Category Archives: Technischer Blog

Funktionsweise des FQDN-Features

Das FQDN-Feature von WatchGuard kann u.a. in Regeln, Aliases und weiteren Konfigurationen verwendet werden:

FQDN Hostnames

Um das FQDN (full qualified domain name)-Feature zu verstehen, ist es wichtig zu wissen, dass die Firewall hierzu eine DNS-Anfrage ausführt. Um bspw. die folgende Regel anzuwenden,

From:  192.168.10.1         To:  www.example.com       Port: http

führt die Firewall einen DNS-Lookup auf die Domäne www.example.com durch. Der Unterschied liegt darin, WANN eine Firewallregel auf Basis eines Domänennamens anfängt zu WIRKEN. Bei einem FQDN wie bspw. www.example.com startet die Firebox sofort nach dem Abspeichern der Konfiguration eine DNS-Abfrage und merkt sich die IP-Adresse(n).

Weiterlesen »

LTE in Kombination mit der Firebox

Ein LTE Router oder Modem kann gegenüber einer Standleitung eine praktikable Möglichkeit sein, um an einer Firebox einen zusätzlichen Internetlink bereitzustellen. Dies macht insbesondere dann Sinn, wenn an Ihrem Standort der Glasfaserausbau noch nicht umgesetzt wurde. Sie können diesen Internet-Link mit SDWAN-Actions nur für bestimmte Regeln nutzen (zum Beispiel um das LTE als Surfleitung zu verwenden) oder um eine Internetleitung als Failover/Backup einzusetzen.

Verwendung eines LTE-Modems:

Weiterlesen »

Modem – cannot enable – Log-Meldung

Folgendes Szenario ist mir in meiner Testumgebung aufgefallen:

An einem USB-Anschluss der Firebox habe ich ein LTE-Gerät angeschlossen, um dann in der Fireware unter NetzwerkModem die Modem Konfiguration zu testen. Die Konfiguration konnte ich durchführen und das Regelwerk speichern. Im Log stellte ich aber folgende Meldung fest.

Weiterlesen »

HOWTO – Exchange-Server mittels Reverse-Proxy (Access Portal) und Pre-Authentication absichern

Gerade in Zeiten von >> Hafnium stellt sich wieder die Frage, wie der externe Zugriff auf interne Systeme möglichst sicher umgesetzt werden kann. WatchGuard bietet bereits seit langer Zeit Proxies für die gängigen Mail-Protokolle POP3, IMAP und SMTP. Um mobile Geräte möglichst komfortabel in die Exchange Infrastruktur einzubetten, führt allerdings kaum ein Weg an ActiveSync oder MAPI vorbei. Der Zugriff via ActiveSync/MAPI erfolgt via 443 und kann ebenfalls mittels Proxy abgesichert werden, welcher durch Whitelisting von Pfaden, GEO-Blocking, Domain-Prüfung und IPS viele Sicherheitsfeatures erfolgreich umsetzen kann. Ein Kollege hat zu dieser Thematik bereits 2018 einen >> Blog-Artikel verfasst.

Seit der Firmware v12.5 bietet WatchGuard durch seine Portal-Lösung „Access Portal“ eine weitere Möglichkeit, einen Exchange hinter den in der Firebox integrierten Reverse-Proxy zu verstecken. Durch das Access Portal kann die WatchGuard nicht nur Pfade filtern, sondern auch eine Pre-Authentication für den Exchange erzwingen. Da die Authentifizierung erst gegen die WatchGuard stattfindet und im Anschluss der Traffic in Richtung Exchange weitergeleitet wird, ist der IIS des Mailservers nicht direkt aus dem Internet erreichbar!

Durch eine Kombination mit AuthPoint kann übrigens der Zugriff auf OWA oder ECP zusätzlich über einen zweiten Faktor effektiv abgesichert werden.

*Folgende Installationsanleitung zeigt eine Testumgebung. Vom Standard abweichende Konfigurationen Ihres Exchange, AD, … können hier leider nicht berücksichtigt werden*

Weiterlesen »

Exchange Server Hafnium Exploit

Unternehmen stellen häufig Exchange Dienste wie ActiveSync (Abruf der Mails per Mail-App auf dem Handy), OWA (Outlook Web Access – Zugriff auf Outlook über eine Webschnittstelle) und damit meist auch unwissentlich ECP (Exchange Admin-Konsole) für den Zugriff aus dem Internet für Ihre Mitarbeiter zur Verfügung. Diese Dienste werden aktuell missbraucht. Der Zugriff geschieht dabei von extern über das Internet-Protokoll https auf Port 443.
Dieser Artikel bietet einen Einstieg in die Thematik, listet weitere Quellen und zeigt die Möglichkeiten, die Sie zum Schutz Ihrer Systeme mithilfe der Security Services einer WatchGuard Firewall zur Verfügung haben.

Weiterlesen »

Firebox Configuration and Management in Watchguard Cloud

WatchGuard bietet ein neues Feature: Firebox Configuration and Management in WatchGuard Cloud. Das Feature ist seit Freitag in der Open Beta.
Anmeldemöglichkeit hier: https://watchguard.centercode.com/key/FireboxManagementWGCloud

Die Idee dabei  ist, ein vereinfachtes Management über eine sehr übersichtliche Web-UI in der Cloud, inklusive Templates, alternativ/zusätzlich zum bisherigen Management über Web-UI bzw. WSM.

Diese Artikel-Serie beschreibt die neue Management-Oberfläche.

Weiterlesen »

reCaptcha und Firewalls

reCaptcha liefert für das Frontend ein komplettes Element mit Eingabefunktion aus, plus eine Information ans Backend damit das Backend
vergleichen kann ob es korrekt ausgefüllt ist. Wenn dieser Frontend-Part fehlt (durch eine Firewall oder andere Optionen) kann das
Formular nicht erfolgreich abgesendet werden.

Gründe hierfür sind:

Weiterlesen »

HOWTO – Verwendung von REGEX Suchmustern bei der Suche im Firebox System Manager

Die Suche im Traffic Monitor wird oft als schwach bezeichnet, weil hier keine “wildcards” unterstützt werden.

Diese Aussage ist jedoch schlicht falsch, da der FSM sehr wohl wildcards unterstützt, allerdings nicht die “üblichen Verdächtigen” und zudem erst nach zusätzlicher Aktivierung der Suchmuster (REGEX). Wenn man sich ein wenig eingearbeitet hat, enthält der FSM durch Vewendung der REGEX einen der leistungsfähigsten Suchfilter, die so üblicherweise zur Verfügung gestellt werden. Leider sind REGEX nicht wirklich intuitiv 🙂

Weiterlesen »