Category Archives: Technischer Blog

HOWTO – Exchange-Server mittels Reverse-Proxy (Access Portal) und Pre-Authentication absichern

3 Comments

Gerade in Zeiten von >> Hafnium stellt sich wieder die Frage, wie der externe Zugriff auf interne Systeme möglichst sicher umgesetzt werden kann. WatchGuard bietet bereits seit langer Zeit Proxies für die gängigen Mail-Protokolle POP3, IMAP und SMTP. Um mobile Geräte möglichst komfortabel in die Exchange Infrastruktur einzubetten, führt allerdings kaum ein Weg an ActiveSync oder MAPI vorbei. Der Zugriff via ActiveSync/MAPI erfolgt via 443 und kann ebenfalls mittels Proxy abgesichert werden, welcher durch Whitelisting von Pfaden, GEO-Blocking, Domain-Prüfung und IPS viele Sicherheitsfeatures erfolgreich umsetzen kann, siehe >> Blog-Artikel

Seit der Firmware v12.5 bietet WatchGuard durch seine Portal-Lösung „Access Portal“ eine weitere Möglichkeit, einen Exchange hinter den in der Firebox integrierten Reverse-Proxy zu verstecken. Durch das Access Portal kann die WatchGuard nicht nur Pfade filtern, sondern auch eine Pre-Authentication für den Exchange erzwingen. Da die Authentifizierung erst gegen die WatchGuard stattfindet und im Anschluss der Traffic in Richtung Exchange weitergeleitet wird, ist der IIS des Mailservers nicht direkt aus dem Internet erreichbar!

Durch eine Kombination mit AuthPoint kann übrigens der Zugriff auf OWA oder ECP zusätzlich über einen zweiten Faktor effektiv abgesichert werden.

*Folgende Installationsanleitung zeigt eine Testumgebung. Vom Standard abweichende Konfigurationen Ihres Exchange, AD, … können hier leider nicht berücksichtigt werden*

Weiterlesen »

Exchange Server Hafnium Exploit

5 Comments

Unternehmen stellen häufig Exchange Dienste wie ActiveSync (Abruf der Mails per Mail-App auf dem Handy), OWA (Outlook Web Access – Zugriff auf Outlook über eine Webschnittstelle) und damit meist auch unwissentlich ECP (Exchange Admin-Konsole) für den Zugriff aus dem Internet für Ihre Mitarbeiter zur Verfügung. Diese Dienste werden aktuell missbraucht. Der Zugriff geschieht dabei von extern über das Internet-Protokoll https auf Port 443.
Dieser Artikel bietet einen Einstieg in die Thematik, listet weitere Quellen und zeigt die Möglichkeiten, die Sie zum Schutz Ihrer Systeme mithilfe der Security Services einer WatchGuard Firewall zur Verfügung haben.

Weiterlesen »

Firebox Configuration and Management in Watchguard Cloud

Comment

WatchGuard bietet ein neues Feature: Firebox Configuration and Management in WatchGuard Cloud. Das Feature ist seit Freitag in der Open Beta.
Anmeldemöglichkeit hier: https://watchguard.centercode.com/key/FireboxManagementWGCloud

Die Idee dabei  ist, ein vereinfachtes Management über eine sehr übersichtliche Web-UI in der Cloud, inklusive Templates, alternativ/zusätzlich zum bisherigen Management über Web-UI bzw. WSM.

Diese Artikel-Serie beschreibt die neue Management-Oberfläche.

Weiterlesen »

reCaptcha und Firewalls

Comment

reCaptcha liefert für das Frontend ein komplettes Element mit Eingabefunktion aus, plus eine Information ans Backend damit das Backend
vergleichen kann ob es korrekt ausgefüllt ist. Wenn dieser Frontend-Part fehlt (durch eine Firewall oder andere Optionen) kann das
Formular nicht erfolgreich abgesendet werden.

Gründe hierfür sind:

Weiterlesen »

HOWTO – Verwendung von REGEX Suchmustern bei der Suche im Firebox System Manager

Comment

Die Suche im Traffic Monitor wird oft als schwach bezeichnet, weil hier keine “wildcards” unterstützt werden.

Diese Aussage ist jedoch schlicht falsch, da der FSM sehr wohl wildcards unterstützt, allerdings nicht die “üblichen Verdächtigen” und zudem erst nach zusätzlicher Aktivierung der Suchmuster (REGEX). Wenn man sich ein wenig eingearbeitet hat, enthält der FSM durch Vewendung der REGEX einen der leistungsfähigsten Suchfilter, die so üblicherweise zur Verfügung gestellt werden. Leider sind REGEX nicht wirklich intuitiv 🙂

Weiterlesen »

VPN-Verbindungsprobleme mit Vodafone Kabel-Routern

4 Comments

Wie Golem.de berichtet kommt es bei Vodafone Kabel Routern zu Problemen mit IPSec VPN Verbindungen.

Es betrifft im speziellen die Vodafone Stations.
Es gibt davon 2 Hersteller:
Arris (hier scheint VPN zu funktionieren)
und
Technicolor (hier taucht das beschriebenen Problem auf)

Vodafone arbeitet an einer Lösung durch ein neues Firmware Update – welches allerdings noch nicht verteilt wird.

Wie finde ich heraus von welchem Hersteller mein Gerät ist?
Auf der Rückseite des Gerätes steht die Kennung.
Ich habe den Arris (TG2442DE).

Bei dem Technicolor steht dort CGA4233DE.

Probleme mit DHCP Relay bei 12.5.4

Comment

aktuell kann es bei Verwendung von DCHP RELAY auf Fireware 12.5.4 zu Problemen kommen; der Dienst kann vereinzelt crashen. Dies führt dazu, dass in den verwendeten Subnetzen keine DHCP-Adressen mehr vergeben werden.

Workarounds:

  • Reboot der Firewall (startet den Dienst neu)
  • DHCP Relay im Subnetz durch lokalen DHCP-Server ersetzen.

Der Fehler ist laut Knowledgebase bereits in der 12.6.2 (noch nicht verfügbar) behoben

Quellen:

IPS Signature Update Probleme mit Firmware 12.6.x (update)

Comment

Update 2020-10-08:

Es gibt ein neues IPS_Pattern (18.114), das Problem ist gelöst.

 

Aktuell scheint es Probleme beim Download eines IPS-Signatur-Updates zu geben.

Nach unseren Tests tritt dies nur in Verbindung mit 12.6.x auf.

 

 

 

 

 

 

 

Die Signatur-Anzeige hat bereits das “neue” Format: 18.113

 

 

 

 

Auf eine Box mit 12.5.4 mit dem “alten” Format: 4.1084 funktioniert derzeit das Pattern Update problemlos.

 

 

 

 

 

 

Wir gehen davon aus, dass sich das Problem von selbst löst, sobald das nächste Pattern zur Verfügung gestellt wird.

 

 

Update aus einem CASE bei WatchGuard:

Thanks for the detailed case description! The checksum error you’re encountering with IPS downloads on 12.6+ devices is a known issue we are currently having with signature version 18.113. It has been relayed to our engineering team and we are actively working towards resolving it.