# Shield Shield ist das Intrusion Prevention System (IPS) von Enginsight. Mit dem Shield-Feature kannst du den Netzwerkverkehr sowie Netzwerkattacken, die durch das [Enginsight Intrusion Detection System (IDS)](/docs/manual/bedienung-der-plattform/hosts/intrusion-detection-system.md) erkannt wurden, auf allen [Hosts](/docs/manual/bedienung-der-plattform/hosts.md), auf denen ein [Pulsar installiert](/docs/manual/installation-und-konfiguration/installation-und-konfiguration/enginsight-komponenten/pulsar.md) wurde, individuell blockieren. Für die Verhinderung (Prevention) von Angriffen auf dein Netzwerk kannst du automatische Regelwerke ([Autopiloten](/docs/manual/bedienung-der-plattform/shield/dynamisches-blocken/autopilot.md)) erstellen, um erkannte Netzwerkattacken dynamisch zu blocken, [manuelle Regelwerke](/docs/manual/bedienung-der-plattform/shield/manuelles-blocken/manuelle-regelwerke.md) für bestimmte Verbindungen auf bestimmten Hosts, oder [Mikrosegmente](/docs/manual/bedienung-der-plattform/shield/mikrosegmentierung/mikrosegmente.md), die bis auf explizit zugelassene Verbindungen vollständig vom Rest des Netzwerks abgeschottet sind. Shield bietet ein [stufenbasiertes Blockierungssystem](/docs/manual/bedienung-der-plattform/hosts/management/policy-manager/policy-hinzufugen.md#enginsight-shield-ips) in Form von 5 Leveln, welche es erlauben, eine individuelle Balance zwischen Performance und Sicherheit einzustellen. *** ## Voraussetzungen **Aktivierung des Shield-Features**: * Damit Shield-Regelwerke wirksam werden können, musst du die Option **Enginsight Shield (IPS)** in den [Einstellungen der einzelnen Hosts](/docs/manual/bedienung-der-plattform/host-detailansichten/einstellungen.md#core-feature) oder unter **Hosts** → **Policy Manager** mit einer [entsprechenden Richtlinie](/docs/manual/bedienung-der-plattform/hosts/management/policy-manager/policy-hinzufugen.md#enginsight-shield-ips) aktivieren. **Nutzung des Shield-Features auf einem Host mit Linux-Betriebssystem**: * Wir empfehlen für den Einsatz von Shield unter Linux einen Kernel mit Version 4.19 oder höher. *** ## Weitere Hinweise **Nutzung des Shield-Features bei Betrieb der Enginsight Plattform auf einer On-Premises-Instanz**: * Wir empfehlen, Shield-Regelwerke in mehreren Schritte einzuführen und die Leistungsreserven des Applikationsservers zu monitoren. Abhängig davon, wie viele Netzwerkanomalien erkannt und geblockt werden, kann durch Shield die CPU- und Speicherauslastung des Applikationsservers stark ansteigen. **Nutzung des Shield-Features bei Einsatz eines Virtual Private Networks (VPN)**: * Wir empfehlen bei Einsatz eines VPNs ein Shield-Regelwerk anzulegen, das die Kommunikation mit der öffentlichen sowie der VPN-internen IP-Adresse des VPN-Gateways erlaubt. Dieses Regelwerk sollte allen Hosts zugeordnet werden, die die Enginsight API standardmäßig via VPN erreichen. Auf diese Weise wird verhindert, dass die Kommunikation des Pulsars mit der Enginsight API unterbrochen wird, da durch Mikrosegmentierung oder manuelle Shield-Regelwerke die Verbindung zum VPN-Server unbeabsichtigt unterbunden wird. **Nutzung des Shield-Features bei Einsatz eines Reverse-Proxy:** * Falls du den Autopiloten zum automatischen Blockieren erkannter Netzwerkattacken auf einem Server mit oder hinter einem Reverse-Proxy nutzt, beachte bitte, dass anstelle der IP-Adresse des Reverse-Proxy als Quell-IP-Adresse die in einem der folgenden HTTP-Header übermittelte IP-Adresse blockiert wird: * Forwarded * X-Forwarded-For * X-ProxyUser-Ip * Client-Ip * ClientIp * UserIp * X-Client-Ip * X-Real-Ip * X-Remote-Addr * Das automatische Blockieren über den Autopiloten funktioniert bei der Verwendung eines Reverse-Proxy nur dann korrekt, wenn auch für den Dienst bzw. die Dienste hinter dem Reverse-Proxy der korrekte Service erkannt oder gewählt wurde. Dies kann insbesondere nötig sein, wenn du keine Standardports für bestimmte Services verwendest, z.B. einen anderen Port als 443 für HTTPS. In diesem Fall musst du den verwendeten Service manuell in den [Verbindungen](/docs/manual/bedienung-der-plattform/host-detailansichten/monitoring/verbindungen.md) des Reverse-Proxy-Servers nachtragen. **Hinweise zu Shield-Regelwerken**: * Shield-Regelwerke, die Netzwerkverbindungen erlauben, überschreiben stets Regelwerke, die die entsprechenden Verbindungen verwerfen oder blockieren. * Wir empfehlen für die Abwehr von Netzwerkattacken immer die Aktion **Verwerfen (Drop)** zu verwenden. Auf diese Weise werden dem Angreifer keine Informationen zum Einsatz einer Sicherheitssoftware geliefert. **Hinweise zu Mikrosegmenten**: * Ein Mikrosegment blockiert ***alle*** Netzwerkverbindungen, egal ob es sich um Verbindungen innerhalb des Netzwerks oder um externe Verbindungen handelt. Damit sind zunächst auch keine gewohnten Verbindungen nach außen wie z.B. das Abrufen und Installieren von Updates über HTTPS möglich. Die Kommunikation erfolgt ausschließlich über die definierten [Regelwerke für Mikrosegmente](/docs/manual/bedienung-der-plattform/shield/mikrosegmentierung/regelwerke.md). * Falls du auf einem Host oder in einem IP-Adressbereich im Mikrosegment Docker-Container betreibst, solltest du deren Subnetze ***nicht*** einbeziehen, wenn das Mikrosegment abgeschottet werden soll. Dies würde auch die Kommunikation der Docker-Container untereinander verhindern. Grund dafür ist, dass dem Pulsar, der auf dem Host installiert ist, nur die Gateway-IP-Adresse des Docker-Netzwerkinterfaces bekannt ist, nicht aber die IP-Adressen einzelner Container. *** ## Shield: Menüstruktur :computer-mouse: Klicke auf das **Shield**-Symbol ![](/files/AwJWedRuJo1TUecgl75w) in der Sidebar, um das **Shield**-Menü zu öffnen. {% hint style="info" %} **Bitte beachte**: Die Reihenfolge der Menü-Oberpunkte ist individuell per Drag-&-Drop anpassbar. Eventuell hat dein Menü also eine andere Reihenfolge als hier angezeigt. {% endhint %} Das **Shield**-Menü ist wie folgt aufgebaut: {% columns %} {% column width="33.33333333333333%" %}
{% endcolumn %} {% column width="66.66666666666667%" %} * [Logs](/docs/manual/bedienung-der-plattform/shield/logs.md): Hier erhältst du einen Überblick über alle Netzwerkverbindungen, für die ein Shield-Regelwerk wirksam geworden ist. * [Mikrosegmentierung](/docs/manual/bedienung-der-plattform/shield/mikrosegmentierung.md): * [Mikrosegmente](/docs/manual/bedienung-der-plattform/shield/mikrosegmentierung/mikrosegmente.md): Hier kannst du dein Netzwerk Host-basiert in kleinere, voneinander isolierte Bereiche unterteilen, um diese abzuschotten. * [Regelwerke](/docs/manual/bedienung-der-plattform/shield/mikrosegmentierung/regelwerke.md): Hier kannst du Verbindungen festlegen, über die die Mikrosegmente ausschließlich kommunizieren dürfen. * [Manuelles Blocken](/docs/manual/bedienung-der-plattform/shield/manuelles-blocken.md): * [Manuelles Regelwerk](/docs/manual/bedienung-der-plattform/shield/manuelles-blocken/manuelle-regelwerke.md): Hier kannst du bestimmte Netzwerkverbindungen auf bestimmten Hosts manuell erlauben, verwerfen oder blockieren. * [Zuordnungen](/docs/manual/bedienung-der-plattform/shield/manuelles-blocken/zuordnungen.md): Hier kannst du den manuellen Regelwerken bestimmte Hosts oder Host-Gruppen zuordnen. * [Dynamisches Blocken](/docs/manual/bedienung-der-plattform/shield/dynamisches-blocken.md): * [Autopilot](/docs/manual/bedienung-der-plattform/shield/dynamisches-blocken/autopilot.md): Hier kannst du Regelwerke erstellen, die Angriffe auf dein Netzwerk automatisch blockieren. * Erforderliche Services: * [Hosts](/docs/manual/bedienung-der-plattform/hosts.md) {% endcolumn %} {% endcolumns %} --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.enginsight.com/docs/manual/bedienung-der-plattform/shield.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.