:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a74fc125765e3aaa4a1cd46952f036/0109587894.jpeg "Checkmarx Supply Chain Threat Intelligence kombiniert Threat Intelligence mit Machine Learning, Retro Hunting und Cross-Language Hunting. (Bild: Checkmarx)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/fc/cffcdb017034d5478cacf1bcb30a7665/0109349789.jpeg "Um die Sicherheit von Daten und Systemen zu erhöhen und das Risiko von Angriffen oder Datenverlust zu reduzieren sollten Berechtigungen auf das absolut notwendige Minimum beschränkt werden. (Bild: frei lizenziert Fernando Arcos - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/48/084856af2569f600d6a8ddc908e286b4/0110345761.jpeg "„Unternehmen, die in ihre Mitarbeiter investieren, haben immer die Nase vorn, besonders in schwierigen Zeiten.“ sagt Erik Gaston, VP Global Executive Engagement bei Tanium. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Im Test: Watchguard T40 – Total Security Suite Enterprise-Zusatzfunktionen für Tabletop-Appliances
Nachdem wir uns letzte Woche mit der Funktionalität und der Inbetriebnahme der Watchguard Tabletop-Appliance „T40“ auseinandergesetzt haben, wenden wir uns heute den zusätzlichen Security-Features des Produkts zu. Dazu gehören unter anderem ein Intrusion Prevention System, ein Web-Filter und ein APT-Blocker. Außerdem haben wir die Appliance mit diversen Sicherheitslösungen wie nmap, OpenVAS 9 und verschiedenen DoS- sowie Penetration-Testing-Tools unter die Lupe genommen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107800/107800/65.jpg "SonicWall_Registered-2C.JPG ()")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
Die Watchguard-T40-Appliance lässt sich in drei verschiedenen Lizenzstufen nutzen. Einmal komplett ohne Total Security (dann arbeitet das Gerät praktisch als Router), einmal mit der so genannten Basic Security Suite und einmal mit der kompletten Total Security Suite.
Die Basic Security Suite umfasst den Intrusion Prevention Service (IPS), eine Funktion zur Anwendungskontrolle, einen Web Blocker mit URL/Content-Filter, ein Anti-Spam-Feature, einen Gateway Antivirus, der von Bitdefender bereit gestellt wird, eine Reputation Enabled Defense (RED) und eine Network-Discovery-Funktion. Bei der Total Security Suite kommen unter anderem noch ein APT-Blocker, eine Data Loss Prevention, eine Threat Detection and Response, ein DNSWatch-Feature, ein Access Portal und eine zweite Antivirus-Engine hinzu.
:quality(80)/images.vogel.de/vogelonline/bdb/1764400/1764474/original.jpg "Die Watchguard Firebox T40 ist eine handliche Appliance für kleine bis mittelgroße Unternehmen mit hohen Anforderungen an den Durchsatz und Sicherheitsfunktionen. (Watchguard)")
Im Test: Watchguard Firebox T40
Sicherheit und Leistung im Tabletop-Format
Der Leistungsumfang der einzelnen Features
Im praktischen Betrieb lassen sich die einzelnen Sicherheitsfunktionen über Wizards einrichten und anschließend über den entsprechenden Bereich des Web-Interfaces verwalten. Auf die wichtigsten Konfigurationspunkte gehen wir später noch genauer ein. Hier erst einmal ein kurzer Überblick über den Leistungsumfang: Das IPS verwendet während seiner Arbeit regelmäßig aktualisierte Signaturen, um den Datenverkehr über alle wichtigen Protokolle hinweg zu überwachen und im Fall erkannter Bedrohungen Gegenmaßnahmen zu ergreifen.
Der Web-Blocker unterbindet Datenübertragungen zu bekannten schädlichen Sites und ermöglicht es den Administratoren, den Zugriff auf bestimmte Webseiten einzuschränken. Der Spam-Blocker bietet Spam-Erkennung in Echtzeit und die RED stellt einen Cloud-basierten Reputation Lookup Service dar, der die Anwender vor Botnets und Malicious Sites schützen soll.
Die Anwendungskontrolle ermöglicht es den Administratoren, den Zugriff bestimmter Applikationen zu erlauben und zu blockieren. Die entsprechenden Regeln lassen sich nach Tageszeit oder Abteilung festlegen und es besteht die Option, die Aktionen des Features in Echtzeit zu überwachen. Die Network-Discovery kommt im Gegensatz dazu zum Einsatz, um eine visuelle Karte mit den im Netz aktiven Nodes zu erstellen.
:quality(80)/images.vogel.de/vogelonline/bdb/1768600/1768646/original.jpg "Die Anwendungskontrolle lässt sich dank der vielen vorkonfigurierten Kategorien recht einfach konfigurieren.")
:quality(80)/images.vogel.de/vogelonline/bdb/1768600/1768647/original.jpg "Der DNSWatch-Dienst erhöht die Sicherheit im Netz mit einer Filterfunktion.")
:quality(80)/images.vogel.de/vogelonline/bdb/1768600/1768648/original.jpg "Ein IPS darf bei der Security Suite nicht fehlen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1768600/1768649/original.jpg "Auch beim Web-Blocker helfen Kategorien bei der Konfiguration.")
Die erweiterten Sicherheitsfunktionen
Von besonderem Interesse als Funktion der Total Security Suite ist „DNSWatch“. Dieses Feature blockt schädliche DNS-Anfragen über eine Filterliste, beispielsweise Anfragen an falsch geschriebene Domains wie "www.amazone.com". Anwender, die eine solche Webseite aufrufen wollen, erreichen stattdessen eine Landing-Page mit Informationen zur Security-Awareness. DNSWatch stellt also eine Schutzfunktion gegen Phishing dar. Ebenfalls von Interesse: „IntelligentAV“ als zweite Antivirus-Lösung. Dahinter steht mit Cylance von Blackberry ein reines Enterprise-Produkt, das sonst auf Tabletops nicht zum Einsatz kommt. Bei Cylance handelt es sich um eine signaturlose Anti-Malware-Lösung, die mit Hilfe Künstlicher Intelligenz Malware automatisch erkennt.
Das Access Portal ermöglicht bei Bedarf eine zentrale Stelle für den Zugriff auf Cloud-Anwendungen und einen sicheren, Client-losen Weg zur Nutzung interner Ressourcen via RDP und SSH. Die DLP-Funktion schützt vor Datenverlusten, indem sie den Inhalt von Text- und anderen Dateien scannt und verhindert, dass wichtige Informationen das Netz verlassen.
Die Threat Detection and Response korreliert Events im Netz und auf den Endpoints und ergreift auf Basis dieser Informationen Gegenmaßnahmen gegen Angriffe. Ein APT-Blocker auf Sandbox-Basis schließt den Leistungsumfang der Total Security ab.
Die Anwendungskontrolle
Wenden wir uns nun noch kurz im Detail der Konfiguration und Nutzung der wichtigsten Total-Security-Features zu. Beginnen wir mit der Anwendungskontrolle. Sie ermöglicht es, die Datenübertagungen zuzulassen oder zu blockieren. Die Anwendungskontrolle kann im Zusammenhang mit Policies aktiviert werden und es besteht die Option, verschiedene „Application Control Actions“ zu definieren, die gemeinsam mit unterschiedlichen Regeln Verwendung finden können.
Beim Anlegen einer solchen Application Control Action können die Administratoren einzelne Anwendungen blockieren beziehungsweise zulassen oder Kategorien wie Business Tools, Online Games, Network Protocols, VoIP Services oder Web Services durchsuchen, um entweder die ganze Kategorie zu sperren (beziehungsweise zu erlauben) oder bestimmte Einträge daraus. Außerdem steht auch eine Suchfunktion zur Verfügung, um Anwendungen schnell aufzufinden. Damit wird die Konfiguration dieses Werkzeugs recht schnell und übersichtlich erledigt, obwohl die Zahl der möglichen Applikationen mit über 1800 – darunter WhatsApp, Deezer, Netflix, NTRglobal oder auch Telnet – sehr hoch ist. Im Test funktionierte die Anwendungskontrolle ohne Probleme.
Der Web-Blocker lässt sich ebenfalls bestimmten Firewall-Policies (in diesem Fall Proxies) zuweisen und die Aktionen werden auch wieder nach Kategorien und einzelnen Einträgen (Subkategorien) festgelegt. Zu den Kategorien gehören unter anderem Abortion, Gambling, Job Search, Religion oder auch Security. Unterkategorien sind dann etwa bei Security Keylogger, Mobile Malware oder Spyware. Auch hier hilft wieder eine Suchfunktion beim schnellen Auffinden der richtigen Einträge und auch hier traten im Betrieb keine Probleme auf.
Die Network Discovery lässt sich jederzeit manuell starten, kann aber auch über einen Zeitplaner automatisch ausgeführt werden. Die Ergebnisse finden sich dann unterhalb des Dashboards und sie lassen sich als Liste (mit Gerätenamen, IP-Adresse, Gerätetyp und ähnlichem) oder als Map anzeigen. Darüber hinaus ist es möglich, bekannte Devices für eine schnellere Übersicht zu kennzeichnen.
Sicherheits-Check
Zum Abschluss unseres Tests nahmen wir noch das – zu diesem Zweck mit einer festen IP-Adresse konfigurierte – externe sowie die internen Interfaces der fertig eingerichteten Appliance mit Tools wie dem Scanner nmap oder dem Vulnerability-Assessment-Werkzeug OpenVAS unter die Lupe. OpenVAS fand über die internen Schnittstellen diverse Informationen – wie etwa den verwendeten HTTP-Server und diverse verwendete Cipher Suites – heraus. Außerdem war die Lösung überzeugt davon, dass auf der Appliance Linux lief. Extern erlangte OpenVAS keine Informationen. Nmap stellte extern fest, dass der Host lief und alle Ports gefiltert waren. Darüber hinaus sagte uns der Scanner, dass die Appliance mit einer Watchguard MAC-Adresse unterwegs war. Intern sagte nmap, dass die von uns geöffneten Ports wie 53 und 8080 offen waren, dass die MAC-Adresse Watchguard zugeordnet werden konnte und dass mit 93 prozentiger Wahrscheinlichkeit Linux auf dem System lief. Das war so also alles in Ordnung und es gab keine negativen Überraschungen, wie das überflüssige Bereitstellen von Informationen oder Diensten.
Im letzten Schritt versuchten wir nun das Produkt mit verschiedenen DoS- und Penetration-Testing-Tools beziehungsweise mit Hilfe von Metasploit aus dem Tritt zu bringen. Auch hier nahmen wir immer die internen und die externe Schnittstelle von verschiedenen Systemen aus unter Beschuss. Davon ließ sich die Watchguard T40 in keinster Weise beeindrucken, was zeigt, dass die Hardware wirklich recht leistungsfähig ist. Bei anderen Appliances kam es in dem gleichen Test-Setting während der DoS-Angriffe immer mal zu recht hoher Prozessorlast, in diesem Test war das nicht der Fall. Unserer Meinung nach kann eine richtig konfigurierte T40-Appliance nach aktuellem Stand ohne Probleme im Netz zum Einsatz kommen.
Fazit
Im Betrieb gefiel uns die Watchguard T40 sehr gut. Der Funktionsumfang ist beeindruckend und die Hardwareausstattung lässt kaum Wünsche offen. Das Konfigurationswerkzeug wurde auch so gestaltet, dass kein mit IT-Sicherheit erfahrener Administrator vor irgendwelche Schwierigkeiten gestellt werden sollte. Wenn es darum geht, Außenstellen mit einer leistungsfähigen Tabletop-Appliance abzusichern, stellt die T40 eine gute Wahl dar.
Anmerkung:Das unabhängige IT-Testlab Güttich hat diesen Test im Auftrag des Herstellers durchgeführt. Der Bericht wurde davon nicht beeinflusst und bleibt neutral und unabhängig, ohne Vorgaben Dritter. Diese Offenlegung dient der Transparenz.
(ID:46988772)
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883403/original.jpg "Ein häufig thematisiertes Problem bei der E-Mail-Verschlüsselung ist die Kommunikation mit anderen Unternehmen und deren Nutzern. (natali_mis - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883500/1883553/original.jpg "Damit E-Mail-Verschlüsselung auch genutzt wird, muss das komplexe Thema so umgesetzt werden, dass sich die Verschlüsselung leicht in den täglichen Betrieb integrieren lässt. (peterschreiber.media - stock.adobe.com)")