Securepoint Intelligent Cloud Shield

Seit wenigen Tagen ist von Securepoint Intelligent Cloud Shield (kurz ICS) verfügbar und heute wurde das Produkt offiziell vorgestellt. Wie immer war das entsprechende Webinar von Eric Kaiser kurz, knackig und gut gehalten.

Was ist das Intelligent Cloud Shield?

Kurz gesagt, ein Dienst den man bucht und seitens seines Routers oder DNS-Servers einbindet. Das Ganze basiert auf der Filterung von DNS-Abfragen, auf diese Weise kann Wartungsarm und nahezu unabhängig vom eingesetzen Router oder DNS-Server/-Resolver mit sehr geringem Aufwand ein mehr an Sicherheit erreicht werden.

Gedacht ist ICS für bislang ungeschützte Netze, Außen-/Zweigstellen sowie Niederlassungen und Home Office-Umgebungen, die klassischerweise nicht unbedingt mit einer UTM oder weiteren höherwertigem Schutz versehen sind.

Nicht geeignet ist ICS für mobile Anwender bzw. generelle die Nutzung von unterwegs.

Ein großer Vorteil von ICS neben der einfachen Einrichtung und das keine Software gepflegt werden muss ist, das es pro zu schützendes Netzwerk (Nicht pro Host!) abgerechnet wird. Es gibt laut aktueller Aussage keine wie auch immer geartete Größenbeschränkung.

Voraussetzungen

  • Ein spDYN-Konto (nur für Reseller mittlerweile möglich).
  • Eine spDYN-Host pro Kunde bzw. zu schützendes Netzwerk. Dies ist notwendig, da dieser als Authentifizierungsmerkmal für den ICS-Dienst genutzt wird.
  • Ein Router in dem der spDYN-Host (Stichwort: DDNS, umgangssprachlich DynDNS [als Synonym für die Technik, nicht für den Anbieter!]) konfiguriert werden kann. Dies ist nur notwendig, wenn die öffentliche IP-Adresse nicht statisch ist.
  • Ein Router oder DNS-Server/-Resolver auf dem eine Weiterleitung zu den DNS-Servern des ICS eingerichtet werden kann.
  • Ganz entscheidend ist, das der spDYN-Host zu einer eindeutigen öffentlichen IP-Adresse aufgelöst werden kann. Im Umkehrschluss sind damit Carrier-grade NAT (CGN)-Anschlüsse schon raus. Die öffentliche IP-Adresse kann dynamisch oder fest sein.

Konfiguration

Die Einrichtung an sich ist dann schnell und einfach erledigt.

  • Im spDYN-Portal einen neuen Host erstellen und bei dieser Gelegenheit gleich ICS mitbestellen.
  • Auf dem Router den spDYN-Host einrichten.
  • Auf dem Router oder DNS-Server/-Resolver die Weiterleitung zu den ICS-DNS-Servern einrichten.

Im Portal kann man zusätzliche Filter nach Kategorien definieren. So lassen sich unerwünschte Inhalte aus dem Netzwerk fernhalten oder bei Ausbildungsbetrieben der Jugendschutz durchsetzen.

Die Grenzen von ICS

ICS basiert auf DNS, direkte Anfragen auf IP-Adressen werden nicht gefiltert. Verhindern lassen sich solche Zugrfiffe nur mit entsprechenden Firewalls bzw. Proxies, die zudem passend konfiguriert sind.

Unterschiedliche Filterkategorien pro Host oder Abteilung sind nicht möglich.

Fazit

Getestet habe ich es noch nicht, aber der Ansatz ist interessant. Gerade um bei Netzen die ohne UTM und Co. auskommen lässt sich so sehr einfach und günstig ein Plus an Sicherheit erzielen. Da hab‘ ich bereits mehrere Kunden im Hinterkopf, wo man dies einführen könnte. Zusätzlich freut mich, das Securepoint ein weiteres Produkt anbietet, das nicht zwingend eine Hardware (oder VM) voraussetzt.

Links:

Securepoint – Wiki – Intelligent Cloud Shield

2 Kommentare

  • Probier mal den DNS Server von Cloudflare 1.1.1.2. Der filtert auch Ransomeware, Botnetze usw. raus.
    Daneben gibt es noch Quad9.
    DNS Blockserver setzen wir schon länger bei den Kunden als Zusatz ein.

    Gruss

    Flo

  • Hallo Flo,

    danke für dein Kommentar.
    Cloudfare kannte ich schon, Quad9 noch nicht.

    Bei Cloudflare und Quad9 kann man (noch) nichts weiter, im Gegensatz zu Securepoint, konfigurieren.
    Cloudflare stellt das zumindest für die Zukunft in Aussicht:

    https://blog.cloudflare.com/introducing-1-1-1-1-for-families/

    Beide Anbieter sitzen zudem im Ausland und werfen ggf. Datenschutz-Fragen auf.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.