Technischer Blog Archive - Seite 37 von 42

Category Archives: Technischer Blog

Destination IP on Spyware Blocklist

8. Oktober 2009 Bernd Och 2 Comments

In einem aktuellen Supportfall ging es darum, dass keine E-Mails an eine bestimmte Domain geschickt werden konnten (X Core UTM-Bundle mit Fireware 10.2.9). Im Logfile fanden sich Deny-Meldungen

[…] Q9 Networks Inc, destination IP on Spyware Blocklist, firewall drop (internal policy)

Der Kunde hatte unter Setup > Default Threat Protection > Blocked Sites die Antispyware Blocklist aktiviert, zum Schutz vor Adware, Dialer, Downloader, Hijacker, Trackware.

Interessanterweise befand sich die IP-Adresse des für die Zieldomäne zuständigen Mailservers eben auf dieser Blocklist. Die Firebox verweigert dann sämtlichen Traffic VON und auch ZU diesen IP-Adressen. Nachforschungen haben ergeben, dass diese Liste statisch ist und von WatchGuard selbst gepflegt wird. USA Support hat empfohlen, ein Update auf Version 10.2.11 vorzunehmen, da die betreffende IP-Adresse auf der in 10.2.11 eingebauten Liste nicht mehr draufsteht. Als Alternative kann aber auch die freizugebende Ziel-IP-Adresse bei den Blocked Sites Exceptions eingetragen werden, die zeitlich gesehen offenbar VOR der Antispyware Blocklist abgearbeitet wird.

Falscher Download-Link zum SSO Agent 10.2.11

8. Oktober 2009 Bernd Och 1 Comment

Aus den Release Notes der Version 10.2.11 geht hervor, dass der SSO Client unverändert auf 10.2.9 bleibt (das optionale MSI-Paket für die Installation auf dem Desktop-PC) – dass es aber einen neuen SSO Agent 10.2.11 gibt (Authentication Gateway), der im Software Download Bereich auch so angeboten wird. Der Download-Link zeigt aber derzeit auf eine falsche Datei, nämlich den alten SSO Agent 10.2.9! Zumindest bei einem Kunden mit einer X Edge musste ich feststellen, dass nach dem Update auf Edge 10.2.11 die User Authentication gegen Active Directory mit dem (alten) SSO Agent nicht mehr funktioniert.

SMTP-Proxy zerschiesst manche Text-E-Mails

21. September 2009 Bernd Och 1 Comment

Unter Fireware XTM 11.0.1 muss ich feststellen, dass bestimmte Text-E-Mails (ganz einfache text/plain) zerschossen werden. Der eigentliche E-Mail Body ist verschwunden – stattdessen steht nun nur der Text der Deny Message im Body, die aber eigentlich als Textdatei angehängt sein sollte…:

Cause : The message content may not be safe.
Content type : (none)
File name : (none)
Virus status : No information.
Action : The Firebox (none) (none).

Your network administrator can not restore this attachment.

Mir fällt auf, dass der folgende Header fehlt, der in korrekt zugestellten E-Mails regelmäßig sichtbar ist:

X-WatchGuard-AntiVirus: part scanned. error action=allow

Das legt die Vermutung nahe, dass das Problem mit einer Interaktion zwischen dem SMTP-Proxy und der Gateway Antivirus Engine zu tun hat. Die Antivirus Engine und die Signaturen der Fireware XTM (Version 11) stammen übrigens jetzt von AVG und nicht mehr wie bisher von ClamAV…

Probleme mit DSL-Modem Speedport 201

21. September 2009 Bernd Och 6 Comments

Es gibt offenbar Probleme im Zusammenspiel zwischen einer WatchGuard Firebox und dem derzeitigen Standard-DSL-Modem der Telekom, dem Speedport 201. Ich musste dies nun schon mehrfach feststellen – hauptsächlich mit einer X Edge unter Software 10.2.x. Die PPPoE-Einwahl kommt nicht zustande, im Logging ist aber nichts Ungewöhnliches zu sehen, auch nicht im PPPoE-Debugging-Modus. Die Vorgängerversion Speedport 200 hat immer einwandfrei funktioniert, ist aber wohl nicht mehr verfügbar. Eine Alternative wäre ein DSL-Modem eines anderen Herstellers.

Policy Based Routing offenbar auch bei IPSec

16. September 2009 Bernd Och 1 Comment

Bislang galten die Einstellungen für Policy Based Routing (PBR) im Multi-WAN Betrieb unter Fireware Pro (zwei oder mehr externe Internet-Anschlüsse auf der gleichen Firebox) ausdrücklich nur für ausgehenden non-IPSec Traffic.
Bei der Fireware XTM gilt PBR nun offenbar auch, wenn die Ziel-IP hinter einem VPN-Tunnel liegt. Aufgefallen ist mir dies daran, dass plötzlich ping nicht mehr über einen VPN-Tunnel funktioniert hat – tcp- oder udp-Verkehr hingegen schon. Die “ping”-Regel beim Kunden sah so aus: From: Any, To: Any, und hierbei PBR 2,0 (also bevorzugt eth2 und nur bei Failover eth0). Die VPN-Tunnel terminierten jedoch an eth0. Im Traffic Monitor war kein Problem zu sehen. Die Pakete wurden von der Firewall als Allowed zugelassen, erreichten eben aber nie ihr Ziel…
Es muss nun also noch genauer geschaut werden, wenn mit dem Begriff “Any” gearbeitet wird, denn auch “Any-BOVPN” (also alle BOVPN-Tunnel) sind Bestandteil von “Any”…
Ob dieses neue Verhalten jetzt eher Vorteil oder Nachteil ist, habe ich aus Zeitmangel noch nicht genauer durchdacht… 🙂

Webinterface nun auch bei X Core und X Peak

16. September 2009 Bernd Och Comment

Eine der wesentlichen Neuerungen bei der Fireware XTM (Version 11) ist, dass sich nun auch die größeren Modelle der X Core und X Peak Geräteserien über ein Webinterface (auch “WebUI” genannt)administrieren lassen. Von “innen” ist das Webinterface erreichbar über https://IP-der-Firebox:8080. Die Anmeldeseite kennt zwei vordefinierte Usernamen: status und admin. Zu dem User “status” gehört die Status Passphrase (das lesende Kennwort), zu dem User “admin” die Configuration Passphrase (das schreibende Kennwort). Wenn Sie vorhaben, Änderungen am Regelwerk vorzunehmen, müssen Sie sich als User “admin” anmelden! Die Fireware XTM lässt aber zu einem Zeitpunkt nur genau EINE admin-Sitzung zu! Wenn Sie die Firebox über das Internet, sprich von “außen” administrieren wollen, müssen Sie die entsprechende automatisch hinzugekommene Regel für Port 8080 auch für externe IP-Adressen öffnen – hierbei sollte allerdings eher nicht einfach “Any-External” mit in das From-Feld aufgenommen werden, sondern besser nur einzelne, feste IP-Adressen, von denen aus die Administration gestattet werden soll.
Das Webinterface (WebUI) der Fireware XTM unterstützt jedoch nicht alle Funktionen, die über den Policy Manager des WSM nutzbar sind. WatchGuard hat hierzu eine Liste der nicht unterstützten Funktionen in den Release Notes der Fireware XTM (Version 11) bereitgestellt:

The Fireware XTM Web UI does not support the configuration of some features. These features include:

FireCluster
Full proxy configuration options
The editing of static NAT rules
Manual policy precedence
Certificate export
You cannot enable diagnostic logging or change diagnostic log levels
You cannot turn on or off notification of BOVPN events
You cannot add or remove static ARP entries to the device ARP table
You cannot save a device configuration file to your local computer
You cannot get the encrypted Mobile VPN with IPSec end-user configuration profile, known as the .wgx file. The Web UI generates only a plain-text version of the end-user configuration profile, with file extension .ini.
You cannot edit the name of a policy, use a custom address in a policy, or use Host Name (DNS lookup) to add an IP address to a policy.
You cannot use the Web UI to configure a DNS server for the DHCP settings of a wireless guest account. You must use Policy Manager or the CLI to add the DNS server. [39980]
If you configure a policy in the Web UI with a status of Disabled, then open Policy Manager and make a change to the same policy, the action assigned to the policy when it denies packets is changed to Send TCP RST. [34118]
If you use the Web UI to edit an existing proxy policy that has alarm settings enabled, the alarm settings may be disabled when you save your configuration. [38585]
You cannot create read-only Mobile VPN with IPSec configuration files with the Web UI. [39176]

Version 10.2.11 und Fireware XTM v11

24. Juli 2009 Bernd Och 10 Comments

In einem Live Security-Posting hat WatchGuard letzte Nacht gleich zwei Softwareversionen neu angekündigt. Im Zuge des dhclient flaws wird es im September eine WSM und Fireware Version 10.2.11 geben. In einem Nebensatz wird über die Fireware XTM (also die “eigentliche” Version 11) gesagt, dass diese nun kurzfristig ausgeliefert wird — noch vor 10.2.11.

End-Of-Life Datum 25.10.2009 für alte WatchGuard Produkte

17. Juli 2009 Bernd Och Comment

Die Produktlinien SOHO 6 (tc), sowie die alten X Edge (X5, X15, X50 [-w]), X Core (X500, X700, X1000, X2500) und X Peak (X5000, X6000, X8000) Modelle erreichen am 25.10.2009 das so genannte “End-Of-Life” Datum. Das bedeutet nicht, dass die Geräte nach diesem Tag ihre Arbeit verweigern werden. Ab diesem Tag werden lediglich keine neuen Software-Versionen mehr bereitgestellt, es wird keine Ersatzgeräte-Lieferungen im Rahmen der Live Security mehr geben – und die eventuell bisher genutzten UTM Services WebBlocker, spamBlocker und Gateway Antivirus/IPS werden nicht mehr funktionieren. Die normalen Firewall- und VPN-Funktionen werden jedoch unverändert weiter laufen.

Wenn Sie im Rahmen von Ihrem Business Continuity Plan jedoch auf schnelle Hilfe im Problemfall angewiesen sind und die UTM Services fester Bestandteil Ihres IT Security Konzepts sind, sollten Sie dringend auf eine aktuelle WatchGuard Firebox umsteigen. WatchGuard bietet im Rahmen der Trade-Up Promotion 25% Nachlass auf den Preis von ausgewählten Produktvarianten an. Produktnummern und aktuelle Preise finden Sie unter anderem hier: http://www.boc.de/hersteller/watchguard.html.

Die folgenden End-of-Life Richtlinien stammen im Original von der WatchGuard Website. Ich habe sie lediglich auf Deutsch übersetzt:

WatchGuard wird End-of-Sale Ankündigungen an seine direkten Partner kommunizieren.
Das End-of-Life Datum wird künftig bis zu fünf (5) Jahre nach dem End-of-Sale Datum liegen.
Bis zum End-of-Life Datum wird WatchGuard auf freiwilliger Basis Maintenance Releases, Patches, und/oder Hotfixes herausgeben.
Verlängerungen von LiveSecurity, UTM Security Services und Hardware Garantieverlängerungen werden grundsätzlich bis ein (1) Jahr vor dem End-of-Life Datum bestellbar sein.
WatchGuard behält sich das Recht vor, zwischen dem End-of-Sale und dem End-of-Life Datum UTM Security Services durch andere, gleichwertige Services zu ersetzen.
Solche neuen UTM Security Services können eventuell auch nicht mehr mit WatchGuard Produkten kompatibel sein, die sich in oder bereits nach der End-of-Life Periode befinden.
Der RMA Prozess wird bis zum End-of-Life Datum aufrecht erhalten, wenn das Gerät durch eine Hardware Garantie abgedeckt ist.

WSM und Fireware 10.2.10

17. Juli 2009 Bernd Och 4 Comments

In der Woche ab dem 20.07.2009 wird eine neue Version 10.2.10 von WSM und Fireware erscheinen. Diese wird insbesondere weitere Bugfixes zum Thema “Upper 4 Ports” enthalten… Die Software wird für eine WatchGuard Firebox mit gültiger Live Security kostenfrei zur Verfügung gestellt.
[21.07.2009]: Version 10.2.10 steht im Download-Bereich zur Verfügung.

Neuer 3G / UMTS-Router von WatchGuard

1. Juli 2009 Bernd Och Comment

Der im Herbst 2008 angekündigte 3G Extender (UMTS-Router zum Einsatz “vor” der Firebox) gelangte in Europa nie zur Auslieferung, da er nicht über das CE-Zeichen verfügte. Seit Juli 2009 ist jetzt ein neuer 3G Extender (UMTS-Router) für ca. 150-200 Euro bestellbar (WG8650). Das neue Produkt verfügt über einen PC-Express Slot und einen USB-Anschluss, so dass dort entweder ein UMTS-Modem in PC Express Bauform oder als USB-Stick verwendet werden kann (stellt im Regelfall der jeweilige Mobilfunkanbieter im Rahmen eines Mobilfunk-Datenvertrags zur Verfügung). Damit können auch Lokationen ans Internet und per VPN an das Firmennetzwerk angebunden werden, an denen kein DSL/Telefonanschluss zur Verfügung steht oder die nur temporär genutzt werden. Auch der Einsatz in Kiosken oder Verkaufsautomaten ist denkbar. Weiterhin kann im Multi-WAN Betrieb hierüber eine Backup-Anbindung ans Internet realisiert werden, die nur im Bedarfsfall genutzt wird (Voraussetzung Edge Pro bzw. Fireware Pro Erweiterung).

BOC IT-Security GmbH
Künzeller Straße 93 D-36043 Fulda Deutschland / Germany Tel: +49 661 9440440 Fax: +49 661 9440490 E-Mail: info@boc.de Internet: https://www.boc.de	Geschäftsführer: Dipl.-Ing. Bernd Och Maik Lumler Handelsregister: Fulda 5 HRB 5345 USt-IdNr.: DE 256 847 327

WatchGuard Tabletop Modelle

WatchGuard Rackmount Modelle

Virtuelle Appliances

Ältere WatchGuard Modelle

Zubehör und weitere Services

Einzelprodukte

Zusatzmodule

Managed Services

Bundles

Für Bestandskunden von Panda empfehlen wir weiterhin

Zusatzmodule

WatchGuard Schulungen

Unsere Network Security Essentials-Schulung

Unsere Endpoint Security Essentials-Schulung

Individualschulungen vor Ort

WatchGuard Videos und Webinare (kostenfrei)

Nächste Schulungs-Termine:

Network Security Essentials-Schulung

Endpoint Security Essentials-Schulung

Follow-Up Q&A-Session:

Weitere Events:

WatchGuard Support

Support durch BOC IT-Security GmbH

Häufig nachgefragt...

Support durch WatchGuard (kostenfrei)

Hilfe zur Selbsthilfe (kostenfrei)

WatchGuard Informationen

BOC IT-Security GmbH