Tag Archives: Gateway Antivirus

Erinnerung: Update auf 12.x notwendig bis spätestens 15.4.

Wir möchten nochmals dringend darauf hinweisen, dass der Support der AV-Signaturen für die Virenscanner-Engine von AVG zum 15.4.2018 abläuft. Ab diesem Zeitpunkt wird es für den Gateway-Antivirus mit AVG Engine keine neuen Pattern Files mehr geben (der Virenscanner wird zwar weiter laufen, aber dann eben ohne aktuelle Pattern Files). Daher empfehlen wir, bis zum 15.4. auf eine Version 12.x upzudaten.  WatchGuard hat mit Version 12.x den Hersteller für den Gateway Antivirus (hin zu Bitdefender) gewechselt.

Siehe hier zu auch unseren Blog-Artikel Virenscanner gewechselt und den Blog-Artikel AVG Pattern bis April 2018 verfügbar.

Bisher sind uns für 12.1.1 keine negativen Feedbacks zugetragen worden, die Version lief auch auf unserem Testgerät seit der Beta3 (seit ca. 4-5 Wochen) stabil.

Fireware 12.0 – Virenscanner gewechselt: AVG => Bitdefender – AVG Pattern Updates noch bis 15. April 2018

WatchGuard hat den Wechsel der Virenscanner-Engine von AVG nach Bitdefender mit der Version Fireware 12.0 vollzogen. (siehe auch Software-Release: Watchguard Fireware 12.0 erschienen).

Der derzeit (Stand 17.10.2017) angekündigte Endzeitpunkt für Patternupdates für die (alte) AVG Antiviren-Engine ist nun der 15. April 2018.

WatchGuard empfiehlt allen Kunden,, vor dem 15. April 2018 auf die aktuelle Version zu wechseln.

(Hinweis: die Version 12.0 ist seit gut 4 Wochen erhältlich, die Version 12.0.1 wird am 30.10.2017 erscheinen).

Fireware 12.0 kommt mit neuer Gateway AntiVirus-Engine

Neue Gateway AntiVirus Engine von BitDefender

WatchGuard hat turnusmäßig seine Antimalware- und Gateway AntiVirus-Technologie (bislang vom Hersteller AVG) einem umfassenden Check unterzogen, um sicherzustellen, dass den Kunden weiterhin die bestmögliche Lösung geboten wird. Die Ergebnisse haben WatchGuard dazu veranlasst, den Technologiepartner hinter dem Gateway AntiVirus Service zu wechseln. Die neue Engine wird von BitDefender bereitgestellt.

Die Änderung tritt mit der Fireware-Betriebssystemversion 12.0 in Kraft, die erstmals ab September 2017 bereitgestellt werden soll. Die Versionen Fireware 11.x verwenden nach wie vor die AVG Engine und die AVG Signaturen. Der Update-Service für die AVG Signaturen wird aber zum 15.01.2018 eingestellt, so dass der GAV-Service dann deutlich eingeschränkt wäre. Es ist also anzuraten, vor dem 15.01.2018 von Fireware 11.x auf eine neuere Version von Fireware 12.x zu wechseln. Alle derzeit unterstützten XTM- und Firebox Appliances können auf Version 12.0 umgestellt werden – mit Ausnahme der Modelle XTM 505, XTM 510, XTM 520 und XTM 530, die ohnehin am 3. Dezember 2017 auslaufen.

Gründe für die Auswahl von BitDefender waren unter anderem:

  • Bessere Erkennungsleistung über das gesamte Portfolio. Als Pionier auf dem Gebiet des maschinellen Lernens zur Erkennung von Schadsoftware erreicht BitDefender in unabhängigen Tests unbestritten Platz eins im Hinblick auf Bedrohungserkennung, Reduzierung von False-Positives und hoher Systemleistung.
  • Schnellere Reaktion bei auftretenden Bedrohungen. BitDefender führt Signaturaktualisierungen in sehr kurzen Abständen durch. Auf diese Weise sind Kunden so früh wie möglich gegenüber neuen Bedrohungen geschützt.
  • Höhere Performance durch optimiertes Scannen von .exe-, Microsoft Office- und PDF-Dateien.

Wichtig zu wissen:

  • Beim Wechsel auf Fireware 12.0 erfolgt die Umstellung auf die neue Gateway Antivirus Lösung automatisch.
  • Kunden, die dennoch auf einer Fireware 11.x-Version bleiben, erhalten ab 15.01.2018 keine Aktualisierungen für den Gateway AntiVirus Service mehr.

GAV Probleme beim Update der Virenscanner-Patterns auf XTM2-Series

Manchmal kommt es vor, dass keine aktuellen Gateway Antivirus Pattern heruntergeladen werden können. Siehe hierzu auch unseren Blog-Artikel “Crash Report kann AV-Update verhindern”.

Neben diesen “Crash Reports” kann es – je nach Größe des vorhandenen Flash-Speichers in einer WatchGuard XTM/Firebox (vom Modell vorgegeben) – auch zu Problemen mit der Aktualisierung der Antivirus-Pattern kommen, wenn auf der Firebox die Firmware-Images von WatchGuard Access Points gespeichert sind/werden. Dies ist bei älteren Softwareversionen auch standardmäßig der Fall, selbst wenn beim Kunden überhaupt keine WatchGuard Access Points im Einsatz sind. Bekannt ist derzeit ist ein Fall auf der XTM2-Serie (XTM25, XTM25-W, XTM26, XTM26-W), bei dem diese AP Firmware-Images nötigen Speicherplatz blockiert haben, so dass die AV-Updates nicht heruntergeladen bzw. gespeichert werden können. Abhilfe schafft hier das manuelle Löschen der AP Firmware-Images von der XTM/Firebox. Ab der Softwareversion Fireware 11.12.4 sind die AP Firmware-Images auch gar nicht mehr im eigentlichen Firebox-Betriebssystem enthalten und müss(t)en ohnehin einzeln auf die Firebox heruntergeladen werden.

Trifft dieses Szenario zu, sieht die Fehlermeldung bei einem GAV-Update wie folgt aus:

2017-04-14 11:04:12 sigd Manual GAV update is currently running Debug 
2017-04-14 11:04:18 sigd Decompression failed for '/sigs//tmp/incavi.avm' Debug 
2017-04-14 11:04:18 sigd Curl returned error: Failed writing body (4294967295 != 16384) Debug 
2017-04-14 11:04:18 sigd unable to download files for GAV Debug

Web-UI:

  1. Ggfs. Einschalten des Gateway Wireless Controller unter Network => Gateway Wireless Controller => [x] enable the Gateway Wireless Controller (danach muss eine Passphrase vergeben werden)
  2. Danach unter Dashboard > Gateway Wireless Controller (der Punkt existiert sonst nämlich nicht) unter Manage Firmware => Remove all Firmware
  3. Ggfs. Ausschalten des Gateway Wireless Controller unter Network => Gateway Wireless Controller => [_] enable the Gateway Wireless Controller

WatchGuard System Manager

  1. Im Policy Manager nötigenfalls den Gateway Wireless Controller aktivieren: Network => Gateway Wireless Controller => [x] enable the Gateway Wireless Controller
  2. Save to Firebox
  3. Firebox System Manager starten
  4. Im Tab Gateway Wireless Controller => Manage Firmware => Remove all Firmware
  5. Nötigenfalls den Gateway Wireless Controller wieder abschalten: Network => Gateway Wireless Controller => [_] enable the Gateway Wireless Controller

Crash Report kann Antivirus-Pattern-Update verhindern

Kürzlich bei einer Box aufgetreten: Antivirus-Pattern-Update konnte das Signature-File nicht mehr herunterladen.  Im Firebox System Manager unter Subscription Services wurde beim manuellen Update folgende Fehlermeldung erzeugt:

The signature update failed: An error occured when downloading the signature file (9)

Im Traffic Monitor war folgende Fehlermeldung zu sehen:

sigd Manual GAV update started
sigd Manual GAV update for version (13101) failed (Failed to download signature file from server)

Die Lösung war, alle Crash Reports zu löschen. (Firebox System Manager => Status Report Tab => Support => Delete all crash reports).

Auszug aus dem WatchGuard Support Case:

unfortunately when crash report is listed, this create a condition to not download signature update.
Seems there is a problem to decompress some internal file in the kernel and this need the deletion of crash.
Once you delete them, Firewall is able to download and update itself.

Bei der betroffenen Box wurden die Crash Reports gelöscht und danach funktionierte das manuelle Update auf anhieb, ein Reboot der Box war nicht notwendig.

 

Update 2017-06-27: Siehe hierzu auch unseren Artikel GAV Update Probleme bei Update des Patterns auf XTM2-Series. 

 

Best Practices – E-Mail Sicherheit für SMTP mit TLS Deep Inspection

WatchGuard erläutert in diesem Webinar, wie Sie mit einer WatchGuard Firebox Ihren ein- und ausgehenden E-Mail Traffic besser schützen können. Insbesondere die Funktion SMTP-Proxy mit TLS Deep Inspection wird näher betrachtet, um die WatchGuard Security Services wie Gateway Antivirus und spamBlocker auch bei TLS verschlüsselten Übertragungen nutzen zu können.

Jetzt online für dieses kostenfreie Webinar registrieren

Probleme beim Update von Gateway Antivirus Signaturen im HA Cluster Betrieb

Mir ist in zwei Cluster-Installationen ein merkwürdiges Verhalten bei den Updates der GAV Signaturen aufgefallen. Verbindet man sich über den Firebox System Manager mit der Cluster-IP, wird bei Subscription Services > Gateway Antivirus als Installed version eine kleinere Zahl angezeigt als bei Version available – es steht also eine aktuellere Version bereit. Wenn man über Klick auf Update ein manuelles Update auslöst, läuft dies auch erfolgreich durch und bei Installed version taucht KURZZEITIG die gleiche Zahl auf wie bei Version available. Nach einigen Sekunden bzw. nach dem nächsten Refresh steht dort jedoch wieder die ursprüngliche, niedrigere Zahl. Ein Klick auf History zeigt jedoch, dass das Update korrekt durchgelaufen ist.
Verbindet man sich nun mit der Management IP der aktiven Box (master), wird dort auch korrekt die höhere Versionsnummer angezeigt. Verbindet man sich mit der Management-IP der Standby-Box (backup master), wird die niedrigere Versionsnummer angezeigt. Offenbar scheitert also der automatische Abgleich zwischen den beiden Boxen, der eigentlich im Hintergrund stattfinden sollte.

Die Lizensierung der UTM-Services beim Active/Passive HA Betrieb erfordert ja, dass NUR auf der Primary Box die UTM Services lizensiert sind, für die Secondary Box reicht die normale Live Security aus. Im Praxisbetrieb gibt es aber offenbar derzeit Schwierigkeiten bei der Synchronisierung der Lizenzen, so dass es wohl vorkommt, dass die UTM-Services nicht korrekt laufen, wenn gerade einmal die Secondary Box die aktive Box (master) ist.
USA Support stellt in diesem Fall neue Feature Keys bereit, wenn im Rahmen eines Support Incidents die betroffenen Seriennummern der Cluster Member angegeben werden. Das Lizenzproblem soll im kommenden Software-Release behoben sein.

Probleme mit HTTP Proxy unter Fireware XTM 11.1

In ein paar Fireware XTM 11.1-Installationen habe ich aktuell das Problem, dass Traffic durch eine HTTP-Proxy Regel gar nicht oder nicht zu allen Zielen funktioniert, während ein HTTP-Paketfilter und andere paketfilter-basierte Services (z.B. ping/ICMP) einwandfrei funktionieren. Für alle proxy-basierten Services ist der Prozess wkrcfm-1 zuständig. Prüfen Sie über den Status Report, ob dieser Prozess korrekt läuft. Sollten Sie in Ihrer Konfiguration einen POP3-Proxy verwenden, sollten Sie diesen vorübergehend durch ein POP3-Paketfilter ersetzen, sofern Ihre Sicherheitsrichtlinie bezüglich E-Mail Sicherheit dies zulässt (in Verbindung mit einem POP3-Paketfilter kann kein Gateway Antivirus/IPS und Tagging durch spamBlocker verwendet werden). Wenn Sie auf den POP3-Proxy angewiesen sind, öffnen Sie ein Support Incident auf der WatchGuard Website.

[12.02.2010]: Dieser Bug steht in der Version 11.2 auf fixed!
.