Tag Archives: Antivirus

BestPractices.live – WatchGuard Endpoint Security – Evaluierung der Sicherheitsschichten

Comment

Die WatchGuard Endpoint Security umfasst sowohl Endpoint Protection (EPP) als auch Endpoint Detection & Response (EDR). Es kommen somit verschiedene Security Layer direkt auf dem Endpoint zum Einsatz, aber vor allem ausgelagerte Sicherheitsmechanismen die Cloud-Native betrieben werden und einen immensen Mehrwert bieten.

In diesem Webinar erklären WatchGuard Security-Experten detailliert die unterschiedlichen Sicherheitsschichten und zeigen Ihnen zudem, wie diese aufeinander aufbauen und auch wie Sie diese testen können.

Weiterlesen »

BestPractices.live – Konfiguration von WatchGuard EPDR in der Praxis

Comment

Die WatchGuard Endpoint Security umfasst sowohl Endpoint Protection (EPP) Lösungen als auch Endpoint Detection & Response (EDR).
Es kommen somit verschiedene Security Layer direkt auf dem Endpoint zum Einsatz, aber vor allem ausgelagerte Sicherheitsmechanismen die Cloud-Native betrieben werden und einen immensen Mehrwert bieten.

In diesem Webinar gehen WatchGuard-Experten die Konfiguration der wichtigsten Thematiken von WatchGuard EPDR durch und zeigen die ein oder andere Einstellung, die möglicherweise bisher unter den Tisch gefallen ist.

Weiterlesen »

BestPractices.live – WatchGuard Endpoint Security für mobile Geräte

Comment

Kontrolle und Schutz von mobilen Geräten wird immer wichtiger. In den letzten Jahren haben sich die Einsatzszenarien von Geräten mit den Betriebssystemen Android und iOS stark verändert und sind nicht mehr nur das Smartphone für einen selbst wie es ein Jahrzehnt zuvor oftmals noch war. Mittlerweile sind diese Geräte weder in Schulen noch auf Baustellen oder bspw. in Kassensystemen wegzudenken. Durch die immer tiefere Integration in die Unternehmensabläufe und Systeme wird eine Zugriffskontrolle komplexer.

In diesem Webinar zeigen WatchGuard-Experten die Sicherheitsfunktionalitäten der WatchGuard Endpoint Security auf und erläutern interessante Aspekte wie diese im Kontext des XDR mehr und mehr an Wert gewinnen können.

Weiterlesen »

BSI warnt vor Kaspersky-Virenschutzprodukten // WatchGuard Endpoint Security Sonderpromotion

3 Comments

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat am 15.03.2022 eine >> Warnung vor dem Einsatz von Kaspersky Antivirus veröffentlicht und empfiehlt, auf alternative Produkte umzusteigen.

Kaspersky ist ein russischer Softwarehersteller, deren Virenschutzprodukte auch in Deutschland weit verbreitet sind. Das BSI warnt in deutlichen Worten vor dem Einsatz von Kaspersky-Virenschutzprodukten: Laut Einschätzung des BSI könne die Software im Zusammenhang mit dem Ukraine-Krieg für Hackangriffe missbraucht werden.  Weiter schreibt das BSI: „Ein russischer IT-Hersteller kann selbst offensive Operationen durchführen, gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden.“

Virenschutzprogramme können zu einem gefährlichen Einfallstor für Angriffe werden, da die Software weitreichende Systemberechtigungen benötigt, um Gefährdungen erkennen zu können. Zudem besteht eine dauerhafte Verbindung zum Server des Herstellers, um regelmäßig Informationen über neue Bedrohungen herunterzuladen. Dazu das BSI: „Wenn Zweifel an der Zuverlässigkeit des Herstellers bestehen, birgt Virenschutzsoftware ein besonderes Risiko für eine zu schützende IT-Infrastruktur“. Im schlimmsten Fall könnte der Hersteller Spionage- oder Sabotagesoftware direkt in den Systemen der Kunden installieren.

Kaspersky hält die Warnung für nicht gerechtfertigt und äußerte sich in einer ersten Stellungnahme wie folgt: „Wir sind der Meinung, dass diese Entscheidung nicht auf der technischen Bewertung der Kaspersky-Produkte beruht – für die wir uns beim BSI und in ganz Europa immer wieder eingesetzt haben – sondern vielmehr aus politischen Gründen getroffen wurde“.

WatchGuard Endpoint Security hingegen ist ‘Made in EU’

Der WatchGuard Platinum Partner BOC IT-Security GmbH hat völlig unabhängig davon schon vor ein paar Tagen eine Sonderpromotion für den Umstieg auf WatchGuard Endpoint Security gestartet. Sie können zu einem sehr attraktiven Preis und unter Berücksichtigung von Restlaufzeiten anderer Antivirus-Produkte auf WatchGuard EPP, EDR und EPDR wechseln.

WatchGuard Endpoint Security ist ein vollständig in der EU 🇪🇺 entwickeltes und supportetes Produkt – entstanden aus der Übernahme des spanischen Cyber Security Spezialisten Panda Security durch WatchGuard im Jahre 2020. Die Administration erfolgt über die WatchGuard Cloud, in der die vier Produktfamilien von WatchGuard zusammengeführt werden: Firewall/VPN, Sicheres WLAN, Multifaktor-Authentifizierung (MFA) und eben auch Endpoint Security.

Mehr Infos hierzu: >> Sonderpromotion für den Umstieg auf WatchGuard Endpoint Security

CyberTechnology.live – Network Security: Abwehr moderner Cyber-Angriffe

Comment

Inhalt:

WatchGuard bietet ein umfassendes Portfolio an Sicherheitsdiensten in der Industrie, von der traditionellen Abwehr von Eindringlingen über Gateway AntiVirus, Application Control, Spam Prevention und URL-Filter bis hin zu modernen Services zum Schutz sich weiterentwickelnder Schadprogrammen, Ransomware und Datenschutzverletzungen. Jeder Sicherheitsdienst wird als integrierte Lösung in einer verwaltungsfreundlichen und kosteneffektiven Firebox-Appliance geliefert.

Auch im Sinne der Standortvernetzung per VPN und SD-WAN Funktionalität bieten die Netzwerksicherheits-Appliances flexible und leicht bedienbare Möglichkeiten, um Unternehmen mit verteilten Standorten eine sichere, robuste und effiziente Kommunikation zu ermöglichen. Die Einbindung von Außendienst- und Homeoffice-Systemen ist über die umfänglichen Mobile-User VPN Funktionen und das Access-Portal der Firebox Appliances leicht zu realisieren.

In diesem Webinar stellen WatchGuard-Experten in Live-Demonstrationen die wichtigen Funktionen der Total Security Suite für Firebox Appliances vor und gehen gezielt auf die Möglichkeiten der Abwehr moderner Cyber-Angriffe ein.

Webinaraufzeichnung jetzt ansehen!

Best Practices – Adaptive Defense 360 – Erste Schritte

Comment

Inhalt:

Endpunktsicherheitslösungen müssen nicht nur die von einem Cyberangriff ausgehenden Bedrohungen bekämpfen, sondern auch den Ressourcenmangel bei der Abwehr solcher Angriffe kompensieren. Vorbeugung und Erkennung spielen eine wesentliche Rolle. Ebenso wichtig ist es jedoch, dass die IT-Abteilung wertvolle Zeit zurückgewinnt, damit sie sich auf andere kritische Bereiche konzentrieren kann. Dies setzt voraus, dass die Aktivitäten zur Verwaltung der Lösung automatisiert werden.

In diesen Webinar wird Ihnen die Lösung Adaptive Defense 360 (AD360), die Endpoint Protection und Virenschutz der nächsten Generation vereint, in der Praxis vorgestellt.

Jetzt zum Webinar anmelden!

Best Practices – Adaptive Defense 360 – Was ist es und welche Mehrwerte bietet AD360?

Comment

Inhalt:

WatchGuard Adaptive Defense 360 ist Teil der Endpoint Protection Platform (EPP) Suite von Panda und vereint Virenschutz der nächsten Generation, Endpoint Detection and Response (EDR), Patch-Management, Inhaltsfilterung, E-Mail-Sicherheit, Datenträgerverschlüsselung und vieles mehr.

In diesen Webinar wird ein praktischer Einblick in Adaptive Defense 360  gewährt und auf die Mehrwerte eingegangen.

GAV Probleme beim Update der Virenscanner-Patterns auf XTM2-Series

1 Comment

Manchmal kommt es vor, dass keine aktuellen Gateway Antivirus Pattern heruntergeladen werden können. Siehe hierzu auch unseren Blog-Artikel “Crash Report kann AV-Update verhindern”.

Neben diesen “Crash Reports” kann es – je nach Größe des vorhandenen Flash-Speichers in einer WatchGuard XTM/Firebox (vom Modell vorgegeben) – auch zu Problemen mit der Aktualisierung der Antivirus-Pattern kommen, wenn auf der Firebox die Firmware-Images von WatchGuard Access Points gespeichert sind/werden. Dies ist bei älteren Softwareversionen auch standardmäßig der Fall, selbst wenn beim Kunden überhaupt keine WatchGuard Access Points im Einsatz sind. Bekannt ist derzeit ist ein Fall auf der XTM2-Serie (XTM25, XTM25-W, XTM26, XTM26-W), bei dem diese AP Firmware-Images nötigen Speicherplatz blockiert haben, so dass die AV-Updates nicht heruntergeladen bzw. gespeichert werden können. Abhilfe schafft hier das manuelle Löschen der AP Firmware-Images von der XTM/Firebox. Ab der Softwareversion Fireware 11.12.4 sind die AP Firmware-Images auch gar nicht mehr im eigentlichen Firebox-Betriebssystem enthalten und müss(t)en ohnehin einzeln auf die Firebox heruntergeladen werden.

Trifft dieses Szenario zu, sieht die Fehlermeldung bei einem GAV-Update wie folgt aus:

2017-04-14 11:04:12 sigd Manual GAV update is currently running Debug 
2017-04-14 11:04:18 sigd Decompression failed for '/sigs//tmp/incavi.avm' Debug 
2017-04-14 11:04:18 sigd Curl returned error: Failed writing body (4294967295 != 16384) Debug 
2017-04-14 11:04:18 sigd unable to download files for GAV Debug

Web-UI:

  1. Ggfs. Einschalten des Gateway Wireless Controller unter Network => Gateway Wireless Controller => [x] enable the Gateway Wireless Controller (danach muss eine Passphrase vergeben werden)
  2. Danach unter Dashboard > Gateway Wireless Controller (der Punkt existiert sonst nämlich nicht) unter Manage Firmware => Remove all Firmware
  3. Ggfs. Ausschalten des Gateway Wireless Controller unter Network => Gateway Wireless Controller => [_] enable the Gateway Wireless Controller

WatchGuard System Manager

  1. Im Policy Manager nötigenfalls den Gateway Wireless Controller aktivieren: Network => Gateway Wireless Controller => [x] enable the Gateway Wireless Controller
  2. Save to Firebox
  3. Firebox System Manager starten
  4. Im Tab Gateway Wireless Controller => Manage Firmware => Remove all Firmware
  5. Nötigenfalls den Gateway Wireless Controller wieder abschalten: Network => Gateway Wireless Controller => [_] enable the Gateway Wireless Controller

Crash Report kann Antivirus-Pattern-Update verhindern

1 Comment

Kürzlich bei einer Box aufgetreten: Antivirus-Pattern-Update konnte das Signature-File nicht mehr herunterladen.  Im Firebox System Manager unter Subscription Services wurde beim manuellen Update folgende Fehlermeldung erzeugt:

The signature update failed: An error occured when downloading the signature file (9)

Im Traffic Monitor war folgende Fehlermeldung zu sehen:

sigd Manual GAV update started
sigd Manual GAV update for version (13101) failed (Failed to download signature file from server)

Die Lösung war, alle Crash Reports zu löschen. (Firebox System Manager => Status Report Tab => Support => Delete all crash reports).

Auszug aus dem WatchGuard Support Case:

unfortunately when crash report is listed, this create a condition to not download signature update.
Seems there is a problem to decompress some internal file in the kernel and this need the deletion of crash.
Once you delete them, Firewall is able to download and update itself.

Bei der betroffenen Box wurden die Crash Reports gelöscht und danach funktionierte das manuelle Update auf anhieb, ein Reboot der Box war nicht notwendig.

 

Update 2017-06-27: Siehe hierzu auch unseren Artikel GAV Update Probleme bei Update des Patterns auf XTM2-Series. 

 

Lock / Unlock bei SMTP E-Mails

Comment

Der SMTP-proxy verfügt im Bereich Attachments sowohl bei Content Types als auch bei Filenames über die Optionen Allow, Lock, AV Scan, Strip, Drop undBlock im Pull-Down-Menü Actions to take. Wurde zur Steuerung von unerwünschten E-Mail-Anhängen vom Default Strip (Herausschneiden und Löschen) abgewichen und die Option Lock gewählt, werden Dateianhänge, auf die ausgewählten Kriterien passen, von der WatchGuard Firewall “ge-locked”.

Im Detail passiert folgendes: die Datei wird binärtechnisch leicht verändert, es werden ein paar Byte vor und hinter die Datei gehängt. Außerdem wird der Dateiname um die Endung .clk ergänzt (cloaked). Die Datei hängt aber nach wie vor an der eigentlichen E-Mail dran und erreicht auch das Postfach des Empfängers. Versucht nun der Empfänger, die Datei mit Doppelklick zu öffnen, schlägt dies fehl. Dies ist auch so beabsichtigt! An die E-Mail wird eine zusätzliche Textdatei angehängt, die die bei Deny Message definierte Fehlermeldung beinhaltet. Der Standardtext lautet: “The WatchGuard Firebox that protects your network has detected a message that may not be safe. […] Your network administrator can unlock this attachment.”Außerdem finden sich nähere Angaben über die Datei und den Grund.

Die Option Lock gibt es schon seit über zehn Jahren bei WatchGuard-Produkten. Die theoretische Denke dahinter ist auch genau so alt: der Empfänger speichere die ge-lockte Datei z.B. auf ein transportables Speichermedium (Diskette, USB-Stick) und gehe damit zu seinem Systemadministrator. Dieser starte in einer MSDOS-Eingabeaufforderung auf einem – separat vom lokalen Netzwerk stehenden und mit einer aktuellen lokalen Antivirus-Software ausgestatteten – PC das kleine Hilsprogrammunlock.exe, das sich im Verzeichnis C:\Programme\WatchGuard\wsm10.2\binbefindet und entpackt dadurch die .clk-Datei in den Urzustand, woraufhin sie mit der Antivirus-Software untersucht und bei Unbedenklichkeit an den eigentlichen Empfänger ausgehändigt werden kann. Abwandlungen in der einen oder anderen Form gestattet… 🙂

Auch das Gateway Antivirus-Subsystem kann die Option Lock nutzen, entweder wenn bereits tatsächlich ein Virus in der Datei gefunden wurde – oder wenn ein Scan Error aufgetreten ist, also die AV Engine die Datei nicht scannen konnte. Das ist übrigens auch dann der Fall, wenn die Datei verschlüsselt ist – und sei es nur eine ZIP-Datei, die mit einem Kennwort versehen wurde. Klar – eine verschlüsselte Datei kann erst dann auf Viren gescannt werden, wenn sie korrekt entschlüsselt wurde. In einem solchen Fall kann man natürlich der lokalen Antivirus-Software auf dem PC des Empfängers vertrauen und anstelle von Lock die Option Allow wählen – oder man nutzt die Option Lock und überläßt zumindest das Entpacken dem Administrator…