Seit wenigen Tagen ist von Securepoint Intelligent Cloud Shield (kurz ICS) verfügbar und heute wurde das Produkt offiziell vorgestellt. Wie immer war das entsprechende Webinar von Eric Kaiser kurz, knackig und gut gehalten.
Was ist das Intelligent Cloud Shield?
Kurz gesagt, ein Dienst den man bucht und seitens seines Routers oder DNS-Servers einbindet. Das Ganze basiert auf der Filterung von DNS-Abfragen, auf diese Weise kann Wartungsarm und nahezu unabhängig vom eingesetzen Router oder DNS-Server/-Resolver mit sehr geringem Aufwand ein mehr an Sicherheit erreicht werden.
Gedacht ist ICS für bislang ungeschützte Netze, Außen-/Zweigstellen sowie Niederlassungen und Home Office-Umgebungen, die klassischerweise nicht unbedingt mit einer UTM oder weiteren höherwertigem Schutz versehen sind.
Nicht geeignet ist ICS für mobile Anwender bzw. generelle die Nutzung von unterwegs.
Ein großer Vorteil von ICS neben der einfachen Einrichtung und das keine Software gepflegt werden muss ist, das es pro zu schützendes Netzwerk (Nicht pro Host!) abgerechnet wird. Es gibt laut aktueller Aussage keine wie auch immer geartete Größenbeschränkung.
Voraussetzungen
- Ein spDYN-Konto (nur für Reseller mittlerweile möglich).
- Eine spDYN-Host pro Kunde bzw. zu schützendes Netzwerk. Dies ist notwendig, da dieser als Authentifizierungsmerkmal für den ICS-Dienst genutzt wird.
- Ein Router in dem der spDYN-Host (Stichwort: DDNS, umgangssprachlich DynDNS [als Synonym für die Technik, nicht für den Anbieter!]) konfiguriert werden kann. Dies ist nur notwendig, wenn die öffentliche IP-Adresse nicht statisch ist.
- Ein Router oder DNS-Server/-Resolver auf dem eine Weiterleitung zu den DNS-Servern des ICS eingerichtet werden kann.
- Ganz entscheidend ist, das der spDYN-Host zu einer eindeutigen öffentlichen IP-Adresse aufgelöst werden kann. Im Umkehrschluss sind damit Carrier-grade NAT (CGN)-Anschlüsse schon raus. Die öffentliche IP-Adresse kann dynamisch oder fest sein.
Konfiguration
Die Einrichtung an sich ist dann schnell und einfach erledigt.
- Im spDYN-Portal einen neuen Host erstellen und bei dieser Gelegenheit gleich ICS mitbestellen.
- Auf dem Router den spDYN-Host einrichten.
- Auf dem Router oder DNS-Server/-Resolver die Weiterleitung zu den ICS-DNS-Servern einrichten.
Im Portal kann man zusätzliche Filter nach Kategorien definieren. So lassen sich unerwünschte Inhalte aus dem Netzwerk fernhalten oder bei Ausbildungsbetrieben der Jugendschutz durchsetzen.
Die Grenzen von ICS
ICS basiert auf DNS, direkte Anfragen auf IP-Adressen werden nicht gefiltert. Verhindern lassen sich solche Zugrfiffe nur mit entsprechenden Firewalls bzw. Proxies, die zudem passend konfiguriert sind.
Unterschiedliche Filterkategorien pro Host oder Abteilung sind nicht möglich.
Fazit
Getestet habe ich es noch nicht, aber der Ansatz ist interessant. Gerade um bei Netzen die ohne UTM und Co. auskommen lässt sich so sehr einfach und günstig ein Plus an Sicherheit erzielen. Da hab’ ich bereits mehrere Kunden im Hinterkopf, wo man dies einführen könnte. Zusätzlich freut mich, das Securepoint ein weiteres Produkt anbietet, das nicht zwingend eine Hardware (oder VM) voraussetzt.
Links:
Securepoint – Wiki – Intelligent Cloud Shield
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Probier mal den DNS Server von Cloudflare 1.1.1.2. Der filtert auch Ransomeware, Botnetze usw. raus.
Daneben gibt es noch Quad9.
DNS Blockserver setzen wir schon länger bei den Kunden als Zusatz ein.
Gruss
Flo
Hallo Flo,
danke für dein Kommentar.
Cloudfare kannte ich schon, Quad9 noch nicht.
Bei Cloudflare und Quad9 kann man (noch) nichts weiter, im Gegensatz zu Securepoint, konfigurieren.
Cloudflare stellt das zumindest für die Zukunft in Aussicht:
https://blog.cloudflare.com/introducing-1-1-1-1-for-families/
Beide Anbieter sitzen zudem im Ausland und werfen ggf. Datenschutz-Fragen auf.