Shield

Erfahren Sie, wie Sie mit Enginsight Netzwerkverbindungen blockieren und managen können.

Mit dem Shield-Modul erhalten Sie ein Werkzeug, um hostbasiert und unabhängig von Netzsegmenten den Netzwerkverkehr zu managen. Sie können ein dynamisches Blocking detektierter Hackingattacken konfigurieren sowie manuell sämtliche denkbaren Regeln definieren.

Mit Shield können Sie den Netzwerkverkehr aller Server und Clients managen, auf denen Sie den Pulsar-Agent installiert haben. Für den Einsatz von Shield unter Linux empfehlen wir eine Kernel-Version >4.19.

Achten Sie darauf, im Policy Manager das Blocken von Verbindungen durch die Shield Komponente und den Netzwerkmittschnitt (inkl. der Erkennung aller gewünschten Attacken) für die entsprechenden Hosts zu erlauben. Sonst werden die von Ihnen definierten Regelwerke nicht wirksam.

Logs

Ob Shield aktiv geworden ist, können Sie in den Logs nachvollziehen. Hier sehen sie aufgelistet, welche Netzwerkverbindung aufgrund welchen Regelwerks geblockt wurde. Akzeptierter Netzwerkverkehr wird nicht dargestellt.

Nutzen Sie die Searchbar, um nach speziellen Blocking-Aktivitäten zu filtern: zum Beispiel nach einem Regelwerk, Host, Quelle oder Ziel.

Ausnahmen definieren

Direkt aus den Logs heraus können Sie Ausnahmen definieren, damit die entsprechende Verbindung in Zukunft akzeptiert wird. Klicken Sie dazu auf den Erlauben-Button, den Sie in der Spalte Ausnahme finden.

Regelwerke, die Netzwerkverkehr akzeptieren, überschreiben stets diejenigen Regelwerke, die Verkehr verwerfen oder ablehnen.

Es öffnet sich ein Fenster zur Erstellung eines manuellen Regelwerkes, in das die Daten zum Akzeptieren des entsprechenden Netzwerkverkehrs bereits eingetragen sind. Sie können die Daten anpassen, bspw. anstatt einer konkreten Referenz mit einem Tag verknüpfen.

Dynamisches Blocken

Mit dynamischen Regelwerken können Sie Hackerangriffe blockieren. Sie aktivieren ein Intrusion Prevention System (IPS). Als Grundlage dient die Analyse des Netzwerkverkehrs auf Ihren Hosts.

Allgemeine Einstellungen

  • Name und Beschreibung: Vergeben Sie einen aussagekräftigen Namen und eine Beschreibung.

  • Autonome Handlungen/Autonomes Blocking durchführen: Aktivieren Sie die Option, um das dynamische Regelwerk zu aktivieren. Wollen Sie das Regelwerk lediglich vorbereiten und noch nicht aktiv schalten, können Sie die Option inaktiv lassen.

  • Aktion: Legen Sie fest, ob der Netzwerkverkehr verworfen (Drop) oder abgelehnt (Reject) wird. Für das Blocking von Cyberattacken empfehlen wir das Verwerfen der Pakete, da dem Angreifer dadurch keine Informationen zum Einsatz von Security-Software zugespielt werden.

  • Host-Zuordnung: Legen Sie fest, auf welchen Hosts das dynamische Blocken gemäß der von Ihnen im Regelwerk definierten Maßgaben aktiv sein soll. Nutzen Sie Tags, um mehrere Hosts gleichzeitig auszuwählen.

Autonomes Blocking/Autonome Handlungen

Legen Sie fest, bei welchen Attacken der Netzwerkverkehr automatisch geblockt werden soll. Treffen Sie dazu eine Abwägung zwischen maximaler Sicherheit und Verfügbarkeit des Systems.

Für dynamische Regelwerke stehen Ihnen fünf Level zur Verfügung:

  • Level 0: Sehr hohe Eingriffsschwelle Zugunsten einer maximalen Verfügbarkeit werden nur wenige Bedrohungen geblockt.

  • Level 1: Verfügbarkeit vor Sicherheit Die wichtigsten Bedrohungen werden geblockt, wobei der Fokus auf einer guten Verfügbarkeit liegt.

  • Level 2: Ausgewogene Verfügbarkeit und Sicherheit Diese Einstellung wird von uns empfohlen. Sie bietet eine ideale Balance zwischen dem Blocking komplexer Bedrohungen und der Verfügbarkeit des Geräts.

  • Level 3: Sicherheit vor Verfügbarkeit Auch seltene und spezifische Angriffe werden geblockt, ungewollte Einschränkungen in der Verfügbarkeit sind aber möglich. Diese Einstellung ist für besonders schützenswerte Geräte oder Netzwerksegmente vorgesehen.

  • Level 4: Maximaler Schutz Diese Einstellung bietet die maximale Sicherheitsstufe, verursacht aber häufig Verfügbarkeitsprobleme. Daher ist sie nur in Einzelfällen oder für den temporären Einsatz empfehlenswert.

Spezifizieren Sie die Einstellungen weiter:

  • Timeout: Der Timeout bestimmt die Dauer der Blockings in Sekunden.

  • Scope: Legen Sie fest, welche Netzwerkpakete des Angreifers geblockt werden sollen: Host (alle Pakete) oder nur die des betroffenen Service bzw. Ports.

  • Dringlichkeit: Bestimmen Sie, ab welcher Dringlichkeit der Attacke der Netzwerkverkehr geblockt werden soll.

  • Empfehlungen überschreiben: Mit dieser Option können Sie die im Datensatz hinterlegten Empfehlungen, ob eine Verbindung geblockt werden soll, überschreiben.

Shield für SMB deaktivieren

Das Server Message Block-Protokoll (SMB) wird auf Windows Servern und Clients genutzt, um Dateien über das Netzwerk freizugeben, zum Beispiel gegenüber einem Drucker oder NAS. In Einzelfällen kann die Performance der Windows Server und Clients unzureichend sein, um die Shield-Funktionalitäten für das Protokoll zu unterstützen. Überprüfen Sie daher, ob bei Ihnen hier der Bedarf zu einer Anpassung der Shield-Konfiguration nötig ist.

Wenn ja, gehen Sie folgendermaßen vor:

  1. Erstellen Sie ein Manuelles Regelwerk.

  2. Wählen Sie als Aktion „Erlauben“.

  3. Beschränken Sie das Protokoll auf TCP.

  4. Aktivieren Sie die Option „Bidirektional“.

  5. Geben Sie als Quelle alle IP-Adressen von SMB Servern mit Port 445 an.

  6. Speichern Sie das manuelle Regelwerk.

  7. Legen Sie einen Tag für Server und Clients an, die SMB nutzen, auf denen aber aus Performancegründen Shield für SMB nicht aktiv sein soll.

  8. Erstellen Sie eine Zuordnung. Wählen Sie das neu angelegte Manuelle Regelwerk und ordnen es mit dem Tag den entsprechenden Hosts zu.

Manuelles Blocken

Mit manuellen Regelwerken können Sie abhängig von IP, Protokoll und Port definieren, ob Shield Netzwerkverkehr blockieren oder erlauben soll. Die Anwendungsszenarien, die Ihnen dadurch eröffnet werden, sind vielfältig und stark abhängig von der Konzeption Ihrer IT-Umgebung.

Sie können mit manuellen Regelwerken z.B.

  • Systeme unabhängig von Netzwerksegmenten isolieren, die ein Sicherheitsrisiko darstellen, weil Sie nicht gepatcht werden können.

  • Netzwerkverkehr unabhängig von Netzwerksegmenten nur für spezielle Ports freigeben.

  • Netzwerkverkehr unabhängig von Netzwerksegmenten nur für spezielle Protokolle freigeben.

  • Mikrosegmentierungen vornehmen und einen Zero Trust Ansatz etablieren.

Manuelles Regelwerk

Definieren Sie mit manuellen Regelwerken, welcher Netzwerkverkehr erlaubt/nicht erlaubt ist.

In vielen Fällen ist es ein sinnvolles Vorgehen zunächst Netzwerkverkehr zu blockieren und im Anschluss mit Whitelists bestimmten Netzwerkverkehr freizugeben.

Unter Windows können manuelle Regelwerke, die SMB-Ports betreffen, zu Performance-Problemen führen. Überprüfen Sie, wenn Sie Shield für SMB unter Windows einsetzen, ob die Performance für Ihren Anwendungsfall ausreicht.

Allgemeine Einstellungen

Regelwerke, die Netzwerkverkehr akzeptieren, überschreiben stets diejenigen Regelwerke, die Verkehr verwerfen oder ablehnen. Unabhängig von der Priorität.

  • Name und Beschreibung: Vergeben Sie einen aussagekräftigen Namen und eine Beschreibung.

  • Tags: Vergeben Sie einen oder mehrere Tags. Sie können die Tags nutzen, um Zuordnungen zu definieren.

  • Aktion: Legen Sie fest, ob der Netzwerkverkehr verworfen (Drop), abgelehnt (Reject) oder akzeptiert werden soll. Für das Blocking von Cyberattacken empfehlen wir das Verwerfen der Pakete, da dem Angreifer dadurch keine Informationen zum Einsatz von Security-Software zugespielt werden.

  • Protokoll: Legen Sie das Protokoll fest, das geblockt bzw. akzeptiert werden soll.

  • Priorität: Sollten mehrere Blocking-Regeln gleichzeitig greifen, entscheidet die von Ihnen zugeteilte Priorität, welche Regel aktiv wird und Sie in den Logs angezeigt bekommen.

  • Bidirektional: Definieren Sie, ob das Regelwerk für den korrespondierenden Verkehr gelten soll, das heißt ebenso für Ziele in der Kommunikation mit der Quelle. Diese Option haben wir standardmäßig aktiviert. Beachten Sie, dass manche Protokolle (z.B. TCP) eine korrespondierenden Verkehr benötigen, um bspw. eine Empfangsbestätigung zuzustellen. Ansonsten funktioniert die Netzwerkverbindung nicht.

Quelle und Ziele

Geben Sie die Quelle an, für die das manuelle Regelwerk gelten soll. Sie können das Feld leer lassen, wenn die Regel für alle Netzwerkadapter und Ports des Hosts gelten soll, denen Sie das Regelwerk zuordnen. Wollen Sie die Regel bestimmten Netzwerkadaptern oder Portbereichen zuordnen, definieren Sie eine Quelle.

Definieren Sie in jedem Fall ein Ziel, für welches das Regelwerk gelten soll. Sie können das Ziel bzw. die Ziele mit einer IP-Adresse (v4 und v6) oder IP-Range (CIDR) festlegen. Außerdem können Sie Hostnamen (FQHN) verwenden. Für die Ziele können Sie jeweils die Portbereiche einschränken. Geben Sie keinen Portbereich an, gilt das Regelwerk für alle Ports.

Nicht definierte Quellen-, Ziele- und Portbereich-Felder bedeuten immer, dass die definierten Aktionen für alle IP-Adressen (IPv4 0.0.0.0/0 und IPv6 ::/0) und Ports (1-65535) gelten.

Zuordnungen

Haben Sie ein manuelles Regelwerk mit keiner Zuordnung verknüpft, ist die Regel unwirksam.

Unter Zuordnungen bestimmen Sie diejenigen Server und Clients, auf denen der Pulsar-Agent installiert ist, für die bestimmte manuelle Regelwerke gelten sollen.

Wir empfehlen Ihnen grundsätzlich mit Tags zu arbeiten, um die Flexibilität zu erhöhen.

  • Name und Beschreibung: Vergeben Sie einen aussagekräftigen Namen und eine Beschreibung.

  • Regelwerk-Zuordnung: Verknüpfen Sie die Zuordnung mit einem oder mehreren manuellen Regelwerk(en). Wählen Sie entweder einzelne Regelwerke (Referenz) oder verwenden Sie die von Ihnen definierten Tags.

  • Host-Zuordnung: Verknüpfen Sie die Zuordnung mit einem oder mehreren Host(s). Wählen Sie entweder einzelne Hosts (Referenz) oder verwenden Sie die von Ihnen definierten Tags.

Erforderliche Services

Hier erhalten Sie eine Übersicht aller Hosts, auf denen das Shield-Modul Netzwerkverkehr blockieren darf und die zugehörigen IPv4 sowie IPv6-Adressen.

Um das Shield Modul auf weiteren Hosts zu aktivieren, nutzen Sie den Policy Manger.