden:

diagnose vpn "/ike/param/set mobike_support=0"
diagnose vpn "/ike/restart"

Vorsicht bei dem Befehl vpn ike/restart werden Ihre IKE Verbindungen möglicherweise unterbrochen.

Das Abschalten des Mobike-Supports hat bei einigen Kunden Besserung gebracht, allerdings hat es nicht überall das Problem vollständig beseitigen können.

In einem Support-Case zu diesem Problem haben wir folgende Antwort bekommen:

Our Engineering Team identified a BUG for this and are working on a fix.

Mainly it seems to affect only VPNs configured for VPN Failover.

FBX-23104 After upgrade to 12.8 IKEv2 BOVPNs using VPN failover are instable

Workaround is switching to IKEv1 for the affected VPNs.

Sobald wir mehr Informationen haben, werden wir diesen Blogartikel ergänzen.

Update 2022-04-29:

Das Release 12.8 Update 1 enthält einen Fix für das in diesem Artikel beschriebene Problem.
Bei u
ns sind in den letzten 2 Wochen keine negativen Rückmeldungen zu 12.8 Update 1 eingegangen.

 

HOWTO: Integration von AuthPoint in VPN-Verbindungen bei der Firebox (Cloud/Lokal)

Seit der Fireware Version 12.7 kann AuthPoint als Authentication Server auf der Firebox genutzt werden. Hierzu muss lediglich ein LDAP Sync der User stattfinden. Dies erlaubt es einfacher AuthPoint sowohl für Mobile VPN mit SSL oder IKEv2 (auch Cloud-Managed möglich) als auch für Firebox WebUI oder Firebox Authentication Portal (nur Local-Managed möglich) zu nutzen.

Voraussetzungen
  • In AuthPoint muss zunächst eine Gruppe existieren oder angelegt werden
  • Die Firebox muss als Cloud- oder Local-Managed in der WatchGuard Cloud eingebunden sein

Weiterlesen »

HOWTO: 4-Schritte-Diagnose-und-Behebungsplan gegen Cyclops Blink Infektion

WatchGuard hat eine Reihe von Tools zur Erkennung von Cyclops Blink sowie diesen 4-Schritte-Diagnose-und-Behebungsplan gegen Cyclops Blink entwickelt und veröffentlicht, um Kunden bei der Diagnose zu unterstützen, bei Bedarf Abhilfe zu schaffen und zukünftige Infektionen zu verhindern. Einen Überblick und die wichtigsten Informationen finden Sie unter >> WICHTIGER SICHERHEITSHINWEIS für alle WatchGuard Firebox Betreiber.

Der Plan umfasst diese 4 Schritte:

  1. Diagnose
  2. Behebung
  3. Prävention
  4. Untersuchung

Weiterlesen »

Cyclops Blink Detector – Selbstcheck mit der WatchGuard Cloud

Um zu prüfen, ob Ihre WatchGuard Firebox von “Cyclops Blink” betroffen ist, gehen Sie wie folgt vor:

  • Loggen Sie sich unter https://cloud.watchguard.com ein:
    Dort finden Sie unter Configure => Devices => Device Summary eine eigene Kachel mit dem Cyclops Blink Detector.
    Klicken Sie auf “Scan Fireboxes in your account”.

Weiterlesen »

Cyclops Blink Detector – Selbstcheck mit dem WatchGuard WebDetector

Um zu prüfen, ob Ihre WatchGuard Firebox von “Cyclops Blink” betroffen ist, gehen Sie wie folgt vor:

  • Erzeugen Sie ein support.tgz mithilfe des Firebox System Manager unter Status Report => (unten rechts =>) Support => Retrieve Support TGZ
  • Alternativ: Web-UI: unter System-Status > Diagnostics auf “Download a Support Log File” klicken

Weiterlesen »

Cyclops Blink Detector – Selbstcheck mit dem WatchGuard System Manager

Update 2022-03-24, 09:33 Uhr:

      • Bitte Testen Sie mit dem WSM Blink detektor (s.u.) _VOR_ dem Upgrade der Fireware auf die 12.7.2 U2. 
        der Test kann nach dem Update nicht mehr ausgeführt werden und führt zu einer “inconclusive”-Meldung
        (screenshots siehe unten).  Sollten Sie die Firebox bereits auf die 12.7.2 Update 2 aktualisiert haben, verwenden Sie bitte
        den Test mittels Webdetektor.
        Details zur Fehlermeldung finden Sie in diesem knowledgbase-Artikel.
        Vielen Dank an Hr. Lange für die Information im Kommetar.

 

Um zu prüfen, ob Ihre WatchGuard Firebox von “Cyclops Blink” betroffen ist, gehen Sie wie folgt vor: Weiterlesen »

HOWTO: 4-Step Cyclops Blink Diagnosis and Remediation Plan

Zum deutschen Artikel geht es >> hier.

Working closely with the FBI, CISA, DOJ, and UK National Cyber Security Centre (NCSC), WatchGuard has investigated and developed a remediation for Cyclops Blink, a sophisticated state-sponsored botnet that may have affected a limited number of WatchGuard firewall appliances.

WatchGuard has developed and released a set of Cyclops Blink detection tools, as well as this 4-Step Cyclops Blink Diagnosis and Remediation Plan to help customers diagnose, remediate if necessary, and prevent future infection.

The plan includes these four steps:

  1. Diagnosis
  2. Remediate
  3. Prevent
  4. Investigate

Weiterlesen »

HOWTO: Best Practices für Firebox Remote Management

Es ist mittlerweile üblich, die Firebox (auch) aus der Ferne verwalten zu wollen. Wie Sie eine sichere Fernverwaltung zulassen können erfahren Sie in diesem Aritkel.

Wir empfehlen grundsätzlich, dass Sie niemals den Alias “Any-External” ​​oder andere Aliase, die die Firebox-Verwaltungsschnittstellen dem Internet zugänglich machen, zu einer der Firebox Management Policies (WatchGuard und WatchGuard Web UI) hinzufügen, da damit die Verwaltungsschnittstellen für jeden im Internet verfügbar gemacht werden und somit auch angreifbar sind. Sie haben stattdessen drei Optionen wie Sie die Fernverwaltung sicher aktivieren können, welche im Folgenden in der Reihenfolge der größten Sicherheit aufgeführt sind:

Weiterlesen »

HOWTO: Access Point AP130/AP330/430CR Ersteinrichtung

Diese Anleitung soll einen kurzen Überblick über die Ersteinrichtung eines neuen WatchGuard Access Points AP130, AP330 oder AP430CR geben. Eine ausführliche Anleitung finden Sie unter >> Get Started with Wi-Fi in WatchGuard Cloud im WatchGuard Helpcenter.

Aktivierung

Zunächst wird der Access Point im WatchGuard Portal unter My WatchGuard > Activate Products registriert. Im gleichen Dialog wird die verfügbare Add-In License des Access Points aktiviert.

Danach wird für den Access Point automatisch ein FeatureKey erzeugt, der dem AP dann zugewiesen wird. Dieser kann wie auch bei den Firewalls direkt heruntergeladen werden.

Weiterlesen »