SSLVPN Archive - Seite 2 von 3 - BOC IT-Security GmbH

Tag Archives: SSLVPN

HOWTO: Härten einer WatchGuard Firebox mit fail2ban (Schutz gegen SSLVPN Logon Brute-Force)

13. März 2024 Werner Maier 4 Comments

Im Rahmen der Brute-Force-Angriffe auf das WatchGuard SSLVPN Portal haben wir ein Proof of Concept Setup mit einer externen Linux-VM gebaut, um IP-Adressen nach mehreren fehlerhaften Login-Versuchen auf die WatchGuard-eigene auto-blocklist zu setzen.
Die benötigten Scripte und Snippets sind unter der MIT-License auf Github veröffentlicht: https://watchguard-toolbox-project.github.io/

Update Fireware 12.10.4: Mit dem aktuellen Fireware-Update (Version 12.10.4) kann auch das jetzt integrierte Feature “Block Failed Logins” verwendet werden.
Eine ausführliche Anleitung dazu finden Sie in diesem HOWTO-Artikel.

Idee / Funktionsweise

Massive Angriffe auf SSLVPN – Maßnahmen und Härtung der Firewall

21. Februar 2024 Johannes Wolfsteiner 9 Comments

Update: 20.12.2024
Neben dem SSL-VPN verzeichnen wir zunehmend auch Brute-Force-Angriffe auf das Access Portal von WatchGuard Firewalls.
Falls Sie das genannte Feature nutzen, sollten Sie unbedingt die im Artikel empfohlenen Best-Practices (“Block Failed Authentications”, MFA, Geo-Filter,…) umsetzen.

Update: 23.10.2024
WatchGuard hat weltweit Brute-Force-Angriffe auf SSL-VPNs festgestellt, die zu einer ungewöhnlich hohen Anzahl unbekannter Anmeldeversuche beim AuthPoint-Authentifizierungsdienst geführt haben. Diese Angriffe können Dienstunterbrechungen verursachen, die die Servicequalität beeinträchtigen und bei einigen Kunden zu fehlgeschlagenen Authentifizierungssitzungen, Zeitüberschreitungen oder Abbrüchen führen können. Die Brute-Force-Angriffe sind jedoch nicht direkt gegen AuthPoint gerichtet und haben keine Sicherheitsverletzungen bei den WatchGuard-Diensten verursacht. Weitere Infos unter https://status.watchguard.com oder im WatchGuard Support Center unter >> Detect and mitigate brute force attacks that target Mobile VPN with SSL (SSLVPN).

Problem:

Aktuell sehen wir in den Logs vieler Kundenfirewalls Brute-Force-Attacken auf den WatchGuard SSLVPN bzw. das dazugehörige SSLVPN Portal (https://<Ext.-IP>/sslvpn_logon.shtml).

Die Logs zeigen, dass die Angreifer nicht nur Benutzernamen und Passwörter „raten“, sondern auch gezielt die Anmeldeserver des SSLVPN Portals auslesen. Neben typischen Benutzernamen werden so auch alternative Anmeldeserver angesprochen, welche ggf. keine MFA (Multifaktor-Authentifizierung) konfiguriert haben. Weiterlesen »

HOWTO: OpenVPN / WatchGuard SSLVPN und „Start Before Logon“ konfigurieren

21. Dezember 2023 Johannes Wolfsteiner 2 Comments

Seit der Version 2.6 von OpenVPN (>> Changelog OpenVPN) gibt es die Möglichkeit ein „Start Before Logon“ (PLAP, Pre Logon Access Provider, VPN Before Login, GINA-Mode) zu konfigurieren. Ein Login noch vor der Benutzeranmeldung bietet für Domain-Computer einige Vorteile (Passwortänderungen, GPO, Start-Skripte, neue Benutzerprofile anlegen, …) und ist ein häufig gewünschtes Feature.

Da WatchGuard für deren SSLVPN einen OpenVPN als Grundlage verwendet, kann dieser How-To Artikel sowohl für WatchGuard als auch für alle anderen OpenVPN fähigen VPN-Gateways verwendet werden.

HOWTO: Erzwingen einer VPN-Verbindung in öffentlichen Netzwerken

5. Oktober 2023 Johannes Wolfsteiner 2 Comments

Problemstellung:

Da das Home-Office auch 2023 weiterhin stark verbreitet ist, erreichen uns dazu viele Kundenanfragen. Neben der Performance-Optimierung ist die Verbesserung der Security eines der Top-Themen. Ich möchte in diesem Blog-Artikel meine Ideen für ein VPN-Enforcement in öffentlichen Netzwerken veranschaulichen. Unser Ziel ist es außerhalb des Domänen-Netzwerks sämtlichen Datenverkehr sicher über die Firmenfirewall zu erzwingen. Die Angriffsfläche des mobilen Arbeitsplatzes (z. B. im Home-Office) wird mit der Personal Firewall auf ein Minimum reduziert.

Inspiration:

Der kostenpflichtige WatchGuard VPN Client „WatchGuard IPSec VPN Client“ (Provided by NCP) bietet mit der integrierten Firewall das benötigte Feature. Da der Premium VPN-Client kostenpflichtig und auf IPSEC eingeschränkt ist (der WatchGuard Client unterstützt nur IKEv1), möchte ich einen alternativen Weg aufzeigen. Weiterlesen »

OpenVPN data-ciphers ab OpenVPN 2.6.x

6. Februar 2023 Ingo Flügel Comment

Aktuell kann es bei Verwendung der aus der WatchGuard exportierten SSLVPN – Konfigurationsdatei “client.ovpn” mit dem OpenVPN Community Client (ab Version 2.6.x) zu einer Fehlermeldung ähnlich “Unrecognized option or missing or extra parameter(s)” kommen.

Beispiel unter openVPN 2.5.x:

DEPRECATED OPTION: –cipher set to ‘aes-128-cbc’ but missing in –data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore –cipher for cipher negotiations. Add ‘aes-128-cbc’ to –data-ciphers or change –cipher ‘aes-128-cbc’ to –data-ciphers-fallback ‘aes-128-cbc’ to silence this warning.

oder

OPTIONS ERROR: failed to negotiate cipher with server. Add the server’s cipher (‘AES-256-CBC’) to –data-ciphers (currently ‘AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305’) if you want to connect to this server.

Best Practices – Mobile VPN-Protokolle – Vor- und Nachteile der Mobile VPN-Protokolle

29. September 2020 Manuel Seidel Comment

Inhalt:

WatchGuard unterstützt die Mobile VPN-Protokolle IKEv2, SSLVPN, IPsec und L2TP um sich sicher mit dem Firmennetzwerk zu verbinden. Hierbei kommt immer wieder die Frage auf, welches Protokoll für die Anforderungen am besten geeignet ist?

Dieses Webinar zeigt Ihnen die Vor- und Nachteile der sicheren Verbindungen und möchte Sie bei der Entscheidungsfindung unterstützen.

Jetzt zum Webinar anmelden!

Fireware 12.5.2 SSLVPN – Probleme mit mehreren gleichzeitigen SSLVPN-Sessions

8. Januar 2020 Werner Maier 2 Comments

Ein Kunde hat uns gerade folgende Info zukommen lassen:

Fireware ab 12.5.2
SSLVPN
Ein gemeinsamer SSLVPN-Benutzer-Account
mehrere gleichzeitige SSLVPN-Sessions mit diesem Account
von der gleichen Source-IP (Public IP) aus

In diesem Falle gibt es wohl Probleme, dass es nicht mehr möglich ist, sich mit diesen beiden SSLVPN-Sessions gleichzeitig anzumelden.
Vermutlich greift hier ein interner Session-Takeover oder/und die beiden Verbindungen spielen Ping-Pong.

Abhilfe/Workaround:

mehrere SSLVPN-User => damit werden es getrennte Sessions.

SSLVPN-Problem mit Fireware 12.3

7. Dezember 2018 Werner Maier Comment

Bei Fireware 12.3 gibt es ein Problem mit SSLVPN.

Symptom:

nach dem Start der Box funktioniert das SSLVPN
nach ca. 1-2 Stunden ist kein SSLVPN-Connect mehr möglich.
gleichzeitig wird die Web-UI langsamer

Ursache:

WatchGuard SSLVPN Silent Installation mit Parameterübergabe

6. November 2017 Werner Maier 4 Comments

Der WatchGuard SSLVPN Client kann auch für eine “silent”-Installation ohne Benutzerinteraktion installiert werden. Folgende Kommandozeilenparameter werden unterstützt:

BIOS-Einstellungen für SSLVPN über WLAN mit HP Elitebooks

30. Oktober 2017 Werner Maier 7 Comments

Ein Kunde hatte Probleme mit dem SSLVPN unter Windows 10: nach Aufbau des VPNs wurde die WLAN-Verbindung getrennt. Weiterlesen »

BOC IT-Security GmbH
Künzeller Straße 93 D-36043 Fulda Deutschland / Germany Tel: +49 661 9440440 Fax: +49 661 9440490 E-Mail: info@boc.de Internet: https://www.boc.de	Geschäftsführer: Dipl.-Ing. Bernd Och Maik Lumler Handelsregister: Fulda 5 HRB 5345 USt-IdNr.: DE 256 847 327

WatchGuard Tabletop Modelle

WatchGuard Rackmount Modelle

Virtuelle Appliances

Ältere WatchGuard Modelle

Zubehör und weitere Services

Einzelprodukte

Zusatzmodule

Managed Services

Bundles

Für Bestandskunden von Panda empfehlen wir weiterhin

Zusatzmodule

WatchGuard Schulungen

Unsere Network Security Essentials-Schulung

Unsere Endpoint Security Essentials-Schulung

Individualschulungen vor Ort

WatchGuard Videos und Webinare (kostenfrei)

Nächste Schulungs-Termine:

Network Security Essentials-Schulung

Endpoint Security Essentials-Schulung

Follow-Up Q&A-Session:

Weitere Events:

WatchGuard Support

Support durch BOC IT-Security GmbH

Häufig nachgefragt...

Support durch WatchGuard (kostenfrei)

Hilfe zur Selbsthilfe (kostenfrei)

WatchGuard Informationen

Idee / Funktionsweise

Problem:

Problemstellung:

Inspiration:

Inhalt:

BOC IT-Security GmbH