Tag Archives: SSL

BestPractices.live – Sichere VPN-Verbindungen mit WatchGuard Firebox

Comment

Inhalt:

Die WatchGuard Firebox ist eine extrem vielseitige und leistungsstarke Netzwerksicherheitslösung, die mehrere Möglichkeiten bietet, verschiedene Standorte sicher über öffentliche Internetverbindungen zu verbinden.

Welche Methode ist also für die Anwendungsfälle Ihrer Kunden am besten geeignet? Wie sollte VPN genutzt werden, um Standorte mit Fireboxen effektiv und sicher zu verbinden?

In diesem Webinar werden WatchGuard Security-Experten die Firebox BOVPN-Funktionen besprechen und folgende Punkte hervorheben:

– Best Practices für ein belastbares und redundantes Netzwerk
– Wann man IPSec, IKEv2 oder SSL-Optionen verwenden sollte
– Vorteile der Cloud-Verwaltung gegenüber der lokalen Verwaltung
– Neue verfügbare Optionen für Cloud-verwaltete VPNs

Anzeigefehler: WatchGuard System Manager zeigt Zertifikate als expired

Comment

Wenn sehr langlaufende Zertifikate auf einer Firebox installiert sind, werden diese unter Umständern als abgelaufen angezeigt obwohl sie noch viele Jahre gültig sind.

Das folgende Bild zeigt links die Anzeige des WatchGuard System Managers – er zeigt bei Zertifikaten (gültig bis 2038 oder 2049) ein “expired” an; auf der rechten Seite ist die identische Box abgebildet, allerdings stammt der Screenshot vom Firebox System Manager – Hier ist die Anzeige korrekt.

HOWTO: Proxy-CA ausrollen via GPO

1 Comment

Damit mittels WatchGuard Firebox auch SSL/TLS verschlüsselter Traffic untersucht werden kann, ist eine Deep-Inspection nötig. Da bei der Deep-Inspection die WatchGuard Firebox den Traffic erneut verschlüsseln muss, sollte das Zertifikat der WatchGuard im Betriebssystem als vertrauenswürdig eingestuft werden (ansonsten erscheint eine Fehlermeldung bei jeder Website). Der nachfolgende Artikel beschreibt das Ausrollen des WatchGuard Zertifikats via Gruppenrichtlinie, was besonders für diejenigen interessant sein sollte, die keine Enterprise Root CA betreiben möchten/können. Weiterlesen »

Erneuerung der Default Firebox Zertifikate per CLI

Comment

Um die Default-Zertifikate der Firebox zu erneuern, ist das übliche vorgehen, das entsprechende Zertifikat zu löschen und die Box zu rebooten.

Will man oder muß man den Reboot vermeiden, so kann man die Erzeugung der Zertifikate auch von der WatchGuard CLI triggern. Je nach Zertifikat sind folgende Befehle hilfreich:

  • für das default Proxy Authority  sowie Proxy Server Zertifikat (für HTTPS Deep Inspection): upgrade certificate proxy
  • für das Firebox web server Zertifikat: upgrade certificate web
  • für das SSLVPN Zertifikat: upgrade certificate sslvpn
  • für das 802.1x Zertifikat: upgrade certificate 8021x

Öffentliches Zertifikat für Anmeldeseite (Port 4100 tcp) verwenden

1 Comment

Wenn auf der WatchGuard Firebox oder WatchGuard XTM mit User Authentication gearbeitet wird - also Firewall-Regeln verwendet werden, dieauf User-Basis greifen und nicht auf Maschinen-Basis - kommt häufig die Anmeldeseite der Firewall ins Spiel, die über
https://[IP-der-Firebox]:4100
aufgerufen wird. Die Anmeldeseite verwendet SSL-Verschlüsselung. Hierfür wird standardmäßig ein von WatchGuard selbst generiertes Zertifikat verwendet, das aber nicht von einer öffentlichen Zertifizierungsstelle rückbestätigt ist, weswegen beim Aufruf die allseits bekannte Warnmeldung des Browsers erscheint. 

Der beste Ansatz, dieses Verhalten zu umgehen, ist der Einsatz eines offiziellen Webserver SSL-Zertifikats, das aber kostenpflichtig ist und im Regelfall pro Jahr ebenfalls kostenpflichtig erneuert werden muss.

Alternativ dazu kann bei Vorhandensein einer (Windows) Active Directory Umgebung dort auch eine eigene (Windows-)Zertifizierungsstelle aufgesetzt und darüber ein eigenes Webserver-Zertifikat generiert werden. Computer, die Mitglied der Domäne sind, lernen dieses Zertifikat dann automatisch.

Folgende Zertifikate sind ab Werk auf einer WatchGuard Appliance unter Fireware XTM 11.3.x vorhanden:

Das SSL Zertifikat von WatchGuard kann durch ein offizielles, von einer allgemein bekannten Zertifizierungsstelle rückbestätigtes SSL Zertifikat ersetzt werden. Hier reicht schon ein einfaches Zertifikat z.B. von RapidSSL aus, das bereits für 10,95 USD pro Jahr erhältlich ist. Alternativ kann (mit den bekannten Einschränkungen) auch ein von einer firmeninternen, privaten Zertifizierungsstelle erstelltes Zertifikat verwendet werden. Es empfiehlt sich, das Zertifikat für einen griffigen Hostname ausstellen zu lassen (firewall.kundenname.de, watchguard.kundenname.de, fw.kundenname.de etc.) und diesen über DNS korrekt bekannt zu machen. Zur allgemeinen Vorgehensweise:

WatchGuard System Manager (WSM) > Connect to Firebox > Firebox System Manager > View > Certificates > Create Request.
Der abschließend erzeugte CSR (Certificate Signing Request) wird an die Zertifizierungsstelle geschickt, für die man sich entschieden hat. Wenn das von dort ausgestellte Zertifikat vorliegt, kann es über "Import Certificate / CRL" auf die Firebox importiert werden. Wenn das Root-Zertifikat der CA nicht in der Liste der defaultmäßig enthaltenen CA Certificates enthalten ist (http://www.watchguard.com/help/docs/wsm/11/en-US/Content/en-US/certificates/cert_auto_trusted_list_c.html), muss es VOR dem Import des eigentlichen Zertifikats auf die gleiche Weise importiert werden, da sonst ein Fehler generiert wird: "Error: Error occurred while performing 'import certificate': certificate add error msg="Failed to import a certificate!! 6_982: certificate validation fail" add certificate". Das Root-CA Zertifikat von RapidSSL findet sich übrigens hier:http://www.geotrust.com/resources/root_certificates/certificates/Equifax_Secure_Certificate_Authority.cer. Wählen Sie für den Import jeweils die Option"IPSec, Web Server, Other". Der erfolgreiche Import wird angezeigt:

Nun ist/sind die offiziellen Zertifikat(e) zwar schon auf der Firebox vorhanden, müssen aber noch für den Einsatz auf der Authentication Webpage der Firebox ausgewählt werden:
Policy Manager > Setup > Authentication > Web Server Certificate... > Third Party Certificate auswählen > OK > Save to Firebox.
Abschließend muss die Firebox einmal durchgebootet werden, damit diese Änderung auch tatsächlich aktiv wird:

Austausch SSL-Zertifikat WatchGuard Quarantine Server

4 Comments

Nach der Installation des WatchGuard Quarantine Servers ist dieser mit einem Self Signed Certificate ausgestattet. Dieses erzeugt bei allen Benutzern eine Vertraulichkeits-Warnung im Browser. Um dies zu umgehen, kann man ein offizielles SSL-Zertifikat auf den Quarantine Server hochladen und aktivieren.

Hintergrund

das Web Frontend des Quarantine Servers ist ein Apache, die Config-Dateien liegen typischerweise hier:

C:\ProgramData\WatchGuard\wqserver

certs
conf
db
htdocs
keys
tasks
tmp
wqserver.ini
wqserver.pid

Kauf und Installation des offiziellen Zertifikats

Für das offizielle Zertifikat zu kaufen, benötigt man einen CSR (Certificate Signing Request), den man z.B. auf einem Linux-Host mit openssl erzeugen kann (Key und CSR). Bei der Zertifizierungsstelle Ihres Vertrauens kaufen Sie damit das Zertifikat.

Anschließend sollte sowohl der Key als auch das Zertifikat gesichert werden:
certs/wgagent.pem und keys/wgagent.pem jeweils umbenennen nach “.sik”.

Das Zertifikat wird dann im Verzeichnis certs/wgagent.pem im Format für NGINX hinterlegt: in einer Datei zunächst das Zertifikat und darunter falls vorhanden das CA-Bundle-Zertifikat.

Der Key wird unter keys/wgagent.pem hinterlegt.

Durchstarten des Quarantine-Servers

im ServerCenter kann der Quarantine Server nun durch Rechtsklick=>stop server, Rechtsklick=>start server durchgestartet werden. Nun sollte das offizielle Zertifikat ausgeliefert werden.

Neuer Knowledge Base Content im April 2016

Comment

WatchGuard erstellt ständig neue Inhalte in der Knowledge Base. Die folgenden Artikel wurden im April 2016 hinzugefügt. Um die WatchGuard Knowledge Base zu durchsuchen, verwenden Sie die Technische Suche (Technical Search) im WatchGuard Support Center.

Artikel

Known Issues (Login auf der WatchGuard Website erforderlich)

Neuer Knowledge Base Content im März 2016

Comment

WatchGuard erstellt ständig neue Inhalte in der Knowledge Base. Die folgenden Artikel wurden im März 2016 hinzugefügt. Um die WatchGuard Knowledge Base zu durchsuchen, verwenden Sie die Technische Suche (Technical Search) im WatchGuard Support Center.

Artikel

Known Issues (Login auf der WatchGuard Website erforderlich)