Im Rahmen der Brute-Force-Angriffe auf das WatchGuard SSLVPN Portal haben wir ein Proof of Concept Setup mit einer externen Linux-VM gebaut, um IP-Adressen nach mehreren fehlerhaften Login-Versuchen auf die WatchGuard-eigene auto-blocklist zu setzen.
Die benötigten Scripte und Snippets sind unter der MIT-License auf Github veröffentlicht: https://watchguard-toolbox-project.github.io/
Da Microsoft für IKEv2 oder L2TP MS-CHAPv2 voraussetzt, müssen die Radius Anfragen von dem AuthPoint Gateway an einen Microsoft NPS weitergeleitet werden. Leider Kann in AuthPoint kein NPS Failover konfiguriert werden. Für SSLVPN oder IPSEC wird kein NPS benötigt!
Die Firebox bietet die Möglichkeit mit einem Loopback Interface und einer SNAT Load Balancing Action, die Radius Anfragen auf mehrere Server zu verteilen.
Um die Erreichbarkeit der Server zu prüfen, sendet die Firebox alle 10 Sekunden ein ICMP Paket an die Server. Wenn einer der Radius Server nicht mehr auf die ICMP Pakete antwortet werden die Anfragen an den verbliebenen Server gesendet, bis der Server wieder auf die ICMP Pakete antwortet.
Dieses Setup bietet leider keine Redundanz, wenn der Radius Dienst nicht mehr ordnungsgemäß funktioniert.
In diesem Blog-Artikel zeigen wir wie Sie Ihren WatchGuard-Account mit Multifaktor-Authentifizierung (MFA) vor unberechtigten Zugriffen schützen können. Das WatchGuard-Portal nutzt dafür AuthPoint, den Multifaktor-Authentifizierungsdienst von WatchGuard. Für diesen Anwendungsfall muss keine AuthPoint-Lizenz erworben werden. WatchGuard stellt einen kostenlosen Software-Token für MFA im WatchGuard-Portal zur Verfügung.
Standardmäßig verwendet Ihr WatchGuard-Portal Benutzerkonto ein Passwort zur Authentifizierung. Wenn Sie MFA für Ihr Benutzerkonto aktivieren, melden Sie sich zwar weiterhin mit Ihrem Benutzernamen und Passwort beim WatchGuard-Portal an, müssen sich aber zusätzlich auch mit Ihrem Token in der mobilen AuthPoint-App authentifizieren.
Hinweis: Wenn drei aufeinanderfolgende Authentifizierungsversuche fehlschlagen, blockiert AuthPoint automatisch das für die Authentifizierung verwendete Token. In diesem Fall müssen Sie sich an den Kundendienst wenden. Sie können sich nicht mit dem gesperrten Token authentifizieren, bis der Kundendienst den Token entsperrt. AuthPoint betrachtet Authentifizierungen, die keine gültige Antwort haben, als fehlgeschlagene Authentifizierungsversuche. Dazu gehören falsche Einmalpasswörter, falsche Verifizierungscodes für die QR-Code-Authentifizierung und ungültige Push-Benachrichtigungen.
Dieser Artikel soll alle interessierten Parteien dabei unterstützen, den Datenschutz im WatchGuard Universum zu greifen.
Die Inhalte unserer Webseiten wurden sorgfältig und nach bestem Gewissen erstellt. Gleichwohl kann für die Aktualität, Vollständigkeit und Richtigkeit sämtlicher Seiten keine Gewähr übernommen werden. Gemäß § 7 Abs. 1 TMG sind wir als Diensteanbieter für eigene Inhalte auf diesen Seiten nach den allgemeinen Gesetzen verantwortlich. Wir sind als Diensteanbieter nach den §§ 8 bis 10 TMG jedoch nicht verpflichtet, übermittelte oder gespeicherte fremde Informationen zu überwachen. Ab dem Zeitpunkt der Kenntnis einer konkreten Rechtsverletzung erfolgt eine umgehende Entfernung dieser Inhalte durch uns. Eine diesbezügliche Haftung kann erst ab dem Zeitpunkt der Kenntniserlangung übernommen werden.
Unsere Webseite enthält Verknüpfungen zu Webseiten Dritter (sog. „externe Links“). Da wir auf deren Inhalte keinen Einfluss haben, kann für die fremden Inhalte keine Gewähr übernommen werden. Für die Inhalte und Richtigkeit der Informationen ist stets der jeweilige Informationsanbieter der verlinkten Webseite verantwortlich. Zum Zeitpunkt der Verlinkung waren keine Rechtsverstöße erkennbar. Sobald uns eine Rechtsverletzung bekannt wird, werden wir den jeweiligen Link umgehend entfernen.
Im Zusammenspiel mit nicht EU Unternehmen sind einige besondere Regeln zu beachten. Ein wesentlicher Teil ist das EU-US Data Privacy Framework.
Die neue 3CX Version 20 bringt eine erhebliche Änderung mit sich, die man vorab bei On-Premise Installationen berücksichtigen muss. Bisher haben sich interne Clients meist über die (LAN) IP-Adresse an der 3CX angemeldet und provisioniert, ab der Version 20 werden auch diese Geräte nur noch eine Verbindung über den FQDN der 3CX herstellen (FIRMENNAME.my3cx.de).
Dies bedeutet einen Sicherheitsvorteil, da hier das SSL/TLS Zertifikat der 3CX geprüft wird und infolge sichergestellt werden kann, dass die Endgeräte auch wirklich mit der 3CX Anlage kommunizieren. Hierfür wird es erforderlich den FQDN der 3CX per Split-DNS auch aus dem internen LAN aufzulösen oder über ein NAT-Loopback an das richtige Ziel umzuleiten:
Sollte Ihre Infrastruktur diese Möglichkeit nicht bieten, haben wir 2 Lösungsvorschläge:
In unserem Blog-Artikel beschreiben wir, wie man zum einen ein NAT-Loopback auf der WatchGuard Firebox konfiguriert und zum anderen die DNS Konfiguration im Active Directory. Weiterlesen
Das Jahr 2019 neigt sich langsam dem Ende entgegen. Wir nutzen die Gelegenheit und blicken auf das Jahr 2019 zurück mit allen Neuerungen von WatchGuard. Neue Produkte, neue Services und technische Erweiterungen. Im folgenden bekommen Sie einen Überblick was sich in 2019 alles getan hat: Weiterlesen
Das Jahr 2018 neigt sich langsam dem Ende entgegen. Wir nutzen die Gelegenheit und blicken auf das Jahr 2018 zurück mit allen Neuerungen von WatchGuard. Neue Produkte, neue Services und technische Erweiterungen. Im folgenden bekommen Sie einen Überblick was sich in 2018 alles getan hat: Weiterlesen
