Tag Archives: Radius

BestPractices.live – Wi-Fi Authentifizierung für Benutzer und Geräte

Für den sicheren und effizienten Betrieb einer Wi-Fi Infrastruktur in Firmenumgebungen ist eine typische Anforderung, dass Benutzer oder Geräte eindeutig identifiziert werden. Die Umsetzung durch Verwendung mehrerer SSIDs mit unterschiedlichen Preshared Keys ist nicht skalierbar und flexibel genug. Doch mit Hilfe der Technologie WPA2/WPA3 Enterprise (802.1x) oder alternativ über die Funktion PPSK (Private Preshared Key) kann eine effiziente Umsetzung gelingen. Erweiterte Möglichkeiten entstehen durch dynamische VLAN Zuweisung – nicht nur die Identifikation der Geräte oder Benutzer wird damit möglich, sondern auch eine eindeutige Zuweisung zu Netzwerkbereichen.

In dieser Webinaraufzeichnung geht es u.a. um folgende Themen:

  • Hintergrundinformationen zu WPA2/WPA3 Enterprise (802.1x)
  • Vorbereitung und Konfiguration der erforderlichen Radius Server am Beispiel des Windows Network Policy Servers (NPS)
  • Umsetzung von 802.1x mit WatchGuard Access Points
  • Verwendung von PPSKs als Alternative oder als Ergänzung z.B. auch für Gastnetzwerke

Weiterlesen »

HOWTO: Benutzer & Gruppen in AuthPoint wieder sichtbar machen

Die neue Struktur zur Benutzer- und Gruppen-Zuweisung in AuthPoint erfordert eine Anpassung der bisherigen Konfiguration, um alle bestehenden Benutzer und Gruppen wieder sichtbar und verwaltbar zu machen. In diesem Blog-Artikel erläutern wir, wie Sie durch einfache Schritte die neue Benutzeroberfläche anpassen und die gewohnte Funktionalität wiederherstellen können. Weiterlesen »

HOWTO: Redundantes AuthPoint Radius (Microsoft Netzwerkrichtlinienserver) Setup mit der WatchGuard Firebox

Problemstellung

Da Microsoft für IKEv2 oder L2TP MS-CHAPv2 voraussetzt, müssen die Radius Anfragen von dem AuthPoint Gateway an einen Microsoft NPS weitergeleitet werden. Leider Kann in AuthPoint kein NPS Failover konfiguriert werden. Für SSLVPN oder IPSEC wird kein NPS benötigt!

Lösungsvorschlag

Die Firebox bietet die Möglichkeit mit einem Loopback Interface und einer SNAT Load Balancing Action, die Radius Anfragen auf mehrere Server zu verteilen.
Um die Erreichbarkeit der Server zu prüfen, sendet die Firebox alle 10 Sekunden ein ICMP Paket an die Server. Wenn einer der Radius Server nicht mehr auf die ICMP Pakete antwortet werden die Anfragen an den verbliebenen Server gesendet, bis der Server wieder auf die ICMP Pakete antwortet.
Dieses Setup bietet leider keine Redundanz, wenn der Radius Dienst nicht mehr ordnungsgemäß funktioniert.

Weiterlesen »

HOWTO: WLAN Network Access Enforcement

In diesem Blog-Artikel geht es um das neue Feature WLAN Network Access Enforcement (Durchsetzung des Netzwerkzugriffs), welches eine zusätzliche Sicherheitsebene bietet, wenn ein drahtloser Client eine Verbindung zum drahtlosen Unternehmensnetzwerk herstellt.

Idee

WatchGuard ermöglicht im Zuge des Aufbaus Ihrer XDR-Umgebung (ThreatSync) ein spannendes neues Feature. Die aktuelle Wi-Fi 6 Generation (AP130, AP230W, AP330, AP332CR, AP430CR, AP432) bietet seit der Firmware 2.1 die Möglichkeit den WLAN-Zugriff auf firmenverwaltete Geräte einzuschränken. Die Access Points prüfen bei der Einwahl in das drahtlose Netz, ob der Client durch die WatchGuard Endpoint Protection geschützt/verwaltet wird.

Voraussetzungen

  • WatchGuard Endpoint-Protection: EPP, EDR-Core, EDR, EPDR, Advanced EPDR (AV bzw. Advanced Protection muss aktiv sein!)
  • WatchGuard Wi-Fi 6 Access Point (Firmware >= 2.1) mit Standard oder USP-Lizenz
  • WatchGuard Access Point und Endpoint-Protection befinden sich im gleichen Account
  • Aktuelles Windows (>= 8.1), macOS (>= 10.15 Catalina) oder Android (>= 6.0) Betriebssystem
  • Access Point kann via Port 33000 (TCP) den Endpoint ansprechen

Konfiguration Weiterlesen »

BestPractices.live – Firewall Richtlinien für Wi-Fi Systeme

Inhalt:

Wi-Fi Netzwerke sind ein wichtiger Bestandteil der IT-Strukturen für Unternehmen, denn flexible Arbeitsumgebungen und mobile Geräte erfordern die drahtlose Kommunikation. Insbesondere für Firmenumgebungen ist hierbei ein gemeinsam genutzter und allen Mitarbeitern bekannter Preshared-Key nicht immer die beste Wahl. Dank des Standards WPA Enterprise/802.1x kann der Zugang zur SSID über Benutzername und Kennwort realisiert werden und somit ein personalisierter Zugang am Wi-Fi Netzwerk der Firma umgesetzt werden. Insbesondere auch in Kombination mit den WatchGuard Firebox Appliances ergibt sich hierdurch ein weiterer Mehrwert. Dank Single Sign-On mit Radius können die im WLAN Authentifizierten Benutzer nahtlos auch an der Firebox Appliance angemeldet werden. Gruppenspezifische Richtlinien können somit unabhängig vom verwendeten Betriebssystem des Clients umgesetzt und die gewünschten Zugriffe unter Anwendung der Sicherheitsfunktionen der Firebox Appliances für Mitarbeiter ermöglicht werden. In diesem Best-Practices Webinar gehen wir in Theorie und Praxis auf die Möglichkeit von WPA Enterprise / 802.1x mit WatchGuard Access Points und der Verwendung von Single Sign-On mit Radius für Firebox Appliances ein.

In diesem Best-Practices Webinar gehen WatchGuard Security-Experten in Theorie und Praxis auf die Möglichkeit von WPA Enterprise / 802.1x mit WatchGuard Access Points und der Verwendung von Single Sign-On mit Radius für Firebox Appliances ein.

Best Practices: Access Portal mit MFA Integration

In diesem Webinar geht es darum, wie man den Zugang zu Unternehmensressourcen über das WatchGuard Access Portal mit Hilfe der WatchGuard AuthPoint Lösung absichern kann. Unter anderem wird die Einbindung von RADIUS und/oder SAML 2.0 sowie der Zugriff auf den Web SSO mit Hilfe des WatchGuard Access Portal gezeigt.

Folgende Themen werden in diesem Webinar behandelt:

Weiterlesen »

Best Practices: Single Sign On mit Microsoft AD und RADIUS Server

Unterschiedliche Gruppen- und Benutzer-Berechtigungen sind in vielen Unternehmen in der Sicherheits-Richtlinie ein fester Bestandteil. WatchGuard bietet seinen Kunden hier durch die Verwendung von Single Sign On (SSO) ein Verfahren, diese Richtlinien auf einfache Art auf ihre Policy in der WatchGuard Firebox anzuwenden. Durch die Verwendung von Microsoft AD oder RADIUS können Benutzer genau ihrer Richtlinie zugeordnet werden.

Folgende Themen werden in diesem Webinar behandelt:

Weiterlesen »

Best Practices – Access Portal mit MFA Integration

Inhalt:

In diesem Webinar geht es darum, wie man den Zugang zu Unternehmensressourcen über das WatchGuard Access Portal mit Hilfe der WatchGuard AuthPoint Lösung absichern kann. Unter anderem wird die Einbindung von RADIUS und/oder SAML 2.0 sowie der Zugriff auf den Web SSO mit Hilfe des WatchGuard Access Portal gezeigt.

Webinaraufzeichnung jetzt ansehen!

Best Practices – Single-Sign-On – Welche Funktionen kann ich in meinen Richtlinien verwenden?

Inhalt:

Wenn man innerhalb von WatchGuard mit AD oder RADIUS SSO arbeitet, kann man über die Zugehörigkeit des Benutzers zu einer Gruppe Einschränkungen definieren. Aber es existieren noch weitere Parameter und Einstellungen, welche die Benutzer in ihrem Verhalten beschränken können und somit die Richtlinie noch granularer definieren. In diesem Webinar werden genau diese vorgestellt und besprochen.

Jetzt zum Webinar anmelden!

Best Practices – Single Sign On mit Microsoft AD und RADIUS Server

Inhalt:

Unterschiedliche Gruppen- und Benutzer-Berechtigungen sind in vielen Unternehmen in der Sicherheits-Richtlinie ein fester Bestandteil. WatchGuard bietet seinen Kunden hier durch die Verwendung von Single Sign On (SSO) ein Verfahren, diese Richtlinien auf einfache Art auf ihre Policy in der WatchGuard Firebox anzuwenden. Durch die Verwendung von Microsoft AD oder RADIUS können Benutzer genau ihrer Richtlinie zugeordnet werden.

Ziel dieser technischen Webinar-Reihe ist es, Ihnen umfassende Hintergrundinformationen zu vermitteln.
Anhand von Konfigurationsbeispielen wird dargestellt, wie Sie die Security Appliances von WatchGuard optimal und noch effektiver einsetzen können.

Jetzt zum Webinar anmelden!