Technischer Blog Archive - Seite 4 von 42

Category Archives: Technischer Blog

Massive Angriffe auf SSLVPN – Maßnahmen und Härtung der Firewall

21. Februar 2024 Johannes Wolfsteiner 9 Comments

Update: 20.12.2024
Neben dem SSL-VPN verzeichnen wir zunehmend auch Brute-Force-Angriffe auf das Access Portal von WatchGuard Firewalls.
Falls Sie das genannte Feature nutzen, sollten Sie unbedingt die im Artikel empfohlenen Best-Practices (“Block Failed Authentications”, MFA, Geo-Filter,…) umsetzen.

Update: 23.10.2024
WatchGuard hat weltweit Brute-Force-Angriffe auf SSL-VPNs festgestellt, die zu einer ungewöhnlich hohen Anzahl unbekannter Anmeldeversuche beim AuthPoint-Authentifizierungsdienst geführt haben. Diese Angriffe können Dienstunterbrechungen verursachen, die die Servicequalität beeinträchtigen und bei einigen Kunden zu fehlgeschlagenen Authentifizierungssitzungen, Zeitüberschreitungen oder Abbrüchen führen können. Die Brute-Force-Angriffe sind jedoch nicht direkt gegen AuthPoint gerichtet und haben keine Sicherheitsverletzungen bei den WatchGuard-Diensten verursacht. Weitere Infos unter https://status.watchguard.com oder im WatchGuard Support Center unter >> Detect and mitigate brute force attacks that target Mobile VPN with SSL (SSLVPN).

Problem:

Aktuell sehen wir in den Logs vieler Kundenfirewalls Brute-Force-Attacken auf den WatchGuard SSLVPN bzw. das dazugehörige SSLVPN Portal (https://<Ext.-IP>/sslvpn_logon.shtml).

Die Logs zeigen, dass die Angreifer nicht nur Benutzernamen und Passwörter „raten“, sondern auch gezielt die Anmeldeserver des SSLVPN Portals auslesen. Neben typischen Benutzernamen werden so auch alternative Anmeldeserver angesprochen, welche ggf. keine MFA (Multifaktor-Authentifizierung) konfiguriert haben. Weiterlesen »

HOWTO: Best Practices/Empfehlungen Konfiguration von Access Points in der WatchGuard Cloud

20. Februar 2024 Ingo Flügel Comment

Dieser Artikel soll eine Richtschnur liefern über die empfohlenen Einstellungen der WatchGuard Access Points. Diese hängen allerdings sehr von den Gegebenheiten vor Ort und der Art und dem Alter der WiFi-Clients ab. Beispielhaft richten wir hier eine Gast-SSID ein.

Update 05.06.2024 einige Parameter wurden den neusten Erkenntnissen angepasst.
Update 29.08.2024 Die Voraussetzungen für die AP Verbindung zur WG-Cloud wurden hinzugefügt.

Hinweis: Wir raten generell zu einer professionellen WiFi-Ausleuchtung! Bei WatchGuard besteht die Möglichkeit den kostenlosen WiFi-Design Service zu nutzen: >> Zum Wi-Fi Design Service.

Folgende Vorüberlegungen sind wichtig:

Die Netzwerkanbindung der Access Points und Konfiguration der VLAN’s
Die Ordnerstruktur in der Cloud
Die Erstellung einer Access Point Site
Machen Sie auch möglichst zuerst ein Firmware-Update

HOWTO: Reverse Proxy mit HTTPS Content Inspection und Content Actions (Deep Packet Inspection)

15. Februar 2024 Selcuk Yener Comment

Der nachfolgende Artikel beschreibt die Absicherung HTTPS basierter Anwendungen via einer Incoming Proxy Regel mit aktivierter HTTPS Content Inspection und Content Actions.
Die Firewall Regel und die HTTPS Proxy Action beinhalten folgende Security Features der Total Security Suite: Intrusion Prevention, Gateway AV, Intelligent AV, Geolocation und den APT Blocker.

Erläuterung:

Mit Content Actions können HTTP-Anfragen basierend auf der Kombination aus der Domäne im HTTP-Host-Header und dem Pfad in der HTTP-Anfrage an verschiedene interne Webserver weitergeleitet werden.

Optional:
Wenn Sie die Konfiguration entsprechend unseres Howto’s umsetzen, haben Sie einen guten Schutz vor ext. Angriffen. Um die Sicherheit weiter zu erhöhen kann man vor einer WatchGuard Firebox einen weiteren Proxy z.B. NGINX (ausgelagert) mit vorgeschalteter DDOS Protection einsetzen, somit wird unter anderem die IP-Adresse, des Backends verschleiert.

Voraussetzungen:

HOWTO: Redundantes AuthPoint Radius (Microsoft Netzwerkrichtlinienserver) Setup mit der WatchGuard Firebox

14. Februar 2024 Selcuk Yener Comment

Problemstellung

Da Microsoft für IKEv2 oder L2TP MS-CHAPv2 voraussetzt, müssen die Radius Anfragen von dem AuthPoint Gateway an einen Microsoft NPS weitergeleitet werden. Leider Kann in AuthPoint kein NPS Failover konfiguriert werden. Für SSLVPN oder IPSEC wird kein NPS benötigt!

Lösungsvorschlag

Die Firebox bietet die Möglichkeit mit einem Loopback Interface und einer SNAT Load Balancing Action, die Radius Anfragen auf mehrere Server zu verteilen.
Um die Erreichbarkeit der Server zu prüfen, sendet die Firebox alle 10 Sekunden ein ICMP Paket an die Server. Wenn einer der Radius Server nicht mehr auf die ICMP Pakete antwortet werden die Anfragen an den verbliebenen Server gesendet, bis der Server wieder auf die ICMP Pakete antwortet.
Dieses Setup bietet leider keine Redundanz, wenn der Radius Dienst nicht mehr ordnungsgemäß funktioniert.

Weiterlesen »

HOWTO: Download und Installation von manuellen Patches via WatchGuard Patch Management

31. Januar 2024 Michael Hörmann Comment

Gilt für WatchGuard Advanced EPDR, EPDR, EDR, EPP sowie die ehemalige Panda Welt (AD360 & Co.).

Mit dem Zusatzmodul WatchGuard Patch Management ist es möglich, schnell und einfach Patches von Microsoft oder Third-Party Anwendungen (>> Patch-Library) zu installieren.
In einigen Fällen können Patches, bei denen eine EULA bestätigt werden muss oder der Downloadlink nicht öffentlich verfügbar bzw. unbekannt ist, nicht automatisch via Patch Management installiert werden. Hierzu ist ein manueller Eingriff notwendig.

Der folgende Artikel beschreibt die Installation von manuellen Downloads.

HOWTO: OpenVPN / WatchGuard SSLVPN und „Start Before Logon“ konfigurieren

21. Dezember 2023 Johannes Wolfsteiner 2 Comments

Seit der Version 2.6 von OpenVPN (>> Changelog OpenVPN) gibt es die Möglichkeit ein „Start Before Logon“ (PLAP, Pre Logon Access Provider, VPN Before Login, GINA-Mode) zu konfigurieren. Ein Login noch vor der Benutzeranmeldung bietet für Domain-Computer einige Vorteile (Passwortänderungen, GPO, Start-Skripte, neue Benutzerprofile anlegen, …) und ist ein häufig gewünschtes Feature.

Da WatchGuard für deren SSLVPN einen OpenVPN als Grundlage verwendet, kann dieser How-To Artikel sowohl für WatchGuard als auch für alle anderen OpenVPN fähigen VPN-Gateways verwendet werden.

Neuer Microsoft365-Alias in der Firebox ab Firmware v12.10

20. Dezember 2023 Manuel Seidel 1 Comment

Seit Firmware v12.10 gibt es einen neuen „Microsoft365“-Alias im Fireware Policy Manager. Die hinterlegte Liste mit DNS und IP-Adressen basiert auf folgendem Link, der von Microsoft gepflegt wird:

https://learn.microsoft.com/en-us/microsoft-365/enterprise/urls-and-ip-address-ranges?view=o365-worldwide&redirectSourcePath=%252fen-us%252farticle%252fOffice-365-URLs-and-IP-address-ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2

Ein Alias ist eine Abkürzung, die eine Gruppe von Hosts, Netzwerken oder Schnittstellen identifiziert. Ihre Konfigurationsdatei enthält viele Standardaliase. Sie können auch neue Aliase erstellen. Um den Datenverkehr über Ihre Firebox zu verwalten, können Sie dann beliebige Aliase zu den in Ihrer Konfigurationsdatei definierten Policies hinzufügen.

Den „Microsoft365“-Alias finden Sie über das bekannte Menü im Fireware Policy Manager:

HOWTO: Multifaktor-Authentifizierung für Account im WatchGuard-Portal aktivieren

13. Dezember 2023 Manuel Seidel 1 Comment

In diesem Blog-Artikel zeigen wir wie Sie Ihren WatchGuard-Account mit Multifaktor-Authentifizierung (MFA) vor unberechtigten Zugriffen schützen können. Das WatchGuard-Portal nutzt dafür AuthPoint, den Multifaktor-Authentifizierungsdienst von WatchGuard. Für diesen Anwendungsfall muss keine AuthPoint-Lizenz erworben werden. WatchGuard stellt einen kostenlosen Software-Token für MFA im WatchGuard-Portal zur Verfügung.

Standardmäßig verwendet Ihr WatchGuard-Portal Benutzerkonto ein Passwort zur Authentifizierung. Wenn Sie MFA für Ihr Benutzerkonto aktivieren, melden Sie sich zwar weiterhin mit Ihrem Benutzernamen und Passwort beim WatchGuard-Portal an, müssen sich aber zusätzlich auch mit Ihrem Token in der mobilen AuthPoint-App authentifizieren.

Achtung: Wenn drei aufeinanderfolgende Authentifizierungsversuche fehlschlagen, blockiert AuthPoint automatisch das für die Authentifizierung verwendete Token. In diesem Fall müssen Sie sich an den Kundendienst wenden. Sie können sich nicht mit dem gesperrten Token authentifizieren, bis der Kundendienst den Token entsperrt. AuthPoint betrachtet Authentifizierungen, die keine gültige Antwort haben, als fehlgeschlagene Authentifizierungsversuche. Dazu gehören falsche Einmalpasswörter, falsche Verifizierungscodes für die QR-Code-Authentifizierung und ungültige Push-Benachrichtigungen.

HOWTO: Reverse Proxy mit HTTPS Content Inspection und Domain Name Rules (Deep Packet Inspection)

12. Dezember 2023 Selcuk Yener Comment

Der nachfolgende Artikel beschreibt die Absicherung HTTPS basierter Anwendungen via einer Incoming Proxy Regel mit aktivierter HTTPS Content Inspection und Domain Name Rules.
Die Firewall Regel und die HTTPS Proxy Action beinhalten folgende Security Features der Total Security Suite: Intrusion Prevention, Gateway AV, Intelligent AV, Geolocation und den APT Blocker.

Optional:
Wenn Sie die Konfiguration entsprechend unseres Howto’s umsetzen, haben Sie einen guten Schutz vor ext. Angriffen. Um die Sicherheit weiter zu erhöhen kann man vor einer WatchGuard Firebox einen weiteren Proxy z.B. NGINX (ausgelagert) mit vorgeschalteter DDOS Protection einsetzen. Somit wird unter anderem die IP-Adresse, des Backends verschleiert.

Voraussetzungen:

HOWTO: NAT-Loopback für die 3CX TK-Anlage und Split DNS im Active Directory

22. November 2023 Selcuk Yener Comment

Die neue 3CX Version 20 bringt eine erhebliche Änderung mit sich, die man vorab bei On-Premise Installationen berücksichtigen muss. Bisher haben sich interne Clients meist über die (LAN) IP-Adresse an der 3CX angemeldet und provisioniert, ab der Version 20 werden auch diese Geräte nur noch eine Verbindung über den FQDN der 3CX herstellen (FIRMENNAME.my3cx.de).
Dies bedeutet einen Sicherheitsvorteil, da hier das SSL/TLS Zertifikat der 3CX geprüft wird und infolge sichergestellt werden kann, dass die Endgeräte auch wirklich mit der 3CX Anlage kommunizieren. Hierfür wird es erforderlich den FQDN der 3CX per Split-DNS auch aus dem internen LAN aufzulösen oder über ein NAT-Loopback an das richtige Ziel umzuleiten:

Sollte Ihre Infrastruktur diese Möglichkeit nicht bieten, haben wir 2 Lösungsvorschläge:

Anschaffung einer WatchGuard Firebox oder eines DNS Servers der dies unterstützt
Migration der On-Premise 3CX in eine durch 3CX gehostete Cloud Instanz, dabei kann unser Partner – Ritter Technologie GmbH – Sie unterstützen

In unserem Blog-Artikel beschreiben wir, wie man zum einen ein NAT-Loopback auf der WatchGuard Firebox konfiguriert und zum anderen die DNS Konfiguration im Active Directory. Weiterlesen »

BOC IT-Security GmbH
Künzeller Straße 93 D-36043 Fulda Deutschland / Germany Tel: +49 661 9440440 Fax: +49 661 9440490 E-Mail: info@boc.de Internet: https://www.boc.de	Geschäftsführer: Dipl.-Ing. Bernd Och Maik Lumler Handelsregister: Fulda 5 HRB 5345 USt-IdNr.: DE 256 847 327

WatchGuard Tabletop Modelle

WatchGuard Rackmount Modelle

Virtuelle Appliances

Ältere WatchGuard Modelle

Zubehör und weitere Services

Einzelprodukte

Zusatzmodule

Managed Services

Bundles

Für Bestandskunden von Panda empfehlen wir weiterhin

Zusatzmodule

WatchGuard Schulungen

Unsere Network Security Essentials-Schulung

Unsere Endpoint Security Essentials-Schulung

Individualschulungen vor Ort

WatchGuard Videos und Webinare (kostenfrei)

Nächste Schulungs-Termine:

Network Security Essentials-Schulung

Endpoint Security Essentials-Schulung

Follow-Up Q&A-Session:

Weitere Events:

WatchGuard Support

Support durch BOC IT-Security GmbH

Häufig nachgefragt...

Support durch WatchGuard (kostenfrei)

Hilfe zur Selbsthilfe (kostenfrei)

WatchGuard Informationen

Problem:

Erläuterung:

Voraussetzungen:

Problemstellung

Lösungsvorschlag

Voraussetzungen:

BOC IT-Security GmbH