Tag Archives: Live Security

Preview zu WSM und Fireware XTM 11

Comment

Die Version Beta 4 ist da. Bis zum eigentlichen Release werden nun also wohl noch etwa 4-6 Wochen vergehen. XTM (Extensible Threat Management) setzt natürlich auf UTM (Unified Threat Management) auf und erweitert diesen Begriff um “Erweiterbarkeit” in den Bereichen Sicherheit, Netzwerk Features und flexibleres Management.

Wichtigste Neuerung ist, dass das neue Betriebssystem Fireware XTM 11 auf allen bisherigen e-series Boxen (also auch auf der X Edge!) und der neuen XTM 1050 laufen wird. Es wird also künftig für alle WatchGuard Boxen ein einheitliches Betriebssystem geben. Im kernelnahen Bereich wurde ein ganz neues Software Design angewendet, um überhaupt für die gestiegenen und künftig noch weiter steigenden Performance-Anforderungen an eine Security Appliance gewappnet zu sein.

Zu einem höheren Maß an Sicherheit werden beitragen: HTTPS content inspection – ja, ein HTTPS-Proxy, der in SSL-verschlüsselten Traffic hineinsehen kann; ein neuer OEM-Partner für Antivirus Engine und Signaturen (AVG); bessere Unterstützung für VoIP und verbesserte Einstellmöglichkeiten für IPS (Intrusion Prevention Service).
Bei den neuen Netzwerk Features wäre insbesondere FireCluster zu nennen, der neue Name für den neuen Active/Active Cluster Mode, des weiteren der neue Bridge Mode, VLAN auf externen Interfaces, MAC Access Control. Die Interfaces der X Edge werden künftig wie bei der X Core weitgehend frei verwendbar sein, die Namen WAN1, WAN2, OPT und LAN0-2 werden weitgehend bedeutungslos und durch eth0, eth1, eth2 und eth3 ersetzt. Innerhalb von Branch Office VPN Tunneln (BOVPN) können Regeln nun auch mit einer zeitlichen Begrenzung versehen werden, auch Traffic Management, QoS und Priorisierung innerhalb des VPN-Tunnels wird möglich, ebenso wie Dynamic NAT.
Für SSL-VPN entfällt die Notwendigkeit von Port 4100 tcp, die gesamte Verbindung läuft über Port 443 tcp.
Flexibleres Management wird insbesondere dadurch erreicht, dass zum einen künftig alle Boxen (also auch die X Edge!) über den WSM / Policy Manager administriert werden können. Alle Boxen (also auch X Core und X Peak!) können künftig aber auch über Web-Interface und weitestgehend auch über CLI (Command Line Interface) konfiguriert und verwaltet werden.

Weitere kleine Nettigkeiten sind: WebBlocker Override Passwort auch bei X Core und X Peak (bisher nur bei X Edge); deutlich verbessertes Logging und Reporting (mehr Performance und braucht weniger Resourcen); nur noch ein Einstiegspunkt WatchGuard Server Center in die Verwaltung der Server Services; HostWatch zeigt für jede einzelne Verbindung an, wie viel Bandbreite verbraucht wird – die Liste kann sogar nach dieser neuen Spalte in absteigender Reihenfolge sortiert werden 🙂

Der WSM 11 wird auch Fireboxen mit Fireware 10.x verwalten können. Dies ermöglicht in meinen Augen für den Anfang einen interessanten Mischbetrieb: die verbesserten Möglichkeiten des WSM 11 (speziell Logging und Reporting) in Verbindung mit der letzten stabilen 10-er Version auf der Firebox selbst. Die Version 11 wird im Rahmen der Live Security kostenfrei zum Download angeboten, kann aber nur installiert werden, wenn auf der Firebox ein gültiger Feature Key vorhanden ist.

Feature Key vor Software Update aktualisieren

Comment

Heute stand bei einem Kunden das Upgrade einer X500, auf der noch die alte Fireware 8.3 lief, auf die aktuelle Fireware 10.2.6 an. Generell muss bei Software Upgrades VOR dem Start sichergestellt sein, dass auf der Firebox ein aktueller Feature Key (Lizenzdatei) installiert ist, der dies überhaupt zulässt. Ist nämlich die Live Security abgelaufen, verweigert sich die Firebox mit einer Fehlermeldung! Ob bzw. wie lange die Live Security noch gültig ist, sieht man u.a. im WSM > Policy Manager unter Setup > Feature Keys…:

Steht dort “Expired”, braucht man gar nicht versuchen, die Arbeiten fortzusetzen. Stattdessen muss zunächst dafür gesorgt werden, dass wieder ein Feature Key mit gültiger Live Security vorhanden ist. Die erforderlichen Lizenzverlängerungen (Renewals) kauft man bei dem WatchGuard-Partner seines Vertrauens, gerne hier. Liegt der neue Feature Key vor, muss dieser UNBEDINGT mit der ALTEN Softwareversion (im vorliegenden Fall mit dem WSM 8.3) importiert und auf die Firebox hochgeladen werden.
Erst danach sollten die alten Software-Versionen von der Windows Management-Station entfernt, dann die aktuellen Versionen (derzeit 10.2.6) von Fireware und WSM installiert und erst dann über den Policy Manager (File > Upgrade…) der reguläre Update-Prozess gestartet werden!

Software-Updates auf einer X Edge

Comment

Im Software-Download-Bereich der WatchGuard Website finden sich für die X Edge jeweils zwei Versionen: eine EXE-Datei und eine ZIP-Datei. Die EXE kann unter Windows XP und 2000 verwendet werden – ich verwende im Regelfall aber die ZIP-Datei. Im Download steckt jeweils ein vollständiges Linux-Image, das bei einem Update auf die X Edge Appliance hochgeladen wird. Nach dem Entpacken der ZIP-Datei findet sich neben einer README und drei Language Files (Französisch, Chinesisch und Japanisch) die eigentlich wichtige Datei: yakfw.sysa-dl, die aktuell etwa 20 MB groß ist.

Prüfen Sie nach der Anmeldung am Webinterface der X Edge zunächst, ob die LiveSecurity noch aktuell oder bereits abgelaufen ist (Expired). Nur bei gültiger Live Security kann das Software-Update überhaupt durchgeführt werden. Die Verlängerung bzw. Reaktivierung der Live Security erfolgt über Ihren WatchGuard-Partner, gerne natürlich auch über uns. 🙂

Natürlich ist es eine gute Idee, vor dem Update zunächst ein Backup der Konfigurationsdatei zu erstellen: Administration > Backup Configuration. Hinweis: je nach verwendetem Browser müssen Sie ggfs. zwei Mal auf Backup klicken, bevor Sie die Backup-Datei namens edgecfg.wgbk tatsächlich zum Speichern angeboten bekommen.
Für das eigentliche Software-Update findet sich im Webinterface unterhalb der X Edge-Abbildung der Button Update. Ein Klick bringt Sie zu der Seite Administration > Update. Dort können Sie mit Durchsuchen den Pfad zu der neuen yakfw.sysa-dl auswählen und die Datei anschließend auf die X Edge hochladen. Abschließend will die X Edge einmal booten. Oben links im Webinterface sollte dann die neue Versionsnummer angezeigt werden: 10.2.6 December 08 2008 Build 202312. Die Konfigurationsdatei sollte erhalten geblieben sein, so dass die X Edge sofort wieder voll produktiv ist.

Ältere Produkte: End of Support

Comment

Am 25.10.2009 endet der Plattform-Support für die älteren WatchGuard Firebox X Produkte der ersten Generation (Modelle X Edge X5, X15, X50, X Core X500, X700, X1000, X2500, X Peak X5000, X6000, X8000). Alle Services wie Live Security, WebBlocker, spamBlocker, Gateway Antivirus/IPS für diese Geräte können nur noch bis zu diesem Tag verlängert werden. Da es bis dahin aber kein volles Jahr Restlaufzeit mehr ist, können die bisherigen Artikelnummern nicht mehr bestellt werden! Mit Hilfe des Customer Renewal Tool können die Services aber bis genau zu diesem Tag verlängert werden: http://www.boc.de/hersteller/watchguard/service-und-support/customer-renewal-tool.html. In diesem Fall erfolgt keine Warenlieferung, sondern das neue Ablaufdatum wird direkt in die Produktdatenbank bei WatchGuard eingetragen. Nach erfolgter Abwicklung stehen in Ihrem WatchGuard-Account die aktualisierten Feature Keys zum Download bereit. Diese müssen dann noch auf die entsprechenden Fireboxen hochgeladen werden.