Das Debug Log Level für die Konsole (System Manager => Traffic Monitor)
kann im Policy Manager unter
Setup => Logging => Klick auf [Diagnostic Log Level]
eingestellt werden. Hier stellt man den Bereich VPN > IKE auf “Debug”
und speichert die Konfiguration auf die WatchGuard.
Nicht vergessen: nach Gebrauch das Log Level wieder zurückstellen 🙂
Dieser Artikel beschreibt die Anbindung eines Android 6.0.1 Marshmallow mit dem Native Client per IPSec an eine WatchGuard Firebox/XTM.
Die in der WatchGuard Help (Stand: 04.08.2016) angegebenen Hinweise auf die IPSec Proposals beziehen sich auf Android 4.x. Dort steht “do not use SHA2 in the Phase 1 and Phase 2 settings. SHA2 is not supported on the VPN clients on Android devices”. Mittlerweile wird jedoch SHA1 als nicht mehr ausreichend sicher eingestuft und soll eigentlich nicht mehr verwendet werden. SHA2 wird inzwischen von Android in Phase 1 und Phase 2 unterstützt. Theoretisch zumindest.
Leider funktioniert genau dieses SHA2 in Phase 2 nicht richtig. Es wird zwar eine Verbindung hergestellt, aber danach kann kein SA ausgehandelt werden, womit das Android-Device ohne Routing gar nicht mehr kommunizieren kann. Hier folgt eine genauere Betrachtung der Proposals und eine Anleitung mit funktionierenden Parametern.
Zwei-Faktor-Authentisierung ist derzeit stark im Kommen und dies ist eine gute Entwicklung. Eine Zwei-Faktor-Authentisierung baut auf zwei Dinge:
Es werden zum Login also zwei komplett unterschiedliche Dinge benötigt, einmal etwas, das man kennen muss (typischerweise das Passwort), und dann etwas, das man besitzen muss (typischerweise einen Token-Generator). Der Token-Generator erzeugt nun automatisiert zeitabhängige Token, also mehrstellige Ziffern-Folgen, die sich mit der Zeit ändern. Hierfür gibt es bei WatchGuard die Unterstützung von Secure-ID – aber diese Tokens sind umständlich, man muss sie nämlich dabei haben. Also “noch ein Ding rumschleppen”.
Seit einigen Jahren gibt es bei Google die Möglichkeit, mit Google-Authenticator eine Zwei-Faktor-Authentisierungzu aktivieren. Hierbei wird ebenfalls ein “Ding” als Tokengenerator verwendet, nur ist dieses Ding etwas, das man sowieso schon dabei hat: das Smartphone.
Die Idee ist nun, die Token-Erzeugung in eine App auf dem Smartphone auszulagern, somit muß jemand zum Login auf das Google-Konto nicht nur das Passwort kennen, sondern auch das Smartphone besitzen _und_ es freischalten können, um an das Token zu kommen.
Was liegt nun näher, als die WatchGuard mit Google-Authenticator zu vermählen?
Wie kommt man schmerzfrei von (V)DSL + ISDN + Telefonanlage zu ALL-IP? Dieser Artikel liefert die nötigen Hintergrundinfos sowie eine mögliche und inzwischen mehrfach erfolgreich praktizierte Lösung.
Für kleine Netzwerkumgebungen ohne vorhandene ESXi-Umgebung gibt es häufig ein Problem, einen Watchguard Dimension Server (Logserver) zu betreiben, da dieser nur als Template für VMWARE oder HyperV angeboten wird. Ein Einsatz einer Dimension ist jedoch für die Überwachung der Firewall anzuraten.
Eine einfache, platzsparende Lösung ist das Setup einer VMWARE ESXi auf einem kleinen Intel NUC. Die Vorteil des Einsatzes eines NUC bestehen im geringen Platz- und Strombedarf des NUC. Weiterlesen
Dieser Artikel berschreibt die Einrichtung mehrerer WLANs mit unterschiedlicher SSID und getrennten VLANs, um sie auf der Watchguard mit entsprechenden Policies sehr sauber getrennt managen zu können.
Die regelmäßige Aktualisierung Ihrer WatchGuard Firebox ist wichtig, um die Leistungsfähigkeit, Sicherheit und Zuverlässigkeit Ihres Netzwerks zu gewährleisten. In diesem Blog-Artikel zeigen wir Ihnen Schritt für Schritt, wie Sie ein Fireware Software-Update über die Web-UI erfolgreich durchführen – unabhängig davon, ob sich Ihre Firebox bereits im Einsatz befindet oder ob Sie diese gerade erstmalig einrichten.
Unseren ausführlichen HOWTO-Artikel über alle drei verschiedenen Methoden, mit denen Sie das Firmware-Upgrade Ihrer Firebox sicher und effizient durchführen können finden Sie unter >> HOWTO: WatchGuard Firebox Firmware-Upgrade. Weiterlesen
Ein regelmäßiges Firmware-Upgrade ist essenziell, um die Sicherheit und Leistungsfähigkeit Ihrer WatchGuard Firebox zu gewährleisten. In diesem HOWTO-Artikel zeigen wir Ihnen wie Sie ein Firmware-Upgrade über den WatchGuard System Manager (WSM) durchführen können.
Unseren ausführlichen HOWTO-Artikel über alle drei verschiedenen Methoden, mit denen Sie das Firmware-Upgrade Ihrer Firebox sicher und effizient durchführen können finden Sie unter >> HOWTO: WatchGuard Firebox Firmware-Upgrade.
