Telekom ALL-IP Umstellung
Wie kommt man schmerzfrei von (V)DSL + ISDN + Telefonanlage zu ALL-IP? Dieser Artikel liefert die nötigen Hintergrundinfos sowie eine mögliche und inzwischen mehrfach erfolgreich praktizierte Lösung.
Category Archives: Technischer Blog
Installation Dimension auf Intel-NUC mit VMWare ESXi
Für kleine Netzwerkumgebungen ohne vorhandene ESXi-Umgebung gibt es häufig ein Problem, einen Watchguard Dimension Server (Logserver) zu betreiben, da dieser nur als Template für VMWARE oder HyperV angeboten wird. Ein Einsatz einer Dimension ist jedoch für die Überwachung der Firewall anzuraten.
Eine einfache, platzsparende Lösung ist das Setup einer VMWARE ESXi auf einem kleinen Intel NUC. Die Vorteil des Einsatzes eines NUC bestehen im geringen Platz- und Strombedarf des NUC. Weiterlesen
Access Points mit VLANs einrichten
Dieser Artikel berschreibt die Einrichtung mehrerer WLANs mit unterschiedlicher SSID und getrennten VLANs, um sie auf der Watchguard mit entsprechenden Policies sehr sauber getrennt managen zu können.
HOWTO: Software-Update über das Web-Interface
Die regelmäßige Aktualisierung Ihrer WatchGuard Firebox ist wichtig, um die Leistungsfähigkeit, Sicherheit und Zuverlässigkeit Ihres Netzwerks zu gewährleisten. In diesem Blog-Artikel zeigen wir Ihnen Schritt für Schritt, wie Sie ein Fireware Software-Update über die Web-UI erfolgreich durchführen – unabhängig davon, ob sich Ihre Firebox bereits im Einsatz befindet oder ob Sie diese gerade erstmalig einrichten.
Unseren ausführlichen HOWTO-Artikel über alle drei verschiedenen Methoden, mit denen Sie das Firmware-Upgrade Ihrer Firebox sicher und effizient durchführen können finden Sie unter >> HOWTO: WatchGuard Firebox Firmware-Upgrade. Weiterlesen
Dynamic NAT und Nicht-RFC-1918-Adressen
Eine Default WatchGuard Konfigurationsdatei, die per Setup Wizard erstellt wurde, geht davon aus, dass in einem LOKALEN Netzwerk (Trusted oder Optional) entweder RFC-konforme Private IP-Adressen nach RFC 1918 verwendet werden – also ein beliebiges Subnet innerhalb der Bereiche 10.0.0.0/8, 172.16.0.0/12 oder 192.168.0.0/16 – oder korrekt geroutete öffentliche IP-Adressen! Nur dann funktioniert der “Internet-Zugriff” auf Anhieb!
Verwenden Sie jedoch – meist aus “historischen Gründen” – in Ihrem lokalen Netzwerk “verbogene” öffentliche IP-Adressen (also zum Beispiel: 192.1.1.0/24) – müssen Sie folgende Einstellung im Policy Manager bearbeiten, damit die reguläre Internet-Nutzung überhaupt erst möglich wird: Network > NAT > Dynamic NAT.
Fügen Sie dort Ihren “verbogenen” lokalen IP-Bereich hinzu. Hierbei kann auch eine bestimmte Quell-IP festgelegt werden. Wird nichts definiert, wird die Primary IP des Interfaces verwendet, über das das Datenpaket gemäß Routing Table die WatchGuard verlässt:
Technischer Hintergrund: Nur wenn die Quell-IP-Adresse in den Headern von ausgehenden IP-Paketen in den hier definierten Bereichen liegt, wendet die WatchGuard Firebox beim Durchfluss der Datenpakete Richtung Internet auch die erforderlichen NAT-Regeln an, ersetzt also die eigentliche Quell-IP-Adresse (des Client-PC) durch die korrekte öffentliche IP-Adresse der Firewall. Nur dann können die Daten aus dem Internet auch den korrekten Weg zu unserem lokalen Netzwerk zurück finden! – OHNE die NAT-Regel würde der angesprochene Server im Internet unsere Anfrage zwar erhalten – und sogar darauf antworten (!) – allerdings würden die Router im Internet die Antwort wegen ihrer Routing Tables sonstwohin schicken (Südamerika, Australien, Timbuktu…) – nur nicht zu uns, da die Router gar nicht wissen KÖNNEN, dass “wir” diese IP-Adressen “illegalerweise” in unserem lokalen Netzwerk in Hintertupfingen verwenden… 🙂
Fazit: o.g. NAT-Regel anpassen – oder dafür sorgen, dass in Ihrem lokalen Netzwerk KORREKTE private IP-Adressen nach RFC 1918 verwendet werden…
Dieser Artikel wurde erstmals am 11.12.2008 im “Technischen WatchGuard-Blog von Bernd Och” veröffentlicht. Hierher verschoben und aktualisiert in 2016.
Verbindungsprobleme wegen Ethernet Collisions
In einigen Supportfällen der Vergangenheit wurde zum Beispiel über Download langsam (oder fehlschlagend) bzw. VPN-Verbindung instabil geklagt. Als Ursache konnte jeweils eine Inkompatibilität auf Ethernet-Ebene zwischen der WatchGuard Firebox und – entweder dem vorgelagerten Übergabe-Router des Internet-Providers (im Regelfall an eth0) – oder dem internen Netzwerk-Switch (im Regelfall an eth1) lokalisiert werden, wodurch jeweils Ethernet Errors bzw. Ethernet Collisions auftraten.
Öffnen Sie den WSM, dann den Firebox System Manager. Auf der Registerkarte System Status scrollen Sie dann herunter, bis Sie den Abschnitt “Interfaces” finden. Grundsätzlich sollten die Ethernet Errors und Collisions auf allen Interfaces dauerhaft auf Null bleiben. Laufen die Werte hoch, haben Sie ein Problem.
WatchGuard empfiehlt, die Netzwerk-Interfaces an der Firebox auf Auto Negotiation (Auto-Sensing) zu belassen. Insofern sollte zunächst das Interface auf dem Router oder (managebaren) Switch manuell auf einen festen Wert eingestellt werden, um eine Kombination zu finden, die keine Errors und Collisions produziert. Gelegentlich hilft auch der Austausch des Netzwerkkabels! Bei den aktuellen Supportfällen handelte es sich jeweils um eine Company Connect Leitung der Telekom / T-Systems mit einem Cisco als Übergaberouter. Nach einer Störungsmeldung bei der Telekom dauerte es ca. 10 Minuten, bis die Kollegen dort ihren Router per Fernzugriff umkonfiguriert hatten – in der Regel wird der LAN-Port des ISP-Routers auf einen festen Wert von z.B. 100 Mbit Full Duplex gesetzt – und der Spuk mit den Errors und Collisions ein Ende hatte… 🙂
Hier noch ein historischer Screenshot einer Firebox X Edge e-series mit Softwareversion 10.x, bei der sich die Ethernet Statistik bei System Status > Interfaces befand. Im Screenshot ist erkennbar, dass Ethernet Collisions auftreten.
Dieser Artikel wurde erstmals am 22.12.2008 im „Technischen WatchGuard-Blog von Bernd Och“ veröffentlicht. Hierher verschoben und aktualisiert in 2016.
BOVPN Notification einschalten
Logging
Eine WatchGuard Firebox / XTM speichert lokal immer nur die letzten Minuten des Traffic Logs. Wenn Logging Informationen über einen längeren Zeitraum aufbewahrt werden sollen/müssen – und wenn die Alarm-Funktion (Notification) genutzt werden soll – muss ein separater WatchGuard Log Server bereitgestellt werden, zu dem die WatchGuard Box die Logmeldungen schicken kann. Die aktuelle und empfohlene Variante ist der Einsatz eines kostenfreien WatchGuard Dimension Servers, der als fertige virtuelle Appliance für VMware ESXi und Microsoft Hyper-V Umgebungen bereitgestellt wird. Wenn keine Virtualisierungsplattform vorhanden ist, können alternativ auch die althergebrachten Logging- und Reporting-Dienste des “WatchGuard System Managers” auf einem Windows Server verwendet werden. Interessant in diesem Zusammenhang ist auch folgender HOWTO Artikel, der die Bereitstellung eines “WatchGuard Dimension Servers auf einem kostengünstigen Intel NUC (Mini-PC) beschreibt.
Notification
Wenn eine WatchGuard Firebox / XTM an einen Logging Server angeschlossen und dieser korrekt konfiguriert ist, können für viele unterschiedliche Ereignisse auf der Firewall Notifications (Benachrichtigungen) erzeugt und per E-Mail an den Firewall-Administrator oder einen Support-Alias verschickt werden. Wichtig: Der Versand der Notification E-Mails erfolgt vom Logging Server aus – die Firewall liefert über das laufende Logging lediglich das Triggersignal dazu!
Ein solches Ereignis kann die Unterbrechung eines BOVPN-Tunnels sein. Die Benachrichtigungs-Option kann nur global für alle BOVPN-Tunnel ein- bzw. ausgeschaltet werden: Policy Manager > VPN > VPN Settings > BOVPN Notification:
Dieser Artikel wurde erstmals am 13.01.2009 im „Technischen WatchGuard-Blog von Bernd Och“ veröffentlicht. Hierher verschoben und aktualisiert in 2016.
Feature Key vor Software Update aktualisieren
Bevor man auf einer WatchGuard Firebox / XTM ein Software Upgrade (Fireware XTM) installiert, sollte man sicherstellen, dass auf der Firebox ein aktueller Feature Key (Lizenzdatei) vorhanden ist, der dies überhaupt zulässt. Ist nämlich die LiveSecurity (Standard Support) abgelaufen, verweigert sich die Firebox mit einer Fehlermeldung! Ob bzw. wie lange die Live Security (Standard Support) noch gültig ist, sieht man unter anderem im WSM > Policy Manager unter Setup > Feature Keys… Steht dort in rot “Expired”, braucht man gar nicht versuchen, die Arbeiten fortzusetzen. Stattdessen muss zunächst dafür gesorgt werden, dass wieder ein Feature Key mit gültiger Live Security vorhanden ist.
Wichtig: Wenn Sie der Meinung sind, dass Sie die LiveSecurity bereits verlängert haben, überprüfen Sie bitte in Ihrem Account auf der WatchGuard Website das dort für die Seriennummer angezeigte Ablaufdatum. Möglicherweise müssen Sie nur noch den aktuellen Feature Key eben dort herunterladen und genau in dem hier gezeigten Untermenü auf die WatchGuard hochladen (Save to Firebox nicht vergessen!). Bei dieser Gelegenheit können Sie auch das Häkchen setzen für Enable automatic feature key synchronization, damit die Firebox künftig selbständig mitbekommt, wenn Lizenzverlängerungen vorgenommen wurden. Liegt der neue Feature Key vor, muss dieser noch mit der alten Softwareversion importiert und auf die Firebox hochgeladen werden. Erst danach sollte über den Policy Manager der reguläre Update-Prozess gestartet werden: File > Upgrade…
Möglicherweise erforderliche Lizenzverlängerungen (Renewals) kauft man bei dem WatchGuard-Partner seines Vertrauens, gerne hier im Shop. 🙂
Dieser Artikel wurde erstmals am 28.01.2009 im „Technischen WatchGuard-Blog von Bernd Och“ veröffentlicht. Hierher verschoben und aktualisiert in 2016.
Fireware XTM Installer zweimal starten
Bisweilen kommt es vor, dass Software Releases der Fireware XTM durch Maintenance Updates ersetzt werden, die die gleiche Versionsnummer tragen (Beispiel: Fireware XTM 11.10.2 Update 1). Wenn aber bereits die ursprüngliche Version (Beispiel: Fireware XTM 11.10.2 ohne Update 1) auf dem Windows-PC installiert ist und dann der Installer des etwas neueren Builds (aber mit gleicher Versionsnummer) startet, erscheint zunächst die Meldung “Remove this program from your computer”. Diese Meldung verwundert zunächst: Warum soll etwas deinstalliert werden? – Es soll doch etwas installiert werden… Bestätigen Sie die Abfrage. Nun wird zunächst der ältere Build deinstalliert! Rufen Sie anschließend den Fireware XTM Installer einfach ein zweites Mal auf. Dann wird die neue Fireware XTM Version auch tatsächlich installiert…
Dieser Artikel wurde erstmals am 30.01.2009 im „Technischen WatchGuard-Blog von Bernd Och“ veröffentlicht. Hierher verschoben und aktualisiert in 2016.
Funktionsweise des WatchGuard Firebox Regelwerks
Die WatchGuard Firewall prüft jede neu anstehende Verbindung von einem Host auf der einen Seite der Firewall zu einem Host auf der anderen Seite der Firewall. Dabei werden zunächst die Header der IP-Pakete untersucht: Quell-IP-Adresse, Ziel-IP-Adresse, Quell-Port, Ziel-Port, verwendetes Protokoll (TCP, UDP, ICMP etc.). Die Firewall durchforstet nun das Regelwerk sequentiell “von oben nach unten” (wenn man sich in der Standard-Listenansicht des Policy Managers befindet).
Nacheinander wird jede einzelne Regel geprüft, ob sie die o.g. Kriterien erfüllt – so lange bis der erste “Treffer” gefunden wird. Nur diese Regel wird auch ausgeführt. Gibt es “weiter hinten” im Regelwerk eine andere Regel, auf die ebenfalls die o.g. Kriterien zutreffen, wird diese niemals erreicht/ausgeführt. Wird eine passende Regel gefunden, wird die Verbindung authentisiert und (bei TCP) in die TCP Session Table der Firewall eingetragen. Nachfolgende Pakete in der gleichen TCP-Verbindung werden dann automatisch von der Firewall durchgelassen und nicht noch einmal aufs Neue authentisiert (anders bei Application Proxy Regeln, die eine zusätzliche Kontrolle des Inhalts vornehmen).
Ganz am Ende des Regelwerks steht eine unsichtbare Deny Regel. Jeder Datenverkehr, der nicht ausdrücklich durch eine Firewall-Regel zugelassen wird, wird von dieser Default Deny-Regel ABGELEHNT. Je nachdem, ob der Verbindungsaufbau von innen oder von außen erfolgen sollte, erscheint im Traffic Monitor und im Logfile ein Unhandled Internal Packet oder einUnhandled External Packet.
Warum werden die Unhandled Packets angezeigt?
Weil im Policy Manager bei Setup > Default Threat Protection > Deafult Packet Handling > Logging das Häkchen “Send Log message” bei den Kategorien “Unhandled Internal Packet” und “Unhandled External Packet” gesetzt ist. Das Logging könnte zwar durch Entfernen des Häkchens ausgeschaltet werden – das ist aber keine gute Idee (bessere Idee weiter unten :-). Der Traffic Monitor und die Unhandled Packets sind ein extrem wichtiges und hochinteressantes Tool, um Fehlverhalten von Maschinen bzw. Fehlkonfigurationen im lokalen Netzwerk aufzudecken und abzustellen! Die Anzeige der Denied Packets kann der Administrator auch sehr gut nutzen, um den Bedarf für neue Regeln zu erkennen und wie diese auszusehen haben.
Das Default Regelwerk und die globale Outgoing-Regel
Der Quick Setup Wizard erzeugt bei der Ersteinrichtung der WatchGuard Firebox ein kleines Default Regelwerk, das im Prinzip sämtlichen TCP- und UDP-Verkehr sowie Ping in ausgehende Richtung (outgoing) zulässt – und sämtlichen eingehenden Verkehr (incoming) verbietet.
Gewissenhafte Administratoren wollen jedoch genau definieren, welcher ausgehende Datenverkehr zulässig ist und diesen auf Maschinen- und/oder User-Ebene auf das absolute Minimum beschränken. Neue Firewall-Regeln werden ins Regelwerk aufgenommen und so weit wie möglich einschränkt. Ein gutes Firewall-Regelwerk wächst dadurch auf 20-30 Regeln, teilweise aber auch auf 80-100 Regeln an. Das schöne feingliedrige Regelwerk wird aber nur dann wie beabsichtigt funktionieren, wenn die defaultmäßig vorhandeneOutgoing-Regel auf disabled gesetzt oder ganz gelöscht wird. Denn: das Regelwerk wird “von oben nach unten” abgearbeitet, der erste Treffer zählt. Solange “unten” die globale Outgoing-Regel steht, nützen die Einschränkungen weiter “oben” nichts. Der Verkehr würde trotzdem über die Outgoing-Regel rausgehen, also weg damit!
Anzeige von bestimmten Unhandled Packets unterdrücken
Bisweilen ärgert man sich doch über die Anzeige von Unhandled Packets. Eventuell kann man die Ursache dafür einfach nicht abstellen usw. Bei der Lösung hilft nun das bisher Gesagte: das unzulässige Paket erzeugt eben ein Unhandled Packet, weil es eben keine explizite Regel für diesen Verkehr gibt. Das Paket bleibt an der unsichtbaren Deny Regel ganz am Ende des Regelwerks hängen.
Der Trick besteht nun einfach darin, eine explizite Firewall-Regel zu bauen, die den Verkehr genau beschreibt (siehe oben: Quell-IP, Ziel-IP, Quell-Port, Ziel-Port, Protokoll), aber verbietet (“Denied”) – und das Logging ausschaltet. Der lästige Verkehr taucht künftig nicht mehr im Traffic Monitor und im Logfile auf. Im Regelwerk werden Deny-Regeln mit einem roten X angezeigt:
Konfigurationsbeispiel: HostWatch Namensauflösung (Port 137/udp) unterdrücken
Properties > Logging
Eine Denied-Regel verankert sich im Regelwerk automatisch OBERHALB einer Allow-Regel für den gleichen Port bzw. das gleiche Protokoll, wird also zeitlich gesehen früher geprüft. Das kennen wir: ein explizites Verbot ist mächtiger als eine nicht erfolgte Erlaubnis. Ich nutze die Kombinationsmöglichkeit aus Denied- und Allow-Regeln auch ganz gerne so: Ping.Allow von Any nach Any -und- Ping.Denied von Any-External nach Firebox. Damit kann innerhalb des lokalen Netzwerks/VPN fröhlich hin- und hergepingt werden – auf Pings aus dem Internet reagiert unsere Firebox jedoch nicht. Wenn’s stört, kann für die Denied-Regel natürlich auch das Logging ausgeschaltet werden…
