Tag Archives: SSLVPN

HOWTO: Mobile SSLVPN mit Microsoft Entra und 2FA

Die sichere Anbindung von mobilen Geräten an Unternehmensnetzwerke ist in Zeiten von Remote-Arbeit und Cloud-Diensten wichtiger denn je. Eine zuverlässige Lösung ist der Einsatz von SSLVPNs (Secure Socket Layer Virtual Private Networks) in Kombination mit Microsoft Entra, ehemals Azure AD, und einer robusten Zwei-Faktor-Authentifizierung (2FA). Seit Firmware v12.11 ist es möglich, SSLVPN mit einem zweiten Faktor von Microsoft 365 abzusichern.

Dieser Artikel zeigt Ihnen Schritt für Schritt, wie Sie Mobile SSLVPN mit Microsoft Entra und 2FA einrichten können.

Voraussetzungen

Weiterlesen »

HOWTO: Verteilung des WatchGuard SSLVPN Client mit Microsoft Intune

In der heutigen Zeit gibt es immer mehr Unternehmen, die keine On-Premises-Infrastruktur mehr betreiben, sondern die komplette Verwaltung der Benutzer und Endgeräte nach Microsoft Azure/Entra ID ausgelagert haben. Eine zentralisierte Verteilung des SSLVPN Clients ist über Gruppenrichtlinien dann nicht möglich.

Es gibt aber auch in der Cloud die Möglichkeit, Software – somit auch den SSLVPN Client von WatchGuard – für berechtigte Benutzer bereitzustellen. Diese Anleitung ist für Infrastrukturen, die ausschließlich über die Cloud verwaltet werden und gilt nicht für Hybrid-Strukturen!

Voraussetzungen

Weiterlesen »

HOWTO: Verteilung, Update und Konfiguration des WatchGuard SSLVPN Clients via Gruppenrichtlinien

Immer häufiger kommen Kundenanfragen, wie der SSLVPN zentral verteilt, mit Updates versorgt oder aus der Ferne konfiguriert werden kann. In diesem Blog-Artikel möchte ich einen Weg beschreiben, welcher sich bisher gut bewährt hat. Selbstverständlich gibt es viele verschiedene Möglichkeiten, um an sein Ziel zu gelangen. Weiterlesen »

HOWTO: Konvertierung von EXE zu MSI für die Softwareverteilung am Beispiel WatchGuard SSLVPN

In diesem Blog-Artikel möchte ich beschreiben, wie eine EXE-Datei für die Softwareverteilung (z.B. via Azure InTune oder Gruppenrichtlinien) zu einer MSI-Datei konvertiert werden kann. Als Beispiel führe ich den WatchGuard SSLVPN Client 12.10.4 an, welcher nicht als MSI Installer von WatchGuard bereitgestellt wird. Weiterlesen »

BestPractices.live – Sichere VPN-Verbindungen mit WatchGuard Firebox

Die WatchGuard Firebox ist eine extrem vielseitige und leistungsstarke Netzwerksicherheitslösung, die mehrere Möglichkeiten bietet, verschiedene Standorte sicher über öffentliche Internetverbindungen zu verbinden.

Welche Methode ist also für Ihre Anwendungsfälle am besten geeignet? Wie sollte VPN genutzt werden, um Standorte mit Fireboxen effektiv und sicher zu verbinden?

In diesem Webinar werden WatchGuard Security-Experten die Firebox BOVPN-Funktionen besprechen und folgende Punkte hervorheben:

– Best Practices für ein belastbares und redundantes Netzwerk
– Wann man IPSec, IKEv2 oder SSL-Optionen verwenden sollte
– Vorteile der Cloud-Verwaltung gegenüber der lokalen Verwaltung
– Neue verfügbare Optionen für Cloud-verwaltete VPNs

Weiterlesen »

HOWTO: Härten einer WatchGuard Firebox mit fail2ban (Schutz gegen SSLVPN Logon Brute-Force)

Im Rahmen der Brute-Force-Angriffe auf das WatchGuard SSLVPN Portal haben wir ein Proof of Concept Setup mit einer externen Linux-VM gebaut, um IP-Adressen nach mehreren fehlerhaften Login-Versuchen auf die WatchGuard-eigene auto-blocklist zu setzen.
Die benötigten Scripte und Snippets sind unter der MIT-License auf Github veröffentlicht: https://watchguard-toolbox-project.github.io/

Update Fireware 12.10.4:  Mit dem aktuellen Fireware-Update (Version 12.10.4) kann auch das jetzt integrierte Feature “Block Failed Logins” verwendet werden.
Eine ausführliche Anleitung dazu finden Sie in diesem HOWTO-Artikel.

Idee / Funktionsweise

Weiterlesen »

Massive Angriffe auf SSLVPN – Maßnahmen und Härtung der Firewall

Update: 23.10.24
WatchGuard hat weltweit Brute-Force-Angriffe auf SSL-VPNs festgestellt, die zu einer ungewöhnlich hohen Anzahl unbekannter Anmeldeversuche beim AuthPoint-Authentifizierungsdienst geführt haben. Diese Angriffe können Dienstunterbrechungen verursachen, die die Servicequalität beeinträchtigen und bei einigen Kunden zu fehlgeschlagenen Authentifizierungssitzungen, Zeitüberschreitungen oder Abbrüchen führen können. Die Brute-Force-Angriffe sind jedoch nicht direkt gegen AuthPoint gerichtet und haben keine Sicherheitsverletzungen bei den WatchGuard-Diensten verursacht. Weitere Infos unter https://status.watchguard.com oder im WatchGuard Support Center unter >> Detect and mitigate brute force attacks that target Mobile VPN with SSL (SSLVPN).

Problem:

Aktuell sehen wir in den Logs vieler Kundenfirewalls Brute-Force-Attacken auf den WatchGuard SSLVPN bzw. das dazugehörige SSLVPN Portal (https://<Ext.-IP>/sslvpn_logon.shtml).

Die Logs zeigen, dass die Angreifer nicht nur Benutzernamen und Passwörter „raten“, sondern auch gezielt die Anmeldeserver des SSLVPN Portals auslesen. Neben typischen Benutzernamen werden so auch alternative Anmeldeserver angesprochen, welche ggf. keine MFA (Multifaktor-Authentifizierung) konfiguriert haben. Weiterlesen »

HOWTO: OpenVPN / WatchGuard SSLVPN und „Start Before Logon“ konfigurieren

Seit der Version 2.6 von OpenVPN (>> Changelog OpenVPN) gibt es die Möglichkeit ein „Start Before Logon“ (PLAP, Pre Logon Access Provider, VPN Before Login, GINA-Mode) zu konfigurieren. Ein Login noch vor der Benutzeranmeldung bietet für Domain-Computer einige Vorteile (Passwortänderungen, GPO, Start-Skripte, neue Benutzerprofile anlegen, …) und ist ein häufig gewünschtes Feature.

Da WatchGuard für deren SSLVPN einen OpenVPN als Grundlage verwendet, kann dieser How-To Artikel sowohl für WatchGuard als auch für alle anderen OpenVPN fähigen VPN-Gateways verwendet werden.

Weiterlesen »

HOWTO: Erzwingen einer VPN-Verbindung in öffentlichen Netzwerken

Problemstellung:

Da das Home-Office auch 2023 weiterhin stark verbreitet ist, erreichen uns dazu viele Kundenanfragen. Neben der Performance-Optimierung ist die Verbesserung der Security eines der Top-Themen. Ich möchte in diesem Blog-Artikel meine Ideen für ein VPN-Enforcement in öffentlichen Netzwerken veranschaulichen. Unser Ziel ist es außerhalb des Domänen-Netzwerks sämtlichen Datenverkehr sicher über die Firmenfirewall zu erzwingen. Die Angriffsfläche des mobilen Arbeitsplatzes (z. B. im Home-Office) wird mit der Personal Firewall auf ein Minimum reduziert.

Inspiration:

Der kostenpflichtige WatchGuard VPN Client „WatchGuard IPSec VPN Client“ (Provided by NCP) bietet mit der integrierten Firewall das benötigte Feature. Da der Premium VPN-Client kostenpflichtig und auf IPSEC eingeschränkt ist (der WatchGuard Client unterstützt nur IKEv1), möchte ich einen alternativen Weg aufzeigen. Weiterlesen »