KKeine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
Zeile 3: | Zeile 3: | ||
{{#vardefine:headerIcon|spicon-utm}} | {{#vardefine:headerIcon|spicon-utm}} | ||
{{:UTM/APP/IDS-IPS.lang}} | {{:UTM/APP/IDS-IPS.lang}} | ||
{{var | neu--Drosselung | |||
| Automatische Login-Drosselung bei hohen Werten bei [[#Max. Versuche | Max. Versuchen]] | |||
| }} | |||
{{var | neu--Layout | |||
| Layoutanpassungen | |||
| }} | |||
</div>{{Select_lang}}{{TOC2}} | </div>{{Select_lang}}{{TOC2}} | ||
{{Header|12. | {{Header|12.5| | ||
* {{#var:neu-- | * {{#var:neu--Drosselung}} | ||
* {{#var:neu-- | * {{#var:neu--Layout}} | ||
* {{#var:neu-- | * {{#var:neu--Signallampe für Status}} <small>(v.12.2.3)</small> | ||
|[[UTM/APP/IDS-IPS_11.8.7|11.8.7]] | |[[UTM/APP/IDS-IPS_v12.2.3|12.2.3]] | ||
[[UTM/APP/IDS-IPS_11.8.7|11.8.7]] | |||
[[UTM/APP/IDS-IPS_11.8|11.8]] | [[UTM/APP/IDS-IPS_11.8|11.8]] | ||
[[UTM/APP/IDS_IPS_11.7|11.7]] | [[UTM/APP/IDS_IPS_11.7|11.7]] | ||
}} | |{{Menu|Anwendungen|IDS/IPS}} }} | ||
---- | ---- | ||
=== {{#var: | === {{#var:Einleitung}} === | ||
==== {{#var: | <div class="einrücken"> | ||
< | {{#var:Einleitung--desc}} | ||
</div> | |||
{| class=" | |||
| class="Leerzeile | ---- | ||
=== {{#var:Überwachung der Firewall}} === | |||
<div class="einrücken"> | |||
==== {{#var:Aktivierung der Überwachung}} ==== | |||
<div class="einrücken"> | |||
{{#var:Aktivierung der Überwachung--desc}} | |||
{| class="sptable2 pd5 zh1" | |||
| class="Leerzeile" rowspan="6" | {{ButtonAn |{{#var:ein}} }} ||class="Leerzeile" colspan="3"| {{#var:BlockChain--desc}} | |||
|- | |- | ||
! {{#var: | ! {{#var:Vorgabe}} !! {{#var:Regel}} !! {{#var:Beschreibung}} | ||
|- | |- | ||
| {{ButtonAn |{{#var:ein | | {{ButtonAn |{{#var:ein}} }} || FailToBan_ssh || {{#var:Zugriff per ssh }} | ||
|- | |- | ||
| {{ButtonAn |{{#var:ein | | {{ButtonAn |{{#var:ein}} }} || FailToBan_http_admin || {{#var:Zugriff über das Admin Interface}} | ||
|- | |- | ||
| {{ButtonAn |{{#var:ein | | {{ButtonAn |{{#var:ein}} }} || FailToBan_http_user || {{#var:Zugriff über das User Interface}} | ||
|- | |- | ||
| {{ButtonAn |{{#var:ein}} }} || FailToBan_smtp || {{#var:Zugriff über das Mailgateway}} | |||
|} | |} | ||
<div style="clear: both;"> | <div style="clear: both;"> | ||
<br> | <br> | ||
</div> | |||
</div> | |||
---- | ---- | ||
{{ | {{h-3|{{#var:Sperrungen}}|{{Reiter|{{#var:Sperrungen}} }} }} | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
< | {{#var:Sperrungen--desc}} | ||
<br> | |||
{{#var:Sperrungen--Menu}} | |||
{| class="sptable2 pd5 zh1" | |||
! {{#var:cap}} !! class=mw5| {{#var:def}} !! {{#var:desc}} | |||
| class=Bild rowspan="5"| {{Bild|{{#var:Sperrungen--Bild}} | {{#var:Sperrungen--cap}} }} | |||
|- | |||
| style="border-bottom:0;" rowspan="2"| {{b|Status}} <span id="Status"></span> || <i class="fas fa-check-circle UTM fc__grün"></i> || {{#var:IPS_enabled}} | |||
|- | |||
| <i class="fas fa-times-circle"></i> || {{#var:IPS_disabled}} | |||
|- | |||
| {{b|{{#var:Niemals gesperrte Adressen und Zonen}} }}|| {{ic| {{cb|internal}}|cb}} || {{#var:Diese IP-Adressen und Zonen, werden nicht durch IDS/IPS gesperrt.}} {{ic| {{cb|internal}} {{cb|external_v6}} {{cb|vpn-ipsec}} {{cb|192.0.2.192}} | cb}} | |||
|- class="Leerzeile" | |||
| | |||
|} | |||
<span id="Status"></span>{{#var:Status--desc}} | |||
<br> | |||
{{#var:Niemals gesperrte Adressen und Zonen--desc}} | |||
<br> | <br> | ||
{{#var:Werte konfiguriert}} | |||
{| class="sptable2 pd5 zh1" | |||
! {{#var:cap}} !! {{#var:def}} !! {{#var:desc}} | |||
{| class="sptable2 pd5 | |||
! {{#var:cap | |||
|- | |- | ||
| rowspan="5" | {{b|{{#var:Dienst}} }} || {{Button| |dr|class=available}} || {{#var:Dienst--desc}}<li class="list--element__alert list--element__hint">{{#var:Dienst--Hinweis}}</li> | | rowspan="5" | {{b|{{#var:Dienst}} }} || {{Button| |dr|class=available}} || {{#var:Dienst--desc}}<li class="list--element__alert list--element__hint">{{#var:Dienst--Hinweis}}</li> | ||
|- | |- | ||
| {{Button|admin-ui|dr|class=available}} || {{#var: | | {{Button|admin-ui|dr|class=available}} || {{#var:Authentifizierung über das Admin-Interface--desc}} | ||
|- | |- | ||
| {{Button|sshd|dr|class=available}} || {{#var: | | {{Button|sshd|dr|class=available}} || {{#var:Authentifizierung über ssh-Protokoll}} | ||
|- | |- | ||
| {{Button|user-ui|dr|class=available}} || {{#var: | | {{Button|user-ui|dr|class=available}} || {{#var:Authentifizierung über das User-Interface--desc}} | ||
|- | |- | ||
| {{Button|smtp|dr|class=available}} || {{#var: | | {{Button|smtp|dr|class=available}} || {{#var:Authentifizierung über das Mailgateway}} | ||
|- | |- | ||
| {{Beschriftung|{{#var: | | {{Beschriftung|{{#var:Messzeit}} }} || {{ic|86400|c|class=available}} {{#var:Sekunden}} || {{#var:Messzeit--desc}} | ||
|- | |- | ||
| {{Beschriftung|{{#var: | | <span id="Max. Versuche"></span>{{Beschriftung|{{#var:Max. Versuche}}|class=max-content }} {{Hinweis-box||gr|12.5|status=update}} || {{ic|3|c|class=available}} || {{#var:Max. Versuche--desc}} {{Hinweis-box|{{#var:Max. Versuche--Hinweis}}|g}}{{Hinweis-box|{{#var:neu ab}}: v12.5|gr|12.5|status=neu}} | ||
|- | |- | ||
| {{Beschriftung|{{#var: | | {{Beschriftung|{{#var:Bannzeit}} }} || {{ic|3600|c|class=available}} {{#var:Sekunden}} || {{#var:Bannzeit--desc}} | ||
|} | |} | ||
<br> | <br> | ||
[[Datei:{{#var: | [[Datei:{{#var:F2B-Zeitlinie1--Bild}} | right | thumb | hochkant=2.7 | {{#var:F2B-Zeitlinie1--cap}} ]] | ||
[[Datei:{{#var: | [[Datei:{{#var:F2B-Zeitlinie2--Bild}} | right | thumb | hochkant=2.7 | {{#var:F2B-Zeitlinie2--cap}} ]] | ||
<br clear=all> | <br clear=all> | ||
==== {{#var: | <!--{{Hinweis | {{#var:45|! Wichtig:}} | gelb}}--> | ||
==== {{#var:Gesperrte Zugänge wieder freigeben}} ==== | |||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{{#var:Gesperrte Zugänge wieder freigeben--desc}} | |||
<br> | |||
{{#var: | {{#var:Entsperren CLI }} | ||
{{#var: | {{#var:Entsperren CLI--code}} | ||
{{#var:Entsperren CLI--desc}} | |||
</div> | </div> | ||
==== {{#var: | ==== {{#var:Benachrichtigung über Sperrungen}} ==== | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{{#var: | {{#var:Benachrichtigung über Sperrungen--desc}} | ||
<br clear=all> | <br clear=all> | ||
</div> | </div> | ||
</div> | |||
---- | ---- | ||
<span id="CDC"></span> | <span id="CDC"></span> | ||
{{ | {{h-3|{{#var:Cyber Defence Cloud}}|{{Reiter|{{#var:Cyber Defence Cloud}} }} }} | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{{pt3 |{{#var:Cyber Defence Cloud--Bild}} | Cyber Defence Cloud }} | |||
{{#var:Cyber Defence Cloud--desc}} {{ButtonAn|{{#var:ja|Ja}} }} | |||
<br> | |||
{{#var:Default Verhalten}} | {{#var:Default Verhalten}} | ||
<br> | <br> | ||
{{Hinweis| | {{Hinweis-box|{{#var:Default Verhalten--Hinweis}}|r|fs__icon=em2}} | ||
<p>{{#var: | <p>{{#var:Verbindung Threat Intelligence Filters blockiert}}</p> | ||
</div><br clear=all> | </div><br clear=all> | ||
Zeile 115: | Zeile 140: | ||
---- | ---- | ||
{{ | {{h-3|{{#var:Ungültige TCP-Flags}}|{{Reiter|{{#var:Ungültige TCP-Flags}} }} }} | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{{pt3|{{#var:Ungültige TCP-Flags--Bild}}|hochkant=1.5| {{#var:Ungültige TCP-Flags}} }} | |||
{{Hinweis-box|{{#var:Ungültige TCP-Flags--Hinweis}} }} | |||
{{#var: | <br> | ||
{{#var:Ungültige TCP-Flags--desc}} | |||
</div> | </div> | ||
<br clear=all> | <br clear=all> | ||
Zeile 126: | Zeile 151: | ||
---- | ---- | ||
{{ | {{h-3|{{#var:Trojaner}}|{{Reiter| {{#var:Trojaner}} }} }} | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{{pt3|{{#var:Trojaner--Bild}}| hochkant=1.5| {{#var:Trojaner}} }} | |||
{{#var:Trojaner--desc}} | {{#var:Trojaner--desc}} | ||
{{Hinweis-box|{{#var:Trojaner--Hinweis}}|gr|fs__icon=em2}}<br> | |||
<!-- | <!-- | ||
<p>{{ Hinweis | {{#var:77|!! Wir empfehlen grundsätzlich keinen direkten Verkehr mit anderen Netzwerken, vor allem dem Internet zuzulassen.}} }}</p> | <p>{{ Hinweis | {{#var:77|!! Wir empfehlen grundsätzlich keinen direkten Verkehr mit anderen Netzwerken, vor allem dem Internet zuzulassen.}} }}</p> |
Version vom 10. August 2023, 13:53 Uhr
- Automatische Login-Drosselung bei hohen Werten bei Max. Versuchen
- Layoutanpassungen
- (v.12.2.3)
Einleitung
IDS (Intrusion Detection System) und IPS (Intrusion Prevention System) können Angriffe aus dem Internet oder einem Netzwerk erkennen und verhindern.
Diese Funktionen sind hilfreich, um das Fluten des Servers mit bösartigen Verbindungsversuchen zu stoppen.
Überwachung der Firewall
Aktivierung der Überwachung
Die Aktivierung / Deaktivierung der Überwachung erfolgt im Menü
in der Gruppe 'BlockChain'.Ein | BlockChain Es lässt sich die Überwachung für diese Zugänge abschalten | ||
Regel | Beschreibung | ||
---|---|---|---|
Ein | FailToBan_ssh | Zugriff per ssh | |
Ein | FailToBan_http_admin | Zugriff über das Admin Interface | |
Ein | FailToBan_http_user | Zugriff über das User Interface | |
Ein | FailToBan_smtp | Zugriff über das Mailgateway |
Sperrungen
SperrungenDie Zugänge zur Firewall können nach einer bestimmten Anzahl fehlerhafter Anmeldeversuche gesperrt werden.
Im Menü werden die Einstellungen konfiguriert.
Die Signallampe im Feld Status: zeigt den Aktivitätsstatus der Anwendung IPS Sperrung an.
Von diesen sind dann unbegrenzt viele Fehl-Versuche für eine Anmeldung möglich. In der Klickbox können verschiedene vorhandene Zonen ausgewählt oder neue IP-Adressen und Subnetze angegeben werden.
Unter Geschützte Dienste werden Dienste Konfiguriert, deren Authentifizierungsversuche überwacht und damit geschützt werden.
Es finden sich vier bereits vorkonfigurierte Dienste, die entfernt und wieder hinzugefügt werden können.
Folgende Werte können konfiguriert werden:
Beschriftung | Standardwert | Beschreibung |
---|---|---|
Dienst | Dienst, der geschützt werden soll | |
Authentifizierung über das Admin-Interface. (Standard-LogIn-Port für Admininstratoren unter 192.168.175.1:11115) | ||
Authentifizierung über ssh-Protokoll (z.B. PuTTY) | ||
Authentifizierung über das User-Interface. Standard-Login-Port für User unter: | ||
Authentifizierung über das Mailgateway | ||
Messzeit | 86400 Sekunden | Messzeit innerhalb der Fehlversuche gezählt werden. |
Max. Versuche |
3 | Anzahl der Fehlversuche einer Authentifizierung notempty Unabhängig davon greift nach dem 6. aufeinanderfolgenden Fehlversuch eine pauschale Login-Drosselung für das Admin- und das User-Interface, sowie eine Fehlermeldung im jeweiligen Webinterface. notemptyNeu ab: v12.5
|
Bannzeit | 3600 Sekunden | Zeitraum, für den der Zugang zu dieser Authentifizierung gesperrt wird. |
Gesperrte Zugänge wieder freigeben
Unter Aktuelle Sperrungen können gesperrte IP-Adressen für den Erneuten Zugriff auf einen Dienst vor Ablauf der Bannzeit mit der Schaltfläche wieder freigegeben werden.
Das Entsperren ist auch über das CLI möglich:
Hier steht die ip 192.0.2.192 für die IP eines Hosts, für den das admin-Interface gesperrt wurde (per Default unter https://192.168.175.1:11115 erreichbar).
Dienste, die freigegeben werden können:admin-ui sshd user-ui smtp
Benachrichtigung über Sperrungen
Im Alerting Center kann unter IPS Sperrungen eingestellt werden, ob und wie man über solche Sperrungen benachrichtigt werden will.
Mit dem Threat Intelligence Filter werden Zugriffe auf potentiell gefährliche Gegenstellen unabhängig vom verwendeten Protokoll auf Basis der IP-Adresse protokolliert bzw. blockiert. Sobald eine Verbindung zu einer IP-Adresse aufgebaut wird, die z.B. als Control-Server für Schadsoftware bekannt ist, wird dieses vom Threat Intelligence Filter erkannt.
Der Filter aktualisiert sich automatisch im Hintergrund über die Securepoint Cyber Defence Cloud.
Blockieren solcher Verbindungen mit Verbindung protokollieren und blockieren: Ja
- Bei Neuinstallationen ist die Option Verbindung protokollieren und blockieren aktiviert
- Bei Updates ist die Option Verbindung protokollieren aktiviert
Wird eine Verbindung aufgrund des Threat Intelligence Filters blockiert, wird ein Log-Eintrag erstellt.
Die Benachrichtigung über diese Logmeldungen können im Alerting Center konfiguriert werden.
Default: Level 8 - Alarm → Nachricht: »Gefährliche Verbindung erkannt.« → Umgehender Bericht & Regelmäßiger Bericht
Ungültige TCP-Flags
Ungültige TCP-Flags
Die Erkennung der bekannten Flags im TCP-Protokoll kann im Reiter Ungültige TCP-Flags aktiviert oder deaktiviert werden.
Trojaner
TrojanerDazu werden mit Ein allen (Kopfzeile) oder jeweils einzelnen Trojanern zuzuordnende Ports geschlossen.
Übersicht der blockierten Ports
Trojaner | ||
---|---|---|
Back Door Setup | TCP | 5000 |
Backage Trojan | TCP | 411 |
Back Door:G | TCP | 1234 |
SkyDance Trojan | TCP | 4000 |
CrackDown Trojan | TCP | 4444 |
DaCryptic Trojan | TCP | 1074 |
DerSphere | TCP | 1000 |
DerSphere 2 | TCP | 2000 |
Freak2k | TCP | 7001 |
GateCrasher Trojan | TCP | 6970 |
Hacka Tack | TCP | 31785 - 31792 |
ICKiller | TCP | 1027 |
ICQ Nuke 98 Trojan | TCP | 1029 |
NetSpy Trojan | TCP | 1024 |
Kaos Trojan | TCP | 1212 |
Kuang2 Trojan | TCP | 17300 |
Mneah Trojan | TCP | 4666 |
Multidropper Trojan | TCP | 1035 |
NoBackO Trojan | TCP | 1201 |
Maniac Rootkits | TCP | 6667 |
RAT Trojan | TCP | 1097 - 1098 |
Remote Storm | TCP | 1025 |
RexxRave Trojan | TCP | 1104 |
Shadyshell Trojan | TCP | 1337 |
Subseven | TCP | 27374 |
Terror Trojan | TCP | 3456 |
TheFlu Trojan | TCP | 5534 |
TransScout Trojan | TCP | 2004 - 2005 |
Trinoo Trojan | TCP | 1524 |
WinHole Trojan | TCP | 1081 |
Xanadu Trojan | TCP | 1031 |