Der KRACK-Angriff (“Key Reinstallation AttaCK”) richtet sich gegen Clients. Warum sollten Access-Points aktualisiert werden?
Weil sie in der Lage sind, den Angriff auf die Clients zu erkennen und ggf. entsprechend einzugreifen. Daher können sie die Gefahr durch KRACK zu verringern. Weiterlesen
Heute (16.10.2017) geht eine Meldung um die Welt, die bei allen Wi-Fi-benutzern für Aufhorchen sorgt: Es gibt in den Protokollen WPA und WPA2 einige Fehler, die herstellerübergreifend fast jegliche Wi-Fi Kommunikation betrifft. Die Fehler sind in Standard-Libraries der WPA- und WPA2 Protokolle enthalten und daher praktisch überall anzutreffen.
Unter bestimmten Umständen kann es möglich sein, WPA- und WPA2-Verschlüsselungen auszuhebeln, da der Fehler bereits im 4-Way-Handshake der Protokolle enthalten ist, also dort, wo die Schlüssel für die Verschlüsselung erzeugt werden. Es geht soweit, daß der Wi-Fi-Datenstrom abgefangen, entschlüsselt und ohne Kenntniss des Users modifiziert werden kann.
Der Artikel beschreibt weitere Details und Firmware-Release-Dates der Access-Point Firmware.
In diesem Blog-Artikel zeigen wir Ihnen wie Sie ganz bequem unseren Blog per RSS-Feed abonnieren und verfolgen können. So bleiben Sie immer informiert, wenn neue Firmware-Releases veröffentlicht oder spannende Artikel auf unserer Website bereitgestellt werden.
Weiterlesen
Verwendet man den WatchGuard System-Manager auf Geräten mit entsprechend hoher Auflösung, z.B. Notebooks mit UHD (3840×2160), kann es Darstellungsprobleme mit den Icons des WatchGuard System Manager geben.
beim Upgrade einer XTMv kann es passieren, daß auf einem oder mehreren Interfaces keine Kommunikation mehr stattfindet. Der Grund hierfür liegt darin, daß die Erkennung der Interface-Reihenfolge bei der XTMv geändert wurde.
Aus dem Artikel aus der Knowledgebase:
On a FireboxV or XTMv on a VMWare ESXi server, after you upgrade from Fireware v11.x to v12.0, communication might be lost on one or more interfaces.
In Fireware v11.x and lower, Firebox interfaces correspond to ESXi interfaces based on the order in which ESXi interfaces become active.
In Fireware v12.0, Firebox interfaces correspond to ESXi interfaces based on the MAC address value of the ESXi interfaces. For example, the lowest ESXi MAC address is assigned to Firebox eth0, and the next lowest MAC address is assigned to eth1.
Empfohlener Workaround:
Before you upgrade from Fireware v11.x to v12.0, configure the ESXi MAC addresses in increasing order by the ESXi interface number. This ensures that the Firebox interfaces correspond to the ESXi interfaces in increasing order.
Unter Windows wird nativ das L2TP VPN unterstützt. Allerdings gibt es hierbei ein paar Dnge zu beachten:
Dieser Artikel beschreibt Tipps und Tricks im Umgang mit L2TP VPN unter Windows 2008 und Windows 10.
Hintergrund: im fully managed mode liegt die komplette Verwaltung der XML-Konfiguration auf dem Management-Server. Da das Zertifikat dann auch in der XML-Konfiguration stehen muß, zumindest mit der ID, unter der es angesprochen werden soll, fehlt die ID des neu auf die Box importierten Zertifikates. Im Policy Manager gibt es keine Möglichkeit, dieses Zertifikat aufzunehmen.
Was passiert hier?
WatchGuard hat mit Fireware 11.12.2 das Authentication Portal (üblicherweise auf Port 4100) noch weiter vom SSLVPN-Portal abgetrennt. Bei älteren Fireware Releases war es möglich, über https://[IP-der-Firebox]/sslvpn_logon.shtml die SSLVPN-Login-Seite aufzurufen und über https://[IP-der-Firebox]/logon.shtml die Login-Seite für die normale User Authentifizierung an der Firewall – unabhängig davon, welcher Port (4100/Authentification oder 443/SSLVPN bzw. anderer eingestellter Port) aufgerufen wurde. Die saubere Trennung der beiden Dienste führt nun einerseits zu einer erhöhten Sicherheit, ist aber möglicherweise für den einen oder anderen etwas hinderlich. Beispielsweise wenn jemand, der die Authentifizierung von External nutzen soll, an seinem aktuellen Internet-Zugang nicht über Port 4100 ins Internet hinaus darf. Hier war es extrem praktisch, die Authentifizierung eben auch auf dem üblicherweise in ausgehende Richtung offenen Port 443 ansprechen zu können.
Folgende Workarounds können nun eingerichtet werden:
Falls der externe Port 443 bereits für Microsoft Outlook Web Access (OWA) oder einen anderen Dienst (interner Webserver mit HTTPS) für die Weiterleitung nach innen benutzt wird, hilft hierbei künftig eventuell ein für Fireware 12.x angekündigtes neues Feature: Host Header Redirection. Mit diesem Feature soll es möglich werden, auf der WatchGuard Firewall ein Multidomain/SAN-Zertifikat zu installieren und dann abhängig vom jeweiligen Hostnamen auf unterschiedliche interne IPs weiterzuleiten. Leider wird hier nach meinem Kenntnisstand SSLVPN außen vor bleiben.
Konfuzius spricht: “Nicht immer ist die Firewall des Kunden schuld, wenn ein VPN nicht (mehr) funktioniert und der Kunde sagt, er habe nichts geändert. Das kann auch wirklich mal den Tatsachen entsprechen.” 🙂
Die hier erlebte Ausgangs-Situation für den Support Call war äußerst seltsam: Der Internetanschluss funktioniert, nur die Verbindung zwischen zwei BOVPN-Standorten zeigte extrem unübliche Verhaltensweisen – Kommunikation auf einer IP eines Standorts funktionierte, eine weitere IP funktionierte nicht, ICMP Pakete kamen in eine Richtung an, in die andere nicht, aber dann auch wieder abhängig von der Ziel-IP.
Nach langer Suche und mehreren Telefonkonferenzen mit dem Internet Provider stellt sich heraus:
Nach Abschalten des 10G-Interfaces der defekten Strecke war sofort Traffic auf dem VPN sichtbar und ping / traceroute verrichteten wieder völlig normal ihren Dienst.
Trotz der anfänglichen Behauptung des Providers, es liege an der Firewall des Kunden, konnte gezeigt werden, dass die WatchGuard unschuldig war 🙂
Kürzlich bei einem Kunden aufgetreten: der TDR Host Sensor konnte installiert werden, war aber in der Cloud Instanz nicht sichtbar.
Im Logfile des TDR Host Sensors (c:\windows\temp\host_sensor.log) findet sich folgendes:
Weiterlesen
