{"id":19343,"date":"2024-02-21T18:07:17","date_gmt":"2024-02-21T17:07:17","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/?p=19343"},"modified":"2025-01-30T09:29:03","modified_gmt":"2025-01-30T08:29:03","slug":"massive-angriffe-auf-den-sslvpn-massnahmen-und-haertung-der-firewall","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2024\/02\/massive-angriffe-auf-den-sslvpn-massnahmen-und-haertung-der-firewall\/","title":{"rendered":"Massive Angriffe auf SSLVPN \u2013 Ma\u00dfnahmen und H\u00e4rtung der Firewall"},"content":{"rendered":"

Update: 20.12.2024
\nNeben dem SSL-VPN verzeichnen wir zunehmend auch Brute-Force-Angriffe auf das Access Portal von WatchGuard Firewalls.
\nFalls Sie das genannte Feature nutzen, sollten Sie unbedingt die im Artikel empfohlenen Best-Practices (“Block Failed Authentications”, MFA, Geo-Filter,…) umsetzen.<\/p>\n

Update: 23.10.2024
\nWatchGuard hat weltweit Brute-Force-Angriffe auf SSL-VPNs festgestellt, die zu einer ungew\u00f6hnlich hohen Anzahl unbekannter Anmeldeversuche beim AuthPoint-Authentifizierungsdienst gef\u00fchrt haben. Diese Angriffe k\u00f6nnen Dienstunterbrechungen verursachen, die die Servicequalit\u00e4t beeintr\u00e4chtigen und bei einigen Kunden zu fehlgeschlagenen Authentifizierungssitzungen, Zeit\u00fcberschreitungen oder Abbr\u00fcchen f\u00fchren k\u00f6nnen. Die Brute-Force-Angriffe sind jedoch nicht direkt gegen AuthPoint gerichtet und haben keine Sicherheitsverletzungen bei den WatchGuard-Diensten verursacht. Weitere Infos unter https:\/\/status.watchguard.com<\/a> oder im WatchGuard Support Center unter >> Detect and mitigate brute force attacks that target Mobile VPN with SSL (SSLVPN)<\/a>.<\/p>\n

Problem:<\/h3>\n

Aktuell sehen wir in den Logs vieler Kundenfirewalls Brute-Force-Attacken auf den WatchGuard SSLVPN bzw. das dazugeh\u00f6rige SSLVPN Portal (https:\/\/<Ext.-IP>\/sslvpn_logon.shtml).<\/p>\n

Die Logs zeigen, dass die Angreifer nicht nur Benutzernamen und Passw\u00f6rter \u201eraten\u201c, sondern auch gezielt die Anmeldeserver des SSLVPN Portals auslesen. Neben typischen Benutzernamen werden so auch alternative Anmeldeserver angesprochen, welche ggf. keine MFA (Multifaktor-Authentifizierung) konfiguriert haben.<\/p>\n

\"\"<\/p>\n

Bin ich betroffen?<\/h3>\n

Pr\u00fcfen Sie \u00fcber Ihren Log-Server, ob Sie von dem SSLVPN-Angriff betroffen sind. Via WatchGuard Dimension oder Cloud Visiblity sehen Sie alle fehlgeschlagenen und erfolgreichen Authentifizierungen.<\/p>\n

Variante 1: Pr\u00fcfung der Logs via \u201eWatchGuard Dimension\u201c
\n<\/strong>Melden Sie sich in Ihrer WatchGuard Dimension an, \u00f6ffnen Sie die entsprechenden Firewalls:<\/p>\n

\"\"<\/p>\n

Variante 2: Pr\u00fcfung der Logs via \u201eWatchGuard Cloud Visibility\u201c
\n<\/strong>Melden Sie sich unter https:\/\/watchguard.com<\/a> an und wechseln Sie in die WatchGuard Cloud:
\n\"\"
\nWechseln Sie zu \u201e\u00dcberwachen\u201c -> \u201eGer\u00e4te\u201c:
\n\"\"<\/p>\n

Auswertung:
\n\"\"<\/p>\n

L\u00f6sungsvorschl\u00e4ge:<\/h3>\n

Zur H\u00e4rtung der Firewall k\u00f6nnen folgende L\u00f6sungsans\u00e4tze kombiniert werden:<\/p>\n

    \n
  1. Datenhygiene: Bereinigen\/Deaktivieren Sie unn\u00f6tige User in der Firebox-DB, Ihrem LDAP,\u2026<\/li>\n
  2. AuthPoint MFA: Absicherung des Zugriffs via MFA (z.B. >> WatchGuard AuthPoint<\/a>)
    \nWichtig<\/u>: Deaktivieren Sie alternative Anmeldeserver ohne MFA!<\/li>\n
  3. Secure-VPN, Network Access Control, Durchsetzung des Netzwerkzugriffs (VPN-Verbindungen werden geblockt, wenn kein WatchGuard Endpoint Schutz aus Ihrem Account installiert wurde): https:\/\/www.boc.de\/boc-wp-test\/2022\/06\/howto-absichern-des-mobile-vpn-zugriffs-via-secure-vpn<\/a><\/li>\n
  4. Geo-Filter: Einschr\u00e4nkung des VPN-Zugriffs auf relevante L\u00e4nder (z.B. bei Beh\u00f6rden oder regionalen Firmen auf GER oder EU)
    \n
    <\/span>HOWTO: SSLVPN\/Access Portal via Geolocation auf bestimmte L\u00e4nder einschr\u00e4nken<\/div>
    Die vorhandene Default Firewall Rule \u201eWatchGuard SSLVPN\u201c wie folgt mit dem Watchguard System Manager (WSM) konfigurieren:<\/p>\n
      \n
    1. Haken bei \u201eGelocation\u201c setzen und den Button \u201eClone Geolocation Action (Global)\" anklicken:
      \n\"\"<\/li>\n
    2. Name der Geolocation in diesem Bsp. \u201eDEU-ONLY\u201c vergeben. Unter \u201eCountry List\u201c alle L\u00e4nder\/Kontinente ausw\u00e4hlen bis auf Germany (DEU):
      \n\"\"
      \n\"\"<\/li>\n
    3. Haken bei \u201eEnable deny page\u201c entfernen:
      \n\"\"<\/li>\n
    4. Logging aktivieren:
      \n\"\"<\/li>\n<\/ol>\n

      Weitere Informationen im WatchGuard Help Center:
      \n      https:\/\/www.watchguard.com\/help\/docs\/help-center\/en-US\/Content\/en-US\/Fireware\/services\/geo\/geo_intro_c.html<\/a>
      \n<\/div><\/div><\/li>\n

    5. Abschalten des SSLVPN-Portals
      \n
      <\/span>HOWTO: SSLVPN-Portal abschalten<\/div>
      \nMit der Aktivierung des SSLVPN auf der Firebox wird im Default ein Anmeldeportal bereitgestellt:\u00a0https:\/\/[Firebox IP address]:[port]\/sslvpn.html
      \n<\/a> \"\"
      \nWichtig:<\/strong><\/p>\n