Fireware Härtung

Best Practices zur Absicherung Ihrer WatchGuard Firebox – vom Management-Zugriff bis zur VPN-Konfiguration.

← Zurück zum Wiki
Management Policies VPN Security Services Wartung

Management-Zugriff absichern

Der Zugriff auf die Firebox-Verwaltung ist das sensibelste Element – wird er kompromittiert, ist die gesamte Infrastruktur gefährdet.

Management-Interfaces nicht aus dem Internet erreichbar machen. Die Fireware Web UI, das WatchGuard System Manager (WSM) und SSH sollten ausschließlich über Trusted-Interfaces oder per VPN erreichbar sein – niemals direkt über External.
Remote-Management ausschließlich per VPN. Wenn Sie die Firebox von extern verwalten müssen, verbinden Sie sich zuerst per VPN und greifen dann auf die Management-Interfaces zu. Alternativ können Sie den Zugriff auf bestimmte externe IP-Adressen einschränken – VPN ist aber die sicherere Variante.
Starke Passwörter für Firebox-Konten. Ändern Sie die Standard-Passwörter für admin und status unmittelbar nach der Ersteinrichtung. Verwenden Sie Passwörter mit mindestens 16 Zeichen.
Account Lockout aktivieren. Konfigurieren Sie eine Kontosperrung nach mehreren fehlgeschlagenen Login-Versuchen, um Brute-Force-Angriffe zu erschweren.
Block Failed Logins aktivieren (ab Fireware 12.10.4). Diese Funktion sperrt IP-Adressen automatisch nach einer definierten Anzahl fehlgeschlagener Anmeldeversuche – wirksam gegen Brute-Force-Attacken auf das SSLVPN-Portal und die Web UI.
Multifaktor-Authentifizierung (MFA) einsetzen. Nutzen Sie AuthPoint oder eine andere MFA-Lösung für den VPN-Zugang und idealerweise auch für den Management-Zugriff.

Policy-Härtung

Eine zu offene Policy-Konfiguration ist eines der häufigsten Sicherheitsrisiken – weniger ist hier mehr.

Breite Aliase durch spezifische ersetzen. Standard-Policies verwenden oft „Any" als Quelle oder Ziel. Ersetzen Sie diese durch konkrete Aliase, die nur die tatsächlich benötigten Netzwerke oder Hosts enthalten.
Proxy-Policies statt Paketfilter verwenden. Proxy-Policies ermöglichen eine Inhaltsprüfung und den Einsatz von Security Services (AV, IPS, WebBlocker). Nutzen Sie Paketfilter nur dort, wo eine Inhaltsprüfung technisch nicht möglich oder sinnvoll ist.
Deny-Policy am Ende der Regelkette. Stellen Sie sicher, dass am Ende der Policy-Liste eine explizite Deny-Regel steht, die allen nicht zugelassenen Traffic protokolliert und blockiert. Die Firebox macht dies standardmäßig – aber prüfen Sie, ob die Regel noch aktiv ist.
HTTPS Deep Inspection aktivieren. Ohne HTTPS-Inspektion sehen Security Services nur den verschlüsselten Tunnel, nicht den Inhalt. Aktivieren Sie Content Inspection für HTTPS-Traffic, um Malware und Phishing auch in verschlüsselten Verbindungen erkennen zu können.
Geolocation-Filter nutzen. Wenn Ihr Unternehmen keinen legitimen Traffic aus bestimmten Regionen erwartet, blockieren Sie diese per Geolocation. Das reduziert die Angriffsfläche erheblich – besonders für Inbound-Policies und VPN-Portale.

VPN-Sicherheit

VPN-Zugänge sind oft das Einfallstor Nummer eins – sie verdienen besondere Aufmerksamkeit.

VPN-Policies einschränken. Die automatisch generierten VPN-Policies (z.B. „Allow SSLVPN-Users") erlauben oft den Zugriff auf Any. Ersetzen Sie „Any" durch die spezifischen Ressourcen, die VPN-Benutzer tatsächlich benötigen.
MFA für alle VPN-Benutzer. Ein Passwort allein reicht nicht. Setzen Sie AuthPoint oder eine RADIUS-basierte MFA-Lösung ein, damit gestohlene Zugangsdaten allein keinen VPN-Zugang ermöglichen.
IKEv2 statt SSLVPN wo möglich. IKEv2 bietet in vielen Szenarien bessere Performance und weniger Angriffsfläche als SSLVPN. Evaluieren Sie, ob IKEv2 für Ihre Umgebung in Frage kommt.
Geolocation-Filter auf VPN-Portale anwenden. Beschränken Sie den Zugriff auf das SSLVPN-Portal auf die Länder, aus denen Ihre Benutzer sich tatsächlich verbinden.
⚠️
Aktuell: Seit 2024 werden verstärkt Brute-Force-Angriffe auf WatchGuard-SSLVPN-Portale beobachtet. Aktivieren Sie unbedingt „Block Failed Logins", MFA und Geolocation-Filter. Weitere Informationen zur Verteilung und Konfiguration des SSLVPN Clients finden Sie in unseren Anleitungen EXE zu MSI konvertieren und SSLVPN per GPO verteilen.

Security Services

Die Firebox bietet eine Reihe integrierter Sicherheitsdienste. Stellen Sie sicher, dass diese aktiviert und richtig konfiguriert sind.

Empfohlene Services

Gateway AntiVirus – Scannt Dateien im Datenverkehr auf bekannte Malware-Signaturen. Aktivieren Sie dies mindestens in HTTP-, HTTPS-, SMTP- und FTP-Proxy-Policies.

Intrusion Prevention Service (IPS) – Erkennt und blockiert bekannte Angriffsmuster im Netzwerkverkehr. Sollte in allen Proxy-Policies aktiv sein.

APT Blocker – Sendet verdächtige Dateien zur Analyse in eine Cloud-Sandbox. Erkennt auch unbekannte Malware (Zero-Day).

WebBlocker – Filtert Webzugriffe nach Kategorien. Blockieren Sie mindestens Kategorien wie Malware, Phishing, Botnets und Command-and-Control-Server.

Botnet Detection – Erkennt und blockiert Kommunikation mit bekannten Botnet-Servern.

Geolocation – Blockiert Traffic aus/nach Ländern, mit denen kein legitimer Datenverkehr stattfindet.

💡
Tipp: Security Services funktionieren nur in Proxy-Policies – nicht in reinen Paketfiltern. Stellen Sie sicher, dass Ihr wichtigster Traffic (HTTP, HTTPS, SMTP) über Proxy-Policies läuft.

Firmware & Wartung

Eine aktuelle Firmware ist die wichtigste einzelne Maßnahme gegen bekannte Sicherheitslücken.

Firmware zeitnah aktualisieren. Prüfen Sie regelmäßig auf neue Fireware-Versionen und spielen Sie Sicherheitsupdates zeitnah ein. Abonnieren Sie die WatchGuard Security Advisories, um über kritische Schwachstellen informiert zu werden.
Konfiguration regelmäßig sichern. Exportieren Sie die Firebox-Konfiguration nach jeder Änderung und bewahren Sie sie an einem sicheren Ort auf. Im Fehlerfall können Sie so schnell auf den letzten funktionierenden Stand zurückkehren.
Logs regelmäßig prüfen. Nutzen Sie WatchGuard Cloud, Dimension oder einen Syslog-Server, um die Firebox-Logs zentral zu sammeln und regelmäßig auf Auffälligkeiten zu prüfen – insbesondere fehlgeschlagene Logins, Denied-Traffic und IPS-Alarme.
Nicht benötigte Dienste deaktivieren. Deaktivieren Sie Features und Interfaces, die Sie nicht nutzen. Jeder aktive Dienst vergrößert die Angriffsfläche.
Secrets nach Sicherheitsvorfall rotieren. Wenn Sie einen Verdacht auf Kompromittierung haben, ändern Sie alle auf der Firebox gespeicherten Zugangsdaten: Admin-Passwörter, VPN-Shared-Secrets, RADIUS-Secrets und Zertifikate.
⚠️
Wichtig: WatchGuard veröffentlicht Security Advisories unter watchguard.com/wgrd-psirt/advisories. Prüfen Sie diese regelmäßig und handeln Sie bei kritischen CVEs sofort.