Category Archives: HOWTO-Artikel

HOWTO: WatchGuard ThreatSync+ NDR Collection Agent installieren – Anleitung für Ubuntu, NetFlow & sFlow

Comment

Was ist der WatchGuard ThreatSync+ Collection Agent?

WatchGuard ThreatSync+ NDR ist eine cloudbasierte Lösung zur Netzwerküberwachung und Bedrohungserkennung. Mithilfe von KI-gestützter Analyse wird der Netzwerkverkehr kontinuierlich überwacht, ausgewertet und übersichtlich visualisiert.

Dabei betrachtet das System nicht nur den Datenverkehr, der direkt über die Firewall läuft. Es unterstützt Unternehmen auch dabei, Netzwerkbereiche sichtbar zu machen, die von der Firewall allein nicht erfasst werden können. Dafür werden Telemetriedaten verschiedener Netzwerkkomponenten benötigt.

Genau hier kommt der ThreatSync+ Collection Agent zum Einsatz. Dabei handelt es sich um einen Linux-Dienst, der über den WatchGuard Agent auf einem Ubuntu-Server installiert wird.
Der Collection Agent empfängt NetFlow-, sFlow- und DHCP-Daten von Switches, Routern und Firewalls im Netzwerk und übermittelt diese zur weiteren Verarbeitung an die WatchGuard Cloud.

In diesem Artikel zeigen wir Schritt für Schritt, wie Sie den WatchGuard ThreatSync+ NDR Collection Agent installieren und konfigurieren.

Systemvoraussetzungen

Stellen Sie sicher, dass Ihre virtuelle Maschine (VM) die folgenden Anforderungen erfüllt:

  • Betriebssystem: Ubuntu 22.04 oder 24.04 Server LTS.
    (Ubuntu 26.04 wird mit Stand Mai 2026 noch nicht unterstützt.)
  • Hardware: Mindestens 2 CPU-Kerne, 8 GB RAM und 128 GB Festplattenspeicher.
  • Sprache: Die Installation wird derzeit ausschließlich in englischer Sprache unterstützt.
  • Zusätzlich: Stellen Sie sicher, dass die passenden Hypervisor-Tools für Ihre Virtualisierungsumgebung installiert sind.

Installation des ThreatSync+ Collection Agents

  1. Öffnen Sie in der WatchGuard Cloud den Bereich ThreatSync+ Integrations.
  2. Laden Sie im Bereich Kollektor-Agenten über die Option Add Collection Agent die .run-Datei aus Ihrer WatchGuard Cloud herunter.
  3. Übertragen Sie die Datei beispielsweise per WinSCP auf Ihre Linux-VM.
  4. Wechseln Sie im Terminal in das entsprechende Verzeichnis und führen Sie das Setup aus: sudo bash 'Watchguard Agent.run'
  5. Wenn das Setup erfolgreich ausgeführt wurde, erscheint in der Konsole die Nachricht Management Agent installation successfully completed!
  6. Falls Sie die ufw (Uncomplicated Firewall) verwenden, müssen die folgenden Ports freigegeben werden:
    sudo ufw allow 2055/udp
    sudo ufw allow 6343/udp
    sudo ufw allow 514/udp
    sudo ufw enable
  7. Sollte Secure Boot auf dem System aktiviert sein, folgen Sie dieser Anleitung von WatchGuard.

Nach erfolgreicher Installation läuft der Collection Agent als Systemdienst und startet automatisch beim Booten der VM.

Collection Agent in der WatchGuard Cloud hinzufügen

Nach der Installation muss der Collection Agent noch dem NDR-System in der WatchGuard Cloud zugewiesen werden.
Navigieren Sie hierzu in den Bereich Konfigurieren → ThreatSync+ Integrations → Kollektoren::
WatchGuard ThreatSync+ Collection Agent auswählen
Wählen Sie dort den installierten Collection Agent aus und speichern Sie die Konfiguration.
Sobald sich der Agent erfolgreich mit der Cloud verbunden hat, wird der Status als Success angezeigt:

Hinweis: Es kann bis zu 90 Minuten dauern, bis die erste Meldung in der Cloud erfolgt.

Nach erfolgreicher Verbindung arbeitet der Collection Agent automatisch im Hintergrund und überträgt die gesammelten Telemetriedaten regelmäßig an die WatchGuard Cloud.

Beispielkonfiguration von NetFlow und sFlow

In diesem Abschnitt werden Beispiele für die Konfiguration für NetFlow und sFlow anhand der Konfiguration einer WatchGuard Firebox und einem HP Aruba 2530 gezeigt.

NetFlow auf einer WatchGuard Firebox konfigurieren

Die Firebox schickt bereits einen Teil ihrer Telemetrie direkt an die Cloud, sofern Cloud Visibility aktiviert wurde. NetFlow bietet hier jedoch noch einen tieferen Einblick in den Datenverkehr, da Informationen über jede Netzwerkverbindung, unabhängig der Loggingeinstellungen auf der Firewall gesammelt werden.

Um NetFlow auf einer lokal gemanageden Firebox zu aktiveren, navigieren Sie zu Setup → Netflow:

Dort können Sie festlegen, welche VLANs und Interfaces ihre Daten an den Collection Agent senden sollen. So lassen sich beispielsweise Gäste-WLANs oder andere nicht relevante Netzwerksegmente gezielt ausschließen. Dadurch werden unnötige Datenübertragungen vermieden und Bandbreite eingespart.

sFlow auf einem HP Aruba 2530 konfigurieren

sFlow unterscheidet sich von NetFlow dadurch, dass lediglich Stichproben (Samples) des Datenverkehrs analysiert werden. Dabei wird beispielsweise nur jedes tausendste Paket analysiert.
Das reduziert die Belastung der Netzwerkgeräte sowie die benötigte Bandbreite, geht jedoch zulasten der Genauigkeit.

Hier ist ein beispielhaftes Vorgehen zum Einrichten von sFlow auf einem HP Aruba 2530:

1. Konfigurationsmodus aktiveren:
#> enable config

2. Collection Agent als Ziel definieren:
sflow 1 destination 10.10.10.109

3. Sampling und Interface definieren:
sflow 1 sampling 1-52 4096

4. Polling Intervall festlegen, in dem die Daten an den Kollektor geschickt werden:
sflow 1 polling 1-52 30

In diesem Beispiel wird ungefähr eines von 4096 Paketen analysiert und alle 30 Sekunden an den Collection Agent übertragen.

Daran wird deutlich, dass sFlow keine lückenlose Analyse des Datenverkehrs liefert, sondern eher ein allgemeines Bild der Netzwerkkommunikation erzeugt. Je niedriger die Sampling-Rate gewählt wird, desto präziser werden die Ergebnisse – allerdings steigt dadurch auch die Last auf den Geräten und dem Netzwerk. Hier sollte ein sinnvoller Mittelweg gefunden werden.

Fehleranalyse und Debugging des Collection Agents

Falls sich der Collection Agent nicht erfolgreich mit der Cloud verbindet, stehen verschiedene Diagnosemöglichkeiten zur Verfügung.

Ein hilfreicher erster Schritt ist folgender Befehl:

sudo /opt/collector/scripts/collectorDiagnostics.sh

Dieses Skript zeigt unter anderem:

  • den Status der Systemfirewall
  • den Zustand der NetFlow- und sFlow-Dienste
  • die letzte Upload-Zeit
  • die Verbindung zur WatchGuard Cloud

Zusätzlich kann mit folgendem Befehl geprüft werden, ob die benötigten Ports geöffnet sind:

netstat -na

Sollten die erforderlichen Ports auf der VM freigegeben sein und dennoch Probleme auftreten, sollte geprüft werden, ob eine weitere Firewall im Netzwerk den Traffic blockiert.

Außerdem bietet der Kollektor verschiedene Logs an, die bei bei der Fehleranalyse helfen können.

Diese befinden sich im Verzeichnis /opt/collector/logs:

Hierbei sind die folgenden Logs in vielen Fällen die nützlichsten:

  • ndr_heartbeat.log
    Enthält Informationen zur Verbindung und den Heartbeats zur Cloud
  • ndr_nf_aggergator.log
    Zeigt, von welchen Quellen Daten empfangen werden, inklusive Anzahl der Flows
  • ndr_s3upload.log
    Gibt Aufschluss darüber, ob Daten erfolgreich in die Cloud hochgeladen wurden

Mit diesen Werkzeugen lassen sich viele Fehlerursachen schnell eingrenzen und beheben.

Fazit

Der WatchGuard ThreatSync+ Collection Agent bildet die technische Grundlage für die Datenerfassung für WatchGuard ThreatSync+ NDR mittels NetFlow und sFlow.

Erst durch diese Datenbasis kann ThreatSync+ NDR den Netzwerkverkehr umfassend auswerten und Auffälligkeiten oder potenzielle Risiken erkennen. Der Collection Agent sorgt somit in erster Linie für Transparenz und Sichtbarkeit innerhalb des Netzwerks, insbesondere in Bereichen, die durch klassische Firewall-Analysen nur eingeschränkt erfasst werden.

Unternehmen schaffen damit die notwendige Grundlage für eine moderne Netzwerküberwachung sowie die spätere Analyse durch ThreatSync+ NDR.

HOWTO: Blockieren von USB-Sticks via der Endpoint Gerätesteuerung

Comment

Gilt für WatchGuard Endpoint Security Elite (vormals Advanced EPDR), 360 (vormals EPDR), Basic (vormals EPP) sowie die ehemalige Panda Welt (AD360 & Co.).

ACHTUNG: Zum 1. April 2026 hat WatchGuard eine Umbenennung seines Endpoint-Security-Portfolios vorgenommen und somit das Portfolio übersichtlicher gestaltet und besser an aktuelle Anforderungen der IT-Sicherheit angepasst.

Die Gerätesteuerung (Device Control) ist ein zentrales Sicherheitsfeature von WatchGuard Endpoint Security. Sie dient dazu, das Risiko von Datenabfluss (Data Leakage) und das Einschleppen von Schadsoftware über physische Schnittstellen wie USB zu minimieren.

Die Gerätesteuerung (Windows Only) fungiert als Türsteher für Endpunkte. Sie überwacht den Bus-Typ und die Geräteklasse, sobald ein Medium angeschlossen wird. WatchGuard bedient sich hierbei am Windows Betriebssystem und liest die jeweiligen „Geräteinstanzpfade“ oder wenn diese nicht vorhanden sind die „Hardware IDs“ im Windows Geräte-Manager aus.

Es können verschiedene Gerätekategorien per Regeln festlegt werden.

Gerätekategorien Zugriffsregeln
Wechseldatenträger
  • Blockieren
  • Lesezugriff erlauben
  • Lese-und Schreibzugriff erlauben
  • AutoPlay aktivieren/deaktivieren
CD/DVD-Laufwerke (auch virtuelle Laufwerke)
Bluetooth-Geräte
  • Zulassen
  • Blockieren
Mobile Geräte
Imaging-Geräte
Modems

Der nachfolgende Artikel beschreibt das Whitelisting von USB-Geräten.

Weiterlesen »

HOWTO: Transfer of Ownership

Comment

Ein Transfer of Ownership (ToO) bei WatchGuard ermöglicht die Übertragung einer Seriennummer inklusive aktiver Lizenzen und Supportverträge auf ein anderes WatchGuard-Konto.

Beim Transfer of Ownership werden ausschließlich die Seriennummer sowie die dazugehörigen Lizenzen übertragen. Cloud-Daten wie Benutzerkonten, Tokens, Endgeräte oder gespeicherte Konfigurationen verbleiben im ursprünglichen Konto und werden nicht übernommen. Einzelne Lizenzen können zudem nicht separat von einer Seriennummer auf eine andere übertragen werden. Nach dem Transfer müssen Produkte – beispielsweise AuthPoint – im Zielkonto neu eingerichtet werden. Bestehen dort bereits Lizenzen desselben Produkts, werden diese automatisch zusammengeführt (co-termed).

Bitte beachten Sie außerdem, dass bestimmte Anfragen einer zusätzlichen Prüfung durch WatchGuard unterliegen und im Einzelfall abgelehnt werden können.

Wichtig: Die Übertragung muss nicht zwingend im Zusammenhang mit einem Verkauf stehen. Sie kann z. B. auch bei internen Umstrukturierungen, einem Dienstleisterwechsel oder Kontokonsolidierungen notwendig sein. Weiterlesen »

HOWTO: Mikrotik LTE Extender inkl. Serial Access für die Firebox

Comment

Es existiert bereits ein Blog-Beitrag zur LTE-Anbindung von Firewalls über einen Mikrotik-Router, welcher ein LTE-Passthrough mit sich bringt (externe IP terminiert direkt auf der nachgelagerten WatchGuard Firewall): https://www.boc.de/watchguard-info-portal/2021/08/lte-failover-fuer-jede-watchguard-inkl-cluster-und-lte-passthrough

In einigen Kundenszenarien sind an Außenstellen keine Mitarbeiter tätig. Besonders bei Solar- oder Windparks sehen wir solche Herausforderungen häufig. Unsere Idee war es den Serial-Port des LTE-Routers mit der Firebox zu verbinden und somit einen Notfall-Access bereitzustellen. Dieser Aufbau ist eher als Proof of Concept zu sehen. Seit ich mit WatchGuard arbeite war kein Serial-Access auf die Firebox nötig. Ein „Doppelter Boden“ kann aber auch für andere Szenarien hilfreich sein (z. B. Restore nach RMA-Tausch, PPPoE Credentials müssen ungeplant aktualisiert werden, …). Natürlich kann der Serial-Port auch für die Konfiguration nachgelagerter Switche oder andere Komponenten verwendet werden.

Weiterlesen »

HOWTO: Windows Hello mit AuthPoint MFA absichern

Comment

In diesem Blog-Artikel wird beschrieben, wie die Windows-Anmeldung zusätzlich mit einem zweiten Faktor über WatchGuard AuthPoint MFA abgesichert werden kann. Die Anmeldung erfolgt dabei in Kombination mit Windows Hello – also per PIN, Fingerabdruck oder Gesichtserkennung – und bietet somit ein hohes Maß an Sicherheit bei gleichzeitig komfortabler Benutzererfahrung.

Der Artikel behandelt folgende Schritte:

  1. Voraussetzungen und Testumgebung
  2. AuthPoint in der WatchGuard Cloud konfigurieren
    1. Ressource anlegen
    2. Zero-Trust Regel anlegen
    3. Logon App und Konfiguration herunterladen
  3. Logon App auf einem Clientrechner installieren
  4. Voraussetzungen für Gesichtserkennung/Fingerprint mittels GPO konfigurieren
  5. Windows Hello am Client aktivieren
  6. Fazit

Weiterlesen »

HOWTO: Vorgehen bei abgelaufener Box – Temporary Feature Key beantragen und einspielen

Comment

Der nachfolgende Artikel beschreibt die notwendigen Schritte im Falle einer abgelaufenen Firebox-Lizenz um den Betrieb vorübergehend aufrecht zu erhalten. Dies gilt allerdings nur für Geräte, die noch nicht ihr End-of-Life (EOL) Datum erreicht haben. In einem solchen Fall sprechen Sie uns bitte direkt an!

Update 03-12-2025 – Hinweis bei Automatic temporary Feature Key activation
Update 20-10-2025 – Neuerung – Automatic temporary Feature Key activation
Update 03-03-2023 – FK-Tausch beim Cluster ergänzt.

Weiterlesen »

HOWTO: Home Zone Firewall-Ausnahmen im WatchGuard IPSEC VPN Client (NCP) am Beispiel eines Netzwerkdruckers

Comment

Im modernen Home-Office ist der sichere und zugleich komfortable Zugriff auf Unternehmensressourcen ein entscheidender Faktor für effizientes Arbeiten. Doch genau hier entsteht oft ein Zielkonflikt: Während der VPN-Tunnel eine geschützte Verbindung zum Firmennetzwerk herstellt, wird dadurch häufig der Zugriff auf lokale Geräte – wie Drucker oder NAS-Systeme – blockiert.

Der Premium IPSec VPN-Client von WatchGuard (by NCP) wurde bereits im Artikel >> HOWTO: WatchGuard IPSec Mobile VPN Client by NCP – Jetzt auch mit IKEv2 Support ausführlich vorgestellt (Bitte vorab lesen!). In diesem Beitrag knüpfen wir daran an und zeigen am praktischen Beispiel, wie sich mithilfe der Home Zone Funktion gezielt Firewall-Ausnahmen konfigurieren lassen. Die Home Zone Funktion wurde speziell für das Arbeiten im Home-Office entwickelt und bietet eine intelligente Lösung, um die Sicherheit der Unternehmenskommunikation über den VPN-Tunnel zu gewährleisten, während gleichzeitig der komfortable Zugriff auf lokale Heimnetzwerkgeräte wie Drucker oder Scanner möglich ist.

Am Beispiel eines Netzwerkdruckers zeigen wir Schritt für Schritt, wie Sie diese Funktion optimal einrichten, um auch bei aktivem IKEv2 VPN-Tunnel (Full-Tunnel) sicher und effizient im Home-Office zu arbeiten.

Weiterlesen »

HOWTO: Firebox mit “integriertem” SFP Glasfaser Modem (GPON) betreiben

Comment

Mit dem Launch der neuen T-Box Generation bietet bereits die Firebox T145 (Nachfolger der T45) einen integrierten SFP+ Slot. Der SFP+ Slot bietet neben 10 Gigabit/s den Vorteil, ein SFP Glasfaser Modem direkt in der Firebox zu betreiben, wodurch ein externes Modem eingespart wird.

In diesem Blog-Artikel zeige ich die Migration von einem ext. Glasfasermodem zum SFP GPON Modul der Deutschen Telekom.

Weiterlesen »

HOWTO: Best-Practice-Konfiguration eines WatchGuard Firebox Clusters Active / Passive

Comment

In einer zunehmend digitalisierten Welt ist Hochverfügbarkeit kein Luxus mehr, sondern eine geschäftskritische Notwendigkeit. Schon wenige Stunden Ausfall können erhebliche Kosten verursachen – ganz zu schweigen von den Folgen, wenn Unternehmen ein bis zwei Tage komplett vom Internet oder den internen Netzwerken abgeschnitten sind.

Um sich vor solchen Szenarien zu schützen, stehen verschiedene Optionen zur Verfügung: Zum einen können Sie durch die Einrichtung eines zweiten Geräts einen hochverfügbaren „Cluster“ aufbauen. Zum anderen besteht die Möglichkeit, über den “4-Stunden-Premium-Austauschservice” die Auslieferung eines kostenfreien Ersatzgeräts deutlich zu beschleunigen.

Im Zuge neuer gesetzlicher Richtlinien wie bspw. NIS2 oder Cyber Resilience Act (CRA) rückt auch die betriebliche Resilienz gegenüber kleineren Ausfällen in den Vordergrund. IT-Verantwortliche müssen sicherzustellen, dass selbst kleinere Defekte – etwa ein defektes Netzteil – nicht zum Stillstand des gesamten Betriebs führen. Zu all diesen Themen beraten wir Sie selbstverständlich gerne. Warum Ausfallsicherheit mit einem WatchGuard FireCluster so wichtig ist erfahren Sie bei uns unter >> WatchGuard FireCluster.

 

Dieser Artikel führt Sie durch die Best Practices Einrichtung eines WatchGuard Firebox Active / Passive Clusters. Der für die Umsetzung benötigte Zeitaufwand liegt i.d.R. zwischen 30 und 60 Minuten.

  1. Einführung
  2. Cluster-Konfiguration
  3. Fazit
  4. Häufige Fehler und Lösungen

Weiterlesen »

HOWTO: “Friendly Network Detection” für den WatchGuard IPSec Mobile VPN Client (NCP FND-Server)

Comment

In den folgenden verlinkten Blog-Artikeln wurden bereits einige Vorteile, Funktionen und Empfehlungen zum „WatchGuard IPSec Mobile VPN Client“ (by NCP) veröffentlicht:

Ein großer Vorteil des Premium-Clients ist die integrierte Endpoint-Firewall, welche z.B. nur in Trusted Networks eine Netzwerk Kommunikation erlaubt und ansonsten eine VPN-Verbindung erzwingt. Die manuelle Erfassung vertrauenswürdiger Netze ist in komplexen Umgebungen sehr zeitaufwändig, fehleranfällig und leider auch nicht allzu sicher. Abhilfe schafft der „NCP Friendly Net Detection Server“ (https://www.ncp-e.com/fileadmin/_NCP/pdf/library/whitepaper/NCP_Whitepaper_FND_de.pdf).

Im weiteren Verlauf möchte ich die Inbetriebnahme des FND-Servers veranschaulichen.

Weiterlesen »