Sysbus
SecurityTests

Im Test: Die Total Security Suite der Watchguard-T40-Appliance

gcg

Letzte Woche haben wir die Watchguard-Appliance T40 in unserem Testlabor in Betrieb genommen. Heute wenden wir uns der Total Security Suite zu, die dieser Appliance zusätzliche Enterprise Security-Features zur Verfügung stellt. Dazu gehören: ein APT-Blocker, ein Intrusion Prevention System, ein Web-Filter und vieles mehr. Abgesehen davon haben wir auch untersucht, wie die Appliance auf Angriffe mit DoS-Tools reagiert und ihr Verhalten mit Werkzeugen wie nmap und OpenVAS 9 analysiert.

Bild: Watchguard

Die Watchguard-T40-Appliance lässt sich in drei verschiedenen Lizenzstufen nutzen. Einmal komplett ohne Total Security (dann arbeitet das Gerät praktisch als Router), einmal mit der so genannten Basic Security Suite und einmal mit der kompletten Total Security Suite.

Die Basic Security Suite umfasst den Intrusion Prevention Service (IPS), eine Funktion zur Anwendungskontrolle, einen Web Blocker mit URL/Content-Filter, ein Anti-Spam-Feature, einen Gateway Antivirus, der von Bitdefender bereit gestellt wird, eine Reputation Enabled Defense (RED) und eine Network-Discovery-Funktion. Bei der Total Security Suite kommen unter anderem noch ein APT-Blocker, eine Data Loss Prevention, eine Threat Detection and Response, ein DNSWatch-Feature, ein Access Portal und eine zweite Antivirus-Engine hinzu.

Der Leistungsumfang der einzelnen Features

Im praktischen Betrieb lassen sich die einzelnen Sicherheitsfunktionen über Wizards einrichten und anschließend über den entsprechenden Bereich des Web-Interfaces verwalten. Auf die wichtigsten Konfigurationspunkte gehen wir später noch genauer ein. Hier erst einmal ein kurzer Überblick über den Leistungsumfang: Das IPS verwendet während seiner Arbeit regelmäßig aktualisierte Signaturen, um den Datenverkehr über alle wichtigen Protokolle hinweg zu überwachen und im Fall erkannter Bedrohungen Gegenmaßnahmen zu ergreifen.

Die Anwendungskontrolle lässt sich dank der vielen vorkonfigurierten Kategorien recht einfach konfigurieren (Screenshot: IT-Testlab Dr. Güttich)

Der Web-Blocker unterbindet Datenübertragungen zu bekannten schädlichen Sites und ermöglicht es den Administratoren, den Zugriff auf bestimmte Webseiten einzuschränken. Der Spam-Blocker bietet Spam-Erkennung in Echtzeit und die RED stellt einen Cloud-basierten Reputation Lookup Service dar, der die Anwender vor Botnets und Malicious Sites schützen soll.

Die Anwendungskontrolle ermöglicht es den Administratoren, den Zugriff bestimmter Applikationen zu erlauben und zu blockieren. Die entsprechenden Regeln lassen sich nach Tageszeit oder Abteilung festlegen und es besteht die Option, die Aktionen des Features in Echtzeit zu überwachen. Die Network-Discovery kommt im Gegensatz dazu zum Einsatz, um eine visuelle Karte mit den im Netz aktiven Nodes zu erstellen.

Die erweiterten Sicherheitsfunktionen

Von besonderem Interesse als Funktion der Total Security Suite ist „DNSWatch“. Dieses Feature blockt schädliche DNS-Anfragen über eine Filterliste, beispielsweise Anfragen an falsch geschriebene Domains wie “www.amazone.com“. Anwender, die eine solche Webseite aufrufen wollen, erreichen stattdessen eine Landing-Page mit Informationen zur Security-Awareness. DNSWatch stellt also eine Schutzfunktion gegen Phishing dar. Ebenfalls von Interesse: „IntelligentAV“ als zweite Antivirus-Lösung. Dahinter steht mit Cylance von Blackberry ein reines Enterprise-Produkt, das sonst auf Tabletops nicht zum Einsatz kommt. Bei Cylance handelt es sich um eine signaturlose Anti-Malware-Lösung, die mit Hilfe Künstlicher Intelligenz Malware automatisch erkennt.

Das könnte dir auch gefallen

Vereinfachte Geldwäschemeldung mit SEPPmail

gcg

Methoden von Cyberkriminellen werden ausgefeilter: Angriffe über Word ohne Makros möglich

gcg

Interview mit Roland Messmer, Director CE&EE bei LogRhythm, zum Thema “Schutz vor Wirtschaftsspionage”

gcg