Watchguard weicht Firewall-Konfigurationen mit Software-Update auf

Admin-Tipps | Posted by SYMPLASSON | 03 April 2018
Watchguard weicht Firewall-Konfigurationen mit Software-Update auf

Vorsicht vor potentieller Sicherheitslücke: Mit dem Update auf die neuen Watchguard Fireware Versionen 12.1 hat Watchguard die Funktion des HTTPS Proxy erweitert.

Es gibt jetzt eine Option die sich „Enable Predefined Content Inspection Exception“ nennt:

Mit dieser Option möchte Watchguard vermutlich die vielen Rückmeldungen von Kunden umgehen, die sich darüber beschweren, dass der Zugriff auf Skype, Office365, Slack, ICloud und viele andere Produkte bei der Nutzung von HTTPS Deep Inspection Probleme macht.

Das ist grundsätzlich ein lobenswerter Ansatz. Allerdings tut jeder Administrator gut daran, sich diese Ausnahmeliste anzusehen.

Dort finden sich verschiedenste Webseiten, auch solche Exoten wie KakaoTalk, Spectraguard und Mojo Networks.

Nachfolgend eine Auswahl:

Wir empfehlen an dieser Stelle, wirklich nur die Webseiten auf der Ausnahmeliste zu lassen, die benötigt werden. Im Standard sind alle von Watchguard vorgegebenen Webseiten aktiviert!

 

Das ist allerdings nicht wirklich ein Problem.

Absolut kritisch ist es aber, dass diese Option für bestehende HTTPS-Proxies mit dem Update automatisch aktiviert wird!

Mit dem Update auf Fireware 12.1 sind für alle vordefinierten Websites also ab sofort Ausnahmen definiert und HTTPS Deep Inspection wird für diese Seiten nicht mehr durchgeführt.

 

Nicht kritisch sagen Sie?

Für diese Seiten sind auf Ihrer Firewall ab sofort folgende Funktionen für die vordefinierten Webseiten nicht mehr verfügbar:

  • Gateway Antivirus
  • Reputation Enabled Defense
  • APT Blocker
  • Data Loss Prevention.

Damit nicht genug. Stellen Sie sich vor, dass Sie aus Sicherheitsgründen den Download von ausführbaren Dateien in der Firewall verboten haben.

Auch das wurde mit dem Update ungefragt in Ihrer Konfiguration geändert und ab sofort sind Downloads ausführbarer Dateien von allen durch Watchguard vorgegebenen Seiten wieder erlaubt.

 

_____________________________________________________________________________________________________________

Folgenden Hinweis gibt Watchguard auf der Webseite zu diesem Thema:

https://www.watchguard.com/help/docs/fireware/12/en-US/Content/en-US/proxies/https/kb/kb_default_exclusion_list.html

 


Wenn sie jetzt nicht mehr wissen, ob auch Ihre Watchguard Firebox noch sicher ist, sprechen Sie uns gerne an.

Ihr Ansprechpartner zu diesem Thema ist:

Stefan Ziehm

Stefan Ziehm

Telefon: +49 40 533071-0

Kontakt Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!