Tag Archives: Fireware

Keine Sonderzeichen in Firewall-Kennwörtern!

Kleine Erinnerung (obwohl schon des öfteren thematisiert): Verwenden Sie an allen Stellen der XML-Konfigurationsdatei sowie in VPN Pre-Shared Keys und vor allem in der Status und der Configuration Passphrase der Firewall selbst ausschließlich ASCII-Zeichen des Zeichensatzes US-ASCII 7bit! Keine deutschen Umlaute äöü/ß, keine speziellen Sonderzeichen!
Ich musste heute eine X750e mit Fireware 10.2.11 “retten”, bei der der Kunde in der Configuration Passphrase ein €-Zeichen (EUR) verwendet hat. Effekt war, dass nur noch die Anmeldung mit der Status Passphrase möglich war, jedoch eben keine Änderungen mehr an der Konfigurationsdatei usw. Problemlösung war nur über Factory Reset und Restore/Aufspielen der letzten Konfigdatei möglich…

Dual Install von WSM 10.2.x und WSM 11.2.x

Wenn Sie – zum Beispiel für Migrationszwecke – auf der gleichen Windows-Maschine sowohl die Client-Komponenten des WSM 10.2.x als auch WSM 11.2.x benötigen, ist die Reihenfolge wichtig, in der die Installer ausgeführt werden:
Installieren Sie immer zuerst den WSM 10.2.x – und erst danach den WSM 11.2.x!

Wird der WSM 10 nämlich nach dem WSM 11 installiert, zerschießt der nachträglich ausgeführte WSM 10-Installer wichtige Teile der WSM 11-Komponenten. So kommt es dann bei der Migration von Fireboxen zu Problemen. Der Policy Manager von WSM 11 meldet beispielsweise beim Zugriff auf eine 10-er Box java.lang.IllegalArgumentException: Cannot support TLS_RSA_WITH_AES_256_CBC_SHA with currently installed providers. Oder sowohl “Quick Setup Wizard” als auch “Web Quick Setup Wizard” von WSM 10 laufen zwar durch, enden aber mit einer Fehlermeldung. Die Firebox selbst hängt, im LCD Display steht XModemRcv 115200 Start Remote Send…. Die Box lässt sich in diesem Zustand nur noch wieder in den Safe Mode booten (Down-Button), aber das hilft nicht weiter…

Bereinigen Sie die Installation auf Ihrer Windows-Maschine wie folgt:

  • WSM 10.x und 11.x deinstallieren
  • Restliche Fragmente der Java Runtime Engine in “Common FilesWatchGuardjava” löschen (“Gemeinsame Dateien”…)
  • Neuinstallation WSM 10.2.x
  • Neuinstallation WSM 11.2.x
  • Quick Setup Wizard der 10.2.x durchführen
  • Box sollte dann wieder „normal“ booten
  • Über den WSM 11.2.x mit der Box verbinden
  • Über den Policy Manager von 11.2.x die Box updaten…

Natürlich haben Sie sichergestellt, dass Sie Zugriff auf die letzte funktionierende XML-Konfigdatei und eigene Zertifikate/CA haben… 🙂

Software-Update auf 10.2.11 auf alten Firebox X Core und Peak

Bei den alten Modellen X Core X500, X700, X1000, X2500 sowie X Peak X5000, X6000, X8000 ist bekanntlich am 25.10.2009 das “End-of-Life” Datum erreicht worden, d.h. auch die Live Security ist an diesem Tag ausgelaufen. Ohne gültige Live Security können jedoch keine Software Updates mehr auf die Geräte aufgespielt werden. Wenn jedoch eine alte Firebox X tatsächlich bis zum 25.10.2009 unter Live Security gestanden ist, erstellt WatchGuard auf Antrag im Rahmen eines Support Incident einen 1-Tages-LiveSecurity-Key, mit dem das Gerät noch auf die letzte 10-er Version (10.2.11) upgegradet werden kann. WatchGuard weist jedoch ausdrücklich darauf hin, dass kein Support geleistet wird, sollte bei dem Software-Update etwas schiefgehen. Der Key wird jedoch nicht erstellt, wenn das Ablaufdatum der Live Security VOR dem 25.10.2009 lag, das Gerät auf “Retired” steht oder als Basis für ein Trade-Up verwendet worden ist.

[05.11.2009]: Sollten sich Probleme bei der Abwicklung über WatchGuard USA ergeben, kann auch ich Ihnen gegen Aufwandsentschädigung (ca. 1 Stunde Dienstleistung) helfen. Ich brauche das Gerät dann aber bei mir vor Ort!

WSM und Fireware 10.2.9 verfügbar

Im Software Download Bereich steht seit heute die Version 10.2.9 für Kunden mit aktiver Live Security zur Verfügung. Die Release Notes geben Aufschluss über Bugfix und neue Features:

Server Load Balancing (SLB) and VPN

  • A Firebox configured for server load balancing no longer stops sending traffic to a healthy server because of quick continuous requests, a missing route to a dead server, or interference from other SLB policies [35761]
  • A Firebox configured for server load balancing now considers a server as active as soon as it can set up a connection with the server, instead of waiting for three successful tries. [35550]
  • A problem that caused an IKED runtime crash with a pstack call “trace EIP:e045684d” is fixed. [32966, 36424]
  • The Mobile VPN with SSL client can now resolve host names on an internal DNS server. [28120]
  • If you have configured two DNS or WINS servers, both IP addresses are now assigned correctly to Mobile VPN clients (IPSec and PPTP). [12575, 33904]
  • A problem that caused an error “HTTP response code: 500 for URL: https://x.x.x.x:4117/cmm/cmd” when you saved a configuration in which Mobile VPN with SSL is enabled has been fixed. [28105]

High Availability

  • The primary HA Firebox no longer stays in the “in-transition” state indefinitely after you do an HA sync operation just after you save your configuration. [36033]
  • HA sync now completes successfully when two HA ports are used. [30207]
  • You can now use WSM to quickly create successive tunnels on Fireboxes in an HA pair and not lose management access. [36007]
  • VRRP logging messages no longer show in the log file unless the appropriate log level has been set. [35763]

Single Sign On

  • You can now install the SSO client on Windows Vista. [35869]
  • When you enable SSO, you can now obtain group information even if the SSO agent is not installed on the Domain Controller. [36043]
  • When you install the SSO client on Vista, you can now see the build number. [36289]
  • SSO client and agent communication is now more reliable and several timeout issues have been resolved. [35199, 35200]
  • SSO now ignores group names exceeding 32 characters and continues to process other group names. It no longer returns a “domain name str too log” error. [35988]

WSM Management

  • WSM no longer displays a device as “Pending” when it is not. [36080]
  • WSM can now handle different devices with identical IP addresses. It no longer shows a “Maintenance Alert” warning for these devices. [36068]
  • LogViewer can now display SMTP and POP3 log messages whose headers are encoded in ISO-2022-JP. [33460]
  • Firebox System Manager and Policy Manager now show and error that says “Invalid login/password” instead of “No SID” when users enter the wrong password when downloading a configuration, downloading a feature key, or during a system backup. [36959]
  • Service Watch can now reliably connect to the Firebox when there are a large number of policies. [37142]

Proxy

  • The Application Blocking feature now blocks the most recent versions of Yahoo! Messenger. [36268]
  • The Firebox now supports more than 1000 FTP proxy connections. [35998]

Preview zu WSM und Fireware XTM 11

Die Version Beta 4 ist da. Bis zum eigentlichen Release werden nun also wohl noch etwa 4-6 Wochen vergehen. XTM (Extensible Threat Management) setzt natürlich auf UTM (Unified Threat Management) auf und erweitert diesen Begriff um “Erweiterbarkeit” in den Bereichen Sicherheit, Netzwerk Features und flexibleres Management.

Wichtigste Neuerung ist, dass das neue Betriebssystem Fireware XTM 11 auf allen bisherigen e-series Boxen (also auch auf der X Edge!) und der neuen XTM 1050 laufen wird. Es wird also künftig für alle WatchGuard Boxen ein einheitliches Betriebssystem geben. Im kernelnahen Bereich wurde ein ganz neues Software Design angewendet, um überhaupt für die gestiegenen und künftig noch weiter steigenden Performance-Anforderungen an eine Security Appliance gewappnet zu sein.

Zu einem höheren Maß an Sicherheit werden beitragen: HTTPS content inspection – ja, ein HTTPS-Proxy, der in SSL-verschlüsselten Traffic hineinsehen kann; ein neuer OEM-Partner für Antivirus Engine und Signaturen (AVG); bessere Unterstützung für VoIP und verbesserte Einstellmöglichkeiten für IPS (Intrusion Prevention Service).
Bei den neuen Netzwerk Features wäre insbesondere FireCluster zu nennen, der neue Name für den neuen Active/Active Cluster Mode, des weiteren der neue Bridge Mode, VLAN auf externen Interfaces, MAC Access Control. Die Interfaces der X Edge werden künftig wie bei der X Core weitgehend frei verwendbar sein, die Namen WAN1, WAN2, OPT und LAN0-2 werden weitgehend bedeutungslos und durch eth0, eth1, eth2 und eth3 ersetzt. Innerhalb von Branch Office VPN Tunneln (BOVPN) können Regeln nun auch mit einer zeitlichen Begrenzung versehen werden, auch Traffic Management, QoS und Priorisierung innerhalb des VPN-Tunnels wird möglich, ebenso wie Dynamic NAT.
Für SSL-VPN entfällt die Notwendigkeit von Port 4100 tcp, die gesamte Verbindung läuft über Port 443 tcp.
Flexibleres Management wird insbesondere dadurch erreicht, dass zum einen künftig alle Boxen (also auch die X Edge!) über den WSM / Policy Manager administriert werden können. Alle Boxen (also auch X Core und X Peak!) können künftig aber auch über Web-Interface und weitestgehend auch über CLI (Command Line Interface) konfiguriert und verwaltet werden.

Weitere kleine Nettigkeiten sind: WebBlocker Override Passwort auch bei X Core und X Peak (bisher nur bei X Edge); deutlich verbessertes Logging und Reporting (mehr Performance und braucht weniger Resourcen); nur noch ein Einstiegspunkt WatchGuard Server Center in die Verwaltung der Server Services; HostWatch zeigt für jede einzelne Verbindung an, wie viel Bandbreite verbraucht wird – die Liste kann sogar nach dieser neuen Spalte in absteigender Reihenfolge sortiert werden 🙂

Der WSM 11 wird auch Fireboxen mit Fireware 10.x verwalten können. Dies ermöglicht in meinen Augen für den Anfang einen interessanten Mischbetrieb: die verbesserten Möglichkeiten des WSM 11 (speziell Logging und Reporting) in Verbindung mit der letzten stabilen 10-er Version auf der Firebox selbst. Die Version 11 wird im Rahmen der Live Security kostenfrei zum Download angeboten, kann aber nur installiert werden, wenn auf der Firebox ein gültiger Feature Key vorhanden ist.

Version 10.2.8 im Download-Bereich

Folgende Änderungen im Installationsverhalten ist mir aufgefallen: Beim Aufruf des Installers fireware10_2_8.exe kommt nicht mehr die verwirrende Meldung “Do you want to completely remove the selected application and all of its features?”, sondern zu der schon existierenden Version 10.2.x wird zusätzlich die Fireware 10.2.8 installiert. Zur Vermeidung von Fehlern empfehle ich nun, als ersten Schritt über Systemsteuerung > Software die bisherige Version Fireware 10.2.x zu deinstallieren – und anschließend den Installer fireware10_2_8.exe aufzurufen.

Weiterhin stehen im Download-Bereich neue Versionen für den IPSec Mobile User VPN-Client, den SSL-VPN-Client sowie für den Single Sign On (SSO) Client und Agent (Gateway).

Version 10.2.8 steht unmittelbar bevor

Die Release Notes liegen schon vor. Die Build-Nummer der Fireware 10.2.8 wird B215550 lauten. Hier die dieses Mal ganz besonders lange Liste der Resolved Issues. Ganz dringend erwartet wird sicher der allererste Bugfix auf der Liste (Upper Port Fix). Mit vielen anderen Punkten hatte ich aber in der Praxis gar keine Berührung. Fireware und WSM 10.2.8 sollen noch im Laufe dieser Woche, spätestens aber bis zum 31.03.2009 im Download-Bereich der WatchGuard Website bereitgestellt werden. Für die Installation ist eine aktive Live Security Lizenz erforderlich:

General

  • This release resolves several stability issues on Firebox devices that have the upper 4 ports in use. [27896] [29899] [30057] [30093]
  • You can now connect to a Firebox with WSM or Firebox System Manager more reliably after running a high load on the Firebox for several days. [35309]
  • The time it takes to save a configuration is reduced as much as 60% when there are many policies. [27791]
  • The Firebox can continue to operate even when IPS is using 100% of the CPU. [31361]
  • Support files are now correctly rotated so they do not take up so much storage space. [33551]

Networking and VPN

  • This release fixes an instability issue with PPPoE. [29212]
  • The Firebox no longer stops getting OSPF routing table information from neighboring networks. [27202]
  • The IKED process no longer becomes non-responsive when two users log in with the same name and same IP address. [33067] [33361]
  • The MIA process no longer crashes during a configuration save when multiple mobile VPN users are logged in. [33617]
  • Users now can use Mobile VPN (SSL, PPTP, and IPSec) with a dynamically addressed external interface without using DynDNS. [32707] [32715] [32716]
  • You can now use a space in user names configured on the Firebox. [33687]
  • Server Load Balancing now detects the revival of a dead server within 30 seconds instead of 10 minutes.

WatchGuard System Manager (WSM)

  • The traffic load gauge on Traffic Monitor no longer incorrectly shows 100% even when the load is low on Firebox X Peak e-Series devices. [27950]
  • The Firebox System Manager Traffic Monitor function “highlight search results” is now case insensitive. [33318]
  • The sender address is now shown in Log Server alarm/notification emails. [31489]
  • The Report Server can now generate POP3 reports. [32974]
  • Devices are now correctly marked as connected when you use multiple Log Servers. [31524]
  • The spamBlocker report no longer incorrectly reports 100% bulk mail. [28562]

Single Sign-On

  • The SSO login information on the Authentication List now refreshes immediately. [31856]
  • The SSO agent no longer crashes with Windows Event message: EventType clr20r3. [32775]
  • The SSO client now returns the correct domain name.
  • The SSO client and agent now handle both AD domain name information and NetBIOS domain name information correctly.
  • The SSO client and agent now respond correctly to unexpected disconnections that occur within 10 seconds.

High Availability

  • HA monitoring on external fiber interface now works correctly. [32967]
  • When you enable HA, it no longer causes a branch office VPN rekey to occur approximately every two minutes. [33402]
  • HA failover now occurs immediately when a critical process fails. [33823]

Mobile VPN with SSL

  • The SSLVPN daemon no longer fails when you enter an empty password or a very long password. [31894] [35183]
  • The Mobile VPN with SSL Mac OS X client now shows the Bound IP Address and Gateway Connected IP Address correctly. [34561]
  • The Mobile VPN with SSL Mac OS X client now removes the search domain and DNS information when it is disconnected or you exit. [34564]
  • The Mobile VPN with SSL Mac OS X client now shows both WINS addresses. [34560] [23635]
  • The Mobile VPN with SSL Mac OS X client now sets the default log level to low. [34563]
  • Routes of available networks are now correctly added when you install the Mobile VPN with SSL client software on a computer running Windows Vista. [34558]

Keine Umlaute und Sonderzeichen in der Konfiguration!

Nach fast 3 Wochen Abstinenz nun mal wieder ein kleines Lebenszeichen. Aus gegebenem Anlass nur ein kurzer Hinweis auf ein eigentlich bekanntes Known Issue:

Verwenden Sie im Zusammenhang mit WatchGuard-Konfigurationen, Kennwörtern, Pre-Shared Keys usw. ausschließlich druckbare Zeichen des US-ASCII Zeichensatzes (ASCII-7) – vgl. http://de.wikipedia.org/wiki/ASCII.

Die Verwendung anderer Zeichen, z.B. deutsche Umlaute (ä,ö,ü,ß) und höherbittige Sonderzeichen, kann zu nicht vorhersagbarem Verhalten der WatchGuard Firebox führen! Ich selbst gehe sogar noch einen Schritt weiter: insbesondere bei den Firewall-Kennwörten und Pre-Shared Keys beschränke ich mich auf die Buchstaben A-Z, a-z und die Ziffern 0-9 – und verzichte entgegen dem Komplexitätsgedanken instinktiv auf Sonderzeichen.
Ich habe neulich die Migration eines Clusters aus zwei Firebox X5500e von der Fireware 9.1 auf die aktuelle Fireware 10.2.7 durchgeführt. Die ursprüngliche Einrichtung wurde von einem anderen Dienstleister vorgenommen, der in den Firewall-Kennwörtern (Status Passphrase und Configuration Passphrase) jeweils ein $ (Dollarzeichen) verwendet hatte, was auch bei der Fireware 9.1 offenbar funktioniert hat. Nach dem Software-Update auf 10.2.7 liefen die Boxen jedoch instabil und konnten vom WSM auch nach kurzer Laufzeit nicht mehr angesprochen werden. Das Rücksetzen auf Factory Default habe ich dann nicht mit dem normalen “Quick Setup Wizard” (Windows-Applikation), sondern über den “Web Quick Setup Wizard” im Safe Mode vorgenommen. Der Web Quick Setup Wizard hat dann übrigens auch die Verwendung des Dollarzeichens in den Passphrases abgelehnt, der normale Quick Setup Wizard hingegen akzeptiert Dollars 🙂 Ohne Sonderzeichen in den Kennwörten liefen die Boxen dann auch mit unveränderter Konfiguration wieder klaglos…