Tag Archives: WatchGuard

HOWTO: Härten einer WatchGuard Firebox mit fail2ban (Schutz gegen SSLVPN Logon Brute-Force)

Im Rahmen der Brute-Force-Angriffe auf das WatchGuard SSLVPN Portal haben wir ein Proof of Concept Setup mit einer externen Linux-VM gebaut, um IP-Adressen nach mehreren fehlerhaften Login-Versuchen auf die WatchGuard-eigene auto-blocklist zu setzen.
Die benötigten Scripte und Snippets sind unter der MIT-License auf Github veröffentlicht: https://watchguard-toolbox-project.github.io/

Update Fireware 12.10.4:  Mit dem aktuellen Fireware-Update (Version 12.10.4) kann auch das jetzt integrierte Feature “Block Failed Logins” verwendet werden.
Eine ausführliche Anleitung dazu finden Sie in diesem HOWTO-Artikel.

Idee / Funktionsweise

Weiterlesen »

HOWTO: Redundantes AuthPoint Radius (Microsoft Netzwerkrichtlinienserver) Setup mit der WatchGuard Firebox

Problemstellung

Da Microsoft für IKEv2 oder L2TP MS-CHAPv2 voraussetzt, müssen die Radius Anfragen von dem AuthPoint Gateway an einen Microsoft NPS weitergeleitet werden. Leider Kann in AuthPoint kein NPS Failover konfiguriert werden. Für SSLVPN oder IPSEC wird kein NPS benötigt!

Lösungsvorschlag

Die Firebox bietet die Möglichkeit mit einem Loopback Interface und einer SNAT Load Balancing Action, die Radius Anfragen auf mehrere Server zu verteilen.
Um die Erreichbarkeit der Server zu prüfen, sendet die Firebox alle 10 Sekunden ein ICMP Paket an die Server. Wenn einer der Radius Server nicht mehr auf die ICMP Pakete antwortet werden die Anfragen an den verbliebenen Server gesendet, bis der Server wieder auf die ICMP Pakete antwortet.
Dieses Setup bietet leider keine Redundanz, wenn der Radius Dienst nicht mehr ordnungsgemäß funktioniert.

Weiterlesen »

Datenschutz im WatchGuard Universum

Grundsätzliches zu diesem Artikel

Dieser Artikel soll alle interessierten Parteien dabei unterstützen, den Datenschutz im WatchGuard Universum zu greifen.

Die Inhalte unserer Webseiten wurden sorgfältig und nach bestem Gewissen erstellt. Gleichwohl kann für die Aktualität, Vollständigkeit und Richtigkeit sämtlicher Seiten keine Gewähr übernommen werden. Gemäß § 7 Abs. 1 TMG sind wir als Diensteanbieter für eigene Inhalte auf diesen Seiten nach den allgemeinen Gesetzen verantwortlich. Wir sind als Diensteanbieter nach den §§ 8 bis 10 TMG jedoch nicht verpflichtet, übermittelte oder gespeicherte fremde Informationen zu überwachen. Ab dem Zeitpunkt der Kenntnis einer konkreten Rechtsverletzung erfolgt eine umgehende Entfernung dieser Inhalte durch uns. Eine diesbezügliche Haftung kann erst ab dem Zeitpunkt der Kenntniserlangung übernommen werden.

Unsere Webseite enthält Verknüpfungen zu Webseiten Dritter (sog. „externe Links“). Da wir auf deren Inhalte keinen Einfluss haben, kann für die fremden Inhalte keine Gewähr übernommen werden. Für die Inhalte und Richtigkeit der Informationen ist stets der jeweilige Informationsanbieter der verlinkten Webseite verantwortlich. Zum Zeitpunkt der Verlinkung waren keine Rechtsverstöße erkennbar. Sobald uns eine Rechtsverletzung bekannt wird, werden wir den jeweiligen Link umgehend entfernen.

Datenschutz im WatchGuard Universum

Eine der wichtisten Richtungsentscheidungen beim Thema Datenschutz im WatchGuard Universum, ist die Wahl der “Cloud Data Storage Region” während der initialen Kontenerstellung auf www.watchguard.com. Wird hier “Europe” gewählt (unsere Empfehlung), werden alle dem Account zugehörigen Telemetriedaten in der AWS Instanz in Frankfurt am Main gespeichert. Diesen Prozess haben wir in unserem HOWTO zur Kontenerstellung unter HOWTO – WatchGuard Account anlegen Schritt für Schritt beschrieben.

WatchGuard stellt komfortablerweise eine sehr empfehlenswerte FAQ Seite zur Verfügung, hier der entsprechende Link: Data Transfers FAQs
Hier wird auch aufgezeigt, wie WatchGuard die europäischen Datenschutzvorgaben berücksichtigt, denn im Zusammenspiel mit nicht EU Unternehmen sind einige besondere Regeln zu beachten. Dabei wird auf das Data Privacy Framework verwiesen, welches aufgrund seines Umfangs einer eigenen, näher ausgeführten Beschreibung bedarf.

Was ist das EU-US Data Privacy Framework?

Weiterlesen »

HOWTO: NAT-Loopback für die 3CX TK-Anlage und Split DNS im Active Directory

Die neue 3CX Version 20 bringt eine erhebliche Änderung mit sich, die man vorab bei On-Premise Installationen berücksichtigen muss. Bisher haben sich interne Clients meist über die (LAN) IP-Adresse an der 3CX angemeldet und provisioniert, ab der Version 20 werden auch diese Geräte nur noch eine Verbindung über den FQDN der 3CX herstellen (FIRMENNAME.my3cx.de).
Dies bedeutet einen Sicherheitsvorteil, da hier das SSL/TLS Zertifikat der 3CX geprüft wird und infolge sichergestellt werden kann, dass die Endgeräte auch wirklich mit der 3CX Anlage kommunizieren. Hierfür wird es erforderlich den FQDN der 3CX per Split-DNS auch aus dem internen LAN aufzulösen oder über ein NAT-Loopback an das richtige Ziel umzuleiten:

Sollte Ihre Infrastruktur diese Möglichkeit nicht bieten, haben wir 2 Lösungsvorschläge:

  • Anschaffung einer WatchGuard Firebox oder eines DNS Servers der dies unterstützt
  • Migration der On-Premise 3CX in eine durch 3CX gehostete Cloud Instanz, dabei kann unser Partner – Ritter Technologie GmbH – Sie unterstützen

In unserem Blog-Artikel beschreiben wir, wie man zum einen ein NAT-Loopback auf der WatchGuard Firebox konfiguriert und zum anderen die DNS Konfiguration im Active Directory. Weiterlesen »