WatchGuard Reputation Enabled Defense und Botnet Detection

WatchGuard Reputation Enabled Defense und Botnet Detection

WatchGuard Reputation Enabled Defense

WatchGuard Reputation Enabled Defense ist ein optionaler Security Service für WatchGuard Firebox / XTM (Hardware Firewall / VPN Appliances). Der Service koppelt sich an den HTTP Application Proxy an. Ziel ist eine effizientere Internet-Nutzung bei höherer Sicherheit. Über die regulären WatchGuard Administrations-Tools, den Policy Manager innerhalb der WSM (WatchGuard System Manager) Software oder das Web-Interface, werden die Einstellungen für Reputation Enabled Defense verwaltet. Durch die Integration des Services in die WatchGuard Firebox / XTM Appliance verfügen Sie über einen zusätzlichen Schutz-Layer – ohne zusätzliche Hardware-Kosten.

Funktionsweise:

WatchGuard Reputation Enabled Defense schützt Web-Benutzer vor schädlichen Webseiten und reduziert die Deep Inspection Last (insbesondere Gateway Antivirus) auf der Firewall. Die Internetnutzung wird sicherer, weil für jeden Webzugriff (HTTP-Proxy, HTTPS-Proxy in Verbindung mit Deep Inspection) zunächst eine Reputations-Kontrolle durchgeführt wird, bei der die aufgerufene URLs als gut, schlecht oder unbekannt eingestuft wird. Hierbei wird eine leistungsstarke, cloud-basierte Reputations-Datenbank abgefragt, die Daten aus verschiedenen Feeds wie branchenführender Antivirus Engines, sammelt.

WatchGuard Reputation Enabled Defense AmpelURLs, deren Reputation eindeutig schlecht ist, werden sofort geblockt. Auf unbekannte URLs wird der Zugriff zugelassen – optimalerweise erfolgt dann durch den Security Service “WatchGuard Gateway Antivirus” eine Überprüfung in Echtzeit. Per Häkchen kann man in der eigenen Konfiguration auch steuern, ob diese eigenen Antivirus Überprüfungen anonymisiert an die Reputations-Datenbank gemeldet werden. Wenn eine URL als eindeutig “gut” bekannt ist, könnte man zur Leistungssteigerung auf die nochmalige Überprüfung durch Gateway Antivirus verzichten – muss man aber nicht.

Kontinuierliche Updates der Reputations-Datenbank gewährleisten einen ständig aktuellen Stand auch bei dynamischen Web-Inhalten und bieten Echtzeitschutz – ohne Verzögerung durch nur stündlich oder täglich erfolgende Updates. Reputationswerte werden zudem für einzelne URLs festgelegt, und nicht nur für gesamte Websites oder IP-Adressen.

Schnellere, produktivere Internetnutzung

Mit Reputation Enabled Defense wird die Internetnutzung beschleunigt, da nicht mehr der gesamte Web-Traffic auf Bedrohungen gescannt werden muss. Bei URLs mit guten Reputationswerten kann auf das erneute Antivirus Scanning verzichtet werden.

  • Lokaler Cache der Reputationswerte ermöglicht eine noch schnellere Verarbeitung der URLs.
  • Die effizientere Nutzung von Appliance-Ressourcen ermöglicht eine größere Benutzerkapazität.
  • Bis zu 50% des gesamten URL Scannings kann ohne Beeinträchtigung der Sicherheit übersprungen werden, wodurch eine schnellere Internetnutzung und ein größerer Datendurchsatz am Gateway möglich wird.

 

WatchGuard Botnet Detection

WatchGuard Dimension Botnet DetectionEin Botnet besteht aus einer großen Zahl von mit Malware infizierten Computern, die über “Command und Control Server” kontrolliert werden, um verschiedene Angriffe auszuführen. Ein typischer command-and-control-server kann mit den gekaperten Computern im Botnet folgende Angriffe ausführen:

  • Denial-Of-Service Attacken
  • Versenden von Spam und Viren
  • Phishing

Der WatchGuard Botnet Detection Service wurde mit der Softwareversion Fireware XTM v11.11 neu vorgestellt. Der Service verwendet eine von dem Sicherheitsanbieter Kaspersky dynamisch gepflegte Liste von Sites (IP-Adressen), die bekanntermaßen an einem Botnet beteiligt sind. Diese Liste wird automatisch über den WatchGuard Reputation Enabled Defense (RED) Service erzeugt. Die Liste der Botnet Sites und IP-Adressen wird automatisch zur Liste der geblockten Sites hinzugefügt und ermöglicht so der Firewall, eingehende und ausgehende Verbindungen von und zu diesen Sites bereits auf Paket-Ebene zu blocken. Botnet Detection ist somit integraler Bestandteil der Reputation Enabled Defense und muss nicht separat lizenziert werden. Er muss jedoch unter Umständen in der Konfigurationsdatei aktiviert werden: Subscription Services > Botnet Detection. Weiterhin muss dort auch sichergestellt werden, dass “Automatic update” aktiviert ist. Und auf der WatchGuard müssen unter Network > Configuration > WINS/DNS funktionierende DNS-Server eingetragen sein, denn der Hostname services.watchguard.com muss aufgelöst und erreicht werden können.

WatchGuard Botnet Detection  WatchGuard Botnet Detection Automatisches Update

Logging und Reporting

Das Logging und Reporting für WatchGuard Reputation Enabled Defense und Botnet Detection erfolgt über den schon mit dem Basisprodukt kostenfrei zur Verfügung gestellten WatchGuard Dimension Server oder über die älteren Windows-basierten Logging- und Reporting-Dienste, die Bestandteil der WatchGuard System Manager Software sind. Die Log-Einträge und Statistiken können über diese Plattformen gesichtet und ausgewertet werden.

Lizensierung

WatchGuard Reputation Enabled Defense und Botnet Detection ist ein optionaler Security Service. Er ist Bestandteil der WatchGuard Basic Security Suite und der WatchGuard Total Security Suite. Er ist standardmäßig beim Kauf eines Security Software Bundles enthalten, kann aber auch einzeln lizensiert werden.

WatchGuard Reputation Enabled Defense und Botnet Detection: [Bestandteil der Basic Security Suite]  [Bestandteil der Total Security Suite]  [einzeln lizensierbar]

emblem-rechtsZur Übersicht WatchGuard Security Services und Suites