Category Archives: Technischer Blog

Grundlagen: Verschlüsselung, SSL, Zertifikate, und HTTPS-Deep-Inspection

3 Comments

In diesem Artikel werden die Grundlagen von SSL, Zertifikaten und HTTPS-Deep-Inspection betrachtet. Diese Grundlagen sollen dem Verständnis dienen und sind daher sehr vereinfacht. Auf die mathematischen Grundlagen wird in diesem Artikel nicht eingegangen. Möglicherweise sind die ein oder andere Betrachtungsweise daher nicht vollständig korrekt, in diesem Artikel soll der Schwerpunkt jedoch auf dem prinzipiellen Verständnis liegen.

Weiterlesen »

Einrichten von Threat Detection and Response – Teil 5 – Best Practices

4 Comments

In dieser Artikel-Serie (bestehend aus 5 Teilen) wird das Setup von WatchGuard Threat Detection and Response beschrieben:

1. Initiales Einrichten von Threat Detection and Response im WatchGuard KundenPortal
2. Konfiguration von Threat Detection and Response auf der WatchGuard Firebox und Installation der Host Sensoren
3. Konfiguration von Threat Detection and Response im TDR Kundenportal 
4. Weitere Hinweise zu TDR, Tipps und Tricks
5. (Dieser Artikel:) Best Practices

Teil 5 (Best Practices) Weiterlesen »

Known Issue: Intrusion Prevention Service (IPS) false positive – Signature ID: 1134424

Comment

WatchGuard hat bekannt gegeben, dass der Intrusion Prevention Service (IPS) derzeit einen “Known Issue” aufweist, also ein bekanntes Problem. Dies betrifft die Signature ID 1134424: Die WatchGuard-Firewall erkennt hier fälschlicherweise eine Sicherheitslücke, die gar nicht vorhanden ist (false positive).

Weiterlesen »

Crash des scand – SMTP-Proxy blockiert alle E-Mails- 12.2.1

Comment

Symptom:

SMPT-SMTP-Proxy reicht keine E-Mails mehr durch.

Workaround:

Reboot der Box, bzw. Failover im Cluster

Ursache:

Unter bestimmten Umständen kann bei Fireware 12.2.1 ein Crash des Antivirus-Daemons scand auftreten (Es scheint bei bestimmten PDF-Files zu passieren).

In diesen Fällen kann es (in Abhängigkeit der GAV-Konfiguration) dazu führen, daß gar keine E-Mails mehr durchgelassen werden.

Ein Reboot der Box startet den Daemon neu, und das Problem ist (erstmal) behoben. Ein Failover auf den anderen Cluster-Member führt zum gleichen Ergebnis, vorausgesetzt, daß dort der Daemon (noch) läuft. Vor einem mehrfachen Failover sollte dann natürlich die passive Box vorher gebootet worden sein.

Abhilfe:

Abhilfe bringt ein Update auf die Fireware Version 12.3.1, die einen Fix der libsavi.so enthält.

WatchGuard Cluster in Verbindung mit Dynamic Arp Inspection (DAI)

Comment

WatchGuard verwendet im Cluster-Betrieb virtuelle Mac-Adressen. Bei einem Cluster-Failover wird dann ein Gratious Arp Paket gesendet, damit alle beteiligten Switches ihre ARP-Table bzw. ihre Mac-Adress-Port-Table anpassen können. Dies kann bei leistungsfähigen Switches mit aktueller Firmware möglicherweise zu Problemen führen, wenn man die Konfiguration nicht entsprechend anpasst.

Weiterlesen »

WebBlocker On-Premises Server Fehlermeldung durch Passwortvergabe

Comment

Vor Kurzem bekamen wir eine Rückmeldung eines Kunden zum Thema WebBlocker On-Premises Server, die sicherlich für einige interessant sein könnte:

“Heute haben wir den WebBlocker On-Premises Server mit Schmerzen in Betrieb genommen. Zunächst bekamen wir keine Verbindung zum WebBlocker-Server hin mit der Log-Meldung “WebBlocker Server is not available”. Nach langer Suche lag es nur am Passwort: es enthielt einen Doppelpunkt (“:”). Nachdem wir ein Passwort aus einem Mix aus Ziffern und Buchstaben gewählt haben funktionierte alles sofort und einwandfrei. Vielleicht ein guter Tipp für Sie. Auch der Aufruf von Webseiten ist gefühlt schon schneller als über die Cloud-Anbindung.”

Das Sonderzeichen “:” (Doppelpunkt) im Passwort scheint beim WebBlocker On-Premises Server also eine Fehlermeldung zu verursachen, die es zu vermeiden gilt.

Weitere Artikel zum WebBlocker On-Premises Server finden Sie in folgenden Artikeln: