Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Konfiguration Watchguard firebox x700

Frage Sicherheit Firewall

Mitglied: Ditmar57

Ditmar57 (Level 1) - Jetzt verbinden

24.05.2013 um 08:40 Uhr, 1954 Aufrufe, 15 Kommentare

Hallo Kollegen,
ich habe eine produktive Konfiguration von einer firebox auf eine andere übertragen, um im Falle eines Hardwarefehlers die Ersatzbox anzustöpseln und weiterarbeiten zu können. Die Konfiguration und auch die Lizenzen sind auf beiden identisch.
Da ich die firebox in eine Niederlassung schicken muss und nicht direkt probieren kann wollte ich zumindest einfache Tests durchführen.
DHCP funktioniert und das interne Interface lässt sich auch pingen.
Beim externen Interface habe ich keine Ping-Antwort. (Zum Testen habe ich einem Notebook die IP des Gateways gegeben.)
Die produktive Box antwortet, demnach scheint es nicht an der Ping Konfiguration liegen.
Habe ich irgendwo einen Denkfehler gemacht, oder muss vor der Inbetriebnahme noch etwas aktiviert werden?
Das ist die erste watchguard, die ich neu installiert habe....
Kann mir jemand einen Tipp geben?
Vielen Dank
Ditmar
Mitglied: aqui
24.05.2013 um 10:06 Uhr
Vermutlich nicht, denn es ist allgemeiner Standard das ICMP (Ping) bei allen Firwalls generell aus Sicherheitsgründen deaktiviert ist. Ganz sicher ist ICMP auf "roten" Interface aber deaktiviert, denn das ist ein erhebliches Sicherheitsloch.
Sollte auch besser so bleiben. Du musst ICMP dediziert aktivieren damit FW Interfaces pingbar sind.
Bitte warten ..
Mitglied: Ditmar57
24.05.2013 um 10:22 Uhr
Ja, da magst du recht haben, jedoch habe ich die produktive Konfiguration, die über das Internet ja pingbar ist auf die andere box übertragen und da lässt sich das interface nicht pingen. Da ich bisher noch nicht soo viel mit watchguard zu tun hatte, ausser Regeln ändern, weiss ich nicht, ob die Box nach dem rüberkopieren der Konfiguration direkt funktionsfähig ist, oder ob evtl die Lizenz online verifiziert werden muss, o.ä. Hat dazu jemand Erfahrungen?
Bitte warten ..
Mitglied: aqui
24.05.2013 um 10:41 Uhr
Filterfunktionen haben aber nix mit Lizensierung zu tun. Kann auch niemals sein, denn dann wäre z.B. einen Watchguard in einem internen Netz ohne Internat Anbindung gar nicht einsetzbar.
Darf also bezweifelt werden das eine HW Lizensierung online gemacht wird.
Es ist aber möglich das sich default Settings in der Firmware geändert haben. Ist der Firmware Stand beider Boxen denn identisch ??
Bitte warten ..
Mitglied: Ditmar57
24.05.2013 um 10:56 Uhr
das muss ich noch prüfen. ich werde auch mal versuchen, icmp zu deaktivieren und erneut zu aktivieren.
ich habe das übrigens mit 2 verschiedenen boxen probiert, 2 mal erfolglos.
Bitte warten ..
Mitglied: Deepsys
24.05.2013, aktualisiert um 11:42 Uhr
Hi,

das ist eine Policy (Regel) mit der das ICMP geregelt wird.
Da kannst du nichts "abschalten".

Kann es eher sein, das dein Notebook das als Gatewayersatz dient, die Firewall an hat und deswegen nicht antwortet?
Worauf genau pingst du?
Und generell, wenn die Regeln im Policy Manager so aussehen wie erwartet, dann passt das schon

EDIT: Die Lizenz brauchst du nicht für den reinen Betrieb, aber wenn du Z.B. updaten möchtest, dann verweigert die Box dir das.

VG
Deepsys
Bitte warten ..
Mitglied: Lochkartenstanzer
24.05.2013 um 12:02 Uhr
Zitat von aqui:
Ganz sicher ist ICMP auf "roten" Interface aber deaktiviert, denn das ist ein erhebliches
Sicherheitsloch.
Sollte auch besser so bleiben.

Zumindest ICMP ECHO Request und ICMP Echo Reply würde ich für diagnostische Zwecke "anlassen". Deren Sicherheitsrisiko ist überschaubar und diese sind bei der Fehlersuche und -diagnostik imho unverzichtbar.

lks
Bitte warten ..
Mitglied: Ditmar57
24.05.2013 um 12:13 Uhr
So, ich habe neue Infos.
Beim Anschalten der Box habe ich einige ping Antworten, bis scheinbar die Sicherheit aktiviert wird. Ausserdem habe ich bemerkt, dass die Lizenz scheinbar mit der Seriennummer verbunden ist und somit nicht wirklich mit rüberkopiert werden kann. Das ist, denke ich, das eigentliche Problem. Ich werde mal in diese Richtung weitersuchen, wenn dazu jemand eine Idee hat, ich lass mich gerne unterstützen...
Bitte warten ..
Mitglied: Deepsys
24.05.2013 um 12:18 Uhr
Zitat von Ditmar57:
Beim Anschalten der Box habe ich einige ping Antworten, bis scheinbar die Sicherheit aktiviert wird.
???
Das glaube ich nun aber nicht, die Kiste soll auf durchzug stehen beim Hochfahren?
Dann fliegt die aber aus dem Fenster!


Ausserdem habe ich bemerkt,
dass die Lizenz scheinbar mit der Seriennummer verbunden ist und somit nicht wirklich mit rüberkopiert werden kann.
Na das ist doch klar.
Du solltest dich mal bei WG einloggen und den richtigen Feature Key auf die Kiste spielen

Das ist,denke ich, das eigentliche Problem. Ich werde mal in diese Richtung weitersuchen, wenn dazu jemand eine Idee hat, ich lass mich gerne unterstützen...
Denke nicht es das Problem ist.
Ist es überhaupt ein Problem?
Ich bin mir da nicht so sicher ...

Ein Plan wäre evtl. mal gut ....

VG
Deepsys
Bitte warten ..
Mitglied: Ditmar57
27.05.2013 um 14:46 Uhr
Die richtige Lizenz habe ich nun draufgeschoben, es werden jetzt auch alle konfigurierten VPN's angezeigt. Die Sache mit dem Ping hat sich jedoch nicht verändert. Ich habe auch schon die Regel dafür gelöscht und neu erstellt, um sicher zu gehen, dass es keine Auswirkungen durch die falsche Lizenz waren, aber auch das ohne Erfolg.
Bitte warten ..
Mitglied: Ditmar57
27.05.2013 um 15:25 Uhr
ich konnte jetzt auch definitiv beobachten, dass während die Regeln geladen werden, eine Ping Antwort geschickt wird, nach dem Laden wird der Ping wieder blockiert. Die Regeln sind von der produktiven rüberkopiert, dort bekomme ich eine Antwort.
Bitte warten ..
Mitglied: Lochkartenstanzer
27.05.2013, aktualisiert um 15:38 Uhr
Zitat von Ditmar57:
ich konnte jetzt auch definitiv beobachten, dass während die Regeln geladen werden, eine Ping Antwort geschickt wird, nach
dem Laden wird der Ping wieder blockiert. Die Regeln sind von der produktiven rüberkopiert, dort bekomme ich eine Antwort.

Dann ist vermutlich irgendetwas an den regeln faul oder nicht wirklich komplett kopiert.

Sind die Objekte denn alle gleich?

lks
Bitte warten ..
Mitglied: Ditmar57
27.05.2013 um 15:56 Uhr
ja, bis auf einen Unterschied:
bei der funktionierenden steht in den ping properties:
protocol ping
Client Port client

bei der kopierten ist die Spalte Client Port leer.
Ich weiss nicht, ob das eine Bedeutung hat und ich habe auch keine Möglichkeit gefunden das zu ändern.
Bitte warten ..
Mitglied: Deepsys
28.05.2013 um 09:03 Uhr
Zitat von Ditmar57:
protocol ping
Client Port client

Ähm, welche Firmware Version benutzt du da?
Könnte es sein das die etwas älter ist??
(Ja, muss ja, die X700 ist ja nicht mehr so aktuell)

VG
Deepsys
Bitte warten ..
Mitglied: Ditmar57
28.05.2013 um 09:35 Uhr
7.5.0.B342528
Bitte warten ..
Mitglied: Deepsys
28.05.2013 um 14:18 Uhr
Zitat von Ditmar57:
7.5.0.B342528
Aktuell ist die XTM 11.7.3, allerdings wird die nicht mehr mit der X700 laufen.

Ich vermute mal, das ihr auch keinen Support mehr habt, oder?

Ich würde nun einfach den Ping mal vergessen und die Kiste nun einfach abschicken und ausprobieren lassen.

By the way, Watchguard bietet auch einen HA-Cluster an um diese Art von Ausfällen abzufangen.
Aber etwas neuer sollten die dann schon sein.

VG
Deepsys
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Netzwerk
gelöst Netzwerkkonzept mit neuer Firewall Watchguard Firebox M200 (11)

Frage von mario87 zum Thema Windows Netzwerk ...

SAN, NAS, DAS
Storage RAID LUN Konfiguration - Wie macht ihr es (4)

Frage von Marco-83 zum Thema SAN, NAS, DAS ...

Windows Netzwerk
Konfiguration Linux VM in IIS-Manager (10)

Frage von HansWerner1 zum Thema Windows Netzwerk ...

Windows 7
gelöst Chrome for Work Konfiguration (5)

Frage von xbast1x zum Thema Windows 7 ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...