Sichere Homeoffice-Anbindung mit WatchGuard-Lösungen

Sichere Homeoffice-Anbindung mit WatchGuard-Lösungen

Alle sprechen in diesen Tagen vom Arbeiten im Homeoffice. Eine Herausforderung für die IT-Abteilung bzw. den Systemadministrator. Wir wollen Ihnen hier möglichst viele Informationen und Lösungsansätze in kompakter Form liefern, wie Sie Ihre eigene Homeoffice Strategie mit WatchGuard Produkten erfolgreich umsetzen können.

Wir, die BOC IT-Security GmbH – WatchGuard Platinum Partner und WatchGuard Partner of the Year 2019/2020 – arbeiten schon seit vielen Monaten praktisch vollständig von unseren Homeoffices aus. Alle Kollegen sind voll einsatzbereit – der Warenfluss funktioniert und wir haben viele Produkte bei uns direkt auf Lager. Sie erreichen uns auf den bekannten Kommunikationswegen. Gerne helfen wir Ihnen bei der Umsetzung – sprechen Sie uns an! Aber vor allem: Bleiben Sie gesund!


Mobile User VPN Technologien

Der wichtigste Schlüssel zur sicheren Homeoffice-Anbindung ist die VPN-Technologie. Jede WatchGuard Firewall bietet ohne Zusatzkosten VPN für Mobile User bzw. Homeoffices. Folgende VPN-Technologien stehen auf der WatchGuard zur Verfügung: SSL-VPN, IPSec, L2TP, IKEv2.

Die Anzahl gleichzeitiger VPN-Verbindungen hängt vom jeweiligen Firebox-Modell ab. Sie kann nicht erhöht werden. Natürlich besteht immer die Möglichkeit, im Rahmen der Trade-Up Promotion auf eine größere Firebox mit mehr Verbindungen umzusteigen. Sie könnten aber auch – zumindest vorübergehend – einfach mehrere dieser Technologien konfigurieren und die User darauf verteilen:

aktuelle Firebox
Modelle
NV5 T25
T25-W
T35-R T45
T45-PoE
T45-W-PoE
T85-PoE M290 M390 M590 M690 M4800 M5800
SSL-VPN 10 10 25 30 60 75 250 500 1000 10000 unlimited
L2TP 10 10 25 30 60 75 250 500 1000 10000 unlimited
IPSec/IKEv2 10 10 25 30 60 75 250 500 1000 10000 unlimited

 

Ältere Firebox
Modelle
T15
T15-W
T20
T20-W
T35
T35-W
T40
T40-W
T50
T50-W
T55
T55-W
T70 / T80 M200 M300 M400 M440 M500 M4600 M5600
SSL-VPN 5 5 25 30 50 50 60 75 100 150 300 500 10000 unlimited
L2TP 5 5 25 30 50 50 60 75 100 150 300 500 10000 unlimited
IPSec/IKEv2 5 5 25 30 50 50 60 75 100 150 300 500 10000 unlimited

[Nähere Infos und Preise zu den jeweiligen Modellen durch Klick auf die Modellbezeichnung. Bei den FETT dargestellten Modellen handelt es sich um die aktuelle Gerätegeneration, bei den dünn dargestellten Modellen um die Vorgängerserien (“End-of-Sale” – kein Neukauf mehr möglich; Lizenzen auf den älteren Modellen können aber noch bis zum 30.06.2023 verlängert werden).]

L2TP und IKEv2 werden schon mit den Bordmitteln der gängigen Betriebssysteme unterstützt, ohne dass ein zusätzlicher Software-Client installiert werden muss. Für SSL-VPN bietet WatchGuard kostenfrei einen Client für Windows und MacOS an. Sie können auch den Original OpenVPN Client verwenden, der noch eine ganze Reihe anderer Betriebssysteme unterstützt. Für IPSec wird der (kostenpflichtige) Premium IPSec Client von NCP empfohlen, der im nächsten Abschnitt vorgestellt wird.

Die Technologien unterscheiden sich bei den Möglichkeiten der User Authentifizierung. Alle Technologien unterstützen die Firebox-DB, also lokal auf der Firebox gepflegte Benutzernamen/Kennwörter. Eine direkte Authentifizierung gegenüber Active Directory ist bei SSL-VPN und IPSec möglich. Bei den anderen Technologien geht dies auch – unter Zuhilfenahme eines RADIUS-Servers, also z.B. dem in Windows Server enthaltenen NPS (Network Policy Server). Über RADIUS lassen sich auch 2FA bzw. MFA (Multi-Factor Authentication) Lösungen anbinden wie z.B. WatchGuard AuthPoint, das weiter unten vorgestellt wird. Mit MFA erhöhen Sie die Sicherheit Ihres VPN-Zugangs, da dann eine Einwahl nur noch dann zugelassen wird, wenn ein zweiter Faktor (Hardware-Token oder Smartphone-App) erfolgreich bedient wird.
Die Technologien unterscheiden sich auch hinsichtlich des Routings, Stichwort Split Tunneling.

Für hohe Performance empfiehlt sich IKEv2 in Verbindung mit AES-GCM. Hier übernimmt der in den meisten Firebox-Modellen integrierte Hardware-Crypto-Beschleuniger die Rechenarbeit und die eigentliche CPU kann sich um ihre anderen Aufgaben kümmern.

emblem-imp  Ergänzende Informationen
Die WatchGuard SSLVPN-Clients für Windows und MacOS finden Sie im WatchGuard Software Portal, wenn Sie zunächst in der Pulldown-Liste Ihr Modell auswählen und dann etwas herunterscrollen. Ein anderer Weg führt über die Anmeldung an der SSLVPN Authentication Page Ihrer eigenen WatchGuard Firebox (https://[Ihre-IP]/sslvpn.html, ggfs. abweichenden Port beachten). Dort werden Ihnen ebenfalls die Software-Clients zum Download angeboten. Dort finden Sie auch die .ovpn Datei, die Sie für den Import in den Original OpenVPN Client brauchen.

IKEv2 und L2TP routen bei aufgebauter VPN-Verbindung sämtlichen Datentraffic zunächst in den VPN-Tunnel hinein (0.0.0.0/0), so dass ein Übergang ins Internet erst in der Zentrale erfolgt, wo mit entsprechenden Firewallregeln, Proxies und Security Services die User gleichermaßen geschützt sind, als wären sie in der Zentrale. Man muss allerdings beachten, dass die vom Client verursachte (Internet-)Bandbreite sogar mit dem Faktor 2 auf der Internet-Leitung der Zentrale anfällt. Bei SSL-VPN und IPSec ist wahlweise auch Split Tunneling möglich. Dabei werden nur die IP-Subnetze der Zentrale über den VPN-Tunnel erreicht, während normaler Internet-Traffic über das lokale Gateway hinausgeroutet wird, auf dem aber evtl. keine Security Services vorhanden sind.

Grundsätzlich kann man bei allen Technologien durch geschickte Firewallregeln dafür sorgen, dass bestimmte User auch nur zu bestimmten Zielen durchgelassen werden (i.d.R. auf Basis einer Gruppenmitgliedschaft).
emblem-rechts  Weiterführende Links
>> [Link] WatchGuard Help Center mit ausführlicher Gegenüberstellung der einzelnen VPN-Technologien
>> [Link] Mobile VPN mit IKEv2 (Einstiegspunkt WatchGuard Help Center)
>> [Link] Mobile VPN mit L2TP (Einstiegspunkt WatchGuard Help Center)
>> [Link] Mobile VPN mit SSL (Einstiegspunkt WatchGuard Help Center)
>> [Link] Mobile VPN mit IPSec (Einstiegspunkt WatchGuard Help Center)

 


WatchGuard Firebox T-Serie für Site-to-Site VPN-Verbindung

Wenn die Ausstattung im Homeoffice umfangreicher ist und z.B. auch Netzwerkdrucker oder IP-Telefon(e) von der Zentrale aus erreicht werden müssen, bietet sich eine kleine WatchGuard Firebox der T-Serie für das Homeoffice an, über die eine dauerhafte Site-to-Site Verbindung (BOVPN) eingerichtet werden kann. Durch Segmentierung ist zudem eine klare Trennung von privat und geschäftlich genutzten Endgeräten möglich.

TECH TALK TICKER: +++++ Je nach Routing-Konzept (Stichwort: 0.0.0.0/0 Route) können die Geräte mit den Security Services oder auch nur mit Standard Support lizensiert werden. +++++ Optimalerweise hängt die Firebox direkt am DSL-Anschluss und übernimmt auch die PPPoE-Einwahl. +++++ Der Betrieb hinter einem vorgelagerten Router ist auch möglich (Stichworte: Transfernetz und Exposed Host bzw. DMZ Host). +++++ Damit ist die klassische Site-to-Site BOVPN-Anbindung über IPSec möglich. +++++ Muss der private Internet-Anschluss im Homeoffice mitgenutzt werden, kann als schnelle Lösung auf BOVPN-over-TLS zurückgegriffen werden. +++++ Das External Interface der Firebox wird dabei passend zum Heimnetzwerk konfiguriert (meist DHCP). +++++ Gut zu wissen: das in den Wireless Modellen der T-Serie (-W) vorhandene WLAN-Modul kann auch als “External” genutzt werden. Die Firebox kann so einfach in ein vorhandenes WLAN (!) eingebunden werden. +++++ Damit können Sie eine “Homeoffice in a Box”-Lösung konzipieren, die weitgehend unabhängig von den örtlichen Gegebenheiten in den Homeoffices ist. +++++ Am PoE-Port der T45-PoE/T45-W-PoE/T85-PoE kann ein separater WLAN Access Point oder z.B. ein IP-Telefon angeschlossen werden. +++++ Mehrere Interfaces können zu einer Bridge zusammengefasst werden, meist erübrigt sich dadurch ein zusätzlicher Switch. +++++ Die kleinen Fireboxen können über einen WatchGuard Management Server auch zentral administriert werden.+++++

emblem-imp  Ergänzende Informationen
Die Firebox NV5 und T25 wird empfohlen für den Betrieb an Standorten mit bis zu 5 Usern, die T45 bis zu 20 Usern und die T85 bis zu 50 Usern. Es gibt auch Varianten mit integriertem WLAN-Access Point: T25-W, T45-W-PoE. Alternativ besteht auch die Möglichkeit, die Firebox als Gateway Wireless Controller zu verwenden und darüber bis zu 20 eigenständige WatchGuard Access Points mit Basic Wi-Fi zu verwalten. Noch komfortabler ist die Verwendung der WatchGuard Access Points mit Secure Wi-Fi oder Total Wi-Fi Lizensierung (Wi-Fi 5 Access Points). Die neuesten Wi-Fi 6  APs werden ausschließlich in der Cloud verwaltet. Dort lassen sich beliebig große Organisationsbäume abbilden, so dass mit wenig Aufwand an allen Standorten einheitliche WLAN-Einstellungen zur Verfügung gestellt werden können.
emblem-rechts  Weiterführende Links
>> [Link] Preisinformationen und Bestellmöglichkeit (WatchGuard Firebox Tabletop Serie)
>> [Link] Preisinformationen und Bestellmöglichkeit (WatchGuard Firebox Rackmount Serie)
>> [Link] WatchGuard Security Services und Suites
>> [Link] Basic Security Suite vs. Total Security Suite
>> [Link] Zentralisiertes Management mit dem WatchGuard Management Server
>> [Link] Preisinformationen und Bestellmöglichkeit (WatchGuard Access Points)
>> [Link] Secure Wi-Fi Infoportal (Alles rund um Secure Wi-Fi Access Points)

 


Premium IPSec Client (basierend auf NCP Technologie)

Der NCP Client bietet erweiterten Komfort wie Windows Pre-Logon und eine integrierte Client-Firewall, mit der das Endgerät bei aufgebauter VPN-Verbindung von seinem lokalen Netzwerk isoliert werden kann – sehr wichtig z.B. beim Betrieb in öffentlichen oder häuslichen WLAN-Netzen!
Der NCP Client arbeitet mit allen Authentifizierungs-Methoden der WatchGuard zusammen, also auch mit MFA-Lösungen über RADIUS. Die Lizensierung erfolgt pro Endgerät. Es gibt Einzellizenzen für Windows und MacOS sowie 10-er und 50-er Volumenlizenzen, für die aber das Aufsetzen und der laufende Betrieb eines (kostenfreien) Lizenzservers erforderlich ist.
Sie können den NCP Client zunächst 30 Tage kostenlos testen. Die Downloads finden Sie im WatchGuard Software Portal bzw. etwas tiefer bei den “Weiterführenden Links”.

emblem-imp  Ergänzende Informationen
Weitere interessante Features sind Seamless Roaming und Always On, die dafür sorgen, dass die VPN-Verbindung auch bei einem Medienwechsel z.B. vom LAN ins WLAN oder Mobilfunknetz nicht verloren geht und sogar auch nach einem Umschalten in den Energiesparmodus ein automatischer Reconnect ausgeführt wird. Bitte beachten Sie, dass ein automatischer Reconnect beim Einsatz einer 2FA/MFA-Lösung grundsätzlich nicht möglich ist, da - systembedingt - der Verbindungsaufbau jedes Mal erneut authentifiziert werden muss.
emblem-rechts  Weiterführende Links
>> [Link] Preisinformationen und Bestellmöglichkeit
>> [PDF] Fact Sheet zum NCP Premium IPSec Client
>> [PDF] Installation and Operation Guide zum Lizenzserver
>> [Download] NCP IPSec Client für Windows (32 Bit)
>> [Download] NCP IPSec Client für Windows (64 Bit)
>> [Download] NCP IPSec Client für MacOS (64 Bit)
>> [Download] WatchGuard Mobile VPN Lizenzserver (MVLS)

 


WatchGuard Access Portal

Das Access Portal stellt Außendienstmitarbeitern und Homeoffice Usern einen browserbasierten Zugang zu internen Ressourcen bereit – ohne dass dafür ein VPN-Client installiert oder konfiguriert werden muss.

Beispiele sind: Zugriff auf Terminalserver über RDP oder Linux-Server über SSH. Auch Microsoft Exchange (OWA, Outlook, ActiveSync) kann über das Access Portal publiziert werden ohne dass der Exchange-Server über eine direkte SNAT-Policy von außen zugänglich sein muss.
Nach erfolgreicher User-Anmeldung – gerne über eine MFA-Lösung wie AuthPoint zusätzlich abgesichert (siehe weiter unten) – stehen auf einer Weboberfläche diverse Icons zu Zielsystemen bzw. Anwendungen zur Verfügung. Auch die Weiterreichung an Cloud-Anwendungen wie Office 365, Dropbox, Salesforce usw. per SAML wird unterstützt.

Access Portal ist Bestandteil der Total Security Suite auf den aktuellen Firebox M Modellen sowie den etwas älteren M400/M500 Boxen. Auf den neuen Firebox T45, T45-PoE, T45-W-PoE und T85-PoE Modellen ist Access Portal in allen Lizensierungsstufen enthalten – auch bei Standard Support und Basic Security Suite.
Falls Ihre Firebox M noch keine “Total Security Suite” hat: Access Portal wird über die Hochstufung Ihrer Firebox M auf die “Total Security Suite” lizensiert. Die genauen Kosten dafür rechnen wir Ihnen basierend auf der Seriennummer Ihres Geräts gerne aus. Die Restlaufzeit der bisherigen Lizenzen wird dabei in voller Höhe berücksichtigt! Das gilt auch beim Umstieg auf eine neuere/größere Firebox im Rahmen der “Trade-Up Promotion”! Nutzen Sie für Ihre Anfrage einfach unser Kontaktformular und geben Sie am besten gleich die betreffende Seriennummer an.

emblem-imp  Ergänzende Informationen
Der Zugriff auf RDP-basierte Terminal Server wird über einen im Access Portal auf der WatchGuard Firebox laufenden Reverse-Proxy und HTML5 realisiert. Damit können Applikationen auf dem Terminalserver bedient werden. Es ist aber z.B. nicht möglich, eine Druckerfreigabe durchzuschleifen oder direkt auf das Filesystem des Servers zuzugreifen.

Im Hinblick auf die Exchange-Anbindung über das Access Portal sollten die gleichen Voraussetzungen gegeben sein, wie wir sie hier in diesem Blogartikel zum Thema Kompatibilität HTTPS-Reverse-Proxy und Exchange/Outlook beschreiben.

emblem-rechts  Weiterführende Links
>> [PDF] Kurzbeschreibung Access Portal
>> [Link] WatchGuard Security Services und Suites
>> [Link] Basic Security Suite vs. Total Security Suite
>> [Webinar] Best Practice: Access Portal - Grundlagen und Konfigurationen (29:47 min)
>> [Webinar] Best Practice: Access Portal - Vertiefung und SAML Integration (15:25 min)
>> [Webinar] Best Practice: Access Portal - Integration mit Multifaktor-Authentifizierung (29:42 min)
>> [Blog] Clientless VPN mit dem WatchGuard Access Portal
>> [Blog] WatchGuard Access Portal in Verbindung mit Terminal Server Farm

 


WatchGuard AuthPoint (Multifaktor-Authentifizierung)

Vermeiden Sie das Risiko von schwachen Passwörtern! Mit AuthPoint, der kostengünstigen Multifaktor-Authentifizierung (MFA) Lösung von WatchGuard erhöhen Sie die Sicherheit von VPN-Einwahlen, Cloud-Anwendungen und Webportalen wie dem WatchGuard Access Portal.

Damit sich ein User erfolgreich einloggen kann, ist neben Benutzername und Kennwort ein weiterer “Faktor” erforderlich. Das kann die AuthPoint-App auf dem Smartphone sein, die u.a. eine komfortable Push Notification bietet oder ein klassischer Hardware-Token mit einem 6-stelligen Einmal-Passwort. AuthPoint arbeitet cloudbasiert und benötigt keinen dedizierten Server. Dadurch eignet es sich auch für kleine und mittelständische Unternehmen.WatchGuard AuthPoint arbeitet cloudbasiert und benötigt keinen dedizierten Server. Dadurch eignet es sich auch für kleine und mittelständische Unternehmen.

Gerne stellen wir Ihnen eine kostenlose 60-Tage-Testlizenz zur Verfügung, die später auch sofort in den Dauerbetrieb überführt werden kann. Zum schnellen und einfachen Einstieg bieten wir Ihnen unsere “Geführte Installation” für 280 EUR zzgl. MwSt. an.

emblem-imp  Ergänzende Informationen
Zum Testen bietet WatchGuard eine 60-Tage Version kostenfrei an. Wenn Sie eine WatchGuard mit der Total Security Suite haben oder kaufen, gibt Ihnen WatchGuard sogar eine vollwertige 5-User Lizenz mit 1 Jahr Laufzeit kostenfrei dazu. Nähere Infos unten über den Link "WatchGuard AuthPoint kostenlos testen".

Wenn Sie einen Hardware Token in Form eines Schlüsselanhängers bevorzugen: wir können Ihnen die bekannten VASCO/OneSpan GO-6 Token in einer speziellen Ausführung liefern - mit der passenden Lizenzdatei für WatchGuard AuthPoint! (Mindestabnahmemenge 5 Stück)

AuthPoint ist auch Bestandteil der neuen Client Security Suite von WatchGuard namens "Passport". Diese Suite soll genau solche Endgeräte schützen, die temporär nicht im sicheren Firmennetzwerk betrieben werden, sondern unterwegs oder eben im Homeoffice. Passport enthält weiterhin die Anti-Phishing Komponente DNSWatchGO sowie auch auch WatchGuard EPDR inkl. lokaler Antivirus-Komponente.
emblem-rechts  Weiterführende Links
>> [Link] Preisinformationen und Bestellmöglichkeit (AuthPoint)
>> [Link] Preisinformationen und Bestellmöglichkeit (Passport Suite)
>> [Link] WatchGuard AuthPoint Infoportal (Alles rund um AuthPoint!)
>> [Link] Interaktive Online-Demos zu AuthPoint
>> [Blog] WatchGuard AuthPoint kostenlos testen
>> [PDF] Voraussetzungen für die Erstinstallation

 


WatchGuard EPDR – Endpoint Security

Endpoint Security-Lösungen von WatchGuard bieten die Technologien, die zum Stoppen fortschrittlicher Cyberangriffe auf Endpunkte erforderlich sind, einschließlich Antivirusprogramme der nächsten Generation (EPP), Endpoint Detection and Response (EDR)- sowie DNS-Filterungslösungen. Sie schützen Endgeräte vor Malware, auch außerhalb des Firmennetzwerks – unterwegs oder im Homeoffice.

WatchGuard verfolgt dabei im Gegensatz zu klassischen Antivirus-Herstellern einen “Zero-Trust” Ansatz, d.h. auf den Endgeräten können nur solche Programme und Prozesse gestartet werden, die von WatchGuard als 100% unschädlich eingestuft worden sind. Unbekannte Prozesse werden zunächst im WatchGuard -Labor untersucht und klassifiziert. So kann eine Infektion durch Malware praktisch ausgeschlossen werden.

Neben dem Kernprodukt WatchGuard EPDR gruppieren sich Erweiterungsoptionen wie Patch Management, Full Encryption, Data Control und das Advanced Reporting Tool – alles bereitgestellt über einen einzigen kompakten Agenten und verwaltet über eine zentrale cloudbasierte Plattform.

Gerne stellen wir Ihnen eine kostenlose 30-Tage-Testlizenz zur Verfügung, die später auch sofort in den Dauerbetrieb überführt werden kann.

emblem-rechts  Weiterführende Links
>> [Link] Preisinformationen und Bestellmöglichkeit (WatchGuard EPDR)
>> [Link] WatchGuard Endpoint Security Infoportal (Alles rund um Endpoint Security!)
>> [Link] WatchGuard Endpoint Security Demo 
>> [PDF] Datenblatt WatchGuard EPDR
>> [PDF] Broschüre WatchGuard Endpoint Security

 


Schulungen, Webinare, Dienstleistungen, Support

Als WatchGuard Certified Training Partner bieten wir regelmäßig alle 1-2 Monate eine 4-tägige WatchGuard Administrator-Schulung  an wechselnden Orten im Bundesgebiet oder auch Online an. Alle Termine finden Sie unter www.boc.de/schulungen. Sollte es zu Terminverschiebungen kommen, behalten Buchungen selbstverständlich ihre Gültigkeit.

Auch Individualschulungen und Installationen als “Training on the job” bei Ihnen vor Ort müssen auf einen späteren Zeitpunkt verschoben werden. Gerne stehen wir Ihnen aber für Teamviewer-Sitzungen und Online-Meetings zur Verfügung.

Nutzen Sie auch die kostenfreien Webinare von WatchGuard selbst. Alle Termine finden Sie regelmäßig in unserem Terminkalender. In unserem Video-Archiv finden Sie auch Aufzeichnungen von vielen vergangenen Veranstaltungen.

Brauchen Sie Support? Nutzen Sie gerne das Webformular www.boc.de/support, um schnell und einfach ein Support-Ticket bei uns zu öffnen.

emblem-rechts  Weiterführende Links
>> [Link] Terminkalender mit BOC- und WatchGuard-Veranstaltungen
>> [Link] Video-Archiv (Aufzeichnungen vergangener WatchGuard Webinare)
>> [Link] WatchGuard Administratorschulungen
>> [Link] WatchGuard Individualschulungen
>> [Link] Die BOC Support-Philosophie
>> [Link] BOC Stundensätze und Dienstleistungspakete
>> [Link] Support-Ticket bei BOC öffnen