HarfangLab EPP-Firewall für Unternehmen

Die Firewall-Richtlinien ermöglichen es, ein Firewall-Profil mit Endpunkten zu verknüpfen. Dabei gibt es eine Reihe von Filterregeln, die auf Netzwerkverbindungen angewendet werden, basierend auf…

• dem Netzwerkprotokoll (IPv4/IPv6 und/oder TCP/UDP/ICMP),

• der Richtung (eingehend, ausgehend oder beides),

• dem lokalen Host, d. h. dem geschützten Endpunkt (einzelne IP-Adresse/Bereich/CIDR, Port und/oder Anwendung),

• dem Remote-Host, d. h. dem Remote-Endpunkt, der von der Verbindung mit dem geschützten Endpunkt betroffen ist (eindeutige IP-Adresse/Bereich/CIDR oder FQDN und/oder Port).

Darüber hinaus ermöglicht die EPP-Firewall von HarfangLab in Fällen, in denen die dynamische Anwendung verschiedener Firewall-Profile innerhalb eines komplexen Netzwerkkontexts erforderlich ist (z. B. mobile Endpunkte, Server, die gleichzeitig mit mehreren Netzwerken verbunden sind), die Definition von Netzwerkzonen auf der Grundlage verschiedener Parameter wie Netzwerkschnittstellentyp und zugehörige IP-Adresse. Außerdem kann über entsprechende Firewall-Richtlinien ausgewählt werden, welches Profil in welcher Netzwerkzone angewendet werden soll.

Diese Firewall-Richtlinien werden dann mit den Endpunktrichtlinien verknüpft, wodurch alle Konfigurationselemente in der Konsole vereinheitlicht werden.

Eingehende und ausgehende Netzwerkverbindungen werden mithilfe von Regeln gefiltert, die direkt über die HarfangLab-Konsole konfiguriert und verwaltet werden.

EPP-Benutzer können für denselben Endpunkt unterschiedliche Konfigurationen definieren. Diese werden dynamisch angewendet, je nach Kontext, in dem der Endpunkt eine Verbindung herstellt (Unternehmensnetzwerk, VPN, privates Netzwerk usw.).

Darüber hinaus ermöglicht die Firewall von HarfangLab, wie oben erwähnt, die Definition spezifischer Regeln für eine bestimmte Anwendung auf einem geschützten Endpunkt sowie auf einem FQDN.

Diese Optionen sind beispielsweise dafür gedacht, die Konnektivität zu einem Dienst aufrechtzuerhalten, dessen IP-Adresse möglicherweise unbekannt ist oder sich ändert.

Durch den Einsatz eines EPP mit einer Firewall, das die Neutralisierung bekannter Bedrohungen automatisiert, wird die Arbeitsbelastung der Analysten reduziert. Das ermöglicht es ihnen, sich auf die eingehende Untersuchung der gesammelten EDR-Daten zu konzentrieren.

So können die Analysten alle Informationen und die Verwaltung der Sicherheitstools in einer einzigen Plattform zentralisieren, was die Überwachung des Informationssystems erleichtert.

Dies bedeutet eine erhebliche Zeitersparnis im Vergleich zur Verwendung unterschiedlicher Tools und zur Verwaltung von Daten aus heterogenen Quellen.

Nehmen wir den Fall einer Fabrik mit einer kritischer Anlage, die niemals abgeschaltet werden darf.

Diese Maschinen werden von EPP-geschützten Servern gesteuert und erfordern ein sehr hohen Schutz. Die Server sind daher nicht mit dem Internet verbunden und nur SSH-Verbindungen von Arbeitsstationen sind für die Verwaltung dieser Server autorisiert.

Die Datenbank stellt ebenfalls eine Verbindung zu diesen Servern her, um Daten für die Verwendung auf den Arbeitsstationen der Teams abzurufen. Diese haben auch keine Internetverbindung, sind aber wiederum an Arbeitsstationen angeschlossen, die mit dem Internet verbunden sind.

Die Firewall kann dann mit einer Richtlinie konfiguriert werden, die je nach Netzwerkzone und Verbindungstyp (Firmennetzwerk oder Internet) Berechtigungen oder Einschränkungen für den Zugriff auf Server und Workstations bereitstellt.

Es können dann zwei Firewall-Profile in Betracht gezogen werden: eines für die Fabrik und eines für die Büros. Anschließend werden zwei Netzwerkzonen gemäß der zuvor definierten Richtlinie konfiguriert, sodass das richtige Profil je nach Situation jedes Endpunkts auf die richtige Netzwerkzone angewendet werden kann.