Category Archives: Technischer Blog

Webinterface nun auch bei X Core und X Peak

Comment

Eine der wesentlichen Neuerungen bei der Fireware XTM (Version 11) ist, dass sich nun auch die größeren Modelle der X Core und X Peak Geräteserien über ein Webinterface (auch “WebUI” genannt)administrieren lassen. Von “innen” ist das Webinterface erreichbar über https://IP-der-Firebox:8080. Die Anmeldeseite kennt zwei vordefinierte Usernamen: status und admin. Zu dem User “status” gehört die Status Passphrase (das lesende Kennwort), zu dem User “admin” die Configuration Passphrase (das schreibende Kennwort). Wenn Sie vorhaben, Änderungen am Regelwerk vorzunehmen, müssen Sie sich als User “admin” anmelden! Die Fireware XTM lässt aber zu einem Zeitpunkt nur genau EINE admin-Sitzung zu! Wenn Sie die Firebox über das Internet, sprich von “außen” administrieren wollen, müssen Sie die entsprechende automatisch hinzugekommene Regel für Port 8080 auch für externe IP-Adressen öffnen – hierbei sollte allerdings eher nicht einfach “Any-External” mit in das From-Feld aufgenommen werden, sondern besser nur einzelne, feste IP-Adressen, von denen aus die Administration gestattet werden soll.
Das Webinterface (WebUI) der Fireware XTM unterstützt jedoch nicht alle Funktionen, die über den Policy Manager des WSM nutzbar sind. WatchGuard hat hierzu eine Liste der nicht unterstützten Funktionen in den Release Notes der Fireware XTM (Version 11) bereitgestellt:

The Fireware XTM Web UI does not support the configuration of some features. These features include:

  • FireCluster
  • Full proxy configuration options
  • The editing of static NAT rules
  • Manual policy precedence
  • Certificate export
  • You cannot enable diagnostic logging or change diagnostic log levels
  • You cannot turn on or off notification of BOVPN events
  • You cannot add or remove static ARP entries to the device ARP table
  • You cannot save a device configuration file to your local computer
  • You cannot get the encrypted Mobile VPN with IPSec end-user configuration profile, known as the .wgx file. The Web UI generates only a plain-text version of the end-user configuration profile, with file extension .ini.
  • You cannot edit the name of a policy, use a custom address in a policy, or use Host Name (DNS lookup) to add an IP address to a policy.
  • You cannot use the Web UI to configure a DNS server for the DHCP settings of a wireless guest account. You must use Policy Manager or the CLI to add the DNS server. [39980]
  • If you configure a policy in the Web UI with a status of Disabled, then open Policy Manager and make a change to the same policy, the action assigned to the policy when it denies packets is changed to Send TCP RST. [34118]
  • If you use the Web UI to edit an existing proxy policy that has alarm settings enabled, the alarm settings may be disabled when you save your configuration. [38585]
  • You cannot create read-only Mobile VPN with IPSec configuration files with the Web UI. [39176]

End-Of-Life Datum 25.10.2009 für alte WatchGuard Produkte

Comment

Die Produktlinien SOHO 6 (tc), sowie die alten X Edge (X5, X15, X50 [-w]), X Core (X500, X700, X1000, X2500) und X Peak (X5000, X6000, X8000) Modelle erreichen am 25.10.2009 das so genannte “End-Of-Life” Datum. Das bedeutet nicht, dass die Geräte nach diesem Tag ihre Arbeit verweigern werden. Ab diesem Tag werden lediglich keine neuen Software-Versionen mehr bereitgestellt, es wird keine Ersatzgeräte-Lieferungen im Rahmen der Live Security mehr geben – und die eventuell bisher genutzten UTM Services WebBlocker, spamBlocker und Gateway Antivirus/IPS werden nicht mehr funktionieren. Die normalen Firewall- und VPN-Funktionen werden jedoch unverändert weiter laufen.

Wenn Sie im Rahmen von Ihrem Business Continuity Plan jedoch auf schnelle Hilfe im Problemfall angewiesen sind und die UTM Services fester Bestandteil Ihres IT Security Konzepts sind, sollten Sie dringend auf eine aktuelle WatchGuard Firebox umsteigen. WatchGuard bietet im Rahmen der Trade-Up Promotion 25% Nachlass auf den Preis von ausgewählten Produktvarianten an. Produktnummern und aktuelle Preise finden Sie unter anderem hier: http://www.boc.de/hersteller/watchguard.html.

Die folgenden End-of-Life Richtlinien stammen im Original von der WatchGuard Website. Ich habe sie lediglich auf Deutsch übersetzt:

  • WatchGuard wird End-of-Sale Ankündigungen an seine direkten Partner kommunizieren.
  • Das End-of-Life Datum wird künftig bis zu fünf (5) Jahre nach dem End-of-Sale Datum liegen.
  • Bis zum End-of-Life Datum wird WatchGuard auf freiwilliger Basis Maintenance Releases, Patches, und/oder Hotfixes herausgeben.
  • Verlängerungen von LiveSecurity, UTM Security Services und Hardware Garantieverlängerungen werden grundsätzlich bis ein (1) Jahr vor dem End-of-Life Datum bestellbar sein.
  • WatchGuard behält sich das Recht vor, zwischen dem End-of-Sale und dem End-of-Life Datum UTM Security Services durch andere, gleichwertige Services zu ersetzen.
  • Solche neuen UTM Security Services können eventuell auch nicht mehr mit WatchGuard Produkten kompatibel sein, die sich in oder bereits nach der End-of-Life Periode befinden.
  • Der RMA Prozess wird bis zum End-of-Life Datum aufrecht erhalten, wenn das Gerät durch eine Hardware Garantie abgedeckt ist.

Neuer 3G / UMTS-Router von WatchGuard

Comment

Der im Herbst 2008 angekündigte 3G Extender (UMTS-Router zum Einsatz “vor” der Firebox) gelangte in Europa nie zur Auslieferung, da er nicht über das CE-Zeichen verfügte. Seit Juli 2009 ist jetzt ein neuer 3G Extender (UMTS-Router) für ca. 150-200 Euro bestellbar (WG8650). Das neue Produkt verfügt über einen PC-Express Slot und einen USB-Anschluss, so dass dort entweder ein UMTS-Modem in PC Express Bauform oder als USB-Stick verwendet werden kann (stellt im Regelfall der jeweilige Mobilfunkanbieter im Rahmen eines Mobilfunk-Datenvertrags zur Verfügung). Damit können auch Lokationen ans Internet und per VPN an das Firmennetzwerk angebunden werden, an denen kein DSL/Telefonanschluss zur Verfügung steht oder die nur temporär genutzt werden. Auch der Einsatz in Kiosken oder Verkaufsautomaten ist denkbar. Weiterhin kann im Multi-WAN Betrieb hierüber eine Backup-Anbindung ans Internet realisiert werden, die nur im Bedarfsfall genutzt wird (Voraussetzung Edge Pro bzw. Fireware Pro Erweiterung).

WatchGuard Ersatzteile einzeln bestellbar

Comment

In der aktuellen Preisliste tauchen folgende Ersatzteile auf, die eine eigene Bestellnummer haben und somit auch einzeln bestellbar sind:

  • WG8530 19″ Rackmount Kit für alte Firebox X Serie
  • WG8531 19″ Rackmount Kit für aktuelle X Core / X Peak
  • WG8532 Kabelsatz für aktuelle X Core / X Peak
  • WG8533 Ersatz-Netzteil für X Edge e-series !!!!!
  • WG8534 Ersatz-Antennen für X Edge e-series (nur -W)

Damit schließt sich eine Versorgungslücke, denn auch in meiner Praxis kommt es regelmäßig vor, dass nach 19″-Winkeln und Ersatz-Netzteilen gefragt worden ist.

WSM und Fireware 10.2.9 verfügbar

Comment

Im Software Download Bereich steht seit heute die Version 10.2.9 für Kunden mit aktiver Live Security zur Verfügung. Die Release Notes geben Aufschluss über Bugfix und neue Features:

Server Load Balancing (SLB) and VPN

  • A Firebox configured for server load balancing no longer stops sending traffic to a healthy server because of quick continuous requests, a missing route to a dead server, or interference from other SLB policies [35761]

  • A Firebox configured for server load balancing now considers a server as active as soon as it can set up a connection with the server, instead of waiting for three successful tries. [35550]

  • A problem that caused an IKED runtime crash with a pstack call “trace EIP:e045684d” is fixed. [32966, 36424]

  • The Mobile VPN with SSL client can now resolve host names on an internal DNS server. [28120]

  • If you have configured two DNS or WINS servers, both IP addresses are now assigned correctly to Mobile VPN clients (IPSec and PPTP). [12575, 33904]

  • A problem that caused an error “HTTP response code: 500 for URL: https://x.x.x.x:4117/cmm/cmd” when you saved a configuration in which Mobile VPN with SSL is enabled has been fixed. [28105]

High Availability

  • The primary HA Firebox no longer stays in the “in-transition” state indefinitely after you do an HA sync operation just after you save your configuration. [36033]

  • HA sync now completes successfully when two HA ports are used. [30207]

  • You can now use WSM to quickly create successive tunnels on Fireboxes in an HA pair and not lose management access. [36007]

  • VRRP logging messages no longer show in the log file unless the appropriate log level has been set. [35763]

Single Sign On

  • You can now install the SSO client on Windows Vista. [35869]

  • When you enable SSO, you can now obtain group information even if the SSO agent is not installed on the Domain Controller. [36043]

  • When you install the SSO client on Vista, you can now see the build number. [36289]

  • SSO client and agent communication is now more reliable and several timeout issues have been resolved. [35199, 35200]

  • SSO now ignores group names exceeding 32 characters and continues to process other group names. It no longer returns a “domain name str too log” error. [35988]

WSM Management

  • WSM no longer displays a device as “Pending” when it is not. [36080]

  • WSM can now handle different devices with identical IP addresses. It no longer shows a “Maintenance Alert” warning for these devices. [36068]

  • LogViewer can now display SMTP and POP3 log messages whose headers are encoded in ISO-2022-JP. [33460]

  • Firebox System Manager and Policy Manager now show and error that says “Invalid login/password” instead of “No SID” when users enter the wrong password when downloading a configuration, downloading a feature key, or during a system backup. [36959]

  • Service Watch can now reliably connect to the Firebox when there are a large number of policies. [37142]

Proxy

  • The Application Blocking feature now blocks the most recent versions of Yahoo! Messenger. [36268]

  • The Firebox now supports more than 1000 FTP proxy connections. [35998]

Neues Produkt: WatchGuard SSL 100

Comment

In Kürze wird eine neue SSL-VPN Appliance lieferbar sein: die WatchGuard SSL 100. Das Produkt basiert auf der Technologie der bekannten SSL 500 und SSL 1000, ist für den Betrieb von maximal 100 parallelen SSL-VPN Sessions ausgelegt und kommt standardmäßig mit einer Lizenz für 25 concurrent sessions. Diese Zahl kann schrittweise auf bis zu 100 erhöht werden. Preise sind leider noch nicht bekannt, werden aber sicher mit der nächsten Preisliste Anfang Juni kommuniziert. Das Produkt und die Optionen sind ab sofort bestellbar.

E-Mails ohne Datum und Uhrzeit (POP3-proxy)

Comment

Gelegentlich kommt es vor, dass der POP3-proxy zur Abholung von E-Mails bei einem externen Provider eingesetzt wird. In Verbindung mit den UTM Services Gateway Antivirus und spamBlocker macht das natürlich Sinn. spamBlocker kann bei POP3 jedoch nur mit der Option “Tagging” verwendet werden, also das Schreiben eines Zusatzes in die Betreffzeile, z.B. [SPAM?]. “Deny” macht technisch keinen Sinn, da die E-Mails ja bereits auf dem zuständigen Mailserver beim Provider stehen und dort auch abgeholt werden müssen. “Quarantine” wäre technisch zwar denkbar, steht bei POP3 aber leider auch nicht zur Verfügung.

Wenn der POP3-proxy mit seinen Default-Einstellungen verwendet wird, führt dies mitunter dazu, dass die abgeholten E-Mails ohne Sende-Datum/Uhrzeit im Mailclient (z.B. Outlook) angezeigt werden (“Keine Angabe”). Dies liegt dann vermutlich daran, dass der diesbezügliche Header vom POP3-proxy entfernt wurde, weil er nicht auf der Allow-Liste steht. Fügen Sie in diesem Fall einmal den Wert Date:* in die Liste der erlaubten Header ein.

Sollten Sie ein ähnliches Problem haben – irgendetwas geht bei Verwendung des POP3-proxy nicht mehr, das aber vorher mit einem POP3 Paketfilter geklappt hat – dann ist es sicher eine gute Idee, das Häkchen bei “Log” neben der “Strip” Action zu setzen und im Traffic Monitor mitzuverfolgen, welche eventuell doch benötigten Header noch auf der Strecke bleiben. Diese können dann in die Allow-Liste eingepflegt werden. Auch ein Blick in die “Header”-Sektion des SMTP-proxy (!) und ein entsprechender Vergleich lohnt sich gegebenenfalls…