Technischer Blog Archive - Seite 42 von 42

Category Archives: Technischer Blog

WebBlocker: Automatische Updates

13. November 2008 Bernd Och Comment

Updates der WebBlocker-Datenbank können auch automatisiert werden. Im Unterverzeichnis C:ProgrammeWatchGuardwsm10.2bin befindet sich eine Batch-Datei names updatedb.bat, die mit Hilfe des Windows Task Scheduler auch unbeaufsichtigt ausgeführt werden kann (Windows / Start / Alle Programme / Zubehör / Systemprogramme / Geplante Tasks). Die Batch-Datei beendet zunächst den WebBlocker-Dienst, schaut dann nach Updates und startet den Dienst erneut.
Zu beachten ist, dass der HTTP-Proxy standardmäßig keinen Webzugriff zulässt, wenn der WebBlocker-Dienst nicht läuft. Dieses Verhalten kann im Policy Manager über Tasks / WebBlocker… / Configure… und nochmals Configure… auf der Registerkarte Advanced geändert werden. Ich wähle hier üblicherweise die Einstellung “If your Firebox cannot connect to the WebBlocker server in 5 seconds then Allow the user to view the website”. Außerdem muss sichergestellt sein, dass der WebBlocker-Server direkten, gerouteten http-Zugriff auf das Internet über Port 80 hat.

Zertifikat für Web Authentication

13. November 2008 Bernd Och 3 Comments

Bei Nutzung von User Authentication melden sich die User an der von der WatchGuard Firebox selbst zur Verfügung gestellten Anmeldeseite https://ip-der-firewall:4100 an. Für die SSL-Verschlüsselung wird standardmäßig ein von WatchGuard selbst erzeugtes SSL-Zertifikat verwendet, das aber nicht gegenüber einer “offiziellen” Zertifizierungsstelle rückbestätigt ist. Daher bekommen die User zunächst die übliche Warnmeldung des Browsers gezeigt, die sie entsprechend übergehen müssen.
Der beste Ansatz, dieses Verhalten zu umgehen, ist der Einsatz eines offiziellen Webserver SSL-Zertifikats, das aber kostenpflichtig ist und im Regelfall pro Jahr ebenfalls kostenpflichtig erneuert werden muss. Die entsprechende Zertifikatskette kann dann über den Firebox System Manager im Menüpunkt View / Certificates… importiert werden. Anschließend steht das Zertifikat im Policy Manager unter Setup / Authentication / Web Server Certificate als Third Party Certificate zur Auswahl bereit. Alternativ dazu kann bei Vorhandensein einer (Windows) Active Directory Umgebung dort auch eine eigene (Windows-)Zertifizierungsstelle aufgesetzt und darüber ein eigenes Webserver-Zertifikat generiert werden. Computer, die Mitglied der Domäne sind, lernen dieses Zertifikat dann automatisch.
Wichtig: Der Import von Zertifikaten ist ein Feature der Zusatzoption Fireware Pro, die bei X Peak Geräten standardmäßig dabei ist, auf X Core Geräten jedoch separat lizensiert werden muss!

WebBlocker: Download und Update langsam

13. November 2008 Bernd Och 1 Comment

Ein Get Full Database oder Get Incremental Update der WebBlocker-Datenbank ist in manchen Installationen derzeit extrem langsam. Hierbei handelt es sich um ein DNS-Problem. Die DNS-Server der Deutschen Telekom zum Beispiel liefern für den (im Hintergrund fest hinterlegten Hostname listsrv.surfcontrol.com derzeit die IP 204.15.69.70 zurück. Die Performance dieses Servers lässt aber sehr zu wünschen übrig. Wesentlich (!!!) schneller ist der 204.15.67.70, der z.B. von amerikanischen DNS-Servern aufgelöst wird.
Man könnte nun entweder dafür sorgen, dass für die DNS-Auflösung ein anderer Forwarder verwendet wird (zum Beispiel 4.2.2.2) – oder auf dem WebBlocker-Server einen Eintrag in die lokale HOSTS-Tabelle schreiben. Diese liegt auf Windows-Systemen unter C:windowssystem32driversetc und heisst einfach nur “hosts“. Die Datei kann mit einem Texteditor bearbeitet werden:

Anschließend noch den DNS-Cache leeren: ipconfig /flushdns und den Download/Update erneut starten. Dies ist natürlich nur eine Übergangslösung. Man sollte im Auge behalten, wann sich die DNS-Auflösung auf dem standardmäßigen DNS-Server wieder entsprechend ändert – und dann den Eintrag in der HOSTS-Tabelle wieder rückgängig machen, um nicht bei einem möglicherweise in der Zukunft stattfindenen Wechsel der IP-Adresse plötzlich im Regen zu stehen…

Zwei Versionen der Fireware 10.2.3

11. November 2008 Bernd Och Comment

Die ursprüngliche Veröffentlichung der Fireware 10.2.3 vom 07.10.08 ist offenbar fehlerhaft. Der Installer fireware10_2_3.exe, der am 07.10.08 zum Download bereitgestellt wurde, wurde am 14.10.08 durch eine neuere Version – allerdings mit gleichem Dateinamen (!) ersetzt. Die Versionen erkennen Sie nur an der so genannten Build-Nummer: Gehen Sie auf Ihrer WatchGuard Management-Station in das Verzeichnis C:ProgrammeGemeinsame DateienWatchGuardresourcesFireware10.2. Überprüfen Sie dort den Dateinamen der *.wgf und *.wgu Dateien. Finden Sie dort fbx_ta-10.2-b192439.wgf bzw. FW1020B192439.wgu (entspricht Build 192439), dann haben Sie die ALTE Version der Fireware 10.2.3. Bei fbx_ta-10.2-b193535.wgf bzw. FW1020B193535.wgu (entspricht Build 193535) haben Sie die NEUE Version!
Ich empfehle dringend, auf die NEUE Version umzusteigen. In einem Kundenprojekt hat sich z.B. gezeigt, dass bei der alter Version jedesmal die BOVPN-Tunnel unterbrochen werden, wenn eine simple Konfigurationsänderung gespeichert wurde. Dieses Fehlverhalten war dann mit der neuen Version wieder verschwunden. Der Installer des WSM hingegen hat sich nicht geändert.

Report Server und deutsches Windows

10. November 2008 Bernd Och 2 Comments

Um die im WatchGuard System Manager v10.x integrierten Server-Dienste Logging Server und Report Server auf einer deutschen Windows-Plattform nutzen zu können, muss an einigen Stellen manuell nachgearbeitet werden, da sonst z.B. das Reporting überhaupt nicht funktioniert – oder dauerhaft 100% CPU-Last hervorruft…
Bereits bei der Konfiguration der Dienste (rechte Maustaste und Configure auf dem Icon in der Symbolleiste WatchGuard) fällt an einigen Stellen auf, dass per Default hart codierte Pfade à la C:Documents and Settings… hinterlegt sind. Ich ändere diese Pfadangaben auf deutschen Betriebssystemen immer auf das entsprechende C:Dokumente und Einstellungen… ab und lösche anschließend im Filesystem die zuvor erzeugten leeren Unterverzeichnisse mit englischem Namen. Casus knacksus und Auslöser für die 100% CPU-Last durch den Report Server ist jedoch, dass dieser eine Datei mit Hilfetexten sucht und nicht findet. Man muss im Filesystem das Unterverzeichnis
C:ProgrammeWatchGuardwsm10.2helpmapsen-US umbenennen in de-DE. Anschließend einmal booten und der Spuk sollte nach ein paar Minuten “legitimer Rödelei” vorbei sein.

Ältere Produkte: End of Support

10. November 2008 Bernd Och Comment

Am 25.10.2009 endet der Plattform-Support für die älteren WatchGuard Firebox X Produkte der ersten Generation (Modelle X Edge X5, X15, X50, X Core X500, X700, X1000, X2500, X Peak X5000, X6000, X8000). Alle Services wie Live Security, WebBlocker, spamBlocker, Gateway Antivirus/IPS für diese Geräte können nur noch bis zu diesem Tag verlängert werden. Da es bis dahin aber kein volles Jahr Restlaufzeit mehr ist, können die bisherigen Artikelnummern nicht mehr bestellt werden! Mit Hilfe des Customer Renewal Tool können die Services aber bis genau zu diesem Tag verlängert werden: http://www.boc.de/hersteller/watchguard/service-und-support/customer-renewal-tool.html. In diesem Fall erfolgt keine Warenlieferung, sondern das neue Ablaufdatum wird direkt in die Produktdatenbank bei WatchGuard eingetragen. Nach erfolgter Abwicklung stehen in Ihrem WatchGuard-Account die aktualisierten Feature Keys zum Download bereit. Diese müssen dann noch auf die entsprechenden Fireboxen hochgeladen werden.

X Edge: Zeitgesteuerter Reboot

10. November 2008 Bernd Och Comment

Ab der Softwareversion X Edge v10.1 gibt es die Möglichkeit, bei den Modellen X10e, X20e und X55e einen zeitgesteuerten Reboot zu hinterlegen – um so z.B. der 24-stündigen PPPoE Zwangstrennung bei T-DSL zu entgehen und stattdessen lieber zu einer festen Uhrzeit (z.B. jeden Morgen um 05:00 Uhr) die X Edge neu zu booten und dadurch eventuell vorhandene VPN-Tunnel kontrolliert neu aufbauen zu lassen. Dadurch kann besser verhindert werden, dass VPN-Tunnel und damit Verbindungen zu den Servern am anderen Ende des VPN-Tunnels während der normalen Arbeitszeit unterbrochen werden: Menüpunkt Administration (direkt auf “Administration” klicken!). Hierzu müssen natürlich auch NTP-Server konfiguriert sein, damit das Gerät “weiß”, wie spät es ist (in der GUI direkt darunter).

X Edge: Model-Upgrades

10. November 2008 Bernd Och Comment

Kunde berichtet: “Einzelne PCs kommen tageweise nicht ins Internet. Heute geht es von PC1 und PC3 nicht, morgen dann eventuell von PC2 und PC4…”
Hintergrund: Die Firebox X Edge Produkte X10e und X20e haben (wie auch früher schon die älteren X5, X15 bzw. SOHO 6 Modelle) eine User-Beschränkung. Bei der aktuellen X10e sind es fünfzehn (15), bei der X20e dreißig (30). Die X55e hat keine User-Beschränkung. Als “User” wertet die kleine WatchGuard jedes IP-Device, das die IP-Adresse der WatchGuard als Default Gateway verwendet. Die X Edge “sammelt” also IP-Adressen. Hat eine X10e fünfzehn verschiedene IP-Adressen gesammelt, kommt die sechzehnte und alle weiteren “nicht mehr ins Internet”. Diese Liste löscht sich durch Zeitablauf, aber auch durch einen Reboot des Geräts (über GUI oder Stromstecker ziehen) und das Spiel beginnt von vorne…
In einer solchen Situation sollte am sinnvollsten ein “Model Upgrade” durchgeführt werden. Durch Zukauf eines Lizenzschlüssels kann aus einer X10e eine X20e gemacht werden, so dass dann nicht mehr nur 15, sondern 30 “User” unterstützt werden. Ein “Model Upgrade” ist auch von einer X10e oder X20e auf eine X55e möglich, bei der es dann ja keine User-Beschränkung mehr gibt. Der Lizenzschlüssel wird über die WatchGuard-Website auf die Seriennummer des entsprechenden Geräts aktiviert (Achtung: wenn Sie mehrere Geräte haben, achten Sie bei der Aktivierung genau auf die passende Seriennummer!). Anschließend kann der neue Feature Key heruntergeladen und abschließend über die GUI der X Edge (Menüpunkt Administration / Upgrade) auf das Gerät selbst hochgeladen werden:

Die Anzahl der erlaubten User/IP-Adressen steckt im Feature Key an der (blau markierten) Stelle FW_USERS.

Link: Modellübersicht WatchGuard Firebox X Edge e-series

Herzlich willkommen!

10. November 2008 Bernd Och 1 Comment

Ich möchte an dieser Stelle nun laufend über Themen rund um WatchGuard Firebox berichten. Im Vordergrund stehen dabei technische Informationen und Support-Hinweise – aber gelegentlich auch vertriebliche Informationen, neue Produkte, Preise und Promotions. Seit (fast) 10 Jahren arbeite ich nun (fast) täglich mit WatchGuard-Produkten und freue mich darauf, mein Know-How hier einer breiteren Basis zur Verfügung stellen zu können.

BOC IT-Security GmbH
Künzeller Straße 93 D-36043 Fulda Deutschland / Germany Tel: +49 661 9440440 Fax: +49 661 9440490 E-Mail: info@boc.de Internet: https://www.boc.de	Geschäftsführer: Dipl.-Ing. Bernd Och Maik Lumler Handelsregister: Fulda 5 HRB 5345 USt-IdNr.: DE 256 847 327

WatchGuard Tabletop Modelle

WatchGuard Rackmount Modelle

Virtuelle Appliances

Ältere WatchGuard Modelle

Zubehör und weitere Services

Einzelprodukte

Zusatzmodule

Managed Services

Bundles

Für Bestandskunden von Panda empfehlen wir weiterhin

Zusatzmodule

WatchGuard Schulungen

Unsere Network Security Essentials-Schulung

Unsere Endpoint Security Essentials-Schulung

Individualschulungen vor Ort

WatchGuard Videos und Webinare (kostenfrei)

Nächste Schulungs-Termine:

Network Security Essentials-Schulung

Endpoint Security Essentials-Schulung

Follow-Up Q&A-Session:

WatchGuard Support

Support durch BOC IT-Security GmbH

Häufig nachgefragt...

Support durch WatchGuard (kostenfrei)

Hilfe zur Selbsthilfe (kostenfrei)

WatchGuard Informationen

BOC IT-Security GmbH