Tag Archives: Update

Beta Release Fireware 12.1 und System Manager 12.1

Comment

Auf der WatchGuard Beta Plattform https://watchguard.centercode.com/ ist seit einiger Zeit Fireware 12.1 beta 2 verfügbar (Stand 08.Nov.2017).

ACHTUNG: Bitte den WSM-12.1 Beta nicht mit Fireware 12.0.1 verwenden.
Hier gibt es noch einige Issues => siehe “Known Issues” auf der Beta Plattform.

neue Features:

Access Portal
Dies ist ein Add-On zur Total Security Suite: Das Access Portal ist ein HTML5-Application-Portal.  Alle modernen Web Applikationen, die SAML Standard unterstützen werden für ein SSO durch das neue Access Portal verfügbar sein. Das Access Portal wird nur auf diesen Fireboxen verfügbar sein:

  • Firebox M370/M470/M570/M670
  • Firebox M400/M440/M500
  • Firebox M4600/M5600
  • FireboxV
  • Firebox Cloud

Für den Beta Test dieses Features ist ein neue Feature Key notwendig, der auf der Beta Plattform beantragt werden kann.

HTTPS Predefined Exceptions List
Es gibt eine vordefinierte Exception List für Content-Inspection Filter. Diese vordefinierten Listen erleichtern es, Applikationen wie Skype, Office365, Dropbox und weitere freizuschalten.

Secure IMAP (IMAPS)
IMAP Proxy und TCP-UDP Proxy unterstützen nuzn secure IMAP (IMAPS). Support für STARTTLS wird in einem späteren Release folgen.

WebBlocker Usabiilty/UI Improvements
Die WebBlocker UI wurde verbessert und optimiert

Mobile VPN with IKEv2
Mobile VPN unterstützt jetzt IKEv2. Damit sollten die Native IKEv2 VPN Clients auf Windows, macOS, und iOS Geräten funktionieren. Für Android wird auf die Third-Party-App “strongSwan” verwiesen.

BOVPN over TLS
BOVPN über TLS – zwischen Fireboxen – als alternatives VPN falls IPSec nicht funktioniert (wenn es vom Provider, Router oder Modem nicht unterstützt wird).

Modem as an Interface
3G und 4G Modems, die bisher für Failover unterstützt wurde, werden nun als Externes Interface unterstützt und können direkt für Policies verwendet werden.

Wildcard IP Address Support
Man kann nun IP-Address-Wildcards definieren: z.B für 10.10.*.5 würde man 10.0.0.5/255.255.0.255 schreiben.

Gateway Wireless Controller Enhancements

  • “smart steering” (aka “Fast Roaming”) wird nun für AP120, AP300, AP320, AP322, auf SSID-Ebene unterstützt.
  • “Band steering” ist jetzt auf SSID-Ebene konfigurierbar
  • Weitere Verbesserungen beim Gateway Wireless Controller und bei der AP Passwort-Sicherheit

 

Vorsicht mit Fireware v12.0.1 und M200/M300 (Update)

1 Comment

Heute (09.11.) haben wir auf der WatchGuard Software-Download-Seite für die M200+M300 folgende Meldung entdeckt:

Fireware v12.0.1 Currently Unavailable

We have identified an issue with Fireware v12.0.1 (Build 545166) for Firebox M200/M300 devices that can cause the network interfaces to stop passing traffic after a reboot. We are working on this issue and will provide updated software as soon as possible.

Fazit: Für M200/M300 => bitte vorerst kein Update auf die v12.0.1.
Wir informieren hier, sobald wir neue Informationen haben.
Update 13.11.2017: 
In der Nacht von Freitag auf Samstag (MEZ, 10.11.) wurde von WatchGuard das Update veröffentlicht.
Bitte beachten prüfen Sie die Build-Nummer: Nur Build 546110  sollte verwendet werden.

Neues Software Release Fireware 12.0.1 und System Manager 12.0.1

1 Comment

Jetzt verfügbar: Fireware Release  v12.0.1.

Insbesondere zu beachten: Bzgl. des Virenscanners gibt es neue Einstellungen/Optionen, wie sich der Scanner bei “encrypted files”, “scan size exceeded” etc. verhalten soll. Es empfiehlt sich daher, diese Einstellungen nach dem Update zu prüfen, ob die automatisch gesetzten Optionen den eigenen Vorstellungen ensprechen.

Weiterlesen »

KRACK-Attacke: WPA und WPA2 Vulnerabilities – Firmware für Access-Points

Comment

Heute (16.10.2017) geht eine Meldung um die Welt, die bei allen Wi-Fi-benutzern für Aufhorchen sorgt: Es gibt in den Protokollen WPA und WPA2 einige Fehler, die herstellerübergreifend fast jegliche Wi-Fi Kommunikation betrifft. Die Fehler sind in Standard-Libraries der WPA- und WPA2 Protokolle enthalten und daher praktisch überall anzutreffen.

Unter bestimmten Umständen kann es möglich sein, WPA- und WPA2-Verschlüsselungen auszuhebeln, da der Fehler bereits im 4-Way-Handshake der Protokolle enthalten ist, also dort, wo die Schlüssel für die Verschlüsselung erzeugt werden. Es geht soweit, daß der Wi-Fi-Datenstrom abgefangen, entschlüsselt und ohne Kenntniss des Users modifiziert werden kann.

Der Artikel beschreibt weitere Details und Firmware-Release-Dates der Access-Point Firmware.

Weiterlesen »

GAV Probleme beim Update der Virenscanner-Patterns auf XTM2-Series

1 Comment

Manchmal kommt es vor, dass keine aktuellen Gateway Antivirus Pattern heruntergeladen werden können. Siehe hierzu auch unseren Blog-Artikel “Crash Report kann AV-Update verhindern”.

Neben diesen “Crash Reports” kann es – je nach Größe des vorhandenen Flash-Speichers in einer WatchGuard XTM/Firebox (vom Modell vorgegeben) – auch zu Problemen mit der Aktualisierung der Antivirus-Pattern kommen, wenn auf der Firebox die Firmware-Images von WatchGuard Access Points gespeichert sind/werden. Dies ist bei älteren Softwareversionen auch standardmäßig der Fall, selbst wenn beim Kunden überhaupt keine WatchGuard Access Points im Einsatz sind. Bekannt ist derzeit ist ein Fall auf der XTM2-Serie (XTM25, XTM25-W, XTM26, XTM26-W), bei dem diese AP Firmware-Images nötigen Speicherplatz blockiert haben, so dass die AV-Updates nicht heruntergeladen bzw. gespeichert werden können. Abhilfe schafft hier das manuelle Löschen der AP Firmware-Images von der XTM/Firebox. Ab der Softwareversion Fireware 11.12.4 sind die AP Firmware-Images auch gar nicht mehr im eigentlichen Firebox-Betriebssystem enthalten und müss(t)en ohnehin einzeln auf die Firebox heruntergeladen werden.

Trifft dieses Szenario zu, sieht die Fehlermeldung bei einem GAV-Update wie folgt aus:

2017-04-14 11:04:12 sigd Manual GAV update is currently running Debug 
2017-04-14 11:04:18 sigd Decompression failed for '/sigs//tmp/incavi.avm' Debug 
2017-04-14 11:04:18 sigd Curl returned error: Failed writing body (4294967295 != 16384) Debug 
2017-04-14 11:04:18 sigd unable to download files for GAV Debug

Web-UI:

  1. Ggfs. Einschalten des Gateway Wireless Controller unter Network => Gateway Wireless Controller => [x] enable the Gateway Wireless Controller (danach muss eine Passphrase vergeben werden)
  2. Danach unter Dashboard > Gateway Wireless Controller (der Punkt existiert sonst nämlich nicht) unter Manage Firmware => Remove all Firmware
  3. Ggfs. Ausschalten des Gateway Wireless Controller unter Network => Gateway Wireless Controller => [_] enable the Gateway Wireless Controller

WatchGuard System Manager

  1. Im Policy Manager nötigenfalls den Gateway Wireless Controller aktivieren: Network => Gateway Wireless Controller => [x] enable the Gateway Wireless Controller
  2. Save to Firebox
  3. Firebox System Manager starten
  4. Im Tab Gateway Wireless Controller => Manage Firmware => Remove all Firmware
  5. Nötigenfalls den Gateway Wireless Controller wieder abschalten: Network => Gateway Wireless Controller => [_] enable the Gateway Wireless Controller

Crash Report kann Antivirus-Pattern-Update verhindern

1 Comment

Kürzlich bei einer Box aufgetreten: Antivirus-Pattern-Update konnte das Signature-File nicht mehr herunterladen.  Im Firebox System Manager unter Subscription Services wurde beim manuellen Update folgende Fehlermeldung erzeugt:

The signature update failed: An error occured when downloading the signature file (9)

Im Traffic Monitor war folgende Fehlermeldung zu sehen:

sigd Manual GAV update started
sigd Manual GAV update for version (13101) failed (Failed to download signature file from server)

Die Lösung war, alle Crash Reports zu löschen. (Firebox System Manager => Status Report Tab => Support => Delete all crash reports).

Auszug aus dem WatchGuard Support Case:

unfortunately when crash report is listed, this create a condition to not download signature update.
Seems there is a problem to decompress some internal file in the kernel and this need the deletion of crash.
Once you delete them, Firewall is able to download and update itself.

Bei der betroffenen Box wurden die Crash Reports gelöscht und danach funktionierte das manuelle Update auf anhieb, ein Reboot der Box war nicht notwendig.

 

Update 2017-06-27: Siehe hierzu auch unseren Artikel GAV Update Probleme bei Update des Patterns auf XTM2-Series. 

 

HOWTO: Software-Update über das Web-Interface

Comment

Die regelmäßige Aktualisierung Ihrer WatchGuard Firebox ist wichtig, um die Leistungsfähigkeit, Sicherheit und Zuverlässigkeit Ihres Netzwerks zu gewährleisten. In diesem Blog-Artikel zeigen wir Ihnen Schritt für Schritt, wie Sie ein Fireware Software-Update über die Web-UI erfolgreich durchführen – unabhängig davon, ob sich Ihre Firebox bereits im Einsatz befindet oder ob Sie diese gerade erstmalig einrichten.

Unseren ausführlichen HOWTO-Artikel über alle drei verschiedenen Methoden, mit denen Sie das Firmware-Upgrade Ihrer Firebox sicher und effizient durchführen können finden Sie unter >> HOWTO: WatchGuard Firebox Firmware-Upgrade. Weiterlesen »

X Core und X Peak e-series nicht direkt von v10.x auf v11.3.3 oder v11.3.4 updaten!

1 Comment

Mit diesem Blog-Beitrag hatte ich bereits auf das Problem eines möglichen Verlusts der Konfiguration beim direkten Umstieg von Fireware v10.x auf Fireware XTM v11.3.3 und v11.3.4 hingewiesen. Der Hinweistext “Note: If you are upgrading from Fireware XTM OS v10.x, you must upgrade to Fireware XTM OS v11.3.2 before you upgrade to v11.3.4” im Software-Portal bestätigt nun also dieses Problem. Wenn Sie also auf einer X Core e-series (X550e, X750e, X1250e) oder einer X Peak e-series (X5500e, X6500e, X8500e, X8500e-F) die Migration von v10 auf v11 vorhaben, sollten Sie tunlichst den Zwischenschritt auf v11.3.2 mit in Ihren Upgrade-Pfad einbauen!

Downgrade von Version 11.4.1 auf 11.3.2

Comment

Beim Versuch, eine Firebox mit Fireware XTM 11.4.1 über den Menüpunkt File > Upgrade im Policy Manager auf eine ältere Softwareversion downzugraden, erscheint die Fehlermeldung:

“The WatchGuard device is currently running Fireware XTM v11.4.1 and cannot be downgraded to v11.3.2 in this manner. To downgrade, please restore a backup image of the device when it was running v11.3.2 or use the device’s Recovery Mode to install a clean version of Fireware XTM v11.3.2.”

Die unkomplizierteste Version ist allerdings die Verwendung des Webinterfaces https://[IP-der-Firebox]:8080 (nicht möglich im High Availability Clusterbetrieb). Über den dortigen Menüpunkt System > Upgrade OS kann auch der Downgrade auf ältere Versionen erfolgen. Hierbei muss die gewünschte Version der xtm_xxx.sysa-dl Datei über das Filesystem ausgewählt und hochgeladen werden. Die sysa-dl Dateien befinden sich typischerweise unter C:ProgrammeGemeinsame DateienWatchGuardresourcesFirewareXTM => Versionsnummer => Gerätetyp