Im Rahmen der Brute-Force-Angriffe auf das WatchGuard SSLVPN Portal haben wir ein Proof of Concept Setup mit einer externen Linux-VM gebaut, um IP-Adressen nach mehreren fehlerhaften Login-Versuchen auf die WatchGuard-eigene auto-blocklist zu setzen.
Die benötigten Scripte und Snippets sind unter der MIT-License auf Github veröffentlicht: https://watchguard-toolbox-project.github.io/
Gilt für WatchGuard Advanced EPDR, EPDR, EDR, EPP sowie die ehemalige Panda Welt (AD360 & Co.).
Mit dem Zusatzmodul WatchGuard Patch Management ist es möglich, schnell und einfach Patches von Microsoft, Linux und macOS, sowie Third-Party Anwendungen (Patch-Library) zu installieren.
Der folgende Artikel beschreibt die automatische Installation von kritischen und wichtigen Sicherheitsupdates für Microsoft und Third-Party Anwendungen.
In diesem Blog-Artikel geht es um die Auswirkungen bei einem Trade-Up für Firebox Appliances, die in der WatchGuard Cloud eingebunden sind. Logging & Reporting und auch AuthPoint-Integrationen funktionieren nach dem Trade-Up möglicherweise nicht mehr, weil die „alte“ Appliance aus der WatchGuard Cloud entfernt wird. Da die alte Firebox nach der Trade-Up-Aktivierung nicht in der WatchGuard Cloud verfügbar ist, können Sie die alte Firebox-Konfiguration auch nicht auf das neue Gerät kopieren (nur bei cloud-managed Fireboxen). Im Folgenden beschreiben wir wie Sie diese Problematik umgehen können.
Dieser Artikel soll eine Richtschnur liefern über die empfohlenen Einstellungen der WatchGuard Access Points. Diese hängen allerdings sehr von den Gegebenheiten vor Ort und der Art und dem Alter der WiFi-Clients ab.
Folgende Überlegungen sind wichtig:
Der nachfolgende Artikel beschreibt die Absicherung HTTPS basierter Anwendungen via einer Incoming Proxy Regel mit aktivierter HTTPS Content Inspection und Content Actions.
Die Firewall Regel und die HTTPS Proxy Action beinhalten folgende Security Features der Total Security Suite: Intrusion Prevention, Gateway AV, Intelligent AV, Geolocation und den APT Blocker.
Mit Content Actions können HTTP-Anfragen basierend auf der Kombination aus der Domäne im HTTP-Host-Header und dem Pfad in der HTTP-Anfrage an verschiedene interne Webserver weitergeleitet werden.
Optional:
Wenn Sie die Konfiguration entsprechend unseres Howto’s umsetzen, haben Sie einen guten Schutz vor ext. Angriffen. Um die Sicherheit weiter zu erhöhen kann man vor einer WatchGuard Firebox einen weiteren Proxy z.B. NGINX (ausgelagert) mit vorgeschalteter DDOS Protection einsetzen, somit wird unter anderem die IP-Adresse, des Backends verschleiert.
Da Microsoft für IKEv2 oder L2TP MS-CHAPv2 voraussetzt, müssen die Radius Anfragen von dem AuthPoint Gateway an einen Microsoft NPS weitergeleitet werden. Leider Kann in AuthPoint kein NPS Failover konfiguriert werden. Für SSLVPN oder IPSEC wird kein NPS benötigt!
Die Firebox bietet die Möglichkeit mit einem Loopback Interface und einer SNAT Load Balancing Action, die Radius Anfragen auf mehrere Server zu verteilen.
Um die Erreichbarkeit der Server zu prüfen, sendet die Firebox alle 10 Sekunden ein ICMP Paket an die Server. Wenn einer der Radius Server nicht mehr auf die ICMP Pakete antwortet werden die Anfragen an den verbliebenen Server gesendet, bis der Server wieder auf die ICMP Pakete antwortet.
Dieses Setup bietet leider keine Redundanz, wenn der Radius Dienst nicht mehr ordnungsgemäß funktioniert.
Gilt für WatchGuard Advanced EPDR, EPDR, EDR, EPP sowie die ehemalige Panda Welt (AD360 & Co.).
Mit dem Zusatzmodul WatchGuard Patch Management ist es möglich, schnell und einfach Patches von Microsoft oder Third-Party Anwendungen (>> Patch-Library) zu installieren.
In einigen Fällen können Patches, bei denen eine EULA bestätigt werden muss oder der Downloadlink nicht öffentlich verfügbar bzw. unbekannt ist, nicht automatisch via Patch Management installiert werden. Hierzu ist ein manueller Eingriff notwendig.
Der folgende Artikel beschreibt die Installation von manuellen Downloads.
Seit der Version 2.6 von OpenVPN (>> Changelog OpenVPN) gibt es die Möglichkeit ein „Start Before Logon“ (PLAP, Pre Logon Access Provider, VPN Before Login, GINA-Mode) zu konfigurieren. Ein Login noch vor der Benutzeranmeldung bietet für Domain-Computer einige Vorteile (Passwortänderungen, GPO, Start-Skripte, neue Benutzerprofile anlegen, …) und ist ein häufig gewünschtes Feature.
Da WatchGuard für deren SSLVPN einen OpenVPN als Grundlage verwendet, kann dieser How-To Artikel sowohl für WatchGuard als auch für alle anderen OpenVPN fähigen VPN-Gateways verwendet werden.
Seit Firmware v12.10 gibt es einen neuen „Microsoft365“-Alias im Fireware Policy Manager. Die hinterlegte Liste mit DNS und IP-Adressen basiert auf folgendem Link, der von Microsoft gepflegt wird:
Ein Alias ist eine Abkürzung, die eine Gruppe von Hosts, Netzwerken oder Schnittstellen identifiziert. Ihre Konfigurationsdatei enthält viele Standardaliase. Sie können auch neue Aliase erstellen. Um den Datenverkehr über Ihre Firebox zu verwalten, können Sie dann beliebige Aliase zu den in Ihrer Konfigurationsdatei definierten Policies hinzufügen.
Den „Microsoft365“-Alias finden Sie über das bekannte Menü im Fireware Policy Manager:
Die hinterlegte Liste mit DNS und IP-Adressen wird automatisch aktualisiert, wenn das Feature “Automatic Update” über die Subscription Services aktiviert ist:
WatchGuard System Manager (WSM): Fireware Web UI:
Das Update kann jedoch auch manuell angestoßen werden:
WatchGuard System Manager (WSM):
Fireware Web UI:
In diesem Blog-Artikel zeigen wir wie Sie Ihren WatchGuard-Account mit Multifaktor-Authentifizierung (MFA) vor unberechtigten Zugriffen schützen können. Das WatchGuard-Portal nutzt dafür AuthPoint, den Multifaktor-Authentifizierungsdienst von WatchGuard. Für diesen Anwendungsfall muss keine AuthPoint-Lizenz erworben werden. WatchGuard stellt einen kostenlosen Software-Token für MFA im WatchGuard-Portal zur Verfügung.
Standardmäßig verwendet Ihr WatchGuard-Portal Benutzerkonto ein Passwort zur Authentifizierung. Wenn Sie MFA für Ihr Benutzerkonto aktivieren, melden Sie sich zwar weiterhin mit Ihrem Benutzernamen und Passwort beim WatchGuard-Portal an, müssen sich aber zusätzlich auch mit Ihrem Token in der mobilen AuthPoint-App authentifizieren.
Hinweis: Wenn drei aufeinanderfolgende Authentifizierungsversuche fehlschlagen, blockiert AuthPoint automatisch das für die Authentifizierung verwendete Token. In diesem Fall müssen Sie sich an den Kundendienst wenden. Sie können sich nicht mit dem gesperrten Token authentifizieren, bis der Kundendienst den Token entsperrt. AuthPoint betrachtet Authentifizierungen, die keine gültige Antwort haben, als fehlgeschlagene Authentifizierungsversuche. Dazu gehören falsche Einmalpasswörter, falsche Verifizierungscodes für die QR-Code-Authentifizierung und ungültige Push-Benachrichtigungen.
