Category Archives: HOWTO-Artikel

HOWTO: FireboxV Installation in der IONOS Cloud

Comment

Eine virtuelle FireboxV-Maschine von WatchGuard ist ein Firebox-Modell, das für die Ausführung in den Hypervisor-Umgebungen VMware ESXi, Microsoft Hyper-V oder Linux KVM (Kernel Virtual Machine) entwickelt wurde. FirewareV verwendet das gleiche Fireware-Betriebssystem und die gleiche Verwaltungssoftware wie andere Fireboxen. Sie können WatchGuard System Manager, Fireware Web UI, die Befehlszeilenschnittstelle (CLI) und WatchGuard Cloud verwenden, um eine virtuelle FireboxV-Maschine zu verwalten, genauso wie Sie jede andere Firebox verwalten.

Sie können eine virtuelle FireboxV-Maschine in der IONOS Cloud bereitstellen und konfigurieren. Die FireboxV-Bereitstellung in der IONOS Cloud wird ab Fireware v12.8.1 unterstützt.

Vorbereitung

Zur Installation benötigen Sie folgendes:

  • FireboxV Seriennummer bereit halten (Sie erhalten die Seriennummer beim Kauf der FireboxV)
  • IONOS Cloud Account
  • WatchGuard Account

Folgende Features werden bei der FireboxV in der IONOS Cloud nicht unterstützt:

  • VLANs
  • LAN Bridges
  • FireCluster (active/passive und active/active)
  • Drop-In Mode
  • SSL VPN mit bridged VPN Traffic

Herunterladen der FireboxV Image-Datei

WatchGuard stellt eine .VHD-Image-Datei (Virtual Hard Disk) für die FireboxV-Installation bereit. Diese Image-Datei können Sie in der IONOS Cloud installieren. So laden Sie die FireboxV-Image-Datei herunter:

  1. Gehen Sie zu https://software.watchguard.com
  2. Wählen Sie Firebox und XTM > FireboxV
  3. Laden Sie im Abschnitt FireboxV-Installationssoftware die neueste Fireware-VHD-Vorlage herunter:

Hochladen der FireboxV Image-Datei

Info: Die Schritte zum Hochladen einer Image-Datei hängen davon ab, welchen FTP-Client Sie verwenden. Die Schritte zum Hochladen einer Image-Datei können sich von den hier beschriebenen unterscheiden. Weitere Informationen zum Hochladen einer Image-Datei finden Sie in der Dokumentation und den Support-Ressourcen für Ihren FTP-Client.

Um FireboxV in der IONOS Cloud zu installieren, müssen Sie zunächst die FireboxV-Image-Datei hochladen. Anschließend können Sie die Image-Datei verwenden, um eine virtuelle FireboxV-Maschine in der IONOS Cloud zu erstellen. So laden Sie die FireboxV-Image-Datei hoch:

  1. Melden Sie sich in der IONOS Cloud an.
    Das IONOS Dashboard öffnet sich.
  2. Wählen Sie unter Manager Resources > Image Manager
  3. Wählen Sie auf der Seite „Manage Images and Snapshots“ die Registerkarte FTP Upload Image aus.
    Das Dialogfeld “FTP Upload Image” wird geöffnet.

  4. Wählen Sie die Region aus, in die Sie Ihre FireboxV-Image-Datei hochladen möchten.
  5. Notieren Sie sich die FTP-Adresse des HDD-Image-Speicherorts. Über diese FTP-Adresse laden Sie Ihre FireboxV-Image-Datei in die IONOS Cloud hoch.
  6. Geben Sie im Textfeld Host Ihres FTP-Clients die FTP-Adresse ein.
    Diese Anleitung verwendet den FTP-Client FileZilla.

  7. Geben Sie in die Textfelder User und Password Ihre Zugangsdaten für die IONOS Cloud ein und klicken Sie auf Connect.
  8. Wählen Sie im Fenster Remote Site des FTP-Clients den Ordner hdd-images aus.
  9. Laden Sie die FireboxV-Image-Datei hoch.
  10. Wenn der Upload abgeschlossen ist, wählen Sie auf der Seite „Manage Images and Snapshot“ der IONOS Cloud die Registerkarte Image und klicken Sie auf das „Aktualisieren“-Icon.
    Die FireboxV-Image-Datei wird in der Liste der Images angezeigt.

Data Center und FireboxV Virtual Machine erstellen

Nachdem Sie die Image-Datei hochgeladen haben, können Sie ein Rechenzentrum erstellen und ihm eine virtuelle FireboxV-Maschine hinzufügen. So fügen Sie ein Rechenzentrum und eine virtuelle FireboxV-Maschine hinzu:

  1. Wählen Sie im IONOS Dashboard Data Center Designer aus.
    Die Seite „Create Data Center“ wird geöffnet.
  2. Geben Sie im Textfeld Name einen Namen für Ihr Data Center ein und wählen Sie Ihre Region aus. Anschließend klicken Sie auf Create Data Center.
  3. Um einen Server in Ihrem neuen Data Center zu erstellen, ziehen Sie das Server-Icon in den Arbeitsbereich.
  4. Wählen Sie den neuen Server und dann die Registerkarte Settings aus den Konfigurationsoptionen aus, die für den Server angezeigt werden.
  5. Geben Sie im Textfeld Name einen Namen für Ihren Server ein.
    Informationen zu den FireboxV-Systemanforderungen finden Sie in den Fireware Release Notes.

  6. Wählen Sie die Registerkarte Netzwerk.
  7. Um eine externe FireboxV-Schnittstelle zu konfigurieren, klicken Sie auf Add NIC.
  8. Geben Sie im Textfeld Name einen Namen ein.
  9. Wählen Sie in der Dropdown-Liste LAN die Option LAN 1 > Move NIC to LAN 1 aus.
    Behalten Sie alle anderen Einstellungen als Standardwerte bei.

  10. Wenn sich das Dialogfeld Alert öffnet, klicken Sie auf OK.

    Der Server hat jetzt eine Internetverbindung..
  11. Optional: So konfigurieren Sie ein trusted oder optional Firebox-Interface:
    a. Wiederholen Sie die Schritte 6-10.
    b. Wählen Sie ein anderes LAN als LAN 1 aus.
    c. Deaktivieren Sie das Kontrollkästchen Gateway IP will be assigned.
    d. Behalten Sie andere Einstellungen als Standardwerte bei.
  12. Wählen Sie die Registerkarte Storage.
  13. Klicken Sie auf HDD.
    Das Dialogfeld “Create New Attached Storage” wird geöffnet.
  14. Geben Sie im Textfeld Name einen Namen ein.
  15. Wählen Sie in der Dropdown-Liste Image die Option Own Images aus.
  16. Wählen Sie das hochgeladene FireboxV-Image (.vhd) aus.
  17. Aktivieren Sie das Kontrollkästchen Boot from Device.
  18. Klicken Sie auf Create HDD Storage.
  19. Wählen Sie die Registerkarte Storage.
  20. Wählen Sie in der Dropdown-Liste Bus Type die Option IDE aus.
  21. Klicken Sie auf Provision Changes.
    Das Dialogfeld „Provision Data Center“ wird geöffnet.

  22. Klicken Sie auf Provision Now. (Ignorieren Sie die NIC-Warnmeldung. Wenn Sie in Schritt 11 andere NICs für ein trusted oder optional Firebox-Interface hinzufügen und keine Verbindung zu anderen Peers herstellen, werden möglicherweise ähnliche Meldungen angezeigt.)
    Das Dialogfeld „Provisioning Complete“ wird geöffnet.
  23. Klicken Sie auf OK.
    Die virtuelle FireboxV-Maschine wird automatisch gestartet.

Herausfinden der External Interface IP Address

So finden Sie die externe IP-Adresse der virtuellen FireboxV-Maschine:

  1. Wählen Sie im IONOS Dashboard Ihr Data Center aus.
  2. Wählen Sie Ihre FireboxV-Instanz aus.
  3. Wählen Sie die Registerkarte Network.
    Die externe IP-Adresse der virtuellen FireboxV-Maschine wird in der Dropdown-Liste „Primäre IPv4“ angezeigt.

Nutzen Sie den Web Setup Wizard um eine Basis-Konfiguration zu erstellen

Der Fireware-Web-Setup-Assistent ist für eine virtuelle FireboxV-Maschine fast derselbe wie für jede andere Firebox. Ein Unterschied besteht darin, dass Sie für eine virtuelle FireboxV-Maschine entweder eine Verbindung zum trusted Intereface oder zur externen Schnittstelle herstellen können, um den Web-Setup-Assistenten auszuführen. Ein weiterer Unterschied besteht darin, dass die virtuelle FireboxV-Maschine nach Abschluss des Assistenten neu gestartet wird, sodass sie mit der neuen Seriennummer neu gestartet werden kann.

Wichtig: Wenn Sie nicht alle Schritte des Web-Setup-Assistenten innerhalb von 15 Minuten abschließen, speichert der Assistent keine Ihrer Einstellungen. 

Der Web-Setup-Assistent enthält einen Schritt zum Aktivieren Ihrer virtuellen FireboxV-Maschine. Sie müssen die Firebox mit einem Feature Key aktivieren, um die Seriennummer zu erhalten und alle lizenzierten Funktionen zu aktivieren. So richten Sie eine Basis-Konfiguration auf einer virtuellen FireboxV-Maschine ein:

  1. Öffnen Sie einen Webbrowser und stellen Sie entweder über das external oder trusted Interface eine Verbindung zur Fireware-Web-Benutzeroberfläche her.
    Verbinden mit dem external Interface – Verbinden Sie sich von jedem Computer im externen FireboxV-Netzwerk mit:

    https://<External_IP_Address>:8080

    Verwenden Sie für <External_IP_Address> die der externen Schnittstelle zugewiesene IP-Adresse.
    Verbinden mit dem trusted Interface – Verbinden Sie sich von jedem Computer im vertrauenswürdigen FireboxV-Netzwerk mit:

    https://10.0.1.1:8080

     

  2. Melden Sie sich mit den Anmeldedaten des Standard-Administratorkontos bei der Fireware-Web-Benutzeroberfläche an:
    User Name – admin
    Passphrase – readwrite
  3. Führen Sie die Schritte im Web-Setup-Assistenten aus. Weitere Informationen finden Sie unter >> Fireware Web Setup Wizard.

Nachdem Sie den Assistenten abgeschlossen haben, wird die virtuelle FireboxV-Maschine mit der neuen Seriennummer neu gestartet. Der Einrichtungsassistent erstellt eine grundlegende Konfiguration, die ausgehenden TCP-, UDP- und Ping-Datenverkehr zulässt und den gesamten nicht angeforderten Datenverkehr aus dem externen Netzwerk blockiert. Die Konfiguration verwendet auch die von Ihnen angegebenen Schnittstellen-IP-Adressen und administrativen Passphrasen. Der Assistent aktiviert automatisch Standardrichtlinien und -dienste mit empfohlenen Einstellungen.

Wenn Sie die IP-Adresse der Schnittstelle geändert haben, die Sie für die Verbindung mit dem Fireware-Web-Setup-Assistenten verwendet haben, müssen Sie sich mit der neuen Adresse verbinden, um das Gerät zu verwalten.

Informationen zum Verwalten einer FireboxV-Konfiguration von WatchGuard Cloud finden Sie unter >> Add FireboxV to WatchGuard Cloud (Cloud-Managed).

HOWTO: AuthPoint Logon App via GPO ausrollen

Comment

Der nachfolgende Artikel beschreibt, wie die AuthPoint Logon App via Gruppenrichtlinie ausgerollt und mit Updates versorgt werden kann. Die Anpassungen der MSI können ebenfalls für ein Deployment via WatchGuard Systems Management, PDQ Deploy, Microsoft Intune,… hilfreich sein.

  1. Download der MSI aus dem WatchGuard Account:
  2. Konfigurationsdownload der entsprechenden Ressource:

  3. Laden Sie sich die Freeware SuperOrca von http://www.pantaray.com/msi_super_orca.html herunter, installieren Sie diese und öffnen Sie im Anschluss die .MSI der Logon App
  4. Passen Sie die MSI wie folgt an:
  5. Speichern Sie die angepasste MSI via „File“ –> „Save As“ unter einem anderen Namen
  6. Erstellen Sie via „Tools“ -> „Transform Two Files“ -> „Create Transform“ die Config-Datei (.mst)
  7. Legen Sie die originale .MSI und .MST-Datei in einen UNC Pfad, welcher für die Ziel-Clients erreichbar ist
  8. Erstellen Sie auf dem DC eine Gruppenrichtlinie und verknüpfen diese mit der gewünschten OU
  9. Wechseln Sie zu „Computerkonfiguration“ -> „Richtlinien“ -> „Softwareinstallation” und fügen Sie via Rechtsklick ein neues Paket hinzu:
  10. Wählen Sie die originale MSI aus dem UNC-Pfad:
  11. WICHTIG: Wählen Sie den Punkt erweitert (ansonsten kann keine .MST verknüpft werden):
  12. Empfehlung: Ergänzen Sie die Versionsnummer hinter den Namen (sinnvoll für spätere Versions-Updates via GPO):
  13. Fügen Sie unter „Änderungen“ die .MST-Datei hinzu (gleicher UNC-Pfad!):
  14. Das Paket erscheint nun in der Liste der Softwareinstallationen (hier können später neuere Versionen auch als Aktualisierung hinterlegt werden. Das .MST-File kann im Regelfall für spätere Versionen weiterverwendet werden)
  15. Die Software wird jetzt entsprechend der OU/WMI-Filter/Sicherheitsfilterungen automatisch ausgerollt und ggf. auch mit Updates versehen.

Weitere Informationen zu diesem Thema von WatchGuard unter https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/authpoint/logon-app_about.html.

Unser Tipp:

Falls Sie bereits EDR, EDR-Core oder EPDR verwenden, können Sie den Rollout über die WatchGuard Cloud monitoren und ggf. automatische Berichte erzeugen! Hier die Vorgehensweise:

HOWTO: Vorgehen bei abgelaufener Box – Temporary Feature Key beantragen und einspielen

Comment

Der nachfolgende Artikel beschreibt die notwendigen Schritte im Falle einer abgelaufenen Firebox-Lizenz um den Betrieb vorübergehend aufrecht zu erhalten. Dies gilt allerdings nur für Geräte die noch nicht ihr End-of- Life Datum erreicht haben. In einem solchen Fall sprechen Sie uns bitte direkt an!

Update 2023-03-03 – FK-Tausch beim Cluster ergänzt.

Weiterlesen »

HOWTO: WatchGuard AuthPoint Lizenzen aktivieren

Comment

In diesem Blog-Artikel wird beschrieben, wie WatchGuard AuthPoint Lizenzen aktiviert werden. Für die Aktivierung der Lizenzen gibt es zwei Varianten. Die eine Variante ist, weitere Benutzer zu lizenzieren und die zweite Variante ist die vorhandenen Benutzer-Lizenzen zu verlängern.

Sollte Ihnen bei der Aktivierung ein Fehler unterlaufen, kann das nur über den WatchGuard Support gelöst werden. Weiterlesen »

HOWTO: Apple Private-Relay auf der WatchGuard blockieren

Comment

Das iCloud Private-Relay ermöglicht Benutzern sich über die Firewall hinweg anonym im Internet zu bewegen.

Apple nutzt dafür das QUIC (Quick UDP Internet Connections) und basiert, wie der Name verrät auf UDP und dem Port 443. QUIC soll die etablierte Kombination aus HTTP + TLS + TCP ablösen, um die Übertragung und damit den Aufbau von Webseiten zu beschleunigen.

Es gibt Unternehmen oder Behörden, die bestimmte Richtlinien haben und den gesamten Netzwerkverkehr überprüfen müssen. In diesem Blog-Artikel wird beschrieben, wie man die Nutzung von dem Apple Private-Relay unterbinden kann.

Um die Nutzung des Apple Private-Relays zu blockieren, muss eine Regel angelegt werden, die den Traffic nach extern mit UDP und den Port 443 verbietet. Des Weiteren müssen die FQDNS: mask.icloud.com und mask-h2.icloud.com in die Domain Name Rules der HTTPS-Proxy Action mit einem „deny“ hinzugefügt werden. Weiterlesen »

HOWTO: WatchGuard Firebox Migration bei FireCluster

1 Comment

In diesem Artikel geht es um die Migration eines alten WatchGuard FireClusters auf ein neues WatchGuard FireCluster (bspw. nach einem Trade-Up). Weitere Informationen zu der WatchGuard Trade-Up Promotion mit den je nach Modell empfohlenen Trade-Ups finden Sie unter >> WatchGuard Trade-Up Promotion.

Die Migration einer einzelnen Firebox haben wir in dem Artikel >> HOWTO: WatchGuard Firebox Migration nach Trade-Up beschrieben. Weiterlesen »

HOWTO: WatchGuard Firebox Migration nach Trade-Up

1 Comment

In diesem Artikel geht es um die Migration einer alten WatchGuard Firebox auf eine neue WatchGuard Firebox (bspw. nach einem Trade-Up).Weitere Informationen zu der WatchGuard Trade-Up Promotion mit den je nach Modell empfohlenen Trade-Ups finden Sie unter >> WatchGuard Trade-Up Promotion.

Die Migration eines alten FireClusters auf ein neues FireCluster haben wir in dem Artikel >> HOWTO: WatchGuard Firebox Migration bei FireCluster beschrieben.
Weiterlesen »

HOWTO: Absichern des Mobile-VPN-Zugriffs via Secure-VPN

Comment

Neben dem Einsatz von WatchGuard AuthPoint als MFA-Lösung zur Absicherung von mobilen Arbeitsplätzen, kann auch geprüft werden, ob der VPN Client über einen installierten EPP/EDR/EPDR/EDR-Core Schutz von WatchGuard verfügt. Die Überprüfung erfolgt für den Benutzer völlig transparent im Hintergrund und ist daher besonders komfortabel. Weiterlesen »

HOWTO: WatchGuard Endpoint Security für mobile Geräte

Comment

Kontrolle und Schutz von mobilen Geräten wird immer wichtiger. In den letzten Jahren haben sich die Einsatzszenarien von Geräten mit den Betriebssystemen Android und iOS stark verändert und sind nicht mehr nur das Smartphone für einen selbst wie es ein Jahrzehnt zuvor oftmals noch war. Mittlerweile sind diese Geräte weder in Schulen noch auf Baustellen oder bspw. in Kassensystemen wegzudenken. Durch die immer tiefere Integration in die Unternehmensabläufe und Systeme wird eine Zugriffskontrolle komplexer.

In diesem Artikel werden nach einem kurzen Überblick über mögliche Betriebssysteme und Voraussetzungen die Sicherheitsfunktionalitäten der WatchGuard Endpoint Security aufgezeigt sowie die Installation der Client App erläutert.

Weiterlesen »