Category Archives: Technischer Blog

Abstürze des iked durch Netzwerk-Scans (fix: 11.12.2 U1)

Comment

Update: 09.05.2017: Es gibt ein neues Fireware-Release 11.12.2U1, das dieses Problem behebt. 

 

Wie in einer Meldung auf heise.de heute erwähnt wurde, kam es in der letzten Zeit wohl durch Security Scans einer Universität und der Verwendung von kritischen IKEv2-Paketen zu Abstürzen des iked auf WatchGuard Appliances. Die Scans kamen von 158.130.6.191, einer IP der University of Pennsylvania und sollten keinen Angriff darstellen. Von den Projektbetreibern wird empfohlen, die IP in der Firewall zu sperren.

Weiterlesen »

Erneuerung der Default Firebox Zertifikate per CLI

Comment

Um die Default-Zertifikate der Firebox zu erneuern, ist das übliche vorgehen, das entsprechende Zertifikat zu löschen und die Box zu rebooten.

Will man oder muß man den Reboot vermeiden, so kann man die Erzeugung der Zertifikate auch von der WatchGuard CLI triggern. Je nach Zertifikat sind folgende Befehle hilfreich:

  • für das default Proxy Authority  sowie Proxy Server Zertifikat (für HTTPS Deep Inspection): upgrade certificate proxy
  • für das Firebox web server Zertifikat: upgrade certificate web
  • für das SSLVPN Zertifikat: upgrade certificate sslvpn
  • für das 802.1x Zertifikat: upgrade certificate 8021x

PPPoE und Log-Meldungen 0.0.0.0 => 255.255.255.255 Port 4944

Comment

Bei manchen Installationen zeigt die WatchGuard in Verbindungen mit PPPoE-Modems folgende  Log-Meldungen (Deny) auf dem Externen Interface an:

Source: 0.0.0.0
Destination: 255.255.255.255
Port 4944
Protocol: udp

Ursache: dies sind Management-Broadcasts des Modems an den dahinter gelegenen Router. Wenn das Modem “zu viel intelligenz” besitzt und dem Router (hier: WatchGuard) per Broadcast den Status der DSL-Leitung mitteilen will, wird dieses Paket auftreten.

Zuletzt gesehen in Verbindung mit einem Draytek Vigor 130 als PPPoE-Modem an einer VDSL-100/40 Leitung.

Abhilfe: Der Management-Broadcast kann oft im Router abgeschaltet werden. Beim Draytek unter:

System Maintenance => Management => Device Management => [ ] Broadcast DSL status to router in LAN

Monitoring einer WatchGuard mit SNMP (hier. mit PRTG)

5 Comments

Die WatchGuard Fireboxen unterstützen SNMP – ein weitverbreitetes Protokoll, um Stati von Geräten abzufragen. In einer Monitoring-Software könnene diese Stati dann visualisiert werden und anhand entsprechender Schwellwerten zur Generierung von entsprechenden Alarmen genutzt werden. Ein Problem bei Monitoring ist jedoch meistens, daß die Setup- und Konfigurations-Zeiten für das Monitoring unterschätzt werden. Ein Monitoring kann nur so gut sein, wie es konfiguriert ist – und diese Konfiguration ist meistens sehr aufwändig.

 

Weiterlesen »

HTTPS-Deep-Inspection – Ausnahmen

Comment

Ist auf einer WatchGuard Firebox ein HTTPS-Proxy mit aktivierter Deep Inspection eingerichtet, muß man üblicherweise eine Liste mit Ausnahmen zu dieser Deep Inspection pflegen. Diese Ausnahmen sind notwendig, weil entweder die dahinterliegende Applikation ein Certificate Pinning durchführt oder weil das verwendete Protokoll eventuell Erweiterungen enthält, die vom Proxy nicht verstanden werden.

Beispiele für möglicherweise notwendige Ausnahmen sind:

SSLVPN

  • alle Zieladressen, zu denen ein SSLVPN aufgebaut werden soll

Banking/Elster

  • s-*.s-fints-pt-by.de (Sparkassenverbund)
  • hbci.postbank.de
  • *.commerzbank.com
  • *.elster.de (Finanzämter / Elster)

Skype

  • login.live.com
  • *.microsoft.com
  • *.*.microsoft.com
  • *.skype.com

Dropbox

  • *.dropbox.com

Diese Liste ist natürlich nicht vollständig, wird aber gerne um Ihre Anmerkungen erweitert.

 

Einrichten eines WLAN Hotspot mit User/Passwort Tickets

3 Comments

Ein weiteres, nicht unbedingt bekanntes, aber dennoch sehr schickes Feature der WatchGuard Fireboxen ist der WLAN Hotspot. Er kann verwendet werden, um ein Gäste-WLAN zu betreiben ohne dauerhafte Credentials ausgeben zu müssen. Auf der Firebox können Tickets mit unterschiedlichen Laufzeiten generiert werden, die beispielsweise 4h, 1 Tag oder 1 Woche gültig sind. Für die Generation der Tickets wird ein spezieller Account auf der Firebox verwendet, der keine Admin-Rechte haben muss, d.h. das Erstellen der Tickets kann sogar von den Mitarbeitern am Info-Point/Empfang/Rezeption etc.  erledigt werden.

Weiterlesen »

IPSec VPN WatchGuard <=> Android NCP VPN Client

Comment

Dieser Artikel beschreibt die Anbindung eines Android 6.0.1 Marshmallow per IPSec an eine Watchguard. Verwendet wurde der NCP VPN Client, der derzeit im Store für 2,99 € zu erwerben ist. Er zeichnet sich gegenüber dem nativen Android IPSec Client durch eine viel größere Konfigurierbarkeit aus.

Mit den gleichen Einstellungen wie oben konnte sofort eine Verbindung hergestellt werden. Der NCP Client wurde hierbei bei den Phase 1 / Phase 2 Proposals auf “manual” gestellt und die entsprechenden Proposals wurden exakt eingegeben.

Weiterlesen »

Erweiterte Log-Auswertung mit graylog

1 Comment

graylog-dashboardWatchGuard bietet einen sehr leistungsstarken Logging- und Reporting-Server: den WatchGuard Dimension Server. Allerdings möchte man manchmal die Auswertungen noch etwas spezifischer zusammenbauen. Nachdem WatchGuard die Möglichkeit bietet, die Logs zusätzlich auf einen Syslog-Server zu schreiben, lag es nahe, dort anzusetzen. Auf der Suche nach einem Syslog-Server mit hübschen Auswertungen bin ich über graylog gestolpert. Graylog basiert auf einem Linux-Elasticsearch-Stack mit einem hübschen und leistungsfähigen Web-Frontend. Die Installation ist denkbar einfach, da es das ganze Paket vorkonfiguriert für alle möglichen Umgebungen gibt, beispielsweise EC2, OpenStack, Docker, als Chef, Puppet, Ansible, Vagrant-Script, natürlich als RPMs/DEBs und tarball, oder eben auch als OVA-Template (für das ich mich entschieden habe). Ich habe also eine VM aus dem Template installiert. Die Hardware-Anforderungen für den Start sind übersichtlich: 4 GB RAM und 20 GB HDD. (letzteres ist natürlich den eigenen Bedürfnissen anpassbar).

Weiterlesen »

SSL-Zertifikat auf WatchGuard Dimension incl. Key importieren

2 Comments

could-not-find-csr-file

Gerade bin ich über das Problem gestolpert, ein vorhandenes 3rd-Party-SSL-Zertifikat auf einer WatchGuard Dimension zu installieren. Dabei stellte sich heraus, dass der Import per PEM copy+paste Feld immer mit der Fehlermeldung “Unable to find matching CSR file” quittiert wurde.

Scheinbar sucht die Dimension nach einem selbst erstellten CSR und den passenden KEY lokal (was ja eigentlich richtig ist, der Key sollte das Gerät nicht verlassen).

Was macht man aber, wenn man ein vorhandenes Zertifikat incl. Private Key hat und verwenden möchte, z.B. ein unternehmensweites Wildcard Zertifikat?

Weiterlesen »