Tag Archives: WSM

WSM und Fireware 10.2.9 verfügbar

Im Software Download Bereich steht seit heute die Version 10.2.9 für Kunden mit aktiver Live Security zur Verfügung. Die Release Notes geben Aufschluss über Bugfix und neue Features:

Server Load Balancing (SLB) and VPN

  • A Firebox configured for server load balancing no longer stops sending traffic to a healthy server because of quick continuous requests, a missing route to a dead server, or interference from other SLB policies [35761]
  • A Firebox configured for server load balancing now considers a server as active as soon as it can set up a connection with the server, instead of waiting for three successful tries. [35550]
  • A problem that caused an IKED runtime crash with a pstack call “trace EIP:e045684d” is fixed. [32966, 36424]
  • The Mobile VPN with SSL client can now resolve host names on an internal DNS server. [28120]
  • If you have configured two DNS or WINS servers, both IP addresses are now assigned correctly to Mobile VPN clients (IPSec and PPTP). [12575, 33904]
  • A problem that caused an error “HTTP response code: 500 for URL: https://x.x.x.x:4117/cmm/cmd” when you saved a configuration in which Mobile VPN with SSL is enabled has been fixed. [28105]

High Availability

  • The primary HA Firebox no longer stays in the “in-transition” state indefinitely after you do an HA sync operation just after you save your configuration. [36033]
  • HA sync now completes successfully when two HA ports are used. [30207]
  • You can now use WSM to quickly create successive tunnels on Fireboxes in an HA pair and not lose management access. [36007]
  • VRRP logging messages no longer show in the log file unless the appropriate log level has been set. [35763]

Single Sign On

  • You can now install the SSO client on Windows Vista. [35869]
  • When you enable SSO, you can now obtain group information even if the SSO agent is not installed on the Domain Controller. [36043]
  • When you install the SSO client on Vista, you can now see the build number. [36289]
  • SSO client and agent communication is now more reliable and several timeout issues have been resolved. [35199, 35200]
  • SSO now ignores group names exceeding 32 characters and continues to process other group names. It no longer returns a “domain name str too log” error. [35988]

WSM Management

  • WSM no longer displays a device as “Pending” when it is not. [36080]
  • WSM can now handle different devices with identical IP addresses. It no longer shows a “Maintenance Alert” warning for these devices. [36068]
  • LogViewer can now display SMTP and POP3 log messages whose headers are encoded in ISO-2022-JP. [33460]
  • Firebox System Manager and Policy Manager now show and error that says “Invalid login/password” instead of “No SID” when users enter the wrong password when downloading a configuration, downloading a feature key, or during a system backup. [36959]
  • Service Watch can now reliably connect to the Firebox when there are a large number of policies. [37142]

Proxy

  • The Application Blocking feature now blocks the most recent versions of Yahoo! Messenger. [36268]
  • The Firebox now supports more than 1000 FTP proxy connections. [35998]

Preview zu WSM und Fireware XTM 11

Die Version Beta 4 ist da. Bis zum eigentlichen Release werden nun also wohl noch etwa 4-6 Wochen vergehen. XTM (Extensible Threat Management) setzt natürlich auf UTM (Unified Threat Management) auf und erweitert diesen Begriff um “Erweiterbarkeit” in den Bereichen Sicherheit, Netzwerk Features und flexibleres Management.

Wichtigste Neuerung ist, dass das neue Betriebssystem Fireware XTM 11 auf allen bisherigen e-series Boxen (also auch auf der X Edge!) und der neuen XTM 1050 laufen wird. Es wird also künftig für alle WatchGuard Boxen ein einheitliches Betriebssystem geben. Im kernelnahen Bereich wurde ein ganz neues Software Design angewendet, um überhaupt für die gestiegenen und künftig noch weiter steigenden Performance-Anforderungen an eine Security Appliance gewappnet zu sein.

Zu einem höheren Maß an Sicherheit werden beitragen: HTTPS content inspection – ja, ein HTTPS-Proxy, der in SSL-verschlüsselten Traffic hineinsehen kann; ein neuer OEM-Partner für Antivirus Engine und Signaturen (AVG); bessere Unterstützung für VoIP und verbesserte Einstellmöglichkeiten für IPS (Intrusion Prevention Service).
Bei den neuen Netzwerk Features wäre insbesondere FireCluster zu nennen, der neue Name für den neuen Active/Active Cluster Mode, des weiteren der neue Bridge Mode, VLAN auf externen Interfaces, MAC Access Control. Die Interfaces der X Edge werden künftig wie bei der X Core weitgehend frei verwendbar sein, die Namen WAN1, WAN2, OPT und LAN0-2 werden weitgehend bedeutungslos und durch eth0, eth1, eth2 und eth3 ersetzt. Innerhalb von Branch Office VPN Tunneln (BOVPN) können Regeln nun auch mit einer zeitlichen Begrenzung versehen werden, auch Traffic Management, QoS und Priorisierung innerhalb des VPN-Tunnels wird möglich, ebenso wie Dynamic NAT.
Für SSL-VPN entfällt die Notwendigkeit von Port 4100 tcp, die gesamte Verbindung läuft über Port 443 tcp.
Flexibleres Management wird insbesondere dadurch erreicht, dass zum einen künftig alle Boxen (also auch die X Edge!) über den WSM / Policy Manager administriert werden können. Alle Boxen (also auch X Core und X Peak!) können künftig aber auch über Web-Interface und weitestgehend auch über CLI (Command Line Interface) konfiguriert und verwaltet werden.

Weitere kleine Nettigkeiten sind: WebBlocker Override Passwort auch bei X Core und X Peak (bisher nur bei X Edge); deutlich verbessertes Logging und Reporting (mehr Performance und braucht weniger Resourcen); nur noch ein Einstiegspunkt WatchGuard Server Center in die Verwaltung der Server Services; HostWatch zeigt für jede einzelne Verbindung an, wie viel Bandbreite verbraucht wird – die Liste kann sogar nach dieser neuen Spalte in absteigender Reihenfolge sortiert werden 🙂

Der WSM 11 wird auch Fireboxen mit Fireware 10.x verwalten können. Dies ermöglicht in meinen Augen für den Anfang einen interessanten Mischbetrieb: die verbesserten Möglichkeiten des WSM 11 (speziell Logging und Reporting) in Verbindung mit der letzten stabilen 10-er Version auf der Firebox selbst. Die Version 11 wird im Rahmen der Live Security kostenfrei zum Download angeboten, kann aber nur installiert werden, wenn auf der Firebox ein gültiger Feature Key vorhanden ist.

Version 10.2.8 im Download-Bereich

Folgende Änderungen im Installationsverhalten ist mir aufgefallen: Beim Aufruf des Installers fireware10_2_8.exe kommt nicht mehr die verwirrende Meldung “Do you want to completely remove the selected application and all of its features?”, sondern zu der schon existierenden Version 10.2.x wird zusätzlich die Fireware 10.2.8 installiert. Zur Vermeidung von Fehlern empfehle ich nun, als ersten Schritt über Systemsteuerung > Software die bisherige Version Fireware 10.2.x zu deinstallieren – und anschließend den Installer fireware10_2_8.exe aufzurufen.

Weiterhin stehen im Download-Bereich neue Versionen für den IPSec Mobile User VPN-Client, den SSL-VPN-Client sowie für den Single Sign On (SSO) Client und Agent (Gateway).

Version 10.2.8 steht unmittelbar bevor

Die Release Notes liegen schon vor. Die Build-Nummer der Fireware 10.2.8 wird B215550 lauten. Hier die dieses Mal ganz besonders lange Liste der Resolved Issues. Ganz dringend erwartet wird sicher der allererste Bugfix auf der Liste (Upper Port Fix). Mit vielen anderen Punkten hatte ich aber in der Praxis gar keine Berührung. Fireware und WSM 10.2.8 sollen noch im Laufe dieser Woche, spätestens aber bis zum 31.03.2009 im Download-Bereich der WatchGuard Website bereitgestellt werden. Für die Installation ist eine aktive Live Security Lizenz erforderlich:

General

  • This release resolves several stability issues on Firebox devices that have the upper 4 ports in use. [27896] [29899] [30057] [30093]
  • You can now connect to a Firebox with WSM or Firebox System Manager more reliably after running a high load on the Firebox for several days. [35309]
  • The time it takes to save a configuration is reduced as much as 60% when there are many policies. [27791]
  • The Firebox can continue to operate even when IPS is using 100% of the CPU. [31361]
  • Support files are now correctly rotated so they do not take up so much storage space. [33551]

Networking and VPN

  • This release fixes an instability issue with PPPoE. [29212]
  • The Firebox no longer stops getting OSPF routing table information from neighboring networks. [27202]
  • The IKED process no longer becomes non-responsive when two users log in with the same name and same IP address. [33067] [33361]
  • The MIA process no longer crashes during a configuration save when multiple mobile VPN users are logged in. [33617]
  • Users now can use Mobile VPN (SSL, PPTP, and IPSec) with a dynamically addressed external interface without using DynDNS. [32707] [32715] [32716]
  • You can now use a space in user names configured on the Firebox. [33687]
  • Server Load Balancing now detects the revival of a dead server within 30 seconds instead of 10 minutes.

WatchGuard System Manager (WSM)

  • The traffic load gauge on Traffic Monitor no longer incorrectly shows 100% even when the load is low on Firebox X Peak e-Series devices. [27950]
  • The Firebox System Manager Traffic Monitor function “highlight search results” is now case insensitive. [33318]
  • The sender address is now shown in Log Server alarm/notification emails. [31489]
  • The Report Server can now generate POP3 reports. [32974]
  • Devices are now correctly marked as connected when you use multiple Log Servers. [31524]
  • The spamBlocker report no longer incorrectly reports 100% bulk mail. [28562]

Single Sign-On

  • The SSO login information on the Authentication List now refreshes immediately. [31856]
  • The SSO agent no longer crashes with Windows Event message: EventType clr20r3. [32775]
  • The SSO client now returns the correct domain name.
  • The SSO client and agent now handle both AD domain name information and NetBIOS domain name information correctly.
  • The SSO client and agent now respond correctly to unexpected disconnections that occur within 10 seconds.

High Availability

  • HA monitoring on external fiber interface now works correctly. [32967]
  • When you enable HA, it no longer causes a branch office VPN rekey to occur approximately every two minutes. [33402]
  • HA failover now occurs immediately when a critical process fails. [33823]

Mobile VPN with SSL

  • The SSLVPN daemon no longer fails when you enter an empty password or a very long password. [31894] [35183]
  • The Mobile VPN with SSL Mac OS X client now shows the Bound IP Address and Gateway Connected IP Address correctly. [34561]
  • The Mobile VPN with SSL Mac OS X client now removes the search domain and DNS information when it is disconnected or you exit. [34564]
  • The Mobile VPN with SSL Mac OS X client now shows both WINS addresses. [34560] [23635]
  • The Mobile VPN with SSL Mac OS X client now sets the default log level to low. [34563]
  • Routes of available networks are now correctly added when you install the Mobile VPN with SSL client software on a computer running Windows Vista. [34558]

Keine Umlaute und Sonderzeichen in der Konfiguration!

Nach fast 3 Wochen Abstinenz nun mal wieder ein kleines Lebenszeichen. Aus gegebenem Anlass nur ein kurzer Hinweis auf ein eigentlich bekanntes Known Issue:

Verwenden Sie im Zusammenhang mit WatchGuard-Konfigurationen, Kennwörtern, Pre-Shared Keys usw. ausschließlich druckbare Zeichen des US-ASCII Zeichensatzes (ASCII-7) – vgl. http://de.wikipedia.org/wiki/ASCII.

Die Verwendung anderer Zeichen, z.B. deutsche Umlaute (ä,ö,ü,ß) und höherbittige Sonderzeichen, kann zu nicht vorhersagbarem Verhalten der WatchGuard Firebox führen! Ich selbst gehe sogar noch einen Schritt weiter: insbesondere bei den Firewall-Kennwörten und Pre-Shared Keys beschränke ich mich auf die Buchstaben A-Z, a-z und die Ziffern 0-9 – und verzichte entgegen dem Komplexitätsgedanken instinktiv auf Sonderzeichen.
Ich habe neulich die Migration eines Clusters aus zwei Firebox X5500e von der Fireware 9.1 auf die aktuelle Fireware 10.2.7 durchgeführt. Die ursprüngliche Einrichtung wurde von einem anderen Dienstleister vorgenommen, der in den Firewall-Kennwörtern (Status Passphrase und Configuration Passphrase) jeweils ein $ (Dollarzeichen) verwendet hatte, was auch bei der Fireware 9.1 offenbar funktioniert hat. Nach dem Software-Update auf 10.2.7 liefen die Boxen jedoch instabil und konnten vom WSM auch nach kurzer Laufzeit nicht mehr angesprochen werden. Das Rücksetzen auf Factory Default habe ich dann nicht mit dem normalen “Quick Setup Wizard” (Windows-Applikation), sondern über den “Web Quick Setup Wizard” im Safe Mode vorgenommen. Der Web Quick Setup Wizard hat dann übrigens auch die Verwendung des Dollarzeichens in den Passphrases abgelehnt, der normale Quick Setup Wizard hingegen akzeptiert Dollars 🙂 Ohne Sonderzeichen in den Kennwörten liefen die Boxen dann auch mit unveränderter Konfiguration wieder klaglos…

WSM und Fireware 10.2.7 verfügbar

Die neuen Versionen WSM, Fireware und SSL-VPN-Client 10.2.7 stehen im Software Download Bereich der WatchGuard Website bereit. In den Release Notes sind als “Resolved Issues” die folgenden Bugs aufgeführt. Mit den meisten hatte ich auch schon persönlich Bekanntschaft geschlossen. Ich werde die neue Version in ein paar Minuten installieren und dann Anfang nächster Woche über meine Erfahrungen berichten.

  • This release resolves a kernel crash associated with branch office VPN and Mobile VPN with IPSec traffic through the Firebox X Core or Peak e-Series. [29491]
  • The Firebox no longer stops passing traffic when you save a configuration. [27821]
  • Policy Manager no longer prevents the entry of host ranges for 1-to-1 NAT on the BOVPN tunnel route settings page. [30010]
  • The Server Load Balancing feature in Fireware now correctly detects that a server is not responding and stops sending traffic to that server. [27276]
  • You can now apply QoS and a schedule when you create a VPN firewall policy template for managed BOVPN tunnels. [10270]
  • You should no longer see the error message “HTTP response code: 500 for URL https://x.x.x.x:4117/cmm/cmd” when you try to connect to WSM. [29336]
  • If there is an active Mobile VPN with PPTP tunnel connected to the Firebox during a configuration save, Firebox System Manager no longer shows the HA peer status as “in-transition.” [27557]
  • WSM and Firebox System Manager connections no longer fail after a configuration save to two Fireboxes configured in an HA configuration. [31990]
  • The Windows SSL VPN client no longer fails to install on Windows XP with a Runtime Error message. [31932]
  • The Windows SSL VPN client now operates correctly after a computer returns from sleep mode. [31523]

Kernel Crash bei Fireware 10.2.x

Im Zusammenhang mit meinem Posting “Upper Port Problem bald gelöst” vom 08.01.09 kam folgende Frage auf: “Wie kann man feststellen, ob/wann überhaupt ein Kernel Crash aufgetreten ist?” Hier die Antwort: Starten Sie den WatchGuard System Manager (WSM), verbinden Sie sich mit Ihrer Firebox und rufen Sie über Rechtsklick den Firebox System Manager auf. Gehen Sie dort auf die Registerkarte “Status Report” und scrollen Sie bis ganz unten. Endet die Anzeige mit

** Routing Protocol (BGP)
**
bgp is not enabled

liegt kein unmittelbarer Kernel Crash vor. Gibt es darunter jedoch noch ein paar Zeilen zum Thema VM Dump, dann sind ein oder mehrere Kernel Crashes aufgetreten:

**
** VM Dump
**
Found kernel crash, time of crash was Sun Jan 11 21:14:26 2009
Crash dump data recovered on Sun Jan 11 21:15:08 CET 2009
Crash dump data saved in /var/log/vmdump/vmdump.3.

In diesem Beispiel bedeutet die Ziffer 3 ganz zum Schluss, dass aktuell sogar vier Kernel Crashes in den internen Support Logfiles der WatchGuard Firebox protokolliert sind. Ein Kernel Crash löst anschließend einen Reboot der Firebox aus.

“Wie kann ich die internen Support Logfiles auslesen?”

Antwort: Ganz rechts unten in der Ecke des Status Reports (vgl. auch den o.g. Screenshot) findet sich ein Button “Support…”:

Mit Klick auf “Retrieve” kann man alle internen Logfiles in einer gemeinsamen Datei namens support.tgz auf die Windows Management-Station herunterladen. Dort kann sie z.B. mit Hilfe von WinZip oder WinRAR ausgepackt werden. Im Unterverzeichnis varlogvmdump finden sich im aktuellen Beispiel die Dateien vmdump.0, vmdump.1, vmdump.2 und vmdump.3 – jeweils mit Datum und Uhrzeit des tatsächlichen Kernel Crashes:

Da alle Uhrzeiten recht ähnlich sind, liegt ein Vergleich mit den Uhrzeiten der 24-stündigen T-DSL Zwangstrennung durch die Telekom nahe (adsl.log). Und siehe da: ja, passt. Im vorliegenden Beispiel steht die T-DSL-Zwangstrennung im direkten Zusammenhang mit den Kernel Crashes… 🙁

Base Encryption statt Strong Encryption

In seltenen Fällen passiert beim Anlegen des Live Security User Accounts in der WatchGuard Datenbank ein Fehler. Nach der Anmeldung stehen Ihnen dann über Support > Software Downloads im Download-Bereich nur die Base Encryption Versionen (40 Bit) zur Verfügung, nicht aber die üblichen Strong Encryption Versionen (128 Bit). Wir können Ihnen bei der “Reparatur” helfen, wenn Sie uns den Namen Ihres Live Security Accounts mitteilen…

Neue Software-Versionen 10.2.6

Mit heutigem Datum (12.12.2008) wurden die Software-Versionen WatchGuard System Manager (WSM), Fireware und Edge 10.2.6 im Download-Bereich der WatchGuard-Website bereit gestellt. Dort steht auch eine neue Version 10.2.6 des WatchGuard SSL VPN Client bereit. Nach der Installation von 10.2.6 in unserem Produktiv-System waren keine negativen Auswirkungen erkennbar. Alle vorkonfigurierten BOVPN-Tunnel kamen erfolgreich wieder hoch, auch die Mobile User VPN Einwahl verlief erfolgreich…

WSM 10.2.4: Bandwidth Meter defekt

Das Bandwidth Meter im Firebox System Manager der Version WSM 10.2.4 hat wohl einen Bug. Die belegte Bandbreite wird – gefühlt – nur zu etwa einem Tausendstel angezeigt. Offenbar ist da im Hintergrund mal ein “Kilo” mit einem “Mega” durcheinander geraten…
[16.12.2008]: Wie mir heute aufgefallen ist, steckt der Bug nicht im WSM bzw. im Firebox System Manager, sondern in der Fireware 10.2.4: das Bandwidth Meter / WSM arbeitet korrekt, die Appliance liefert jedoch einen viel zu geringen Anzeigewert. Ein Update der Appliance auf Fireware 10.2.6 behebt das Problem!