Shield
Erfahren Sie, wie Sie mit Enginsight Netzwerkverbindungen blockieren und managen können.
Last updated
Was this helpful?
Erfahren Sie, wie Sie mit Enginsight Netzwerkverbindungen blockieren und managen können.
Last updated
Was this helpful?
Mit dem Shield-Modul erhalten Sie ein Werkzeug, um hostbasiert und unabhängig von Netzsegmenten den Netzwerkverkehr zu managen. Sie können ein dynamisches Blocking detektierter Hackingattacken konfigurieren sowie manuell sämtliche denkbaren Regeln definieren.
Mit Shield können Sie den Netzwerkverkehr aller Server und Clients managen, auf denen Sie den Pulsar-Agent installiert haben. Für den Einsatz von Shield unter Linux empfehlen wir eine Kernel-Version >4.19.
Achten Sie darauf, im Policy Manager das Blocken von Verbindungen durch die Shield Komponente für die entsprechenden Hosts zu erlauben. Sonst werden die von Ihnen definierten Regelwerke nicht wirksam.
Betreiben Sie Enginsight auf einer eigenen On-Premises-Instanz, führen Sie Shield in mehreren Schritten ein und beobachten Sie die Leistungsreserven des Applikationsservers im Monitoring. Abhängig davon, wie viele Events auftreten, kann durch Shield die benötigte Performance ansteigen.
Wenn ein VPN eingesetzt wird, kann es unter Umständen beim Einsatz von Mikrosegmentierung oder zu umfassend angelegten manuellen Regeln dazu kommen, dass die Kommunikation des Agents mit der API unterbrochen wird, da die Verbindung zum VPN-Server unterbunden wird. Deshalb sollte beim Einsatz eines VPNs eine Whitelist-Regel angelegt werden, die die Kommunikation mit der öffentlichen sowie der VPN-internen Adresse des VPN-Gateways erlaubt. Diese sollte allen Hosts zugeordnet werden, die die API standardmäßig via VPN erreichen würden.
Ob Shield aktiv geworden ist, können Sie in den Logs nachvollziehen. Hier sehen sie aufgelistet, welche Netzwerkverbindung aufgrund welchen Regelwerks geblockt wurde. Akzeptierter Netzwerkverkehr wird nicht dargestellt.
Nutzen Sie die Searchbar, um nach speziellen Blocking-Aktivitäten zu filtern: zum Beispiel nach einem Regelwerk, Host, Quelle oder Ziel.
Direkt aus den Logs heraus können Sie Ausnahmen definieren, damit die entsprechende Verbindung in Zukunft akzeptiert wird. Klicken Sie dazu auf den Erlauben-Button, den Sie in der Spalte Ausnahme finden.
Regelwerke, die Netzwerkverkehr akzeptieren, überschreiben stets diejenigen Regelwerke, die Verkehr verwerfen oder ablehnen.
Es öffnet sich ein Fenster zur Erstellung eines manuellen Regelwerkes, in das die Daten zum Akzeptieren des entsprechenden Netzwerkverkehrs bereits eingetragen sind. Sie können die Daten anpassen, bspw. anstatt einer konkreten Referenz mit einem Tag verknüpfen.
Mit manuellen Regelwerken können Sie abhängig von IP, Protokoll und Port definieren, ob Shield Netzwerkverkehr blockieren oder erlauben soll. Die Anwendungsszenarien, die Ihnen dadurch eröffnet werden, sind vielfältig und stark abhängig von der Konzeption Ihrer IT-Umgebung.
Sie können mit manuellen Regelwerken z.B.
Systeme unabhängig von Netzwerksegmenten isolieren, die ein Sicherheitsrisiko darstellen, weil Sie nicht gepatcht werden können.
Netzwerkverkehr unabhängig von Netzwerksegmenten nur für spezielle Ports freigeben.
Netzwerkverkehr unabhängig von Netzwerksegmenten nur für spezielle Protokolle freigeben.
Mikrosegmentierungen vornehmen und einen Zero Trust Ansatz etablieren.
Definieren Sie mit manuellen Regelwerken, welcher Netzwerkverkehr erlaubt/nicht erlaubt ist.
In vielen Fällen ist es ein sinnvolles Vorgehen zunächst Netzwerkverkehr zu blockieren und im Anschluss mit Whitelists bestimmten Netzwerkverkehr freizugeben.
Regelwerke, die Netzwerkverkehr akzeptieren, überschreiben stets diejenigen Regelwerke, die Verkehr verwerfen oder ablehnen. Unabhängig von der Priorität.
Name und Beschreibung: Vergeben Sie einen aussagekräftigen Namen und eine Beschreibung.
Tags: Vergeben Sie einen oder mehrere Tags. Sie können die Tags nutzen, um Zuordnungen zu definieren.
Aktion: Legen Sie fest, ob der Netzwerkverkehr verworfen (Drop), abgelehnt (Reject) oder akzeptiert werden soll. Für das Blocking von Cyberattacken empfehlen wir das Verwerfen der Pakete, da dem Angreifer dadurch keine Informationen zum Einsatz von Security-Software zugespielt werden.
Protokoll: Legen Sie das Protokoll fest, das geblockt bzw. akzeptiert werden soll.
Priorität: Sollten mehrere Blocking-Regeln gleichzeitig greifen, entscheidet die von Ihnen zugeteilte Priorität, welche Regel aktiv wird und Sie in den Logs angezeigt bekommen.
Bidirektional: Definieren Sie, ob das Regelwerk für den korrespondierenden Verkehr gelten soll, das heißt ebenso für Ziele in der Kommunikation mit der Quelle. Diese Option haben wir standardmäßig aktiviert. Beachten Sie, dass manche Protokolle (z.B. TCP) eine korrespondierenden Verkehr benötigen, um bspw. eine Empfangsbestätigung zuzustellen. Ansonsten funktioniert die Netzwerkverbindung nicht.
Geben Sie die Quelle an, für die das manuelle Regelwerk gelten soll. Sie können das Feld leer lassen, wenn die Regel für alle Netzwerkadapter und Ports des Hosts gelten soll, denen Sie das Regelwerk zuordnen. Wollen Sie die Regel bestimmten Netzwerkadaptern oder Portbereichen zuordnen, definieren Sie eine Quelle.
Definieren Sie in jedem Fall ein Ziel, für welches das Regelwerk gelten soll. Sie können das Ziel bzw. die Ziele mit einer IP-Adresse (v4 und v6) oder IP-Range (CIDR) festlegen. Außerdem können Sie Hostnamen (FQHN) verwenden. Für die Ziele können Sie jeweils die Portbereiche einschränken. Geben Sie keinen Portbereich an, gilt das Regelwerk für alle Ports.
Nicht definierte Quellen-, Ziele- und Portbereich-Felder bedeuten immer, dass die definierten Aktionen für alle IP-Adressen (IPv4 0.0.0.0/0 und IPv6 ::/0) und Ports (1-65535) gelten.
Haben Sie ein manuelles Regelwerk mit keiner Zuordnung verknüpft, ist die Regel unwirksam.
Unter Zuordnungen bestimmen Sie diejenigen Server und Clients, auf denen der Pulsar-Agent installiert ist, für die bestimmte manuelle Regelwerke gelten sollen.
Wir empfehlen Ihnen grundsätzlich mit Tags zu arbeiten, um die Flexibilität zu erhöhen.
Name und Beschreibung: Vergeben Sie einen aussagekräftigen Namen und eine Beschreibung.
Regelwerk-Zuordnung: Verknüpfen Sie die Zuordnung mit einem oder mehreren manuellen Regelwerk(en). Wählen Sie entweder einzelne Regelwerke (Referenz) oder verwenden Sie die von Ihnen definierten Tags.
Host-Zuordnung: Verknüpfen Sie die Zuordnung mit einem oder mehreren Host(s). Wählen Sie entweder einzelne Hosts (Referenz) oder verwenden Sie die von Ihnen definierten Tags.
Mit dynamischen Regelwerken können Sie Hackerangriffe blockieren. Sie aktivieren ein Intrusion Prevention System (IPS). Als Grundlage dient die Analyse des Netzwerkverkehrs auf Ihren Hosts.
Name und Beschreibung: Vergeben Sie einen aussagekräftigen Namen und eine Beschreibung.
Autonome Handlungen/Autonomes Blocking durchführen: Aktivieren Sie die Option, um das dynamische Regelwerk zu aktivieren. Wollen Sie das Regelwerk lediglich vorbereiten und noch nicht aktiv schalten, können Sie die Option inaktiv lassen.
Aktion: Legen Sie fest, ob der Netzwerkverkehr verworfen (Drop) oder abgelehnt (Reject) wird. Für das Blocking von Cyberattacken empfehlen wir das Verwerfen der Pakete, da dem Angreifer dadurch keine Informationen zum Einsatz von Security-Software zugespielt werden.
Host-Zuordnung: Legen Sie fest, auf welchen Hosts das dynamische Blocken gemäß der von Ihnen im Regelwerk definierten Maßgaben aktiv sein soll. Nutzen Sie Tags, um mehrere Hosts gleichzeitig auszuwählen.
Falls Sie den Autopiloten zum automatischen Blockieren erkannter Netzwerkattacken auf einem Server mit oder hinter einem Reverse Proxy nutzen, beachten Sie bitte, dass anstelle der IP des Reverse-Proxy als Quell-IP die in einem der folgenden HTTP-Header übermittelte IP blockiert wird:
Forwarded
X-Forwarded-For
X-ProxyUser-Ip
Client-Ip
ClientIp
UserIp
X-Client-Ip
X-Real-Ip
X-Remote-Addr
Legen Sie fest, bei welchen Attacken der Netzwerkverkehr automatisch geblockt werden soll. Treffen Sie dazu eine Abwägung zwischen maximaler Sicherheit und Verfügbarkeit des Systems.
Für dynamische Regelwerke stehen Ihnen fünf Level zur Verfügung:
Level 0: Sehr hohe Eingriffsschwelle Zugunsten einer maximalen Verfügbarkeit werden nur wenige Bedrohungen geblockt.
Level 1: Verfügbarkeit vor Sicherheit Die wichtigsten Bedrohungen werden geblockt, wobei der Fokus auf einer guten Verfügbarkeit liegt.
Level 2: Ausgewogene Verfügbarkeit und Sicherheit Diese Einstellung wird von uns empfohlen. Sie bietet eine ideale Balance zwischen dem Blocking komplexer Bedrohungen und der Verfügbarkeit des Geräts.
Level 3: Sicherheit vor Verfügbarkeit Auch seltene und spezifische Angriffe werden geblockt, ungewollte Einschränkungen in der Verfügbarkeit sind aber möglich. Diese Einstellung ist für besonders schützenswerte Geräte oder Netzwerksegmente vorgesehen.
Level 4: Maximaler Schutz Diese Einstellung bietet die maximale Sicherheitsstufe, verursacht aber häufig Verfügbarkeitsprobleme. Daher ist sie nur in Einzelfällen oder für den temporären Einsatz empfehlenswert.
Spezifizieren Sie die Einstellungen weiter:
Timeout: Der Timeout bestimmt die Dauer der Blockings in Sekunden.
Scope: Legen Sie fest, welche Netzwerkpakete des Angreifers geblockt werden sollen: Host (alle Pakete) oder nur die des betroffenen Service bzw. Ports.
Dringlichkeit: Bestimmen Sie, ab welcher Dringlichkeit der Attacke der Netzwerkverkehr geblockt werden soll.
Empfehlungen überschreiben: Mit dieser Option können Sie die im Datensatz hinterlegten Empfehlungen, ob eine Verbindung geblockt werden soll, überschreiben.
Der Autopilot blockiert in Fällen, in denen ein Port-Scan erkannt wird, die IP-Adresse anstelle einzelner Services. Da ein Port-Scan potenziell jeden Port und damit alle Services einer Maschine betrifft, ist die Unterscheidung zwischen Host, Service und Port im IPS für Portscans bedeutungslos. Wenn beispielsweise ein Scan auf Port 8080 erkannt und blockiert wird, kann nicht differenziert werden, ob der Zugriff durch nmap oder eine andere Anwendung wie curl erfolgt ist. Daher erfolgt die Blockierung auf IP-Ebene, um einen umfassenden Schutz vor potenziellen Angriffen zu gewährleisten.
Mit der Mikrosegmentierung minimieren Sie das Risiko von Cyberangriffen und Malware, indem Sie das Netzwerk in kleinere, voneinander isolierte Bereiche unterteilen. Auf diese Weise können Sie sicherstellen, dass ein Angriff oder eine Infektion nicht auf das gesamte Netzwerk übergreifen kann. Darüber hinaus ermöglicht Mikrosegmentierung die granulare Steuerung von Netzwerkzugriffen und -aktivitäten, was dazu beitragen kann, das Risiko von Datenverlusten und -Diebstählen zu minimieren.
Shield ist die technische Grundlage, die Regeln von der API entgegennimmt und in Regeln für die Systemfirewall umwandelt und diese aktiviert. Wenn Shield nicht aktiviert ist, wird auch nichts geblockt.
Die Mikrosegmentierung finden Sie im Hauptmenü unter Shield und dann unter Mikrosegmentierung.
Jetzt klicken Sie auf Mikrosegment hinzufügen, um ein neues Mikrosegment zu erstellen.
Hier legen Sie zuerst den Namen und eine passende Beschreibung ihres Mikrosegments an.
Sie finden ebenfalls die Möglichkeit das Mikrosegment abzuschotten. Wenn diese Option aktiviert wird, dann dürfen Elemente des Mikrosegments ausschließlich über die in den Regelwerken definierten Kanäle kommunizieren.
Beachten Sie, dass hier jegliche Verbindungen intern sowohl extern blockiert werden. Somit sind keine gewohnten Verbindungen nach außen (z.B. für Updates per HTTPS) möglich. Die Kommunikation erfolgt ausschließlich über die definierten Regeln.
Zudem ist es über „Netzwerkverkehr innerhalb des Mikrosegments erlauben“ möglich, den Netzwerkverkehr innerhalb des Mikrosegments zu erlauben oder zu verbieten.
Falls Sie auf einem oder mehreren Hosts oder in einer oder mehreren CIDRs im Mikrosegment Docker-Container betreiben, sollten Sie deren Subnetze nicht einbeziehen, wenn das Mikrosegment abgeschottet werden soll. Dies würde auch die Kommunikation der Docker-Container untereinander verhindern. Ursache dafür ist, dass dem System und damit dem Pulsar-Agent nur die Gateway-IPs der Docker-Netzwerkinterfaces bekannt sind, nicht aber die IPs einzelner Container.
Hier definieren Sie welche Hosts und oder IP-Adressen (CIDR IP-Range) zum Mikrosegment hinzugefügt werden.
Ebenfalls ist es Ihnen möglich, Kommentare zu schreiben oder auch direkt den fachlichen Host Verantwortlichen des jeweiligen Hosts anzeigen zu lassen. Mit dieser Option wird im Mikrosegment anstelle des Hostnames, die verantwortliche Person für den jeweiligen Host angezeigt.
In Situationen, in denen mehrere Netzwerke identische IP-Adressen aufweisen (beispielsweise bei unterschiedlichen Standorten), haben Sie die Möglichkeit, die Zuordnung spezifisch festzulegen. Dies kann durch die Verwendung von Tags oder durch eine direkte Referenz erfolgen, um eine korrekte Zuordnung zu gewährleisten.
Abschließend müssen Sie das Mikrosegment hinzufügen. Beachten Sie, dass Sie das Mikrosegment jederzeit nachträglich bearbeiten können.
Um nun das Mikrosegment zu verwenden, gehen Sie im Untermenü auf Regelwerke.
Jetzt klicken Sie auf Regelwerk hinzufügen, um ein neues Regelwerk zu erstellen.
Hier legen Sie zuerst den Namen und eine passende Beschreibung für Ihr Regelwerk an.
Sie haben Sie die Möglichkeit, Ihre gewünschten Mikrosegmente auszuwählen und die Kommunikationsprotokolle und Portbereiche festzulegen, über die das Mikrosegment kommunizieren darf.
Bitte beachten Sie, dass dies lediglich die Kommunikation in eine Richtung (entsprechend dem Pfeil) betrifft. Um auch eine Rückverbindung zu ermöglichen, müssen Sie eine zusätzliche Route hinzufügen.
Sie können ebenfalls mehrere Routen und Verbindungen dem Regelwerk hinzufügen.
Außerdem können Sie das Regelwerk so konfigurieren, dass man auch Netzwerksegmente definieren kann. In dem Beispiel oben sehen Sie die Verbindung vom Internet, die auf einen abgeschotteten Mikrosegment aktiviert wird.
Für die Erweiterung der Regeln wird hier die Verbindung zum Internet nur mit bestimmen Ports und Protokollen ermöglicht.
Sie können Ihren Hosts damit gezielt den Zugriff auf das Internet erlauben oder aber die Verbindungsmöglichkeit vom Internet zu den Hosts einschränken.
Zum Beispiel können Sie eine Regel erstellen, die es erlaubt nur mit RDP auf einen Host aus dem Internet zugreifen zu können.
Die aktivierte Option "Erlaube Rückverbindungen" ermöglicht die Annahme von Antworten von Mikrosegmenten. Dies kann bei bestimmten Protokollen, wie ICMP, hilfreich sein, um Rückmeldungen auf Anfragen, wie Pings, zu erhalten.
Derzeit werden die folgenden Protokolle unterstützt: ICMPV4, IGMP, TCP, UDP, GRE, IPSECESP, IPSECAH, ICMPV6, OSPF, IPIP, ETHERIP, VRRP, UDPLITE und MPLS. Sie haben die Möglichkeit, Portbereiche von 1 bis 65535 zu definieren.
Sobald Sie mit Ihrer Konfiguration zufrieden sind, können Sie das Regelwerk hinzufügen. Beachten Sie, dass Sie das Regelwerk jederzeit nach Bedarf bearbeiten können.
Erstellen Sie hier Ihre Regelwerke und profitieren Sie von der visuellen Aufarbeitung.
Hier erhalten Sie eine Übersicht aller Hosts, auf denen das Shield-Modul Netzwerkverkehr blockieren darf und die zugehörigen IPv4 sowie IPv6-Adressen.
Um das Shield Modul auf weiteren Hosts zu aktivieren, nutzen Sie den Policy Manger.
