VDSL2 – VLAN-Tags verschiedener Internet-Provider (Update)
Damit man bei der Einrichtung von VDSL2 via PPPoE noch mehr Spaß haben kann, verwenden die Provider unterschiedliche VLAN-Tags.
Zuerst veröffentlicht am 02. Jan. 2017 Weiterlesen
Category Archives: Technischer Blog
Informationen zu Gateway Antivirus (GAV) und IPS bei FireWare 12.0
Vor kurzem habe ich in der WatchGuard Knowledgebase die folgenden interessanten Informationen zur Fireware 12.0 und GAV bzw. IPS gefunden: Weiterlesen
WPA2 – KRACK – WatchGuard Access-Point schützen ungepatchte Clients
Der KRACK-Angriff (“Key Reinstallation AttaCK”) richtet sich gegen Clients. Warum sollten Access-Points aktualisiert werden?
Weil sie in der Lage sind, den Angriff auf die Clients zu erkennen und ggf. entsprechend einzugreifen. Daher können sie die Gefahr durch KRACK zu verringern. Weiterlesen
KRACK-Attacke: WPA und WPA2 Vulnerabilities – Firmware für Access-Points
Heute (16.10.2017) geht eine Meldung um die Welt, die bei allen Wi-Fi-benutzern für Aufhorchen sorgt: Es gibt in den Protokollen WPA und WPA2 einige Fehler, die herstellerübergreifend fast jegliche Wi-Fi Kommunikation betrifft. Die Fehler sind in Standard-Libraries der WPA- und WPA2 Protokolle enthalten und daher praktisch überall anzutreffen.
Unter bestimmten Umständen kann es möglich sein, WPA- und WPA2-Verschlüsselungen auszuhebeln, da der Fehler bereits im 4-Way-Handshake der Protokolle enthalten ist, also dort, wo die Schlüssel für die Verschlüsselung erzeugt werden. Es geht soweit, daß der Wi-Fi-Datenstrom abgefangen, entschlüsselt und ohne Kenntniss des Users modifiziert werden kann.
Der Artikel beschreibt weitere Details und Firmware-Release-Dates der Access-Point Firmware.
RSS-Feed des BOC WatchGuard Infoportals – keinen Beitrag mehr verpassen
In diesem Blog-Artikel zeigen wir Ihnen wie Sie ganz bequem unseren Blog per RSS-Feed abonnieren und verfolgen können. So bleiben Sie immer informiert, wenn neue Firmware-Releases veröffentlicht oder spannende Artikel auf unserer Website bereitgestellt werden.
Weiterlesen
Beheben der Skalierungsprobleme WatchGuard System Manager bei hohen Auflösungen
Verwendet man den WatchGuard System-Manager auf Geräten mit entsprechend hoher Auflösung, z.B. Notebooks mit UHD (3840×2160), kann es Darstellungsprobleme mit den Icons des WatchGuard System Manager geben.
Zu beachten beim Upgrade einer XTMv von 11.x => 12.x
beim Upgrade einer XTMv kann es passieren, daß auf einem oder mehreren Interfaces keine Kommunikation mehr stattfindet. Der Grund hierfür liegt darin, daß die Erkennung der Interface-Reihenfolge bei der XTMv geändert wurde.
Aus dem Artikel aus der Knowledgebase:
On a FireboxV or XTMv on a VMWare ESXi server, after you upgrade from Fireware v11.x to v12.0, communication might be lost on one or more interfaces.
In Fireware v11.x and lower, Firebox interfaces correspond to ESXi interfaces based on the order in which ESXi interfaces become active.
In Fireware v12.0, Firebox interfaces correspond to ESXi interfaces based on the MAC address value of the ESXi interfaces. For example, the lowest ESXi MAC address is assigned to Firebox eth0, and the next lowest MAC address is assigned to eth1.
Empfohlener Workaround:
Before you upgrade from Fireware v11.x to v12.0, configure the ESXi MAC addresses in increasing order by the ESXi interface number. This ensures that the Firebox interfaces correspond to the ESXi interfaces in increasing order.
L2TP-VPN Watchguard <=> Windows, Tipps und Tricks
L2TP Routing
Unter Windows wird nativ das L2TP VPN unterstützt. Allerdings gibt es hierbei ein paar Dnge zu beachten:
- L2TP verwendet Port 1701/UDP. Wenn man in einem Hotel sitzt, ist dieser Port möglicherweise nicht freigeschaltet. Dann hilft leider nur SSLVPN oder normales IPSec VPN oder eine UMTS/LTE Karte im Laptop bzw. der Hotspot im Handy.
- L2TP verwendet normalerweise eine default route (0.0.0.0) durch den Tunnel. Damit geht der komplette Traffic einmal durch den Tunnel, was gewünscht sein kann, aber nicht muß
Dieser Artikel beschreibt Tipps und Tricks im Umgang mit L2TP VPN unter Windows 2008 und Windows 10.
Ersetzen eines Webserver-Zertifikates auf der Firebox im Fully Managed Mode
Kürzlich ist folgender Fall aufgetreten:
- SSL-Zertifkate werden typischerweise auf der Firebox über den Firebox System Manager erledigt. Dort konnte das Zertifikat auch hochgeladen werden.
- Das Zertifikat muß anschließend aber über den Policy Manager unter Setup => Authentication => Web Server Certificate ausgewählt werden.
- Das geht aber nicht, weil das Zertifikat dort nicht erscheint.
Hintergrund: im fully managed mode liegt die komplette Verwaltung der XML-Konfiguration auf dem Management-Server. Da das Zertifikat dann auch in der XML-Konfiguration stehen muß, zumindest mit der ID, unter der es angesprochen werden soll, fehlt die ID des neu auf die Box importierten Zertifikates. Im Policy Manager gibt es keine Möglichkeit, dieses Zertifikat aufzunehmen.
Workaraound:
- Zertifikat mittels Firebox System Manager wie üblich auf der Box installieren
- Box kurzfristig vom fully managed mode in den basic managed mode schalten.
- Box danach sofort wieder vom basic managed mode in den fully managed mode zurückschalten
- Policy Manager öffnen und das Zertifikat entsprechend Setup => Authentication => Web Server Certificate unter auswählen.
Was passiert hier?
- beim Wechsel vom fully managed mode in den basic managed mode wird auf der Box nur der “managed mode” geändert.
- beim Wechsel vom basic managed mode in den fully managed mode wird die komplette policy neu von der Box geladen und in den Management Server geschrieben.
- dabei werden wohl auch die vorhandenen IDs aller Zertifikate mitübernommen, d.h. das neu importierte Zertifikat ist nun in der Drop-Down-Box verfügbar.
Trennung der SSLVPN- und Authentication Login-Seiten
WatchGuard hat mit Fireware 11.12.2 das Authentication Portal (üblicherweise auf Port 4100) noch weiter vom SSLVPN-Portal abgetrennt. Bei älteren Fireware Releases war es möglich, über https://[IP-der-Firebox]/sslvpn_logon.shtml die SSLVPN-Login-Seite aufzurufen und über https://[IP-der-Firebox]/logon.shtml die Login-Seite für die normale User Authentifizierung an der Firewall – unabhängig davon, welcher Port (4100/Authentification oder 443/SSLVPN bzw. anderer eingestellter Port) aufgerufen wurde. Die saubere Trennung der beiden Dienste führt nun einerseits zu einer erhöhten Sicherheit, ist aber möglicherweise für den einen oder anderen etwas hinderlich. Beispielsweise wenn jemand, der die Authentifizierung von External nutzen soll, an seinem aktuellen Internet-Zugang nicht über Port 4100 ins Internet hinaus darf. Hier war es extrem praktisch, die Authentifizierung eben auch auf dem üblicherweise in ausgehende Richtung offenen Port 443 ansprechen zu können.
Folgende Workarounds können nun eingerichtet werden:
- Falls der Port 443 noch gar nicht verwendet wird: Einrichten eines SNAT von Any-External an IP:443 mit Weiterleitung an die interne IP der Firewall auf Port 4100!
- Falls der Port 443 bereits für SSLVPN verwendet wird: Sekundäre IP für den o.g. SNAT verwenden, sofern vom Provider mehrere externe IPs zur Verfügung gestellt werden
- Evtl. SSLVPN auf einem anderen Port als 443 betreiben, um den Port 443 für User Authentication freizuschalten. Hier verlagert man das Problem aber nur, denn wenn SSLVPN z.B. auf Port 444 umkonfiguriert wird, dann müssen eben mögliche SSLVPN-Nutzer an deren Standort eben auch über diesen Port 444 ins Internet hinaus können…
Falls der externe Port 443 bereits für Microsoft Outlook Web Access (OWA) oder einen anderen Dienst (interner Webserver mit HTTPS) für die Weiterleitung nach innen benutzt wird, hilft hierbei künftig eventuell ein für Fireware 12.x angekündigtes neues Feature: Host Header Redirection. Mit diesem Feature soll es möglich werden, auf der WatchGuard Firewall ein Multidomain/SAN-Zertifikat zu installieren und dann abhängig vom jeweiligen Hostnamen auf unterschiedliche interne IPs weiterzuleiten. Leider wird hier nach meinem Kenntnisstand SSLVPN außen vor bleiben.
