Archive for the 'Watchguard' Category

Page 2 of 2

Neuzugänge in unserer Knowledge Base

Sie sind zwar nicht mehr brandfrisch – aber immer noch heiss genug, um noch mal darauf aufmerksam zu machen.

Wir haben zwei neue KnowledgeBase Artikel geschrieben und auf unserem DocServer veröffentlicht.

Beim einen geht es um Zertifikate. Es wird beschrieben, wie diese umformatiert werden können, wie man diese in unsere Geräte (Fortigate/Fortimail/Seppmail/Watchguard SSL/Mailfoundry) reinbekommt und vor allem welche Fallstricke es zu beachten gibt. (KB_-_Import_Certificates.pdf).

Der zweite KnowledgeBase Artikel nimmt sich der Thematik „SIP über Fortigate“ an. Das Ganze funktioniert nämlich wunderbar – nur muss man auch hier ein, zwei Dinge beachten. Inhalte des Artikels sind eine kurze Einführung in SIP, die Problematik von SIP mit einer Firewall und wie die Fortigate es doch schafft, SIP Traffic sauber zu verarbeiten. (KB_-_FortiGate_SIP_Konfiguration_v42.pdf)

Viel Spass also beim Lesen!

Mit XTM v11.4 starten wir ins neue Jahr!

Hoi zäme,

Das Jahr ist schon längstens gestartet, der Alltag hat die meisten von uns schon wieder fest im Griff – aber der Blog ist leer. Das soll sich ab sofort wieder ändern! Hier also die neueste Meldung des Jahres: Watchguard Fireware XTM v11.4 ist released worden. Und das komplett im Time Schedule. Keine Verzögerungen, alles gemäss Plan. Na, so haben wir das doch gerne.

Aber bitte nicht wundern: v11.4 wird es nur für die neuen Hardwaremodelle XTM 2, 5, 8 und XTM 1050 geben. Keine neue Version mehr für eine Firebox e-Series (die e-Series Geräte hatten ihren End-of-Sale Ende 2010, aber der Support läuft noch bis Ende 2015 – also keine Sorge, sie werden noch weiter unterstützt, aber es gibt halt keine neuen Features mehr).

Hier die neuen Features von v11.4:

Application Control: nun bietet auch Fireware ein Application Control an. Und mit über 1’300 Applikationen bekommen wir schon eine recht ordentliche Sammlung. Aber Achtung – aufgrund des kleineren Memory’s werden auf der XTM 2 Serie nur knapp über 250 Applikationen gecheckt. Für das Application Control braucht es wie beim GAV etc. einen Feature Key. Wenn Ihr also updated, vergesst nicht, den aktualisierten Feature Key bei WG downzuloaden. Momentan ist der Feature Key wohl in der GAV-Lizenz mit eingebundled.

Neues IPS: Das IPS arbeitet nun nicht mehr ausschliesslich auf den Proxy-Filtern sondern komplett auf allen Filtern und damit auch auf allen Ports und Protokollen. Yeah! Es wird nur noch an zentraler Stelle konfiguriert und dann auf den gewünschten Firewall-Policies aktiviert.

Authentication: Unterstützung der Authentifizierung auf Microsoft Terminal Services und Citrix XenApp v4.5 (wird mit einem Agent realisiert, der auf dem Server installiert werden muss),  Kombination von SSO und expliziter Authentifizierung ist nun möglich und es werden LDAPS und die OTP-Token vom Vasco-Identikey unterstützt.

WebUI: nun können auch Proxy-Einstellungen über das WebUI konfiguriert werden (aber um ehrlich zu sein: ich finde den Policy Manager mit den ganzen anderen Tools (Firebox System Manager, HostWatch, etc.) immer noch tausendmal besser als das WebUI – gerade wenn’s ums Troubleshooting geht, ist man hier viel besser bedient. Also bitte gewöhnt Euch nicht zu sehr ans WebUI 😉 – sy)

Management Server: Auf dem Server werden nun auch Config-Revisionen gespeichert. Somit wird ein Fallback auf eine frühere Version zur einfachen Aufgabe.

Logging: Verbesserungen in Hinsicht auf  Performance und Speicherplatz.

Reporting: es gibt neue Reports für die neuen Features und nun können auch wieder Benachrichtigung über neue Reports per Email geschickt werden (ach, das erinnert mich an die guten alten WFS-Zeiten – sy)

Mehr Infos gibt’s in den Release Notes, welche neu nicht mehr als PDF daherkommen, sondern im HTML Format: www.watchguard.com/support/release-notes/xtm/11/en-US/EN_ReleaseNotes_FirewareXTM_11_4/index.html.

Probleme mit Reputation Service /DNSBL auf BSP / XCS

Am Montag, 7. September gab es Probleme mit den Domains borderware.com  und deren Namensauflösung. Dies hatte zur Folge dass die Reputation oder auch DNSBL auf den Borderware BSP / Watchguard XCS nicht mehr zuverlässig funktionierten.

Die DNS Auflösung funktioniert nun wieder, die Services können wieder genutzt werden. Es kann allerdings vorkommen, dass gewisse DNS Server noch die alten IP’s gespeichert haben. In diesen Fällen hilft es, einen Flush der DNS Daten durchzuführen.

Weitere Informationen finden Sie auf:
http://watchguard.custhelp.com/app/answers/detail/a_id/2895/session/L3NpZC82Yms0QW05aw%3D%3D

Watchguard XTM v11.2.3

Gestern hat Watchguard die neue Releaseversion 11.2.3 rausgelassen. Unter anderem wurde auch der Quarantäne-Bug gefixt (s. früherer Eintrag). Neu ist auch, dass das A/P-Firecluster nun virtuelle MAC Adressen für den jeweilig aktiven Clustermember verwendet – d.h. schnelleres Umschalten im Failover-Fall. Supi!

Neuer KnowlegdeBase Artikel zum Einbinden von Zertifikaten

Wie bindet man ein eigenes Zertifikat in die Fortigate, Fortimail, Seppmail, Watchguard SSL 100 und Mailfoundry ein? Das beinhaltet unser neuester KnowledgeBase Artikel auf unserem DocServer:
http://doc.boll.ch/virtual/857/KB_-_Import_Certificates.pdf

Jede Menge Logmeldungen: „kernel SM: ACK transmit failed“

Auf einem A/P-Cluster mit XTMv11.2.1 kann es zu folgenden Logmeldungen kommen:

„… kernel SM: ACK transmit failed“

Diese treten massenhaft auf und füllen (zunächst) unaufhörlich das Log.

Dem Watchguard Support ist das Problem bekannt und es soll ein Fix in der Version 11.2.3 geben.

Die gute Nachricht dabei: ausser dem Ueberfüllen des Logs passiert nichts weiter und in den meisten Fällen hörten die Logmeldung nach 1-2 Tagen wieder von alleine auf….

XTM 11.2.1 – Problem mit Email-Quarantäne

Leider hat sich bei der Version 11.2.1 ein kleiner Bug in die Email-Quarantäne eingeschlichen. Sobald man ein Mail aus der Quarantäne in eine Mailbox weiterleiten möchte, bekommt man folgende Fehlermeldung:

Das Problem ist Watchguard bereits bekannt und man muss lediglich ein Support Ticket bei Watchguard eröffnen, um einen Fix zu bekommen.