WatchGuard Fireware v12.11

Firebox-Authentifizierung mit SAML : Mit dieser Funktion können Sie eine Firebox mit einem SAML IdP wie Microsoft Entra ID (früher Azure AD) integrieren und Single Sign-On (SSO) und SAML für die Firebox-Benutzerauthentifizierung verwenden.

Sie können SSO und SAML für die Authentifizierung mit Access Portal, dem Firebox Authentication Portal und Mobile VPN mit SSL konfigurieren.

FIPS 140-3-Unterstützung : Die Firebox ist so konzipiert, dass sie die allgemeinen Anforderungen für FIPS 140-3 Level 2-Sicherheit erfüllt, wenn sie FIPS-konform mit Fireware v12.11 (Produktzertifizierungsstatus) konfiguriert ist.
Diese Hardware-Modelle unterstützen FIPS 140-3:

• WatchGuard Firebox T-Serie: T20, T20-W, T40, T40-W, T80, NV5, T25, T25-W, T45, T45-PoE, T45-W-PoE, T45-CW, T85-PoE
   
• WatchGuard Firebox M-Serie: M290, M390, M590, M690, M4800, M5800

Weitere Informationen finden Sie unter FIPS-Unterstützung in Fireware.

WatchGuard AP-Kompatibilität mit Gateway Wireless Controller in Fireware v12.11 : Ab Fireware v12.11 und höher werden nur AP125, AP225W, AP325, AP327X, AP420 Geräte, die mit der neuesten Firmware v11.0.0-36-4 laufen, vom Gateway Wireless Controller auf einer Firebox unterstützt. Stellen Sie sicher, dass Sie Ihre Access Points auf die neueste Firmware-Version aktualisieren, bevor Sie auf Fireware v12.11 aktualisieren.

Die Geräte AP100, AP102, AP120, AP200, AP300, AP320 und AP322 werden nicht mehr unterstützt und können nicht mit dem Gateway Wireless Controller auf einer Firebox verwaltet werden. Die Geräte arbeiten weiterhin mit ihrer letzten bekannten Konfiguration, können aber nicht mehr über den Gateway Wireless Controller aktualisiert werden.

TLS-Mindestprotokollversion : In Fireware v12.11 und höher, in TLS-Profilkonfigurationen, ist die minimal unterstützte TLS-Protokollversion TLS v1.2.

Sammlung von Bedrohungs-Telemetriedaten : Mit dieser Version wird eine Option zum Senden von Bedrohungs-Telemetriedaten an WatchGuard hinzugefügt. Diese Funktion ist standardmäßig aktiviert.

Blockieren fehlgeschlagener Anmeldungen standardmäßig aktiviert : In Fireware v12.11 und höher ist die Funktion „Block Failed Logins“ in neuen Konfigurationen standardmäßig in Fireware Web UI, Policy Manager und WatchGuard Cloud aktiviert.

Internet Watch Foundation WebBlocker-Kategorie : Die WebBlocker-Kategorie der Internet Watch Foundation (IWF) ist jetzt in der Liste der empfohlenen Kategorien zum Blockieren in Setup-Assistenten und der Standard-WebBlocker-Aktion enthalten.

Allgemein

• Die Firebox ist so konzipiert, dass sie die allgemeinen Anforderungen für FIPS 140-3 Level 2-Sicherheit erfüllt, wenn sie in einer FIPS-konformen Weise mit Fireware v12.11 konfiguriert wird. [FBX-22173]
• Ab Fireware v12.11 werden nur die Geräte AP125, AP225W, AP325, AP327X und AP420, auf denen die neueste Firmware v11.0.0-36-4 läuft, vom Gateway Wireless Controller auf einer Firebox unterstützt. [FBX-27755]
• Die Option „Send Log Messages to Syslog Server“ für ältere Access Points ist veraltet und wurde entfernt. [FBX-28121]
• Zusätzlich zum erweiterten Geräte-Feedback können Sie jetzt auch Bedrohungs-Telemetriedaten an WatchGuard senden. [FBX-27307]
• In der Fireware Web UI enthält der Firebox-Konfigurationsbericht jetzt die Seriennummer des Geräts und die Fireware-Version. [FBX-27231]
• Mit dieser Version wird die veraltete Pop-up-Benachrichtigungsoption aus den Protokollierungs- und Benachrichtigungseinstellungen in der Fireware Web UI und im Policy Manager entfernt. [FBX-9113]
• Der interne Firebox-Webserver enthält jetzt Referrer-Policy-Antwort-Header. [FBX-25970]
• Die SSH-Ressourcen des Zugriffsportals funktionieren jetzt mit SSH-Servern, die OpenSSH 8.6 und höher ausführen. [FBX-23321]
• Wenn Sie Access Portal SSH-Ressourcen mit SSH-Servern verwenden, die auf OpenSSH 7.6 und höher mit älteren SSH-1-Algorithmen basieren, müssen Sie DSA-Schlüssel verwenden. RSA wird nicht unterstützt. [FBX-27508]
• Diese Version behebt ein Problem, das zu einer hohen CPU-Auslastung führte, wenn ein USB-Laufwerk eingesteckt war. [FBX-24321]
• Der FQDN-Prozess sendet nicht mehr „Assertion Failed“-Debug-Protokolle während einer Cache-Aktualisierung. [FBX-25939]
• Die Nachladezeit für die statische Liste der gesperrten Sites wurde reduziert. [FBX-27315]
• Wenn mehrere Routen und VLAN-Schnittstellen vorhanden sind, werden die FireCluster-Zustandsprüfungen nach einem Failover jetzt schneller abgeschlossen. [FBX-27271]
• Das Backup-Master-Cluster-Mitglied wird jetzt nach einem Neustart wieder korrekt in einen FireCluster der T-Serie aufgenommen. [FBX-27841]
• Eine Zertifikatsynchronisierung zwischen FireCluster-Mitgliedern führt nicht mehr zu einem Ressourcenkonflikt-Fehler, wenn Sie Zertifikatsaktionen durchführen. [FBX-27950]
• Die Firebox versucht nicht mehr, den LiveSecurity-RSS-Feed herunterzuladen. [FBX-26459]
• Die Wireless-Statistik-Seite wird jetzt auf Wi-Fi-fähigen Fireboxen korrekt geladen. [FBX-26535]
• Benutzerberechtigungen werden jetzt korrekt auf Geräte in verschachtelten Ordnern auf einem Management-Server angewendet. [FBX-25838]
• Um Fehler im Assistenten zum Hinzufügen von Geräten zu vermeiden, werden CRLF-Zeichen aus Benutzereingaben im WatchGuard Management Server entfernt. [FBX-10541]
• Die Eigenschaft der Rolle „Reboot“ ermöglicht es einem Benutzer nicht mehr, eine Konfiguration auf dem WSM Management Server zu speichern. [FBX-26493]
• Der Web-Setup-Assistent empfiehlt jetzt die Verwaltung der Firebox durch WatchGuard Cloud. [FBX-27459]
• Die Fireware Web UI enthält jetzt eine Seite mit Geräteinformationen, die die Systeminformationen für eine Cloud-verwaltete Firebox anzeigt. [FBX-20973]

Authentifizierung

• Diese Version unterstützt einen neuen SAML-Authentifizierungsserver-Typ. [FBX-26372]
• Die Funktion „Block Failed Logins“ ist in neuen Konfigurationen standardmäßig in Fireware Web UI, Policy Manager und WatchGuard Cloud aktiviert. [FBX-27549]
• Die Funktion „Block Failed Logins“ blockiert jetzt fehlgeschlagene AuthPoint-Authentifizierungen. [FBX-27443]
• Die Funktion „Block Failed Logins“ kann jetzt in WSM Management Server-Vorlagen konfiguriert werden. [FBX-27636]

Networking

• Die Fireware Web UI verhindert jetzt eine fehlerhafte Konfiguration von DHCP-Server-Pools, die sich über zwei Schnittstellen hinweg überschneiden. [FBX-25835]
• Wenn Sie ein Netzwerk für einen virtuellen IP-Adress-Pool eingeben, warnt Sie der Policy Manager jetzt, wenn dieses Netzwerk bereits in Gebrauch ist. [FBX-13770]
• Sie können jetzt mehrere DHCP-Pools im Drop-in-Modus konfigurieren. [FBX-25931]
• Wenn Sie eine statische Route hinzufügen, ist der Zieltyp jetzt standardmäßig Netzwerk-IPv4. [FBX-3826]
• Sie können jetzt die CLI verwenden, um dynamische Routing-Einträge anzuzeigen, die älter als zwei Wochen sind. [FBX-26316]
• Auf T80/T85-Appliances wird in dieser Version die Protokollierung in Bezug auf das LTE-Modem deaktiviert, wenn das Modul nicht installiert ist. [FBX-26563]
• Diese Version behebt ein Problem, bei dem VIF-IPv4/IPv6-Routen überschrieben wurden, wenn Sie die Konfiguration sowohl über die Fireware Web UI als auch über den Policy Manager gespeichert haben. [FBX-18879]
• Diese Version verbessert Static NAT mit Server Load Balancing-Aktionen, um Fälle zu behandeln, in denen alle Verbindungen von der gleichen IP-Adresse kommen. [FBX-15080]
• Der Timeout für die Validierung von dynamischen Routing-Konfigurationen wurde erhöht. [FBX-26499]
• Wildcard-Aliase in der dynamischen NAT-Tabelle werden jetzt korrekt angewendet. [FBX-26466]
• Wenn Sie das Kontrollkästchen Sticky-Verbindung aktivieren deaktivieren, werden die Sticky-Verbindungen der SNAT-Aktion 8 Stunden lang nicht ausgeführt. [FBX-15080]

Proxies, Richtlinien und Dienste

• In der TLS-Profilkonfiguration ist die minimal unterstützte TLS-Protokollversion jetzt TLS v1.2. [FBX-28101]
• Die WebBlocker-Kategorie der Internet Watch Foundation (IWF) ist jetzt in der Liste der empfohlenen Kategorien zum Blockieren in den Einrichtungsassistenten und der Standard-WebBlocker-Aktion enthalten. [FBX-26548]
• Die globale Ausnahmeliste von WebBlocker enthält jetzt auch URLs von WatchGuard Endpoint Security. [FBX-26361]
• Der Konfigurationsbericht enthält jetzt Geolocation-Ausnahmen. [FBX-26353]
• Diese Version behebt ein Problem, das dazu führte, dass Geolocation nach einer Datenbankaktualisierung blockierten Datenverkehr für einige Sekunden zuließ. [FBX-23001]
• Geolocation funktioniert jetzt auch nach einem Neustart der Firebox Cloud korrekt. [FBX-27762]
• Im Richtlinienmanager werden FQDN-Werte jetzt in den Feldern „An“ und „Von“ der Richtlinienliste korrekt sortiert. [FBX-27592]
• In der Fireware-Web-UI speichert der WebBlocker jetzt Ausnahmen, die über das Menü Quick Action aktiviert wurden, korrekt. [FBX-27366]
• Diese Version behebt ein Problem, bei dem ein certd-Absturz die vertrauenswürdige CA für Proxies gelöscht hat. [FBX-25236]
• DNSWatch generiert keine Logs mehr für unbehandelte interne Pakete. [FBX-27150]
• DNSWatch-Logs sind nicht mehr ratenbegrenzt. [FBX-27149]

VPN

• Die Schaltfläche Client herunterladen im Abschnitt SSL auf der Seite Mobiles VPN konfigurieren wird durch einen Link zum Software-Download-Center ersetzt. [FBX-27865]
• In dieser Version wird die Download-Seite für Mobile VPN mit SSL-Client aus der Firebox entfernt. [FBX-27548]
• Der VPN-Diagnosebericht zeigt jetzt korrekt die verwendete Richtlinie an, wenn BOVPN-Allow-Richtlinien aktiv sind. [FBX-17742]
• Diese Version behebt ein Problem, bei dem doppelte Mobile VPN mit SSL-Benutzer oder -Gruppen im Policy Manager erstellt wurden. [FBX-27946]

WSM

• WSM-Hilfe-Links werden jetzt im Standard-Systembrowser statt im Internet Explorer geöffnet. [FBX-24526]
• Wenn Sie WSM auf Version 12.11 aktualisieren, wird die Log4j-Bibliothek von Ihrem Verwaltungscomputer entfernt. [FBX-27979]

WatchGuard Mobile VPN mit SSL-Client v12.11 für Windows

• Der Mobile VPN mit SSL-Client für Windows unterstützt jetzt die SAML-Authentifizierung. [FBX-26372]

WatchGuard IPSec Mobile VPN Client für Windows, powered by NCP

• Diese Version des IPSec Mobile VPN Client für Windows unterstützt die folgenden Betriebssysteme:
  • Windows 11, 64 bit (ab Version 21H2 bis einschließlich Version 24H2)
  • Windows 10, 64 bit (ab Version 20H2 bis einschließlich Version 22H2)
• Die TunnelVision-Schwachstelle (CVE-2024-3661) zielt auf entfernte Arbeitsstationen oder über VPN verbundene Netzwerke ab. Weitere Informationen finden Sie auf der WatchGuard Security Advisory Seite.
  • Der Angriff erfolgt nicht direkt auf einen vorhandenen VPN-Client, sondern auf das Routing im jeweiligen Betriebssystem.
  • Der Angreifer imitiert einen DHCP-Server im Netzwerk des entfernten Anwenders, der mittels der DHCP-Option 121 die Routing-Tabelle auf dem Anwenderrechner manipuliert. Ziel dieser Manipulation ist es, dass die Daten nicht auf dem Standardweg durch den VPN-Tunnel geschickt werden, sondern am VPN-Tunnel vorbei.
  • In dieser Version des WatchGuard IPSec Mobile VPN Client für Windows werden die DHCP-Optionen 121 und 249 standardmäßig im Netzwerkadapter ausgefiltert, so dass die Routing-Tabelle nicht verändert wird. Um dieses Verhalten zu deaktivieren, können Sie einen Registry-Parameter setzen:
  • \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ncprwsnt
  • Wertname: AllowDHCPOption121and249
  • Wertetyp: DWORD (32bit)
  • Wert: 0 – aus, 1 – ein. // Voreinstellung 0
• Diese Version behebt einen Fehler im Treiber oder Netzwerkadapter des WatchGuard IPSec Mobile VPN Client für Windows, der in seltenen Fällen einen blauen Bildschirm beim ersten Start nach der Installation verursachte. Der Name und die Version des Netzwerkadapters hat sich daher vonWatchGuard Secure Client Virtual NDIS6.20 Adapter Version 12.1.2102.0 aufWatchGuard Secure Client Virtual NDIS Adapter Version 13.1.2409.0 geändert.
• Wenn aktiviert, kann die Firewall des WatchGuard IPSec Mobile VPN Client für Windows jetzt in der Windows-Sicherheitsfunktion angezeigt werden.
• Diese Version behebt ein Problem, bei dem der VPN-Dienst des WatchGuard IPSec Mobile VPN Client für Windows abstürzte, was auf ein Problem mit der Treiberschnittstelle (Mif32Init) hinweist.

Weitere Information finden Sie auf dem Release Notes PDF hier