WatchGuard Lösungen für Home Office Anbindung

WatchGuard Lösungen für Home Office Anbindungen

Alle sprechen in diesen Tagen vom Arbeiten im Home Office. Eine Herausforderung für die IT-Abteilung bzw. den Systemadministrator. Wir wollen Ihnen hier möglichst viele Informationen und Lösungsansätze in kompakter Form liefern, wie Sie Ihre eigene Home Office Strategie mit WatchGuard Produkten erfolgreich umsetzen können.

Wir, die BOC IT-Security GmbH – WatchGuard Platinum Partner und WatchGuard Partner of the Year 2019/2020 – sind bereits vollständig auf Home Office umgestellt. Alle Kollegen sind voll einsatzbereit – auch der Warenfluss funktioniert und wir haben viele Produkte bei uns direkt auf Lager. Sie erreichen uns auf den bekannten Kommunikationswegen. Gerne helfen wir Ihnen bei der Umsetzung – sprechen Sie uns an! Aber vor allem: Bleiben Sie gesund!


Mobile User VPN Technologien

Der wichtigste Schlüssel zur sicheren Home Office Anbindung ist die VPN-Technologie. Jede WatchGuard Firewall bietet ohne Zusatzkosten VPN für Mobile User bzw. Home Offices. Folgende VPN-Technologien stehen auf der WatchGuard zur Verfügung: SSL-VPN, IPSec, L2TP, IKEv2.

Die Anzahl gleichzeitiger VPN-Verbindungen hängt vom jeweiligen Firebox-Modell ab. Sie kann nicht erhöht werden. Natürlich besteht immer die Möglichkeit, im Rahmen der Trade-Up Promotion auf eine größere Firebox mit mehr Verbindungen umzusteigen. Sie könnten aber auch – zumindest vorübergehend – einfach mehrere dieser Technologien konfigurieren und die User darauf verteilen:

Firebox
Modell
T10
T10-W
T15
T15-W
T30
T30-W
T35
T35-W
T50
T50-W
T55
T55-W
T70 M200 M270 M300 M370 M400 M440 M470 M500 M570 M670 M4600 M5600
SSL-VPN 5 5 25 25 50 50 60 75 75 100 150 150 300 250 500 500 750 10000 unlimited
L2TP 5 5 25 25 50 50 60 75 75 100 150 150 300 250 500 500 750 10000 unlimited
IPSec/IKEv2 5 5 25 25 50 50 60 75 75 100 150 150 300 250 500 500 750 10000 unlimited

[Nähere Infos und Preise zu den jeweiligen Modellen durch Klick auf die Modellbezeichnung. Bei den FETT dargestellten Modellen handelt es sich um die aktuelle Gerätegeneration, bei den dünn dargestellten Modellen um die Vorgängerserie (“End-of-Sale” – kein Neukauf mehr möglich; Lizenzen auf den älteren Modellen können aber noch bis zum 31.12.2022 verlängert werden).]

L2TP und IKEv2 werden schon mit den Bordmitteln der gängigen Betriebssysteme unterstützt, ohne dass ein zusätzlicher Software-Client installiert werden muss. Für SSL-VPN bietet WatchGuard kostenfrei einen Client für Windows und MacOS an. Sie können auch den Original OpenVPN Client verwenden, der noch eine ganze Reihe anderer Betriebssysteme unterstützt. Für IPSec wird der (kostenpflichtige) Premium IPSec Client von NCP empfohlen, der im nächsten Abschnitt vorgestellt wird.

Die Technologien unterscheiden sich bei den Möglichkeiten der User Authentifizierung. Alle Technologien unterstützen die Firebox-DB, also lokal auf der Firebox gepflegte Benutzernamen/Kennwörter. Eine direkte Authentifizierung gegenüber Active Directory ist bei SSL-VPN und IPSec möglich. Bei den anderen Technologien geht dies auch – unter Zuhilfenahme eines RADIUS-Servers, also z.B. dem in Windows Server enthaltenen NPS (Network Policy Server). Über RADIUS lassen sich auch 2FA bzw. MFA (Multi-Factor Authentication) Lösungen anbinden wie z.B. WatchGuard AuthPoint, das weiter unten vorgestellt wird. Mit MFA erhöhen Sie die Sicherheit Ihres VPN-Zugangs, da dann eine Einwahl nur noch dann zugelassen wird, wenn ein zweiter Faktor (Hardware-Token oder Smartphone-App) erfolgreich bedient wird.
Die Technologien unterscheiden sich auch hinsichtlich des Routings, Stichwort Split Tunneling.

Für hohe Performance empfiehlt sich IKEv2 in Verbindung mit AES-GCM. Hier übernimmt der in den meisten Firebox-Modellen integrierte Hardware-Crypto-Beschleuniger die Rechenarbeit und die eigentliche CPU kann sich um ihre anderen Aufgaben kümmern.

emblem-imp  Ergänzende Informationen
Die WatchGuard SSLVPN-Clients für Windows und MacOS finden Sie im WatchGuard Software Portal, wenn Sie zunächst in der Pulldown-Liste Ihr Modell auswählen und dann etwas herunterscrollen. Ein anderer Weg führt über die Anmeldung an der SSLVPN Authentication Page Ihrer eigenen WatchGuard Firebox (https://[Ihre-IP]/sslvpn.html, ggfs. abweichenden Port beachten). Dort werden Ihnen ebenfalls die Software-Clients zum Download angeboten. Dort finden Sie auch die .ovpn Datei, die Sie für den Import in den Original OpenVPN Client brauchen.

IKEv2 und L2TP routen bei aufgebauter VPN-Verbindung sämtlichen Datentraffic zunächst in den VPN-Tunnel hinein (0.0.0.0/0), so dass ein Übergang ins Internet erst in der Zentrale erfolgt, wo mit entsprechenden Firewallregeln, Proxies und Security Services die User gleichermaßen geschützt sind, als wären sie in der Zentrale. Man muss allerdings beachten, dass die vom Client verursachte (Internet-)Bandbreite sogar mit dem Faktor 2 auf der Internet-Leitung der Zentrale anfällt. Bei SSL-VPN und IPSec ist wahlweise auch Split Tunneling möglich. Dabei werden nur die IP-Subnetze der Zentrale über den VPN-Tunnel erreicht, während normaler Internet-Traffic über das lokale Gateway hinausgeroutet wird, auf dem aber evtl. keine Security Services vorhanden sind.

Grundsätzlich kann man bei allen Technologien durch geschickte Firewallregeln dafür sorgen, dass bestimmte User auch nur zu bestimmten Zielen durchgelassen werden (i.d.R. auf Basis einer Gruppenmitgliedschaft).
emblem-rechts  Weiterführende Links
>> [Link] WatchGuard Help Center mit ausführlicher Gegenüberstellung der einzelnen VPN-Technologien
>> [Link] Mobile VPN mit IKEv2 (Einstiegspunkt WatchGuard Help Center)
>> [Link] Mobile VPN mit L2TP (Einstiegspunkt WatchGuard Help Center)
>> [Link] Mobile VPN mit SSL (Einstiegspunkt WatchGuard Help Center)
>> [Link] Mobile VPN mit IPSec (Einstiegspunkt WatchGuard Help Center)

 


Premium IPSec Client (basierend auf NCP Technologie)

Der NCP Client bietet erweiterten Komfort wie Windows Pre-Logon und eine integrierte Client-Firewall, mit der das Endgerät bei aufgebauter VPN-Verbindung von seinem lokalen Netzwerk isoliert werden kann – sehr wichtig z.B. beim Betrieb in öffentlichen oder häuslichen WLAN-Netzen!
Der NCP Client arbeitet mit allen Authentifizierungs-Methoden der WatchGuard zusammen, also auch mit MFA-Lösungen über RADIUS. Die Lizensierung erfolgt pro Endgerät. Es gibt Einzellizenzen für Windows und MacOS sowie 10-er und 50-er Volumenlizenzen, für die aber das Aufsetzen und der laufende Betrieb eines (kostenfreien) Lizenzservers erforderlich ist.
Sie können den NCP Client zunächst 30 Tage kostenlos testen.Die Downloads finden Sie im WatchGuard Software Portal bzw. etwas tiefer bei den “Weiterführenden Links”.

emblem-imp  Ergänzende Informationen
Weitere interessante Features sind Seamless Roaming und Always On, die dafür sorgen, dass die VPN-Verbindung auch bei einem Medienwechsel z.B. vom LAN ins WLAN oder Mobilfunknetz nicht verloren geht und sogar auch nach einem Umschalten in den Energiesparmodus ein automatischer Reconnect ausgeführt wird. Bitte beachten Sie, dass ein automatischer Reconnect beim Einsatz einer 2FA/MFA-Lösung grundsätzlich nicht möglich ist, da - systembedingt - der Verbindungsaufbau jedes Mal erneut authentifiziert werden muss.
emblem-rechts  Weiterführende Links
>> [Link] Preisinformationen und Bestellmöglichkeit
>> [PDF] Fact Sheet zum NCP Premium IPSec Client
>> [PDF] Installation and Operation Guide zum Lizenzserver
>> [Download] NCP IPSec Client für Windows (32 Bit)
>> [Download] NCP IPSec Client für Windows (64 Bit)
>> [Download] NCP IPSec Client für MacOS (64 Bit)
>> [Download] WatchGuard Mobile VPN Lizenzserver (MVLS)

 


WatchGuard Access Portal

Access Portal ist Bestandteil der Total Security Suite auf den aktuellen Firebox M Modellen sowie den etwas älteren M400/M500 Boxen. Mit dem Access Portal können Sie Ihren Außendienstmitarbeitern und Home Office Usern einen browserbasierten Zugang zu internen Ressourcen bereitstellen – ohne dass dafür ein VPN-Client installiert oder konfiguriert werden muss.

Klassische Anwendungsfälle sind der Zugriff auf Terminalserver über RDP oder Linux-Server über SSH. Zudem kann Microsoft Exchange (OWA, Outlook, ActiveSync) über das Access Portal publiziert werden ohne dass der Exchange-Server über eine direkte SNAT-Policy von außen zugänglich sein muss.
Nach erfolgreicher User Authentication, die gerne auch über eine MFA-Lösung wie WatchGuard AuthPoint noch zusätzlich abgesichert werden kann (siehe weiter unten), stehen dem Benutzer auf einer Weboberfläche diverse Icons zu Zielsystemen bzw. Anwendungen zur Verfügung. Dies können auch cloudbasierte Anwendungen wie Office 365, Dropbox, Salesforce usw. sein, an die die bereits erfolgte User Authentication dann per SAML weitergereicht wird.

Falls Ihre Firebox keine “Total Security Suite” hat: Das Access Portal kann nicht einzeln lizensiert werden. Der Weg führt nur über die Hochstufung Ihrer Firebox auf die “Total Security Suite”. Die genauen Kosten dafür können wir Ihnen basierend auf der Seriennummer des Geräts gerne ausrechnen. Die Restlaufzeit der bisherigen Lizenzen wird dabei in voller Höhe berücksichtigt! Das gilt auch beim Umstieg auf eine neuere/größere Firebox im Rahmen der “Trade-Up Promotion”! Nutzen Sie für Ihre Anfrage einfach unser Kontaktformular und geben Sie am besten gleich die betreffende Seriennummer an.

emblem-imp  Ergänzende Informationen
Der Zugriff auf RDP-basierte Terminal Server wird über einen im Access Portal auf der WatchGuard Firebox laufenden Reverse-Proxy und HTML5 realisiert. Damit können Applikationen auf dem Terminalserver bedient werden. Es ist aber z.B. nicht möglich, eine Druckerfreigabe durchzuschleifen oder direkt auf das Filesystem des Servers zuzugreifen.

Im Hinblick auf die Exchange-Anbindung über das Access Portal sollten die gleichen Voraussetzungen gegeben sein, wie wir sie hier in diesem Blogartikel zum Thema Kompatibilität HTTPS-Reverse-Proxy und Exchange/Outlook beschreiben.

emblem-rechts  Weiterführende Links
>> [PDF] Kurzbeschreibung Access Portal
>> [Link] WatchGuard Security Services und Suites
>> [Link] Basic Security Suite vs. Total Security Suite
>> [Webinar] Best Practice: Access Portal - Grundlagen und Konfigurationen (29:47 min)
>> [Webinar] Best Practice: Access Portal - Vertiefung und SAML Integration (15:25 min)
>> [Webinar] Best Practice: Access Portal - Integration mit Multifaktor-Authentifizierung (29:42 min)
>> [Blog] Clientless VPN mit dem WatchGuard Access Portal
>> [Blog] WatchGuard Access Portal in Verbindung mit Terminal Server Farm

 


WatchGuard AuthPoint (MFA)

Vermeiden Sie das Risiko von schwachen Passwörtern! Mit AuthPoint, der kostengünstigen Multifaktor-Authentifizierung (MFA) Lösung von WatchGuard erhöhen Sie die Sicherheit von VPN-Einwahlen, Cloud-Anwendungen und Webportalen wie dem WatchGuard Access Portal.
Außer Benutzernamen und Kennwort ist ein weiterer “Faktor” erforderlich, damit sich der User erfolgreich einloggen kann.
Dies kann die AuthPoint-App auf dem Smartphone sein, die u.a. eine komfortable Push Notification bietet oder ein klassischer Hardware-Token mit einem 6-stelligen OTP.

WatchGuard AuthPoint arbeitet cloudbasiert und benötigt keinen dedizierten Server. Dadurch eignet es sich auch für kleine und mittelständische Unternehmen. Zum schnellen und einfachen Einstieg bieten wir Ihnen unsere “Geführte Installation” für 250 EUR zzgl. MwSt. an.

emblem-imp  Ergänzende Informationen
Zum Testen bietet WatchGuard eine 30-Tage Version kostenfrei an. Wenn Sie eine WatchGuard mit der Total Security Suite haben oder kaufen, gibt Ihnen WatchGuard sogar eine vollwertige 5-User Lizenz mit 1 Jahr Laufzeit kostenfrei dazu. Nähere Infos unten über den Link "WatchGuard AuthPoint kostenlos testen".

Wenn Sie einen Hardware Token in Form eines Schlüsselanhängers bevorzugen: wir können Ihnen die bekannten VASCO/OneSpan GO-6 Token in einer speziellen Ausführung liefern - mit der passenden Lizenzdatei für WatchGuard AuthPoint! (Mindestabnahmemenge 5 Stück)

AuthPoint ist auch Bestandteil der neuen Client Security Suite von WatchGuard namens "Passport". Diese Suite soll genau solche Endgeräte schützen, die temporär nicht im sicheren Firmennetzwerk betrieben werden, sondern unterwegs oder eben im Home Office. Passport enthält weiterhin die Anti-Phishing Komponente DNSWatchGO sowie in Kürze auch Endpoint Security (ähnlich TDR) und - nachdem WatchGuard vor kurzem die Firma "Panda Security" gekauft hat - auch eine lokale Antivirus-Komponente. Kunden, die jetzt schon "Passport" lizensieren, erhalten 20% Zusatz-Rabatt und bekommen die neuen Services bei Verfügbarkeit kostenlos dazu.
emblem-rechts  Weiterführende Links
>> [Link] Preisinformationen und Bestellmöglichkeit (AuthPoint)
>> [Link] Preisinformationen und Bestellmöglichkeit (Passport Suite)
>> [Link] WatchGuard AuthPoint Infoportal (Alles rund um AuthPoint!)
>> [Link] Interaktive Online-Demos zu AuthPoint
>> [Blog] WatchGuard AuthPoint kostenlos testen
>> [PDF] Voraussetzungen für die Erstinstallation

 


WatchGuard Firebox T-Serie für Site-to-Site VPN-Verbindung

Wenn die Ausstattung im Home Office umfangreicher ist und z.B. auch Netzwerkdrucker oder IP-Telefon(e) von der Zentrale aus erreicht werden müssen, bietet sich eine kleine WatchGuard Firebox der T-Serie für das Home Office an, über die eine dauerhafte Site-to-Site Verbindung (BOVPN) eingerichtet werden kann. Durch Segmentierung ist zudem eine klare Trennung von privat und geschäftlich genutzten Endgeräten möglich.

TECH TALK TICKER: +++++ Je nach Routing-Konzept (Stichwort: 0.0.0.0/0 Route) können die Geräte mit den Security Services oder auch nur mit Standard Support lizensiert werden. +++++ Optimalerweise hängt die Firebox direkt am DSL-Anschluss und übernimmt auch die PPPoE-Einwahl. +++++ Der Betrieb hinter einem vorgelagerten Router ist auch möglich (Stichworte: Transfernetz und Exposed Host bzw. DMZ Host). +++++ Damit ist die klassische Site-to-Site BOVPN-Anbindung über IPSec möglich. +++++ Muss der private Internet-Anschluss im Home Office mitgenutzt werden, kann als schnelle Lösung auf BOVPN-over-TLS zurückgegriffen werden. +++++ Das External Interface der Firebox wird dabei passend zum Heimnetzwerk konfiguriert (meist DHCP). +++++ Gut zu wissen: das in den Wireless Modellen der T-Serie (-W) vorhandene WLAN-Modul kann auch als “External” genutzt werden. Die Firebox kann so einfach in ein vorhandenes WLAN (!) eingebunden werden. +++++ Damit können Sie eine “Home Office in a Box”-Lösung konzipieren, die weitgehend unabhängig von den örtlichen Gegebenheiten in den Home Offices ist. +++++ Am PoE-Port der T35/T55/T70 kann ein separater WLAN Access Point oder z.B. ein IP-Telefon angeschlossen werden. +++++ Mehrere Interfaces können zu einer Bridge zusammengefasst werden, meist erübrigt sich dadurch ein zusätzlicher Switch. +++++ Die kleinen Fireboxen können über einen WatchGuard Management Server auch zentral administriert werden.+++++

emblem-imp  Ergänzende Informationen
Die Firebox T15 wird empfohlen für den Betrieb an Standorten mit bis zu 5 Usern, die T35 bis zu 20 Usern, die T55 bis zu 35 Usern und die T70 bis zu 60 Usern. Es gibt auch Varianten mit integriertem WLAN-Access Point: T15-W, T35-W, T55-W. Alternativ besteht auch die Möglichkeit, die Firebox als Gateway Wireless Controller zu verwenden und darüber bis zu 20 eigenständige WatchGuard Access Points mit Basic Wi-Fi zu verwalten. Noch komfortabler ist die Verwendung der WatchGuard Access Points mit Secure Wi-Fi oder Total Wi-Fi Lizensierung. Diese APs werden in der Cloud verwaltet. Dort lassen sich beliebig große Organisationsbäume abbilden, so dass mit wenig Aufwand an allen Standorten einheitliche WLAN-Einstellungen zur Verfügung gestellt werden können.
emblem-rechts  Weiterführende Links
>> [Link] Preisinformationen und Bestellmöglichkeit (WatchGuard Firebox Tabletop Serie)
>> [Link] Preisinformationen und Bestellmöglichkeit (WatchGuard Firebox Rackmount Serie)
>> [Link] WatchGuard Security Services und Suites
>> [Link] Basic Security Suite vs. Total Security Suite
>> [Link] Zentralisiertes Management mit dem WatchGuard Management Server
>> [Link] Preisinformationen und Bestellmöglichkeit (WatchGuard Access Points)
>> [Link] Secure Wi-Fi Infoportal (Alles rund um Secure Wi-Fi Access Points)

 


Schulungen, Webinare, Dienstleistungen, Support

Als WatchGuard Certified Training Partner bieten wir regelmäßig alle 1-2 Monate eine 4-tägige WatchGuard Administrator-Schulung an. Im Zuge der Maßnahmen zur Bekämpfung des Coronavirus setzen wir diese Schulungen bis auf weiteres aus. Bestehende Buchungen behalten ihre Gültigkeit. Sobald sich die Lage entspannt, werden wir neue Termine ansetzen.

Auch Individualschulungen und Installationen als “Training on the job” bei Ihnen vor Ort müssen auf einen späteren Zeitpunkt verschoben werden. Gerne stehen wir Ihnen aber für Teamviewer-Sitzungen und Online-Meetings zur Verfügung.

Nutzen Sie auch die kostenfreien Webinare, die WatchGuard selbst anbietet. In den nächsten Tagen stehen an:

Klicken Sie die o.g. Veranstaltung an, um direkt zum Anmelde-Link zu gelangen. Alle weiteren Termine finden Sie regelmäßig in unserem Terminkalender. In unserem Video-Archiv finden Sie auch Aufzeichnungen von vielen vergangenen Veranstaltungen.

Supportanforderung: Gerne können Sie das Webformular https://www.boc.de/support nutzen, um schnell und einfach ein Support-Ticket bei uns zu öffnen.

emblem-rechts  Weiterführende Links
>> [Link] Terminkalender mit BOC- und WatchGuard-Veranstaltungen
>> [Link] Video-Archiv (Aufzeichnungen vergangener WatchGuard Webinare)
>> [Link] WatchGuard Administratorschulungen
>> [Link] WatchGuard Individualschulungen
>> [Link] Die BOC Support-Philosophie
>> [Link] BOC Stundensätze und Dienstleistungspakete
>> [Link] Support-Ticket bei BOC öffnen