Category Archives: Technischer Blog

GAV Probleme beim Update der Virenscanner-Patterns auf XTM2-Series

1 Comment

Manchmal kommt es vor, dass keine aktuellen Gateway Antivirus Pattern heruntergeladen werden können. Siehe hierzu auch unseren Blog-Artikel “Crash Report kann AV-Update verhindern”.

Neben diesen “Crash Reports” kann es – je nach Größe des vorhandenen Flash-Speichers in einer WatchGuard XTM/Firebox (vom Modell vorgegeben) – auch zu Problemen mit der Aktualisierung der Antivirus-Pattern kommen, wenn auf der Firebox die Firmware-Images von WatchGuard Access Points gespeichert sind/werden. Dies ist bei älteren Softwareversionen auch standardmäßig der Fall, selbst wenn beim Kunden überhaupt keine WatchGuard Access Points im Einsatz sind. Bekannt ist derzeit ist ein Fall auf der XTM2-Serie (XTM25, XTM25-W, XTM26, XTM26-W), bei dem diese AP Firmware-Images nötigen Speicherplatz blockiert haben, so dass die AV-Updates nicht heruntergeladen bzw. gespeichert werden können. Abhilfe schafft hier das manuelle Löschen der AP Firmware-Images von der XTM/Firebox. Ab der Softwareversion Fireware 11.12.4 sind die AP Firmware-Images auch gar nicht mehr im eigentlichen Firebox-Betriebssystem enthalten und müss(t)en ohnehin einzeln auf die Firebox heruntergeladen werden.

Trifft dieses Szenario zu, sieht die Fehlermeldung bei einem GAV-Update wie folgt aus:

2017-04-14 11:04:12 sigd Manual GAV update is currently running Debug 
2017-04-14 11:04:18 sigd Decompression failed for '/sigs//tmp/incavi.avm' Debug 
2017-04-14 11:04:18 sigd Curl returned error: Failed writing body (4294967295 != 16384) Debug 
2017-04-14 11:04:18 sigd unable to download files for GAV Debug

Web-UI:

  1. Ggfs. Einschalten des Gateway Wireless Controller unter Network => Gateway Wireless Controller => [x] enable the Gateway Wireless Controller (danach muss eine Passphrase vergeben werden)
  2. Danach unter Dashboard > Gateway Wireless Controller (der Punkt existiert sonst nämlich nicht) unter Manage Firmware => Remove all Firmware
  3. Ggfs. Ausschalten des Gateway Wireless Controller unter Network => Gateway Wireless Controller => [_] enable the Gateway Wireless Controller

WatchGuard System Manager

  1. Im Policy Manager nötigenfalls den Gateway Wireless Controller aktivieren: Network => Gateway Wireless Controller => [x] enable the Gateway Wireless Controller
  2. Save to Firebox
  3. Firebox System Manager starten
  4. Im Tab Gateway Wireless Controller => Manage Firmware => Remove all Firmware
  5. Nötigenfalls den Gateway Wireless Controller wieder abschalten: Network => Gateway Wireless Controller => [_] enable the Gateway Wireless Controller

Anbindung Polycom Group 500 an BlueJeans Video Conferencing Cloud

Comment

Um ein Video Konferenz Terminal vom Typ Polycom Group 500 an BlueJeans anzubinden (eine Cloudlösung für Group Video Conferences), sind netterweise nur outgoing Ports in der WatchGuard Firewall freizuschalten. Das BlueJeans System ist so gestrickt, dass sich alle Clients über eine ausgehende Verbindung zu dem BlueJeans Cloud-Server verbinden und ihren Video-Stream von dort geliefert bekommen.

Die Dokumentation von BlueJeans in deren Support-Bereich ist eine wahre Freude für Firewall-Administratoren:

Verwendete Ziel-Adressen:

  • 199.48.152.0/22
  • 31.171.208.0/21
  • 103.20.59.0/24
  • 103.255.54.0/24
  • 8.10.12.0/24
  • 165.254.117.0/24

Je nach Protokoll werden folgende Ports verwendet:

BlueJeans Desktop App & Mobile App, BlueJeans Huddle and Chrome WebRTC:

  • Outbound TCP Port 443, 5061 or 5000 – Call Setup Signaling
  • Media Outbound UDP Ports 5000-5999 – RTP Media

H.323 based Room System:

  • Outbound TCP Port 1720 – H.225 Signaling for H.323
  • Outbound TCP Ports 5000-5999 – H.245 Call Control for H.323
  • Outbound UDP Ports 5000-5999 – RTP Media

SIP based Room System:

  • Outbound TCP Port 5060 – SIP Signaling
  • Outbound TCP Port 5061 – SIPS (TLS) Signaling
  • Outbound UDP Ports 5000-5999 – RTP Media

Microsoft Lync/ Skype For Business client:

  • Outbound & Inbound TCP Port 5061 – Lync Federation and SIP/TLS connection.
  • Outbound & Inbound UDP Ports 50000-59999 – RTP Media
  • Outbound & Inbound TCP Ports 50000-59999 – RTP Media

Fazit:

Dies ist eine sehr freundliche Lösung im Hinblick auf die notwendigen Freigaben in der Firewall.

HTTP Response Error Code 413 – Policy Manager – 11.12.2U1

Comment

Bei den Modellen M400 / M440 / M500 kommt es gelegentlich nach einem Update auf 11.12.2 Update 1 beim Speichern der XML mit dem Policymanager zu folgendem Fehler:

Error communicating with Firebox <ip.address>
INTERNAL_ERROR: Failed to create input stream: Server returned HTTP response code: 413 for URL: https://<ip.address>:4117/agent/rpc

Abhilfe: die Box muß einmal durchgebootet werden – Beim Upgrade von 11.11.x auf die Version 11.12.2 U 1 ist ein weiterer Reboot notwendig. Diese Info fehlt leider in den Release-Notes.

Update-Problem M200/M300 Cluster 11.11.4 => 11.12.2

Comment

Gestern bin ich über das folgende Problem gestolpert:

In Versionen 11.11.x bis 11.12.2 gibts manchmal probleme beim Cluster-Upgrade.

Symtom:

  • Update des Clusters im Policy Manager klappt scheinbar erfolgreich: Popup “upgrade erfolgreich” erscheint
  • Die Box läuft nach Reboot weiter auf altem OS bzw. wird manchmal erst gar nicht rebootet (zu sehen anhand der Uptime der jeweiligen Box im FSM (Frontpage bzw. Status-Report)
  • Web-UI im Bereich Firmware-Upgrade sagt: Upgrade failed
  • FSM => Status-Report => [support] => zeigt einen Fehler “upgrade / assertion failed”

Lösung:

In diesem Fall kann man mit dem WSM auf die Management-IPs der jeweiligen Boxen connecten anstelle auf die Cluster-IP. Danach funktioniert das Update der jeweiligen Boxen. (Meistens – eine Box mußte ich auch hier 2x upgraden). Bitte darauf achten, beide Boxen zu aktualisieren, damit der Cluster hinterher auch wirklich auf dem gleichen Build läuft.

Weitere Infos dazu gibt es in diesem Knowledge-Base-Artikel.

Update-Problem M400/M440/M500 11.11.2, 11.11.4, 11.11.4U1

Comment

Beim Update auf die Versionen 1.11.2, 11.11.4 oder 11.11.4U1 werden die Partition-Größen der Flash Card auf der Firebox angepasst.

In seltenen Fällen kann es dazu dazu kommen, daß der Compact Flash  Speicher anschließend nicht mehr lesbar ist.

In diesen Fällen kann die Firewall nicht mehr booten und auch nicht mehr wiederhergestellt werden. Dieser Zustand efordert einen RMA austausch.

In Version 11.11.4 U2 und neuer wird die Partition Size nicht mehr vergrößert,

Die Modelle  M400/M500 sollten auf v11.12 U1 oder höher aktualisiert werden.

Für das Modell M440 ist der Fix in Version 11.12.1 oder höher enthalten.

Mehr Infos dazu sind im entsprechenden Knowledge-Base-Artikel 000009881 zu finden.

Abstürze des iked durch Netzwerk-Scans (fix: 11.12.2 U1)

Comment

Update: 09.05.2017: Es gibt ein neues Fireware-Release 11.12.2U1, das dieses Problem behebt. 

 

Wie in einer Meldung auf heise.de heute erwähnt wurde, kam es in der letzten Zeit wohl durch Security Scans einer Universität und der Verwendung von kritischen IKEv2-Paketen zu Abstürzen des iked auf WatchGuard Appliances. Die Scans kamen von 158.130.6.191, einer IP der University of Pennsylvania und sollten keinen Angriff darstellen. Von den Projektbetreibern wird empfohlen, die IP in der Firewall zu sperren.

Weiterlesen »

Erneuerung der Default Firebox Zertifikate per CLI

Comment

Um die Default-Zertifikate der Firebox zu erneuern, ist das übliche vorgehen, das entsprechende Zertifikat zu löschen und die Box zu rebooten.

Will man oder muß man den Reboot vermeiden, so kann man die Erzeugung der Zertifikate auch von der WatchGuard CLI triggern. Je nach Zertifikat sind folgende Befehle hilfreich:

  • für das default Proxy Authority  sowie Proxy Server Zertifikat (für HTTPS Deep Inspection): upgrade certificate proxy
  • für das Firebox web server Zertifikat: upgrade certificate web
  • für das SSLVPN Zertifikat: upgrade certificate sslvpn
  • für das 802.1x Zertifikat: upgrade certificate 8021x

PPPoE und Log-Meldungen 0.0.0.0 => 255.255.255.255 Port 4944

Comment

Bei manchen Installationen zeigt die WatchGuard in Verbindungen mit PPPoE-Modems folgende  Log-Meldungen (Deny) auf dem Externen Interface an:

Source: 0.0.0.0
Destination: 255.255.255.255
Port 4944
Protocol: udp

Ursache: dies sind Management-Broadcasts des Modems an den dahinter gelegenen Router. Wenn das Modem “zu viel intelligenz” besitzt und dem Router (hier: WatchGuard) per Broadcast den Status der DSL-Leitung mitteilen will, wird dieses Paket auftreten.

Zuletzt gesehen in Verbindung mit einem Draytek Vigor 130 als PPPoE-Modem an einer VDSL-100/40 Leitung.

Abhilfe: Der Management-Broadcast kann oft im Router abgeschaltet werden. Beim Draytek unter:

System Maintenance => Management => Device Management => [ ] Broadcast DSL status to router in LAN

Monitoring einer WatchGuard mit SNMP (hier. mit PRTG)

5 Comments

Die WatchGuard Fireboxen unterstützen SNMP – ein weitverbreitetes Protokoll, um Stati von Geräten abzufragen. In einer Monitoring-Software könnene diese Stati dann visualisiert werden und anhand entsprechender Schwellwerten zur Generierung von entsprechenden Alarmen genutzt werden. Ein Problem bei Monitoring ist jedoch meistens, daß die Setup- und Konfigurations-Zeiten für das Monitoring unterschätzt werden. Ein Monitoring kann nur so gut sein, wie es konfiguriert ist – und diese Konfiguration ist meistens sehr aufwändig.

 

Weiterlesen »