WatchGuard erläutert in diesem Webinar, wie Sie mit einer WatchGuard Firebox Ihren ein- und ausgehenden E-Mail Traffic besser schützen können. Insbesondere die Funktion SMTP-Proxy mit TLS Deep Inspection wird näher betrachtet, um die WatchGuard Security Services wie Gateway Antivirus und spamBlocker auch bei TLS verschlüsselten Übertragungen nutzen zu können.
Mir ist in zwei Cluster-Installationen ein merkwürdiges Verhalten bei den Updates der GAV Signaturen aufgefallen. Verbindet man sich über den Firebox System Manager mit der Cluster-IP, wird bei Subscription Services > Gateway Antivirus als Installed version eine kleinere Zahl angezeigt als bei Version available – es steht also eine aktuellere Version bereit. Wenn man über Klick auf Update ein manuelles Update auslöst, läuft dies auch erfolgreich durch und bei Installed version taucht KURZZEITIG die gleiche Zahl auf wie bei Version available. Nach einigen Sekunden bzw. nach dem nächsten Refresh steht dort jedoch wieder die ursprüngliche, niedrigere Zahl. Ein Klick auf History zeigt jedoch, dass das Update korrekt durchgelaufen ist.
Verbindet man sich nun mit der Management IP der aktiven Box (master), wird dort auch korrekt die höhere Versionsnummer angezeigt. Verbindet man sich mit der Management-IP der Standby-Box (backup master), wird die niedrigere Versionsnummer angezeigt. Offenbar scheitert also der automatische Abgleich zwischen den beiden Boxen, der eigentlich im Hintergrund stattfinden sollte.
Die Lizensierung der UTM-Services beim Active/Passive HA Betrieb erfordert ja, dass NUR auf der Primary Box die UTM Services lizensiert sind, für die Secondary Box reicht die normale Live Security aus. Im Praxisbetrieb gibt es aber offenbar derzeit Schwierigkeiten bei der Synchronisierung der Lizenzen, so dass es wohl vorkommt, dass die UTM-Services nicht korrekt laufen, wenn gerade einmal die Secondary Box die aktive Box (master) ist.
USA Support stellt in diesem Fall neue Feature Keys bereit, wenn im Rahmen eines Support Incidents die betroffenen Seriennummern der Cluster Member angegeben werden. Das Lizenzproblem soll im kommenden Software-Release behoben sein.
In ein paar Fireware XTM 11.1-Installationen habe ich aktuell das Problem, dass Traffic durch eine HTTP-Proxy Regel gar nicht oder nicht zu allen Zielen funktioniert, während ein HTTP-Paketfilter und andere paketfilter-basierte Services (z.B. ping/ICMP) einwandfrei funktionieren. Für alle proxy-basierten Services ist der Prozess wkrcfm-1 zuständig. Prüfen Sie über den Status Report, ob dieser Prozess korrekt läuft. Sollten Sie in Ihrer Konfiguration einen POP3-Proxy verwenden, sollten Sie diesen vorübergehend durch ein POP3-Paketfilter ersetzen, sofern Ihre Sicherheitsrichtlinie bezüglich E-Mail Sicherheit dies zulässt (in Verbindung mit einem POP3-Paketfilter kann kein Gateway Antivirus/IPS und Tagging durch spamBlocker verwendet werden). Wenn Sie auf den POP3-Proxy angewiesen sind, öffnen Sie ein Support Incident auf der WatchGuard Website.
[12.02.2010]: Dieser Bug steht in der Version 11.2 auf fixed!In einem aktuellen Supportfall berichtete ein Kunde mit einer X550e und Fireware XTM 11.0.2, dass regelmäßig große Downloads von der Microsoft Website abbrechen würden. Dies aber nur, wenn eine HTTP-Proxy Regel verwendet würde. Mit einer HTTP-Filter Regel würde der Download erfolgreich abschließen.
Die genauere Untersuchung in diesem Fall zeigte auf, dass im Rahmen der UTM Services auch Intrusion Prevention aktiviert war. Ich konnte im Traffic Monitor mitverfolgen, dass in den Downloads die Endeavor IPS Signatur ED-49005 (FILE.CUE.VideoLANVLC.Buffer.Overflow) erkannt worden ist. Ob die Downloads nun tatsächlich dieser Anfälligkeit unterliegen oder ob es sich um ein so genanntes “False Positive” handelt, habe ich nicht weiter untersucht. In Abstimmung mit dem Kunden habe ich zunächst *.microsoft.com im HTTP-Proxy als HTTP Proxy Exception eingetragen.
In den Versionen Fireware XTM 11.0 und 11.0.1 gibt es im Active/Passive Clusterbetrieb aktuell ein Lizensierungsproblem beim Einsatz der UTM Services. Grundsätzlich reicht es im Active/Passive Modus aus, dass die UTM Services nur auf der PRIMARY Box lizensiert sind. Für die SECONDARY Box reicht die “nackte” Live Security aus. Findet unter 11.0 und 11.0.1 jedoch ein Failover auf die Secondary Box statt, funktionieren die UTM Services WebBlocker, spamBlocker und Gateway Antivirus/IPS dann nicht, da ein Bug die UTM Lizenzen nicht korrekt auf die Secondary Box synchronisiert und die Services dann einfach nicht angewendet werden… Dieser Bug wird mit Version 11.0.2 behoben. Betroffene Kunden können sich in der Zwischenzeit von Customer Care eine temporäre Lizenz für die Secondary Box ausstellen lassen.
Unter Fireware XTM 11.0.1 muss ich feststellen, dass bestimmte Text-E-Mails (ganz einfache text/plain) zerschossen werden. Der eigentliche E-Mail Body ist verschwunden – stattdessen steht nun nur der Text der Deny Message im Body, die aber eigentlich als Textdatei angehängt sein sollte…:
Cause : The message content may not be safe.
Content type : (none)
File name : (none)
Virus status : No information.
Action : The Firebox (none) (none).
Your network administrator can not restore this attachment.
Mir fällt auf, dass der folgende Header fehlt, der in korrekt zugestellten E-Mails regelmäßig sichtbar ist:
X-WatchGuard-AntiVirus: part scanned. error action=allow
Das legt die Vermutung nahe, dass das Problem mit einer Interaktion zwischen dem SMTP-Proxy und der Gateway Antivirus Engine zu tun hat. Die Antivirus Engine und die Signaturen der Fireware XTM (Version 11) stammen übrigens jetzt von AVG und nicht mehr wie bisher von ClamAV…
Gelegentlich kommt es vor, dass der POP3-proxy zur Abholung von E-Mails bei einem externen Provider eingesetzt wird. In Verbindung mit den UTM Services Gateway Antivirus und spamBlocker macht das natürlich Sinn. spamBlocker kann bei POP3 jedoch nur mit der Option “Tagging” verwendet werden, also das Schreiben eines Zusatzes in die Betreffzeile, z.B. [SPAM?]. “Deny” macht technisch keinen Sinn, da die E-Mails ja bereits auf dem zuständigen Mailserver beim Provider stehen und dort auch abgeholt werden müssen. “Quarantine” wäre technisch zwar denkbar, steht bei POP3 aber leider auch nicht zur Verfügung.
Wenn der POP3-proxy mit seinen Default-Einstellungen verwendet wird, führt dies mitunter dazu, dass die abgeholten E-Mails ohne Sende-Datum/Uhrzeit im Mailclient (z.B. Outlook) angezeigt werden (“Keine Angabe”). Dies liegt dann vermutlich daran, dass der diesbezügliche Header vom POP3-proxy entfernt wurde, weil er nicht auf der Allow-Liste steht. Fügen Sie in diesem Fall einmal den Wert Date:* in die Liste der erlaubten Header ein.
Sollten Sie ein ähnliches Problem haben – irgendetwas geht bei Verwendung des POP3-proxy nicht mehr, das aber vorher mit einem POP3 Paketfilter geklappt hat – dann ist es sicher eine gute Idee, das Häkchen bei “Log” neben der “Strip” Action zu setzen und im Traffic Monitor mitzuverfolgen, welche eventuell doch benötigten Header noch auf der Strecke bleiben. Diese können dann in die Allow-Liste eingepflegt werden. Auch ein Blick in die “Header”-Sektion des SMTP-proxy (!) und ein entsprechender Vergleich lohnt sich gegebenenfalls…
