Folgende “Failed Logins” werden ber\u00fccksichtigt<\/p>\n
- \n
- Access Portal<\/li>\n
- Authentication Portal (Port 4100)<\/li>\n
- Web-UI (Port 8080)<\/li>\n
- Mobile VPN with SSL Client Download Page<\/li>\n
- Die direkte AuthPoint Cloud Integration ben\u00f6tigt min. Fireware 12.11 (FBX-27443)<\/li>\n<\/ul>\n
Erkannte IP-Adressen werden auf die Blocked Site List geschrieben.<\/p>\n
F\u00fcr Cloud-Managed Fireboxes gilt die obige Liste, sofern die entsprechenden Features verf\u00fcgbar sind. In der Cloud<\/strong> wird eine andere Tempor\u00e4re Block-Liste<\/strong> verwendet, die nicht editiert werden kann<\/strong>. Sollte man hier eine Ausnahme<\/strong> ben\u00f6tigen, muss eine entsprechende Blocked Site Exception<\/strong> konfiguriert werden.<\/p>\n
Umsetzung<\/h3>\n
- \n
- Konfiguration mit dem Policy Manager<\/a><\/li>\n
- Konfiguration mit der Web-UI<\/a><\/li>\n
- Konfiguration bei Cloud-Managed Fireboxes<\/a><\/li>\n
- Konfiguration \u00fcber die CLI<\/a><\/li>\n<\/ol>\n
1. Konfiguration des ‘Block failed logins’ Features in 12.10.4 – fail2ban mit dem Policy Manager<\/h4>\n
Im Policy Manager ist das Feature unter Setup => Authentication => Authentication Settings<\/strong> zu finden:
\n![\"\"](\"https:\/\/www.boc.de\/boc-wp-test\/wp-content\/uploads\/2024\/07\/2024-07-10_11h24_16.png\")
<\/a><\/p>\nHier kann nun eingestellt werden, nach wie vielen<\/strong> falschen Logins innerhalb welchem Zeitraums<\/strong> die IP f\u00fcr wie lange<\/strong> geblockt werden soll.
\nIm Beispiel sind 2 Failed Logins innerhalb 20 Minuten mit Sperre f\u00fcr 1 Stunde gew\u00e4hlt:
\n![\"\"](\"https:\/\/www.boc.de\/boc-wp-test\/wp-content\/uploads\/2024\/07\/2024-07-10_11h06_34.png\")
<\/a><\/p>\nACHTUNG:\u00a0<\/strong><\/p>\n
- \n
- Bitte verwenden Sie f\u00fcr Sie praktikable Einstellungen!
\nDie obigen “2 failed logins” stammen aus dem Test-Scenario, um auch Screenshots von Eintr\u00e4gen in der Blockliste machen zu k\u00f6nnen.
\nSie sollten hier unbedingt \u00fcberlegen, nach wievielen Fehlversuchen Sie tatst\u00e4chlich blocken wollen.<\/strong><\/strong><\/li>\n- Vorsicht: das Feature greift f\u00fcr die Web-UI auch bei internen IPs. Eventuell sollten Sie die internen IPs auf die Ausnahmeliste setzen.\u00a0<\/strong>
\nDies geht \u00fcber Policy-Manager => Setup => Default Threat Protection => Blocked Sites => Tab Exceptions<\/strong><\/strong><\/li>\n- Vorsicht: der Haken “[ ] Auto reconnect after a connection is lost” bei\u00a0 SSLVPN (Policy-Manager => VPN => Mobile VPN => SSL… => Tab [Authentication])
\nsollte unbedingt entfernt werden.
\n<\/strong><\/strong>Hintergrund: bei Verbindungen mit MFA kann es passieren, dass der Client einen Reconnect startet, der Benutzer das aber nicht merkt und den MFA-Push nicht best\u00e4tigt. Der Client versucht das dann mehrfach hintereinander. Das z\u00e4hlt dann ebenfalls gegen die SSLVPN failed Logins und f\u00fchrt zu gesperrten Remote-IPs.\u00a0 Dies passiert beispielsweise auch, wenn jemand mit aktivem SSLVPN Client seinen Laptop aus Standby\u00a0 oder Ruhezustand “aufweckt” und m\u00f6glicherweise nicht auf den Push reagiert.<\/li>\n<\/ol>\nDie IPs werden dann automatisch geblockt und in die bereits vorhandene Blocked-Site Liste der WatchGuard \u00fcbernommen, in der sie ganz normal mit dem Firebox System Manager bearbeitet und gel\u00f6scht werden k\u00f6nnen (die beiden Buttons unten rechts: [Change Expiration]<\/strong> sowie [Delete]<\/strong>).
\n![\"\"](\"https:\/\/www.boc.de\/boc-wp-test\/wp-content\/uploads\/2024\/07\/2024-07-10_11h25_56.png\")
<\/a><\/p>\n2. Konfiguration des ‘Block failed logins’ Features in 12.10.4 – fail2ban mit der Web-UI<\/h4>\n
In der Web-UI befindet sich das Feature unter Authentication\u00a0 => Settings<\/strong>:
\n![\"\"](\"https:\/\/www.boc.de\/boc-wp-test\/wp-content\/uploads\/2024\/07\/2024-07-10_11h36_32.png\")
<\/a><\/p>\nDie geblockten IPs k\u00f6nnen ebenfalls bearbeitet\/gel\u00f6scht werden System Status => Blocked Sites<\/strong>:
\n![\"\"](\"https:\/\/www.boc.de\/boc-wp-test\/wp-content\/uploads\/2024\/07\/2024-07-10_11h39_22.png\")
<\/a><\/p>\n3. Konfiguration des ‘Block failed logins’ Features in 12.10.4 – fail2ban bei Cloud-Managed Fireboxes<\/h4>\n
Hier ist das Feature ebenfalls unter Authentication => Settings<\/strong> zu finden:
\n![\"\"](\"https:\/\/www.boc.de\/boc-wp-test\/wp-content\/uploads\/2024\/07\/2024-07-10_11h42_28.png\")
<\/p>\n![\"\"](\"https:\/\/www.boc.de\/boc-wp-test\/wp-content\/uploads\/2024\/07\/2024-07-10_11h42_48.png\")
<\/a>
\nIn der Cloud<\/strong> wird eine andere Tempor\u00e4re Block-Liste<\/strong> verwendet, die nicht editiert werden kann<\/strong>. Sollte man hier eine Ausnahme<\/strong> ben\u00f6tigen, muss eine entsprechende Blocked Site Exception<\/strong> konfiguriert werden (=> Link auf dier WatchGuard Dokumentation: Add Exceptions in WatchGuard Cloud<\/a>)<\/strong>.<\/p>\n4. Konfiguration des ‘Block failed logins’ Features in 12.10.4 – fail2ban \u00fcber die CLI<\/h4>\n
Hierzu wird das Kommando auth-setting login-block (enable|attempts|period|duration) <\/strong>verwendet:
\n<\/strong>![\"\"](\"https:\/\/www.boc.de\/boc-wp-test\/wp-content\/uploads\/2024\/07\/2024-07-10_11h43_14.png\")
<\/p>\nWeitere Informationen<\/h3>\n
- \n
- Release Notes Fireware v12.10.4<\/a><\/strong><\/li>\n
- What’s New PowerPoint v12.10.4<\/a><\/strong><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"
Mit dem Release der Fireware v12.10.4 wurde ein lange erwartetes Feature realisiert: das Blocken der IP-Adressen bei Fehlversuchen f\u00fcr z.B. SSLVPN-Login. Das Feature wird gerne auch unter dem Stichwort “fail2ban” gesucht – nach dem bekannten Paket, das in jeder Linux-Distro enthalten ist.<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[362],"tags":[752,1056,1085,89],"class_list":["post-20838","post","type-post","status-publish","format-standard","hentry","category-howto","tag-authentifizierungsangriff","tag-fail2ban","tag-fireware-12-10-4","tag-sslvpn"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/20838"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=20838"}],"version-history":[{"count":18,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/20838\/revisions"}],"predecessor-version":[{"id":29008,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/20838\/revisions\/29008"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=20838"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/categories?post=20838"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/tags?post=20838"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
- What’s New PowerPoint v12.10.4<\/a><\/strong><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"
- Vorsicht: das Feature greift f\u00fcr die Web-UI auch bei internen IPs. Eventuell sollten Sie die internen IPs auf die Ausnahmeliste setzen.\u00a0<\/strong>
- Konfiguration mit der Web-UI<\/a><\/li>\n
- Konfiguration mit dem Policy Manager<\/a><\/li>\n