HarfangLab
EPP-Firewall für Unternehmen

Eine Firewall zur direkten Anwendung von Netzwerkrichtlinien auf den Endpoints

Die Firewall von HarfangLab zielt darauf ab, den Datenverkehr durch die direkte Anwendung von Netzwerkschutzrichtlinien auf den Endpunkten zu sichern.

Sie ist unabhängig – beispielsweise von der Microsoft Defender-Firewall für Windows – und ermöglicht das Filtern von Netzwerkverbindungen auf der Grundlage von IP-Adressen, Ports, Protokollen usw.

Diese Firewall-Richtlinien ermöglichen es, ein Firewall-Profil mit Endpunkten zu verknüpfen. Dabei gibt es eine Reihe von Filterregeln, die auf Netzwerkverbindungen angewendet werden, basierend auf…

• dem Netzwerkprotokoll (IPv4/IPv6 und/oder TCP/UDP/ICMP),

• der Richtung (eingehend, ausgehend oder beides),

• dem lokalen Host, d. h. dem geschützten Endpunkt (einzelne IP-Adresse/Bereich/CIDR, Port und/oder Anwendung),

• dem Remote-Host, d. h. dem Remote-Endpunkt, der von der Verbindung mit dem geschützten Endpunkt betroffen ist (eindeutige IP-Adresse/Bereich/CIDR oder FQDN und/oder Port).

Darüber hinaus ermöglicht die EPP-Firewall von HarfangLab in Fällen, in denen die dynamische Anwendung verschiedener Firewall-Profile innerhalb eines komplexen Netzwerkkontexts erforderlich ist (z. B. mobile Endpunkte, Server, die gleichzeitig mit mehreren Netzwerken verbunden sind), die Definition von Netzwerkzonen auf der Grundlage verschiedener Parameter wie Netzwerkschnittstellentyp und zugehörige IP-Adresse. Außerdem kann über entsprechende Firewall-Richtlinien ausgewählt werden, welches Profil in welcher Netzwerkzone angewendet werden soll.

Diese Firewall-Richtlinien werden dann mit den Endpunktrichtlinien verknüpft, wodurch alle Konfigurationselemente in der Konsole vereinheitlicht werden.

Eingehende und ausgehende Netzwerkverbindungen werden mithilfe von Regeln gefiltert, die direkt über die HarfangLab-Konsole konfiguriert und verwaltet werden.

Konfigurationsoptionen der HarfangLab-Firewall

Die Anpassungsfähigkeit an Ihren spezifischen Kontext ist das Herzstück unserer Firewall

EPP-Benutzer können für denselben Endpunkt unterschiedliche Konfigurationen definieren. Diese werden dynamisch angewendet, je nach Kontext, in dem der Endpunkt eine Verbindung herstellt (Unternehmensnetzwerk, VPN, privates Netzwerk usw.).

Darüber hinaus ermöglicht die Firewall von HarfangLab, wie oben erwähnt, die Definition spezifischer Regeln für eine bestimmte Anwendung auf einem geschützten Endpunkt sowie auf einem FQDN.

Diese Optionen sind beispielsweise dafür gedacht, die Konnektivität zu einem Dienst aufrechtzuerhalten, dessen IP-Adresse möglicherweise unbekannt ist oder sich ändert.

Schauen wir uns zum Schluss genauer an, wie die Firewall von HarfangLab an einen praktischen Anwendungsfall angepasst werden kann.

Die Firewall von HarfangLab in der Praxis

Nehmen wir den Fall einer Fabrik mit einer kritischer Anlage, die niemals abgeschaltet werden darf.

Diese Maschinen werden von EPP-geschützten Servern gesteuert und erfordern ein sehr hohen Schutz. Die Server sind daher nicht mit dem Internet verbunden und nur SSH-Verbindungen von Arbeitsstationen sind für die Verwaltung dieser Server autorisiert.

Die Datenbank stellt ebenfalls eine Verbindung zu diesen Servern her, um Daten für die Verwendung auf den Arbeitsstationen der Teams abzurufen. Diese haben auch keine Internetverbindung, sind aber wiederum an Arbeitsstationen angeschlossen, die mit dem Internet verbunden sind.

Die Firewall kann dann mit einer Richtlinie konfiguriert werden, die je nach Netzwerkzone und Verbindungstyp (Firmennetzwerk oder Internet) Berechtigungen oder Einschränkungen für den Zugriff auf Server und Workstations bereitstellt.

Es können dann zwei Firewall-Profile in Betracht gezogen werden: eines für die Fabrik und eines für die Büros.

Anschließend werden zwei Netzwerkzonen gemäß der zuvor definierten Richtlinie konfiguriert, sodass das richtige Profil je nach Situation jedes Endpunkts auf die richtige Netzwerkzone angewendet werden kann.

Ein EDR + EPP-Paket, das die Arbeitsbelastung von Analysten verringert

Unsere Priorität: Cybersicherheitsanalysten beim Schutz von Informationssystemen und der Bedrohungsbehebung unterstützen.

Durch den Einsatz eines EPP, das die Neutralisierung bekannter Bedrohungen automatisiert, wird die Arbeitsbelastung der Analysten reduziert. Das ermöglicht es ihnen, sich auf die eingehende Untersuchung der gesammelten EDR-Daten zu konzentrieren.

So können die Analysten alle Informationen und die Verwaltung der Sicherheitstools in einer einzigen Plattform zentralisieren, was die Überwachung des Informationssystems erleichtert.

Dies bedeutet eine erhebliche Zeitersparnis im Vergleich zur Verwendung unterschiedlicher Tools und zur Verwaltung von Daten aus heterogenen Quellen.

Und es kommt noch besser: Nicht nur Cyber-Analysten profitieren von der Kombination aus EDR und EPP!

Jeder Nutzer kann zur Sicherheit des Informationssystems beitragen

Für Teams, die für die Konfiguration von Sicherheitslösungen zuständig sind, ermöglicht die Kombination von EDR und EPP die gleichzeitige Bereitstellung der zum Schutz von Endpunkten erforderlichen Tools: EDR, Antivirus, Firewall, Verwaltung externer Geräte (USB, Bluetooth usw.) und vieles mehr.

Sämtliche Vorgänge werden dann über eine einzige Benutzeroberfläche verwaltet, wodurch Fehler oder unterschiedliche Konfigurationen zwischen Tools für denselben Endpunkt vermieden werden.

Das EDR liefert auch die Telemetrie, die für die Datenanalyse im Falle eines Netzwerksicherheitsereignisses erforderlich ist, unabhängig davon, ob es vom EDR oder der EPP gemeldet wird.

Für IT-Abteilungen vereinfacht die Entscheidung für eine zentralisierte Lösung den Prozess, da nur ein einziger Beschaffungs-, Installations- und Aktualisierungszyklus zu verwalten ist; dies reduziert wiederum die Arbeitsbelastung der Teams.

Für die Endnutzer des Informationssystems trägt die Kombination von EDR und EPP schließlich zu einer besseren Übersicht über die Aktivitäten an ihrem eigenen Arbeitsplatz bei und erhöht so ihr Engagement für die Sicherheit ihres Unternehmens. Selbst wenn sie keinen direkten Zugriff auf das EDR haben, signalisieren die EPP-generierten Warnmeldungen die Erkennung von Bedrohungen und machen sie für die User konkret.

Auf diese Weise erweitert die EPP die Fähigkeiten des EDR, wodurch die Bedrohungserkennung noch genauer konfiguriert werden kann (benutzerdefinierte oder von HarfangLab bereitgestellte Regeln, Whitelists usw.).