Support & Beratung

Knowledge Base Digest – February 2023

AuthPoint-Authentifizierung für Firebox-Ressourcen läuft ab
Am 27. Februar 2023 gegen 6:00 Uhr PST wurde WatchGuard auf ein Authentifizierungsproblem in der EMEA-Region aufmerksam. Bei dem VPN-Benutzer von Fireboxes, die AuthPoint MFA verwenden, keine Push-Benachrichtigungen erhalten konnten. Erste Untersuchungen deuten auf ein Konnektivitätsproblem mit dem IOT-Kanal hin, der zur Kommunikation mit WatchGuard Cloud verwendet wird.

 

Um 15:00 Uhr PST begann das WatchGuard Cloud Engineering-Team damit, Systeme zu reparieren, indem es einen Verbindungsrücksetzung auf der WatchGuard Cloud-Seite initialisierte. Sobald die Verbindung zurückgesetzt ist, beendet die Firebox die aktuelle Verbindung zur WatchGuard Cloud und initiiert eine neue Verbindung, ohne dass eine Aktion des Endbenutzers erforderlich ist. WatchGuard Support geht nicht davon aus, dass während dieser Zeit Daten oder Funktionen verloren gehen, aber Benutzer könnten Verbindungs- und Trennungsvorgänge in WatchGuard Cloud bemerken.

 

WatchGuard ist zuversichtlich, dass wir die meisten betroffenen Geräte identifizieren und reparieren können, aber nicht alle Geräte auf der Serverseite repariert werden können. Wenn Sie immer noch betroffen sind, müssen Sie eine manuelle Verbindungsrücksetzung für WatchGuard Cloud von Policy Manager oder Fireware Web UI initialisieren.

 

Policy Manager Um eine manuelle Verbindungsrücksetzung für WatchGuard Cloud von Policy Manager aus zu initialisieren:

Gehen Sie zu Setup > WatchGuard Cloud. Deaktivieren Sie WatchGuard Cloud. Speichern Sie die Konfiguration auf der Firebox. Warten Sie etwa 30 Sekunden und gehen Sie dann zurück zu Setup > WatchGuard Cloud und aktivieren Sie WatchGuard Cloud erneut. Nachdem Sie WatchGuard Cloud wieder aktiviert haben, bestätigen Sie den Cloud-Verbindungsstatus aus dem Abschnitt WatchGuard Cloud Status des Statusberichts im Firebox System Manager.

WatchGuard Cloud Status

 

  • registration_status: 2
  • enabled: 1
  • connected: 1
  • token_required: 1

 

Fireware Web UI Um eine manuelle Verbindungsrücksetzung für WatchGuard Cloud von Fireware Web UI aus zu initialisieren: Gehen Sie zu System > WatchGuard Cloud. Deaktivieren Sie das Kontrollkästchen Enable WatchGuard Cloud. Warten Sie etwa 30 Sekunden und gehen Sie dann zurück zu System > WatchGuard Cloud und aktivieren Sie das Kontrollkästchen Enable WatchGuard Cloud. Der WatchGuard Cloud-Registrierungsstatus sollte auf Registered wechseln. Wenn Ihre Firebox keine Verbindung zur WatchGuard Cloud herstellt oder wenn Sie die für eine Verbindungsrücksetzung erforderlichen Konfigurationsänderungen nicht vornehmen können, wenden Sie sich an den WatchGuard Support und geben Sie Ihre Firebox Seriennummer und Ihre WatchGuard Cloud Kontonummer an.

 

TDR Host-Sensor-Einstellungen werden nicht auf Endpoint Security übertragen

 

TDR-Benutzer können ihre Host-Sensoren auf EDR Core oder eine andere Endpunkt-Sicherheitslizenz von WatchGuard Cloud aktualisieren. Während des Upgrades von TDR zu WatchGuard Endpoint werden TDR-Einstellungen nicht auf den WatchGuard-Endpunkt migriert.

 

Einige TDR-Funktionen haben äquivalente Funktionen in ThreatSync und Endpoint Security (WatchGuard EPDR, EDR, EDR Core oder EPP), die Sie nach dem Upgrade-Prozess manuell konfigurieren müssen. Bevor Sie das Tool Administration > Upgrade TDR to Endpoint Security in WatchGuard Cloud ausführen, überprüfen Sie diese Informationen: Host-Sensor-Einstellungen

 

VPN-Durchsetzung – Sichere VPN-Verbindung in Endpoint Security. Sie müssen die Kontonummer und den Token für die Durchsetzung manuell konfigurieren. Weitere Informationen finden Sie unter Konfigurieren der Endpunkt-Durchsetzung oder Konfigurieren von Secure VPN im Help Center.

 

Ransomware-Schutz – Köderdateien in Endpoint Security. Sie können Köderdateien im Profil für die Workstations- und Servereinstellungen konfigurieren. Weitere Informationen finden Sie unter Konfigurieren der Antivirus-Scans im Help Center.

 

Host-Sensor-Tamper-Schutz – Anti-Tampering in Endpoint Security. Sie können den Endpunkt gegen Manipulation in einem Profil für die Computereinstellungen konfigurieren. Weitere Informationen finden Sie unter Konfigurieren der Sicherheit gegen Manipulation im Help Center.

 

Andere Host-Sensor-Einstellungen haben keine entsprechende Einstellung in Endpoint Security.

 

Indikatoren und Vorfälle – In ThreatSync enthalten. Es gibt keine Konfiguration zum Migrieren. Weitere Informationen finden Sie unter Überwachen von ThreatSync-Vorfällen im Help Center.

 

Benachrichtigungsregeln – In ThreatSync enthalten. Sie müssen die Benachrichtigungen manuell in ThreatSync wieder implementieren.

 

ThreatSync unterstützt keine Benachrichtigungsregeln pro Gruppe oder pro Host. Weitere Informationen finden Sie unter Konfigurieren von ThreatSync-Benachrichtigungsregeln im Help Center.

 

Richtlinien – In ThreatSync enthalten. Sie müssen die Automatisierungspolicen manuell in ThreatSync wieder implementieren.

ThreatSync unterstützt keine Automatisierungspolicen pro Gruppe oder pro Host. Weitere Informationen finden Sie unter Über ThreatSync-Automatisierungspolicen im Help Center.

 

Domänen/Gruppeneinstellungen – In Endpoint Security enthalten. Weitere Informationen finden Sie unter Verwalten von Computern und Geräten in der Gruppe im Help Center.

 

Berichte – Verfügbar in einer zukünftigen ThreatSync-Version. Signaturüberschreibungen – Nicht mehr erforderlich, da Erkennungen am Endpunkt und nicht mehr in der Cloud durchgeführt werden.

 

Unbekannte Authentifizierungsversuche gegen Mobile VPN mit SSL für einen Benutzer namens “test”

 

Am 7. Februar 2023 hat WatchGuard ungewöhnliche Mobile-VPN-mit-SSL-Authentifizierungsversuche bei mehreren Firebox-Kunden und unseren Firebox-Honeypots identifiziert. Der Firebox-SSLVPN-Service verwendet OpenVPN, ein beliebtes Open-Source-Projekt, das ein häufiges Ziel von sowohl grauen als auch bösartigen Netzwerkscans ist. Wir glauben, dass diese Aktivität von einem unbefugten Akteur stammt, der nach offenen SSL-VPN-Diensten im Internet sucht.

Wir haben speziell beobachtet, dass diese Verbindungen versuchen, sich gegen Firebox SSLVPN-Portale mit einem Benutzer namens “test” zu authentifizieren, der kein Standardbenutzer für unsere Produkte ist und letztendlich scheitern wird.

 

Derzeit sind diese “Test”-SSLVPN-Authentifizierungsversuche harmlos und werden scheitern, wenn Sie einen solchen Benutzer nicht hinzugefügt haben. Sie könnten jedoch ein Hinweis auf Bedrohungsakteure sein, die nach IPs suchen, die sie später mit anderen Angriffen auf Anmeldeinformationen ins Visier nehmen könnten.

Unten bieten wir Details zu diesen Authentifizierungsversuchen und Tipps zur Identifizierung dieser Aktivität sowie zur Absicherung Ihres SSLVPN-Dienstes gegen alle Angriffe im Zusammenhang mit Anmeldeinformationen.

 

Identifizierung dieser Scans und Absicherung Ihres SSLVPN-Dienstes gegen alle Angriffe im Zusammenhang mit Anmeldeinformationen:

Wenn Sie Ihre Mobile-VPN-mit-SSL mit MFA, insbesondere AuthPoint MFA, schützen, machen die konsolidierten Audit-Logs, die von WatchGuard Cloud und AuthPoint angeboten werden, es einfach, Muster zu erkennen, die normalerweise nur sichtbar wären, indem Authentifizierungsserver über mehrere Fireboxes und Standorte hinweg durchsucht werden. Im Falle, dass Sie einen dieser “Test”-Versuche erhalten, zeigt das Audit-Log einen Antwortcode “201.145.001 – Benutzer nicht gefunden”.

 

Wenn die Quell-IP-Adressen, die diese Verbindungen herstellen, aus einem anderen Land kommen, ist der einfachste und beste Weg, Ihre Exposition gegenüber diesen Scans und potenziellen Folgeangriffen zu begrenzen, die Implementierung einer Geolokationsrichtlinie, die den Zugriff auf den SSLVPN-Dienst nur auf die Länder beschränkt, von denen Ihre Benutzer eine Verbindung herstellen müssen.

 

Um zu erfahren, wie Sie eine Geolokationsaktion konfigurieren und auf eine Richtlinie anwenden, sehen Sie unter https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/Fireware/services/geo/geo_config_c.html in Fireware Help.

 

Sie sollten Ihre neu erstellte Geolokationsaktion auf die “WatchGuard SSLVPN”-Richtlinie anwenden, die alle eingehenden Verbindungen zu unseren SSL/TLS-bezogenen VPN-Diensten und -Portalen behandelt. Da Sie den Zugriff auf einen eingehenden Dienst einschränken, ist es angemessen, eine sehr aggressive Geolokationsaktion zu erstellen und alle ausländischen Länder zu blockieren, nur Inlandbenutzer und möglicherweise Benutzer aus einigen ausgewählten Ländern zuzulassen.

 

Wenn Sie Geolokation auf der Richtlinie aktivieren, stellen Sie sicher, dass die Geolokations-Blockseite deaktiviert ist. Wenn die Blockseite deaktiviert ist, wird die Firebox die Verbindung einfach abbrechen und nicht antworten, was die SSL/TLS-bezogenen Dienste vollständig vor jedem Scanner oder potenziellen Angreifer außerhalb der genehmigten Standorte verbirgt.

AuthPoint verfügt ebenfalls über Geofencing-Fähigkeiten, die jedoch weniger effektiv sind, um dieses spezielle Verhalten abzuschrecken. Wenn eine Authentifizierung über RADIUS erfolgt, stehen keine Geofencing-Informationen zur Verfügung. Eine Firebox-basierte Lösung ist der effektivste Weg, um Ihre Exposition zu begrenzen, da sie den SSLVPN-OpenVPN-Server vollständig vor jedem versteckt, der sich nicht am richtigen Ort befindet.

 

Neben der Begrenzung des Zugriffs auf Ihren SSLVPN-Dienst auf die Länder, in denen Ihre Benutzer ansässig sind, empfehlen wir Ihnen auch, allgemeine Schritte zu unternehmen, um alle Ihre Remote-Access-VPN-Verbindungen abzusichern. Zunächst sollten Sie verlangen, dass alle Benutzer starke und lange Passwörter verwenden, um sie gegen allgemeine Brute-Force-Angriffe zu härten. Noch wichtiger ist, dass wir dringend empfehlen, auf allen mobilen VPN-Verbindungen eine Multi-Faktor-Authentifizierung (MFA) zu verlangen.

 

MFA verhindert, dass Bedrohungsakteure die meisten Angriffe auf Anmeldeinformationen ausführen, selbst wenn sie ein gültiges Passwort gestohlen oder erlernt haben. Wenn Sie bereits Ihre Mobile-VPN mit WatchGuard AuthPoint MFA koppeln, haben Sie einen starken zweiten Faktor für Authentifizierungen, der Ihre Benutzerbasis weiter schützt und die Wahrscheinlichkeit eines Kompromisses auf Anmeldeinformationen reduziert.

 

Wi-Fi in WatchGuard Cloud Access Points in gemischten Access Point-Management-Umgebungen

Kann man neue Wi-Fi-6-Zugangspunkte in WatchGuard Cloud in gemischten Umgebungen mit anderen Zugangspunkt-Management-Plattformen wie drahtlosen Fireboxes, dem Gateway Wireless Controller und Wi-Fi-Cloud-Zugangspunkten verwenden?

Die neuen Wi-Fi-Zugangspunkte in WatchGuard Cloud können zwar dieselben SSIDs wie Zugangspunkte verwalten, die vom Gateway Wireless Controller, Wi-Fi Cloud oder drahtlosen Fireboxes verwaltet werden, und können in derselben Umgebung betrieben werden, es wird jedoch nicht empfohlen, Zugangspunkte unterschiedlicher Hersteller oder Herkunft in derselben Umgebung zu mischen, da es Unterschiede in den drahtlosen (802.11)-Funktionsmöglichkeiten jeder Zugangspunktgeneration gibt.

 

Zum Beispiel unterstützen Wi-Fi-5-Zugangspunkte, die vom Gateway Wireless Controller oder Wi-Fi Cloud verwaltet werden, keine Wi-Fi-6-Konnektivität oder WPA3-Sicherheit. Derzeit gibt es keine Option zum automatischen Teilen der drahtlosen Konfiguration zwischen WatchGuard Cloud und anderen Managementplattformen (Gateway Wireless Controller, Firebox Wireless und Wi-Fi Cloud).

Für weitere Informationen gehen Sie zu Wi-Fi in WatchGuard Cloud.

Welche Zugangspunkte kann ich in Wi-Fi in WatchGuard Cloud verwalten? WatchGuard hat neue Wi-Fi-6-Zugangspunkte (AP130, AP330, AP332CR, AP430CR und AP432) eingeführt, die nur in WatchGuard Cloud verwaltet werden können.

 

Die neuen Wi-Fi-6-Zugangspunkte (AP130, AP330, AP332CR, AP430CR und AP432) können nicht mit dem Gateway Wireless Controller auf einem Firebox oder mit Wi-Fi Cloud verwaltet werden. Sie können die zuvor veröffentlichten Wi-Fi-5-Zugangspunkte (AP120, AP125, AP225W, AP320, AP322, AP325, AP327X und AP420), die derzeit vom Gateway Wireless Controller auf einer Firebox oder mit Wi-Fi Cloud verwaltet werden, nicht mit WatchGuard Cloud verwalten.

Welche Zugangspunkte kann ich mit Wi-Fi Cloud oder dem Gateway Wireless Controller auf Firebox verwalten? Sie können diese Wi-Fi-5-Zugangspunktmodelle in Wi-Fi Cloud oder dem Gateway Wireless Controller auf einer Firebox verwalten:

 

AP120, AP125, AP225W, AP320, AP322, AP325, AP327X, AP420 WIPS-Hinweis: Wenn Sie Wi-Fi-6-Zugangspunkte, die von WatchGuard Cloud verwaltet werden, in einer Umgebung mit vorhandenen Wi-Fi-5-Zugangspunkten, die von Wi-Fi Cloud verwaltet werden, installieren, stellen Sie sicher, dass die Wi-Fi-6-Zugangspunkte manuell von WIPS-Sicherheit als autorisierte Zugangspunkte in Wi-Fi Cloud klassifiziert werden. Weitere Informationen finden Sie unter Überwachen von Zugangspunkten in der Wi-Fi-Cloud-Hilfe.