Shield

Erfahren Sie, wie Sie mit Enginsight Netzwerkverbindungen blockieren und managen können.

Mit dem Shield-Modul erhalten Sie ein Werkzeug, um hostbasiert und unabhängig von Netzsegmenten den Netzwerkverkehr zu managen. Sie können ein dynamisches Blocking detektierter Hackingattacken konfigurieren sowie manuell sämtliche denkbaren Regeln definieren.

Mit Shield können Sie den Netzwerkverkehr aller Server und Clients managen, auf denen Sie den Pulsar-Agent installiert haben. Für den Einsatz von Shield unter Linux empfehlen wir eine Kernel-Version >4.19.

Achten Sie darauf, im Policy Manager das Blocken von Verbindungen durch die Shield Komponente und den Netzwerkmittschnitt (inkl. der Erkennung aller gewünschten Attacken) für die entsprechenden Hosts zu erlauben. Sonst werden die von Ihnen definierten Regelwerke nicht wirksam.

Logs

Ob Shield aktiv geworden ist, können Sie in den Logs nachvollziehen. Hier sehen sie aufgelistet, welche Netzwerkverbindung aufgrund welchen Regelwerks geblockt wurde. Akzeptierter Netzwerkverkehr wird nicht dargestellt.

Nutzen Sie die Searchbar, um nach speziellen Blocking-Aktivitäten zu filtern: zum Beispiel nach einem Regelwerk, Host, Quelle oder Ziel.

Ausnahmen definieren

Direkt aus den Logs heraus können Sie Ausnahmen definieren, damit die entsprechende Verbindung in Zukunft akzeptiert wird. Klicken Sie dazu auf den Erlauben-Button, den Sie in der Spalte Ausnahme finden.

Regelwerke, die Netzwerkverkehr akzeptieren, überschreiben stets diejenigen Regelwerke, die Verkehr verwerfen oder ablehnen.

Es öffnet sich ein Fenster zur Erstellung eines manuellen Regelwerkes, in das die Daten zum Akzeptieren des entsprechenden Netzwerkverkehrs bereits eingetragen sind. Sie können die Daten anpassen, bspw. anstatt einer konkreten Referenz mit einem Tag verknüpfen.

Dynamisches Blocken

Mit dynamischen Regelwerken können Sie Hackerangriffe blockieren. Sie aktivieren ein Intrusion Prevention System (IPS). Als Grundlage dient die Analyse des Netzwerkverkehrs auf Ihren Hosts.

Allgemeine Einstellungen

  • Name und Beschreibung: Vergeben Sie einen aussagekräftigen Namen und eine Beschreibung.

  • Autonome Handlungen/Autonomes Blocking durchführen: Aktivieren Sie die Option, um das dynamische Regelwerk zu aktivieren. Wollen Sie das Regelwerk lediglich vorbereiten und noch nicht aktiv schalten, können Sie die Option inaktiv lassen.

  • Aktion: Legen Sie fest, ob der Netzwerkverkehr verworfen (Drop) oder abgelehnt (Reject) wird. Für das Blocking von Cyberattacken empfehlen wir das Verwerfen der Pakete, da dem Angreifer dadurch keine Informationen zum Einsatz von Security-Software zugespielt werden.

  • Host-Zuordnung: Legen Sie fest, auf welchen Hosts das dynamische Blocken gemäß der von Ihnen im Regelwerk definierten Maßgaben aktiv sein soll. Nutzen Sie Tags, um mehrere Hosts gleichzeitig auszuwählen.

Autonomes Blocking/Autonome Handlungen

Legen Sie fest, bei welchen Attacken der Netzwerkverkehr automatisch geblockt werden soll. Definieren Sie zudem den gewünschten Zeitraum der Blockierung bzw. dass die Blockierung dauerhaft aktiv sein soll. Eine dauerhafte Blockierung können Sie mit einem manuellen Regelwerk aufheben.

  • PortScan: Mit Portscans werden IT-Systeme von außen untersucht. Sie stellen oft die erste Instanz eines Eindringversuchs dar und können insbesondere im internen Netz auf einen erfolgreichen Angriff hindeuten.

    • TCP

  • Bruteforce: Durch das massenhafte Ausprobieren von Nutzer-/Passwortkombinationen wird versucht, die Authentifizierung auszuhebeln.

    • SSH

    • MySQL

    • MongoDB

    • HTTP Basic Authentication

    • FTP

    • RDP

    • VNC

    • SMB

  • Flooding: Mit massenhaft versendeten Datenpaketen und Anfragen sollen IT-Systeme lahmgelegt werden.

    • SYN-Flooding

  • Spoofing: Die Verschleierung der eigenen Identität dient dazu, Authentifizierungs- und Identifikationsverfahren zu untergraben.

    • ARP-Spoofing

    • DNS-Spoofing

  • SSL/TLS: Der Scan aller verfügbaren SSL/TLS-Protokolle und Chiffren dient dazu, Schwachstellen zu erkennen, um sie im Anschluss auszunutzen.

    • SSL/TLS Cipher Enumeration

    • SSL/TLS Protocol Scan

  • Web: Webbasierte Attacken versuchen durch die Manipulation der Webanwendung Schadsoftware zu platzieren, Nutzer zu täuschen oder an sensible Daten zu gelangen.

    • SQL Injection

    • Path Traversal

    • Remote Code Execution

Für falsch positive Ergebnisse anfällige Angriffsvektoren haben wir bereits entfernt, um die Funktionalität Ihrer IT-Infrastruktur nicht zu gefährden. Wir empfehlen daher das Blocking für alle Kategorien zu aktivieren.

Manuelles Blocken

Mit manuellen Regelwerken können Sie abhängig von IP, Protokoll und Port definieren, ob Shield Netzwerkverkehr blockieren oder erlauben soll. Die Anwendungsszenarien, die Ihnen dadurch eröffnet werden, sind vielfältig und stark abhängig von der Konzeption Ihrer IT-Umgebung.

Sie können mit manuellen Regelwerken z.B.

  • Systeme unabhängig von Netzwerksegmenten isolieren, die ein Sicherheitsrisiko darstellen, weil Sie nicht gepatcht werden können.

  • Netzwerkverkehr unabhängig von Netzwerksegmenten nur für spezielle Ports freigeben.

  • Netzwerkverkehr unabhängig von Netzwerksegmenten nur für spezielle Protokolle freigeben.

  • Mikrosegmentierungen vornehmen und einen Zero Trust Ansatz etablieren.

Manuelles Regelwerk

Definieren Sie mit manuellen Regelwerken, welcher Netzwerkverkehr erlaubt/nicht erlaubt ist.

In vielen Fällen ist es ein sinnvolles Vorgehen zunächst Netzwerkverkehr zu blockieren und im Anschluss mit Whitelists bestimmten Netzwerkverkehr freizugeben.

Allgemeine Einstellungen

Regelwerke, die Netzwerkverkehr akzeptieren, überschreiben stets diejenigen Regelwerke, die Verkehr verwerfen oder ablehnen. Unabhängig von der Priorität.

  • Name und Beschreibung: Vergeben Sie einen aussagekräftigen Namen und eine Beschreibung.

  • Tags: Vergeben Sie einen oder mehrere Tags. Sie können die Tags nutzen, um Zuordnungen zu definieren.

  • Aktion: Legen Sie fest, ob der Netzwerkverkehr verworfen (Drop), abgelehnt (Reject) oder akzeptiert werden soll. Für das Blocking von Cyberattacken empfehlen wir das Verwerfen der Pakete, da dem Angreifer dadurch keine Informationen zum Einsatz von Security-Software zugespielt werden.

  • Protokoll: Legen Sie das Protokoll fest, das geblockt bzw. akzeptiert werden soll.

  • Priorität: Sollten mehrere Blocking-Regeln gleichzeitig greifen, entscheidet die von Ihnen zugeteilte Priorität, welche Regel aktiv wird und Sie in den Logs angezeigt bekommen.

  • Bidirektional: Definieren Sie, ob das Regelwerk für den korrespondierenden Verkehr gelten soll, das heißt ebenso für Ziele in der Kommunikation mit der Quelle. Diese Option haben wir standardmäßig aktiviert. Beachten Sie, dass manche Protokolle (z.B. TCP) eine korrespondierenden Verkehr benötigen, um bspw. eine Empfangsbestätigung zuzustellen. Ansonsten funktioniert die Netzwerkverbindung nicht.

Quelle und Ziele

Geben Sie die Quelle an, für die das manuelle Regelwerk gelten soll. Sie können das Feld leer lassen, wenn die Regel für alle Netzwerkadapter und Ports des Hosts gelten soll, denen Sie das Regelwerk zuordnen. Wollen Sie die Regel bestimmten Netzwerkadaptern oder Portbereichen zuordnen, definieren Sie eine Quelle.

Definieren Sie in jedem Fall ein Ziel, für welches das Regelwerk gelten soll. Sie können das Ziel bzw. die Ziele mit einer IP-Adresse (v4 und v6) oder IP-Range (CIDR) festlegen. Außerdem können Sie Hostnamen (FQHN) verwenden. Für die Ziele können Sie jeweils die Portbereiche einschränken. Geben Sie keinen Portbereich an, gilt das Regelwerk für alle Ports.

Nicht definierte Quellen-, Ziele- und Portbereich-Felder bedeuten immer, dass die definierten Aktionen für alle IP-Adressen (IPv4 0.0.0.0/0 und IPv6 ::/0) und Ports (1-65535) gelten.

Zuordnungen

Haben Sie ein manuelles Regelwerk mit keiner Zuordnung verknüpft, ist die Regel unwirksam.

Unter Zuordnungen bestimmen Sie diejenigen Server und Clients, auf denen der Pulsar-Agent installiert ist, für die bestimmte manuelle Regelwerke gelten sollen.

Wir empfehlen Ihnen grundsätzlich mit Tags zu arbeiten, um die Flexibilität zu erhöhen.

  • Name und Beschreibung: Vergeben Sie einen aussagekräftigen Namen und eine Beschreibung.

  • Regelwerk-Zuordnung: Verknüpfen Sie die Zuordnung mit einem oder mehreren manuellen Regelwerk(en). Wählen Sie entweder einzelne Regelwerke (Referenz) oder verwenden Sie die von Ihnen definierten Tags.

  • Host-Zuordnung: Verknüpfen Sie die Zuordnung mit einem oder mehreren Host(s). Wählen Sie entweder einzelne Hosts (Referenz) oder verwenden Sie die von Ihnen definierten Tags.

Erforderliche Services

Hier erhalten Sie eine Übersicht aller Hosts, auf denen das Shield-Modul Netzwerkverkehr blockieren darf und die zugehörigen IPv4 sowie IPv6-Adressen.

Um das Shield Modul auf weiteren Hosts zu aktivieren, nutzen Sie den Policy Manger.