Tag Archives: SSLVPN

HOWTO: Härten einer WatchGuard Firebox mit fail2ban (Schutz gegen SSLVPN Logon Brute-Force)

Im Rahmen der Brute-Force-Angriffe auf das WatchGuard SSLVPN Portal haben wir ein Proof of Concept Setup mit einer externen Linux-VM gebaut, um IP-Adressen nach mehreren fehlerhaften Login-Versuchen auf die WatchGuard-eigene auto-blocklist zu setzen.
Die benötigten Scripte und Snippets sind unter der MIT-License auf Github veröffentlicht: https://watchguard-toolbox-project.github.io/

Idee / Funktionsweise

Weiterlesen »

Massive Angriffe auf SSLVPN – Maßnahmen und Härtung der Firewall

Problem:

Aktuell sehen wir in den Logs vieler Kundenfirewalls Brute-Force-Attacken auf den WatchGuard SSLVPN bzw. das dazugehörige SSLVPN Portal (https://<Ext.-IP>/sslvpn_logon.shtml).

Die Logs zeigen, dass die Angreifer nicht nur Benutzernamen und Passwörter „raten“, sondern auch gezielt die Anmeldeserver des SSLVPN Portals auslesen. Neben typischen Benutzernamen werden so auch alternative Anmeldeserver angesprochen, welche ggf. keine MFA (Multifaktor-Authentifizierung) konfiguriert haben. Weiterlesen »

HOWTO: OpenVPN / WatchGuard SSLVPN und „Start Before Logon“ konfigurieren

Seit der Version 2.6 von OpenVPN (>> Changelog OpenVPN) gibt es die Möglichkeit ein „Start Before Logon“ (PLAP, Pre Logon Access Provider, VPN Before Login, GINA-Mode) zu konfigurieren. Ein Login noch vor der Benutzeranmeldung bietet für Domain-Computer einige Vorteile (Passwortänderungen, GPO, Start-Skripte, neue Benutzerprofile anlegen, …) und ist ein häufig gewünschtes Feature.

Da WatchGuard für deren SSLVPN einen OpenVPN als Grundlage verwendet, kann dieser How-To Artikel sowohl für WatchGuard als auch für alle anderen OpenVPN fähigen VPN-Gateways verwendet werden.

Weiterlesen »

HOWTO: Erzwingen einer VPN-Verbindung in öffentlichen Netzwerken

Problemstellung:

Da das Home-Office auch 2023 weiterhin stark verbreitet ist, erreichen uns dazu viele Kundenanfragen. Neben der Performance-Optimierung ist die Verbesserung der Security eines der Top-Themen. Ich möchte in diesem Blog-Artikel meine Ideen für ein VPN-Enforcement in öffentlichen Netzwerken veranschaulichen. Unser Ziel ist es außerhalb des Domänen-Netzwerks sämtlichen Datenverkehr sicher über die Firmenfirewall zu erzwingen. Die Angriffsfläche des mobilen Arbeitsplatzes (z. B. im Home-Office) wird mit der Personal Firewall auf ein Minimum reduziert.

Inspiration:

Der kostenpflichtige WatchGuard VPN Client „WatchGuard IPSec VPN Client“ (Provided by NCP) bietet mit der integrierten Firewall das benötigte Feature. Da der Premium VPN-Client kostenpflichtig und auf IPSEC eingeschränkt ist (der WatchGuard Client unterstützt nur IKEv1), möchte ich einen alternativen Weg aufzeigen. Weiterlesen »

OpenVPN data-ciphers ab OpenVPN 2.6.x

Aktuell kann es bei Verwendung der aus der WatchGuard exportierten SSLVPN – Konfigurationsdatei “client.ovpn” mit dem OpenVPN Community Client (ab Version 2.6.x) zu einer Fehlermeldung ähnlich “Unrecognized option or missing or extra parameter(s)” kommen.

Beispiel unter openVPN 2.5.x:

DEPRECATED OPTION: –cipher set to ‘aes-128-cbc’ but missing in –data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore –cipher for cipher negotiations. Add ‘aes-128-cbc’ to –data-ciphers or change –cipher ‘aes-128-cbc’ to –data-ciphers-fallback ‘aes-128-cbc’ to silence this warning.

oder

OPTIONS ERROR: failed to negotiate cipher with server. Add the server’s cipher (‘AES-256-CBC’) to –data-ciphers (currently ‘AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305’) if you want to connect to this server.

Weiterlesen »

Best Practices – Mobile VPN-Protokolle – Vor- und Nachteile der Mobile VPN-Protokolle

Inhalt:

WatchGuard unterstützt die Mobile VPN-Protokolle IKEv2, SSLVPN, IPsec und L2TP um sich sicher mit dem Firmennetzwerk zu verbinden. Hierbei kommt immer wieder die Frage auf, welches Protokoll für die Anforderungen am besten geeignet ist?

Dieses Webinar zeigt Ihnen die Vor- und Nachteile der sicheren Verbindungen und möchte Sie bei der Entscheidungsfindung unterstützen.

Jetzt zum Webinar anmelden!

Fireware 12.5.2 SSLVPN – Probleme mit mehreren gleichzeitigen SSLVPN-Sessions

Ein Kunde hat uns gerade folgende Info zukommen lassen:

  • Fireware ab 12.5.2
  • SSLVPN
  • Ein gemeinsamer SSLVPN-Benutzer-Account
  • mehrere gleichzeitige SSLVPN-Sessions mit diesem Account
  • von der gleichen Source-IP (Public IP) aus

In diesem Falle gibt es wohl Probleme, dass es nicht mehr möglich ist, sich mit diesen beiden SSLVPN-Sessions gleichzeitig anzumelden.
Vermutlich greift hier ein interner Session-Takeover oder/und die beiden Verbindungen spielen Ping-Pong.

Abhilfe/Workaround:

  • mehrere SSLVPN-User => damit werden es getrennte Sessions.

Trennung der SSLVPN- und Authentication Login-Seiten

WatchGuard hat mit Fireware 11.12.2 das Authentication Portal (üblicherweise auf Port 4100) noch weiter vom SSLVPN-Portal abgetrennt. Bei älteren Fireware Releases war es möglich, über https://[IP-der-Firebox]/sslvpn_logon.shtml die SSLVPN-Login-Seite aufzurufen und über https://[IP-der-Firebox]/logon.shtml die Login-Seite für die normale User Authentifizierung an der Firewall – unabhängig davon, welcher Port (4100/Authentification oder 443/SSLVPN bzw. anderer eingestellter Port) aufgerufen wurde. Die saubere Trennung der beiden Dienste führt nun einerseits zu einer erhöhten Sicherheit, ist aber möglicherweise für den einen oder anderen etwas hinderlich. Beispielsweise wenn jemand, der die Authentifizierung von External nutzen soll, an seinem aktuellen Internet-Zugang nicht über Port 4100 ins Internet hinaus darf. Hier war es extrem praktisch, die Authentifizierung eben auch auf dem üblicherweise in ausgehende Richtung offenen Port 443 ansprechen zu können.

Folgende Workarounds können nun eingerichtet werden:

  • Falls der Port 443 noch gar nicht verwendet wird: Einrichten eines SNAT von Any-External an IP:443 mit Weiterleitung an die interne IP der Firewall auf Port 4100!
  • Falls der Port 443 bereits für SSLVPN verwendet wird: Sekundäre IP für den o.g. SNAT verwenden, sofern vom Provider mehrere externe IPs zur Verfügung gestellt werden
  • Evtl. SSLVPN auf einem anderen Port als 443 betreiben, um den Port 443 für User Authentication freizuschalten. Hier verlagert man das Problem aber nur, denn wenn SSLVPN z.B. auf Port 444 umkonfiguriert wird, dann müssen eben mögliche SSLVPN-Nutzer an deren Standort eben auch über diesen Port 444 ins Internet hinaus können…

Falls der externe Port 443 bereits für Microsoft Outlook Web Access (OWA) oder einen anderen Dienst (interner Webserver mit HTTPS) für die Weiterleitung nach innen benutzt wird, hilft hierbei künftig eventuell ein für Fireware 12.x angekündigtes neues Feature: Host Header Redirection. Mit diesem Feature soll es möglich werden, auf der WatchGuard Firewall ein Multidomain/SAN-Zertifikat zu installieren und dann abhängig vom jeweiligen Hostnamen auf unterschiedliche interne IPs weiterzuleiten. Leider wird hier nach meinem Kenntnisstand SSLVPN außen vor bleiben.