Category Archives: Technischer Blog

HOWTO: Delegated Zugriff für BOC gewähren

Comment

Mit der Funktion “Kontozugriff gewähren” können Sie Ihr Konto an einen Dienstanbieter (MSP/MSSP) delegieren, der Ihnen dann bspw. bei der Organisation Ihrer Lizenzen unter die Arme greifen kann.
Die Account Delegation ist Voraussetzung für die Nutzung von MSP/MSSP Produkten und BOC Pool-Lizenzen.

Die primären Anwendungsfälle für die Kontodelegierung sind:

  • Sie benötigen Hilfe bei der Konfiguration Ihrer Security Services
  • Sie benötigen jemanden, der Ihr Konto verwaltet, wenn Sie nicht erreichbar sind
  • Sie haben Security Services erworben und aktiviert, möchten diese aber von einer anderen Person konfigurieren und verwalten lassen

So gewähren Sie Kontozugriff und delegieren Ihr Konto: Weiterlesen »

HOWTO: WatchGuard Firebox T45-CW Multi-WAN, SD-WAN und BOVPN Failover Konfiguration

Comment

Die neue WatchGuard Firebox T45-CW (5G) ist ab sofort verfügbar. In diesem Blogartikel zeigen wir die gängigen Szenarien, die wir mit der Firebox T45-CW umsetzen können. Weitere Informationen finden Sie direkt im >> Hardware Guide Firebox T45-CW.
Bei einem T45-CW Cluster kann das 5G Modul leider nicht genutzt werden.

1.Modem Konfiguration

Weiterlesen »

HOWTO: Verwendung von der Funktion “Autorisierte Software”

Comment

Gilt für WatchGuard EDR, EPDR, Advanced EPDR sowie die ehemalige Panda Welt (AD360 & Co.).

Grundsätzlich können Ausnahmen in der WatchGuard Endpoint Konsole im jeweiligen Sicherheitsprofil unter Allgemein „Von Scans ausgeschlossene Dateien und Pfade“ hinzugefügt werden.

Die oben genannten Ausnahmen werden von allen Schutzmechanismen ignoriert. Die Verwendung von Ausschlüssen wird nur empfohlen, wenn bspw. Performanceprobleme auftreten. Alle Ausschlüsse stellen eine Sicherheitslücke dar und sollten daher auf ein Minimum reduziert werden.

Wenn man das Blockieren von unbekannten Prozessen durch den erweiterten Schutz (Lock-Mode) verhindern möchten, können über das Feature “Autorisierte Software” Ausnahmen definiert werden.

Vorteil von der Funktion “Autorisierte Software” (Windows only):

Autorisierte Programme werden während der Analyse nicht blockiert. Der Zero-Trust Application Service klassifiziert, blockiert oder desinfiziert sie jedoch, wenn es sich als Malware oder PUPs herausstellt. Weiterlesen »

HOWTO: Erzwingen einer VPN-Verbindung in öffentlichen Netzwerken

2 Comments

Problemstellung:

Da das Home-Office auch 2023 weiterhin stark verbreitet ist, erreichen uns dazu viele Kundenanfragen. Neben der Performance-Optimierung ist die Verbesserung der Security eines der Top-Themen. Ich möchte in diesem Blog-Artikel meine Ideen für ein VPN-Enforcement in öffentlichen Netzwerken veranschaulichen. Unser Ziel ist es außerhalb des Domänen-Netzwerks sämtlichen Datenverkehr sicher über die Firmenfirewall zu erzwingen. Die Angriffsfläche des mobilen Arbeitsplatzes (z. B. im Home-Office) wird mit der Personal Firewall auf ein Minimum reduziert.

Inspiration:

Der kostenpflichtige WatchGuard VPN Client „WatchGuard IPSec VPN Client“ (Provided by NCP) bietet mit der integrierten Firewall das benötigte Feature. Da der Premium VPN-Client kostenpflichtig und auf IPSEC eingeschränkt ist (der WatchGuard Client unterstützt nur IKEv1), möchte ich einen alternativen Weg aufzeigen. Weiterlesen »

HOWTO: Exchange Reverse Proxy mit HTTPS Content Inspection (Ohne Access Portal)

1 Comment

Der nachfolgende Artikel beschreibt die Absicherung eines Microsoft Exchange Servers via einer Incoming Proxy Regel mit aktivierter HTTPS Content Inspection (Deep Packet Inspection).
Die Firewall Regel und die HTTPS Proxy Action beinhalten folgende Security Features der Total Security Suite: Intrusion Prevention, Gateway AV, Intelligent AV, Geolocation und den APT Blocker.

Bei dieser Vatiante findet KEINE Pre-Authentication statt, sollte eine Pre-Authentication gewünscht sein, siehe
HOWTO – Exchange-Server mittels Reverse-Proxy (Access Portal) und Pre-Authentication absichern
Voraussetzungen:

Weiterlesen »

HOWTO: BOC Best Practices/Empfehlungen zu WatchGuard EDR Core

1 Comment

Der folgende Artikel beschreibt die BOC Best Practices/Empfehlungen für WatchGuard EDR Core (Letzte Aktualisierung 30.09.2024 / gilt auch für die neue Endpoint Version 4.50.00 / Aeather 17). Das Produkt EDR Core (enthalten in der Total Security Suite der WatchGuard Firewall Appliance) ist der Nachfolger von >> Threat Detection and Response (TDR), welches am 30.09.2023 End-of-Life geht. Die komplette Feature-Liste von EDR Core können Sie im WatchGuard HelpCenter unter >> WatchGuard EDR Core Features nachlesen.

In unserem vorherigen Blog-Artikel beschreiben wir unsere >> BOC Best Practices/Empfehlungen zu WatchGuard Endpoint Security (EPDR/AD360).

*Folgende Anleitung zeigt eine Grundeinrichtung. Abweichende Konfigurationen in Ihrer Umgebung bspw. non-persistente Computer/Server,… werden hier nicht berücksichtigt*

Voraussetzungen

Weiterlesen »

HOWTO: BOC Best Practices/Empfehlungen zu WatchGuard Advanced EPDR / EPDR

1 Comment

Gilt für WatchGuard Advanced EPDR, EPDR und Panda AD360 (Letzte Aktualisierung 25.03.25 / Neue Endpoint Version 4.50.00 / Aether 17).

Der folgende Artikel beschreibt die BOC Best Practices/Empfehlungen für WatchGuard Endpoint Security (EPDR/AD360 sowie Advanced EPDR). Wir gehen davon aus, dass auf allen Endgeräten kein Third-Party AV/Endpoint Schutz vorhanden ist. Unsere BOC Best Practices zu EDR Core finden Sie in dem Blogartikel >> HOWTO: BOC Best Practices/Empfehlungen zu WatchGuard EDR Core.

*Folgende Anleitung zeigt eine Grundeinrichtung. Abweichende Konfigurationen in Ihrer Umgebung wie bspw. non-persistente Computer/Server, Blockieren von USB-Sticks,… werden hier nicht berücksichtigt*

Unser Konzept besteht aus drei Teilen / Haupt OUs: Weiterlesen »

HOWTO: Sind tatsächlich alle WatchGuard Endpoints im Lock-Mode?

Comment

Gilt für WatchGuard EPDR, EDR sowie die ehemalige Panda Welt (AD360 & Co.).

Der folgende Artikel beschreibt das Auslesen des erweiterten Schutzmodus auf Basis eines definierten Filters.

Ziel: Damit Sie gegen Angriffsszenarien wie z. B. Hafnium, Log4j, 3CX Supply Chain Attack, Ransomware oder auch zukünftige Angriffe geschützt sind, müssen sich alle Endgeräte im sogenannten Lock-Mode (Windows Only) befinden.

Vorteil der Filterabfrage: Sämtliche Einstellungen werden direkt vom WatchGuard Endpoint Agent ausgelesen, somit werden Fehlfunktionen sowie Fehlkonfigurationen ausgeschlossen. Weiterlesen »

HOWTO: Remote-Installation vom WatchGuard Endpoint Agent via des Suchcomputers

Comment

Gilt für WatchGuard EPDR, EDR, EPP, EDR-Core sowie die ehemalige Panda Welt (AD360 & Co.)

Nachdem Sie die Geräte via des Suchcomputers identifiziert haben, die nicht von WatchGuard verwaltet werden, können Sie den WatchGuard Endpoint Client Agent wie folgt aus der Ferne (remote) auf Windows-Geräten installieren. Die Konfiguration vom Suchcomputer wurde bereits in folgendem Blog-Artikel thematisiert: HOWTO – Konfiguration vom WatchGuard Endpoint Suchcomputer.

Voraussetzungen: Weiterlesen »

HOWTO: Konfiguration vom WatchGuard Endpoint Suchcomputer

1 Comment

Gilt für WatchGuard EPDR, EDR, EPP, EDR-Core sowie die ehemalige Panda Welt (AD360 & Co.).

Aufgabe vom Suchcomputer:

Suchcomputer erkennen andere Devices im Netzwerk, die nicht von WatchGuard Endpoint Security verwaltet werden. Gleichzeitig kann auch der Suchcomputer für die >> Remote-Installation des WatchGuard Endpoint Agents auf Windows Betriebssysteme genutzt werden.

Wichtige Hinweise: Weiterlesen »