{"id":17747,"date":"2020-12-12T11:36:00","date_gmt":"2020-12-12T10:36:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=17747"},"modified":"2020-12-08T09:44:26","modified_gmt":"2020-12-08T08:44:26","slug":"im-test-die-total-security-suite-der-watchguard-t40-appliance","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=17747","title":{"rendered":"Im Test: Die Total Security Suite der Watchguard-T40-Appliance"},"content":{"rendered":"\n

Letzte Woche<\/a> haben wir die Watchguard-Appliance T40 in unserem Testlabor in Betrieb genommen. Heute wenden wir uns der Total Security Suite zu, die dieser Appliance zus\u00e4tzliche Enterprise Security-Features zur Verf\u00fcgung stellt. Dazu geh\u00f6ren: ein APT-Blocker, ein Intrusion Prevention System, ein Web-Filter und vieles mehr. Abgesehen davon haben wir auch untersucht, wie die Appliance auf Angriffe mit DoS-Tools reagiert und ihr Verhalten mit Werkzeugen wie nmap und OpenVAS 9 analysiert.<\/p>\n\n\n\n

\"\"
Bild: Watchguard<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Die Watchguard-T40-Appliance l\u00e4sst sich in drei verschiedenen Lizenzstufen nutzen. Einmal komplett ohne Total Security (dann arbeitet das Ger\u00e4t praktisch als Router), einmal mit der so genannten Basic Security Suite und einmal mit der kompletten Total Security Suite.<\/p>\n\n\n\n

Die Basic Security Suite umfasst den Intrusion Prevention Service (IPS), eine Funktion zur Anwendungskontrolle, einen Web Blocker mit URL\/Content-Filter, ein Anti-Spam-Feature, einen Gateway Antivirus, der von Bitdefender bereit gestellt wird, eine Reputation Enabled Defense (RED) und eine Network-Discovery-Funktion. Bei der Total Security Suite kommen unter anderem noch ein APT-Blocker, eine Data Loss Prevention, eine Threat Detection and Response, ein DNSWatch-Feature, ein Access Portal und eine zweite Antivirus-Engine hinzu.<\/p>\n\n\n\n

Der Leistungsumfang der einzelnen Features<\/strong><\/p>\n\n\n\n

Im praktischen Betrieb lassen sich die einzelnen Sicherheitsfunktionen \u00fcber Wizards einrichten und anschlie\u00dfend \u00fcber den entsprechenden Bereich des Web-Interfaces verwalten. Auf die wichtigsten Konfigurationspunkte gehen wir sp\u00e4ter noch genauer ein. Hier erst einmal ein kurzer \u00dcberblick \u00fcber den Leistungsumfang: Das IPS verwendet w\u00e4hrend seiner Arbeit regelm\u00e4\u00dfig aktualisierte Signaturen, um den Datenverkehr \u00fcber alle wichtigen Protokolle hinweg zu \u00fcberwachen und im Fall erkannter Bedrohungen Gegenma\u00dfnahmen zu ergreifen.<\/p>\n\n\n\n

\"\"
Die Anwendungskontrolle l\u00e4sst sich dank der vielen vorkonfigurierten Kategorien recht einfach konfigurieren (Screenshot: IT-Testlab Dr. G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n

Der Web-Blocker unterbindet Daten\u00fcbertragungen zu bekannten sch\u00e4dlichen Sites und erm\u00f6glicht es den Administratoren, den Zugriff auf bestimmte Webseiten einzuschr\u00e4nken. Der Spam-Blocker bietet Spam-Erkennung in Echtzeit und die RED stellt einen Cloud-basierten Reputation Lookup Service dar, der die Anwender vor Botnets und Malicious Sites sch\u00fctzen soll.<\/p>\n\n\n\n

Die Anwendungskontrolle erm\u00f6glicht es den Administratoren, den Zugriff bestimmter Applikationen zu erlauben und zu blockieren. Die entsprechenden Regeln lassen sich nach Tageszeit oder Abteilung festlegen und es besteht die Option, die Aktionen des Features in Echtzeit zu \u00fcberwachen. Die Network-Discovery kommt im Gegensatz dazu zum Einsatz, um eine visuelle Karte mit den im Netz aktiven Nodes zu erstellen.<\/p>\n\n\n\n

Die erweiterten Sicherheitsfunktionen<\/strong><\/p>\n\n\n\n

Von besonderem Interesse als Funktion der Total Security Suite ist \u201eDNSWatch\u201c. Dieses Feature blockt sch\u00e4dliche DNS-Anfragen \u00fcber eine Filterliste, beispielsweise Anfragen an falsch geschriebene Domains wie „www.amazone.com<\/a>„. Anwender, die eine solche Webseite aufrufen wollen, erreichen stattdessen eine Landing-Page mit Informationen zur Security-Awareness. DNSWatch stellt also eine Schutzfunktion gegen Phishing dar. Ebenfalls von Interesse: \u201eIntelligentAV\u201c als zweite Antivirus-L\u00f6sung. Dahinter steht mit Cylance von Blackberry ein reines Enterprise-Produkt, das sonst auf Tabletops nicht zum Einsatz kommt. Bei Cylance handelt es sich um eine signaturlose Anti-Malware-L\u00f6sung, die mit Hilfe K\u00fcnstlicher Intelligenz Malware automatisch erkennt.<\/p>\n\n\n\n\n\n\n\n

Das Access Portal erm\u00f6glicht bei Bedarf eine zentrale Stelle f\u00fcr den Zugriff auf Cloud-Anwendungen und einen sicheren, Client-losen Weg zur Nutzung interner Ressourcen via RDP und SSH. Die DLP-Funktion sch\u00fctzt vor Datenverlusten, indem sie den Inhalt von Text- und anderen Dateien scannt und verhindert, dass wichtige Informationen das Netz verlassen.<\/p>\n\n\n\n

Die Threat Detection and Response korreliert Events im Netz und auf den Endpoints und ergreift auf Basis dieser Informationen Gegenma\u00dfnahmen gegen Angriffe. Ein APT-Blocker auf Sandbox-Basis schlie\u00dft den Leistungsumfang der Total Security ab.<\/p>\n\n\n\n

Die Anwendungskontrolle<\/strong><\/p>\n\n\n\n

Wenden wir uns nun noch kurz im Detail der Konfiguration und Nutzung der wichtigsten Total-Security-Features zu. Beginnen wir mit der Anwendungskontrolle. Sie erm\u00f6glicht es, die Daten\u00fcbertagungen zuzulassen oder zu blockieren. Die Anwendungskontrolle kann im Zusammenhang mit Policies aktiviert werden und es besteht die Option, verschiedene \u201eApplication Control Actions\u201c zu definieren, die gemeinsam mit unterschiedlichen Regeln Verwendung finden k\u00f6nnen.<\/p>\n\n\n\n

\"\"
Der DNSWatch-Dienst erh\u00f6ht die Sicherheit im Netz mit einer Filterfunktion (Screenshot: IT-Testlab Dr. G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n

Beim Anlegen einer solchen Application Control Action k\u00f6nnen die Administratoren einzelne Anwendungen blockieren beziehungsweise zulassen oder Kategorien wie Business Tools, Online Games, Network Protocols, VoIP Services oder Web Services durchsuchen, um entweder die ganze Kategorie zu sperren (beziehungsweise zu erlauben) oder bestimmte Eintr\u00e4ge daraus. Au\u00dferdem steht auch eine Suchfunktion zur Verf\u00fcgung, um Anwendungen schnell aufzufinden. Damit wird die Konfiguration dieses Werkzeugs recht schnell und \u00fcbersichtlich erledigt, obwohl die Zahl der m\u00f6glichen Applikationen mit \u00fcber 1800 \u2013 darunter WhatsApp, Deezer, Netflix, NTRglobal oder auch Telnet \u2013 sehr hoch ist. Im Test funktionierte die Anwendungskontrolle ohne Probleme.<\/p>\n\n\n\n

Der Web-Blocker l\u00e4sst sich ebenfalls bestimmten Firewall-Policies (in diesem Fall Proxies) zuweisen und die Aktionen werden auch wieder nach Kategorien und einzelnen Eintr\u00e4gen (Subkategorien) festgelegt. Zu den Kategorien geh\u00f6ren unter anderem Abortion, Gambling, Job Search, Religion oder auch Security. Unterkategorien sind dann etwa bei Security Keylogger, Mobile Malware oder Spyware. Auch hier hilft wieder eine Suchfunktion beim schnellen Auffinden der richtigen Eintr\u00e4ge und auch hier traten im Betrieb keine Probleme auf.<\/p>\n\n\n\n

Die Network Discovery l\u00e4sst sich jederzeit manuell starten, kann aber auch \u00fcber einen Zeitplaner automatisch ausgef\u00fchrt werden. Die Ergebnisse finden sich dann unterhalb des Dashboards und sie lassen sich als Liste (mit Ger\u00e4tenamen, IP-Adresse, Ger\u00e4tetyp und \u00e4hnlichem) oder als Map anzeigen. Dar\u00fcber hinaus ist es m\u00f6glich, bekannte Devices f\u00fcr eine schnellere \u00dcbersicht zu kennzeichnen.<\/p>\n\n\n\n

\"\"
Ein IPS darf bei der Security Suite nicht fehlen (Screenshot: IT-Testlab Dr. G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n

Sicherheits-Check<\/strong><\/p>\n\n\n\n

Zum Abschluss unseres Tests nahmen wir noch das \u2013 zu diesem Zweck mit einer festen IP-Adresse konfigurierte \u2013 externe sowie die internen Interfaces der fertig eingerichteten Appliance mit Tools wie dem Scanner nmap oder dem Vulnerability-Assessment-Werkzeug OpenVAS unter die Lupe. OpenVAS fand \u00fcber die internen Schnittstellen diverse Informationen \u2013 wie etwa den verwendeten HTTP-Server und diverse verwendete Cipher Suites \u2013 heraus. Au\u00dferdem war die L\u00f6sung \u00fcberzeugt davon, dass auf der Appliance Linux lief. Extern erlangte OpenVAS keine Informationen. Nmap stellte extern fest, dass der Host lief und alle Ports gefiltert waren. Dar\u00fcber hinaus sagte uns der Scanner, dass die Appliance mit einer Watchguard MAC-Adresse unterwegs war. Intern sagte nmap, dass die von uns ge\u00f6ffneten Ports wie 53 und 8080 offen waren, dass die MAC-Adresse Watchguard zugeordnet werden konnte und dass mit 93 prozentiger Wahrscheinlichkeit Linux auf dem System lief. Das war so also alles in Ordnung und es gab keine negativen \u00dcberraschungen, wie das \u00fcberfl\u00fcssige Bereitstellen von Informationen oder Diensten.<\/p>\n\n\n\n

Im letzten Schritt versuchten wir nun das Produkt mit verschiedenen DoS- und Penetration-Testing-Tools beziehungsweise mit Hilfe von Metasploit aus dem Tritt zu bringen. Auch hier nahmen wir immer die internen und die externe Schnittstelle von verschiedenen Systemen aus unter Beschuss. Davon lie\u00df sich die Watchguard T40 in keinster Weise beeindrucken, was zeigt, dass die Hardware wirklich recht leistungsf\u00e4hig ist. Bei anderen Appliances kam es in dem gleichen Test-Setting w\u00e4hrend der DoS-Angriffe immer mal zu recht hoher Prozessorlast, in diesem Test war das nicht der Fall. Unserer Meinung nach kann eine richtig konfigurierte T40-Appliance nach aktuellem Stand ohne Probleme im Netz zum Einsatz kommen.<\/p>\n\n\n\n

\"\"
Auch beim Web-Blocker helfen Kategorien bei der Konfiguration (Screenshot: IT-Testlab Dr. G\u00fcttich)<\/figcaption><\/figure>\n\n\n\n

Fazit<\/strong><\/p>\n\n\n\n

Im Betrieb gefiel uns die Watchguard T40 sehr gut. Der Funktionsumfang ist beeindruckend und die Hardwareausstattung l\u00e4sst kaum W\u00fcnsche offen. Das Konfigurationswerkzeug wurde auch so gestaltet, dass kein mit IT-Sicherheit erfahrener Administrator vor irgendwelche Schwierigkeiten gestellt werden sollte. Wenn es darum geht, Au\u00dfenstellen mit einer leistungsf\u00e4higen Tabletop-Appliance abzusichern, stellt die T40 eine gute Wahl dar.<\/p>\n\n\n\n

Anmerkung:<\/strong><\/p>\n\n\n\n

Wir haben diesen Test im Auftrag des Herstellers durchgef\u00fchrt. Der Bericht wurde davon nicht beeinflusst und bleibt neutral und unabh\u00e4ngig, ohne Vorgaben Dritter. Diese Offenlegung dient der Transparenz.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

Letzte Woche haben wir die Watchguard-Appliance T40 in unserem Testlabor in Betrieb genommen. Heute wenden wir uns der Total Security Suite zu, die dieser Appliance zus\u00e4tzliche Enterprise Security-Features zur Verf\u00fcgung stellt. Dazu geh\u00f6ren: ein APT-Blocker, ein Intrusion Prevention System, ein Web-Filter und vieles mehr. Abgesehen davon haben wir auch untersucht, wie die Appliance auf Angriffe mit DoS-Tools reagiert und ihr Verhalten mit Werkzeugen wie nmap und OpenVAS 9 analysiert.<\/p>\n","protected":false},"author":3,"featured_media":17748,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[37,9],"tags":[1129,791,231,14402,13699,14423,12139,2902],"class_list":["post-17747","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security","category-test","tag-appliance","tag-apt","tag-ips","tag-t40","tag-tabletop","tag-total-security-suite","tag-watchguard","tag-webfilter"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/17747","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=17747"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/17747\/revisions"}],"predecessor-version":[{"id":17753,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/17747\/revisions\/17753"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/17748"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=17747"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=17747"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=17747"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}