Wechseln zu:Navigation, Suche
Wiki
KKeine Bearbeitungszusammenfassung
 
KKeine Bearbeitungszusammenfassung
 
Zeile 1: Zeile 1:
<templatestyles src="Vorlage:Gallery.css" /><br clear=all>
{{Set_lang}}
{{#vardefine: class-width_i1 | {{#switch: {{{i1|{{{i|{{{w|3}}} }}} }}}
Fail2Ban
|1=flexelement items_1
 
|2=flexelement items_2
{{var|display:IDS / IPS - FailToBan-Funktion
|3=flexelement items_3
| IDS / IPS - FailToBan function }}
|4=flexelement items_4
{{var|1|Beschreibung der Intrusion Detection und Intrusion Prevention Funktionen
|5=flexelement items_5
| Description of Intrusion Detection and Intrusion Prevention Functions }}
|6=flexelement items_6
{{var|2| Letzte Anpassung zur Version:
|7=flexelement items_7
|Last adaptation to the version: }}
|8=flexelement items_8
{{var|3| Neu:
|9=flexelement items_9
|New }}
|10%=flexelement items_10
{{var|4| Fehlgeschlagene Authentifizierungsversuche auf die Webschnittstellen und den SSH Dienst können für gewisse Zeit blockiert werden. Mit der Überwachung und der temporären Sperrung der Zugänge werden Angriffe aus dem Internet oder einem Netzwerk erkannt und deutlich erschwert.
}}
|Failed authentication attempts on the web interfaces and the SSH service can be blocked for some time. With the monitoring and temporary blocking of access, attacks from the Internet or a network are detected and made considerably more difficult. }}
}}{{#vardefine: class-width_i2 | {{#switch: {{{i2|{{{i|{{{w|3}}} }}} }}}
{{var|5|{{ Hinweis | Neu in 11.8.6 | 11.8.6 }} FailToBan erweitert um die Authentifizierung über das Mailgateway.
|1=flexelement items_1
|{{ Hinweis | New in 11.8.6 | 11.8.6 }} FailToBan extended by authentication via mail gateway. }}
|2=flexelement items_2
{{var|6|Vorherige Versionen:
|3=flexelement items_3
| Previous versions:}}
|4=flexelement items_4
{{var|7|Einleitung
|5=flexelement items_5
|Introductory remarks }}
|6=flexelement items_6
{{var|8|IDS (Intrusion Detection System) und IPS (Intrusion Prevention System) können Angriffe aus dem Internet oder einem Netzwerk erkennen und verhindern.<br>Diese Funktionen sind hilfreich, um das Fluten des Servers mit bösartigen Verbindungsversuchen zu stoppen.
|7=flexelement items_7
| IDS (Intrusion Detection System) and IPS (Intrusion Prevention System) can detect and prevent attacks from the Internet or a network.<br>These features are useful for stopping the server from flooding with malicious connection attempts.}}
|8=flexelement items_8
{{var|9| Überwachung der Firewall
|9=flexelement items_9
| }}
|10%=flexelement items_10
{{var|10|Aktivierung der Überwachung
}}
| }}
}}{{#vardefine: class-width_i3 | {{#switch: {{{i3|{{{i|{{{w|3}}} }}} }}}
{{var|11|Die Aktivierung / Deaktivierung der Überwachung erfolgt im Menü {{Menu | Firewall | Implizite Regeln}} in der Gruppe 'BlockChain'.
|1=flexelement items_1
| }}
|2=flexelement items_2
{{var|ein|Ein
|3=flexelement items_3
| }}
|4=flexelement items_4
{{var|12|BlockChain<br>Es lässt sich die Überwachung für diese Zugänge abschalten
|5=flexelement items_5
| }}
|6=flexelement items_6
{{var|13|Vorgabe
|7=flexelement items_7
| }}
|8=flexelement items_8
{{var|14|Regel
|9=flexelement items_9
| }}
|10%=flexelement items_10
{{var|15|Beschreibung
}}
| }}
}}{{#vardefine: class-width_i4 | {{#switch: {{{i4|{{{i|{{{w|3}}} }}} }}}
{{var|16|Zugriff per ssh
|1=flexelement items_1
| }}
|2=flexelement items_2
{{var|17|Zugriff über das Admin Interface
|3=flexelement items_3
| }}
|4=flexelement items_4
{{var|18|Zugriff über das User Interface
|5=flexelement items_5
| }}
|6=flexelement items_6
{{var|19|Neu in 11.8.6
|7=flexelement items_7
| }}
|8=flexelement items_8
{{var|20|Zugriff über das Mailgateway
|9=flexelement items_9
| }}
|10%=flexelement items_10
{{var|21|Sperrungen
}}
| }}
}}{{#vardefine: class-width_i5 | {{#switch: {{{i5|{{{i|{{{w|3}}} }}} }}}
{{var|22|UTM_11.8.6_Anwendungen_IDS-IPS_Sperrungen.png
|1=flexelement items_1
| }}
|2=flexelement items_2
{{var|23|Die Zugänge zur Firewall können nach einer bestimmten Anzahl fehlerhafter Anmeldeversuche gesperrt werden.
|3=flexelement items_3
| }}
|4=flexelement items_4
{{var|24|Im Menü {{Menu| Anwendungen | IDS / IPS}} werden die Einstellungen konfiguriert.
|5=flexelement items_5
| }}
|6=flexelement items_6
{{var|25|Im Abschnitt {{ Reiter | Sperrungen}} können unter {{ Kasten|Allgemein}} {{Beschriftung|Niemals gesperrte Adressen und Zonen:}} hinzugefügt werden. Von diesen sind dann unbegrenzt viele Fehl-Versuche für eine Anmeldung möglich. In der Klickbox können verschiedene vorhandene Zonen ausgewählt oder neue IP-Adressen und Subnetze angegeben werden.</p><br>Unter {{KastenGrau|Geschützte Dienste}} werden Dienste Konfiguriert, deren Authentifizierungsversuche überwacht und damit geschützt werden.<br> Es finden sich vier bereits vorkonfigurierte Dienste, die entfernt und wieder hinzugefügt werden können.:
|7=flexelement items_7
| }}
|8=flexelement items_8
{{var|26|Dienst
|9=flexelement items_9
| }}
|10%=flexelement items_10
{{var|27|Beschreibung
}}
| }}
}}{{#vardefine: class-width_i6 | {{#switch: {{{i6|{{{i|{{{w|3}}} }}} }}}
{{var|28|Authentifizierung über das Admin-Interface. <br>(Standard-LogIn-Port für Admininstratoren unter <code>192.168.175.1:11115</code>)
|1=flexelement items_1
| }}
|2=flexelement items_2
{{var|29|Authentifizierung über ssh-Protokoll (z.B. PuTTY)
|3=flexelement items_3
| }}
|4=flexelement items_4
{{var|30|Authentifizierung über das User-Interface. <br>(Standard-Login-Port für User unter: {{sw|192.168.175.1:443}})
|5=flexelement items_5
| }}
|6=flexelement items_6
{{var|31|Authentifizierung über das Mailgateway
|7=flexelement items_7
| }}
|8=flexelement items_8
{{var|32|Da im Auslieferungszustand alle vier Dienste bereits konfiguriert sind, lassen sich mit {{Button|+ Hinzufügen}} erst nach vorherigem entfernen auch Dienste auswählen.
|9=flexelement items_9
| }}
|10%=flexelement items_10
{{var|33|Folgende Werte können {{ Button | | w}} konfiguriert werden:
}}
| }}
}}{{#vardefine: class-width_i7 | {{#switch: {{{i7|{{{i|{{{w|3}}} }}} }}}
{{var|cap|Beschriftung
|1=flexelement items_1
| }}
|2=flexelement items_2
{{var|def|Default-Wert
|3=flexelement items_3
| }}
|4=flexelement items_4
{{var|desc|Beschreibung
|5=flexelement items_5
| }}
|6=flexelement items_6
{{var|34|Messzeit:
|7=flexelement items_7
| }}
|8=flexelement items_8
{{var|35|Sekunden
|9=flexelement items_9
| }}
|10%=flexelement items_10
{{var|36|Messzeit innerhalb der Fehlversuche gezählt werden.
}}
| }}
}}{{#vardefine: class-width_i8 | {{#switch: {{{i8|{{{i|{{{w|3}}} }}} }}}
{{var|37|Max. Versuche:
|1=flexelement items_1
| }}
|2=flexelement items_2
{{var|38|Anzahl der Fehlversuche einer Authentifizierung
|3=flexelement items_3
| }}
|4=flexelement items_4
{{var|39|Bannzeit:
|5=flexelement items_5
| }}
|6=flexelement items_6
{{var|40|Zeitraum, für den der Zugang zu dieser Authentifizierung gesperrt wird.
|7=flexelement items_7
| }}
|8=flexelement items_8
{{var|41|UTM_v11-8_F2B_Zeitlinie_1b.png
|9=flexelement items_9
| }}
|10%=flexelement items_10
{{var|42|Zeitlicher Verlauf ohne Sperrung
}}
| }}
}}{{#vardefine: class-width_i9 | {{#switch: {{{i9|{{{i|{{{w|3}}} }}} }}}
{{var|43|UTM_v11-8_F2B_Zeitlinie_2b.png
|1=flexelement items_1
| }}
|2=flexelement items_2
{{var|44|Zeitlicher Verlauf mit Sperrung
|3=flexelement items_3
| }}
|4=flexelement items_4
{{var|45|! Wichtig:
|5=flexelement items_5
| }}
|6=flexelement items_6
{{var|46|Gesperrte Zugänge wieder freigeben
|7=flexelement items_7
| }}
|8=flexelement items_8
{{var|47|Unter {{KastenGrau|Aktuelle Sperrungen}} können gesperrte IP-Adressen für den Erneuten Zugriff auf einen Dienst vor Ablauf der Bannzeit mit dem Button {{Button|'''⤺'''}} wieder freigegeben werden.
|9=flexelement items_9
| }}
|10%=flexelement items_10
{{var|28|Das Entsperren ist auch über das CLI möglich:
}}
| }}
}}{{#vardefine: class-width_i10 | {{#switch: {{{i10|{{{i|{{{w|3}}} }}} }}}
{{var|49|<pre>utm.name.local> spf2bd ip remove service admin-ui ip 192.0.2.192</pre>
|1=flexelement items_1
| }}
|2=flexelement items_2
{{var|50|Hier steht die ip <code>192.0.2.192</code> für die IP eines Hosts, für den das admin-Interface gesperrt wurde (per Default unter <nowiki>https://192.168.175.1:11115</nowiki> erreichbar).
|3=flexelement items_3
| }}
|4=flexelement items_4
{{var|51|Benachrichtigung über Sperrungen
|5=flexelement items_5
| }}
|6=flexelement items_6
{{var|52|Im [[:neu/UTM/AlertingCenter#.C3.9Cber_Ereignisse_gesteuerte_Benachrichtigungen.| Alerting Center]] kann unter {{ic|IPS Sperrungen|bc=#EAE0E0;| c=#444444;}} eingestellt werden, ob und wie man über solche Sperrungen benachrichtigt werden will.
|7=flexelement items_7
| }}
|8=flexelement items_8
{{var|53|Cyber Defence Cloud
|9=flexelement items_9
| }}
|10%=flexelement items_10
{{var|54|Coming soon: 11.8.7
}}
| }}
}}{{#vardefine: class-width_i11 | {{#switch: {{{i11|{{{i|{{{w|3}}} }}} }}}
 
|1=flexelement items_1
{{var|70|UTM_v11-8_IDS-IPS_TCP-Flags.png
|2=flexelement items_2
| }}
|3=flexelement items_3
{{var|71|Ungültige TCP-Flags
|4=flexelement items_4
| }}
|5=flexelement items_5
{{var|72|!! Durch eine Änderung / Anpassung der Einstellungen innerhalb dieses Abschnitts, kann es zu Problemen innerhalb des Netzwerks kommen.
|6=flexelement items_6
| }}
|7=flexelement items_7
{{var|73|Die Erkennung der bekannten Flags im TCP-Protokoll kann im Reiter {{Reiter|Ungültige TCP-Flags}} aktiviert oder deaktiviert werden.
|8=flexelement items_8
| }}
|9=flexelement items_9
{{var|74|idsips_trojaner.png
|10%=flexelement items_10
| }}
}}
{{var|75|Trojaner
}}{{#vardefine: class-width_i12 | {{#switch: {{{i12|{{{i|{{{w|3}}} }}} }}}
| }}
|1=flexelement items_1
{{var|76|Wenn im Netzwerk Aktionen festgestellt werden, die einem Trojaner gleichen, können diese im Reiter {{Reiter|Trojaner}} unterbunden werden.
|2=flexelement items_2
| }}
|3=flexelement items_3
{{var|77|!! Wir empfehlen grundsätzlich keinen direkten Verkehr mit anderen Netzwerken, vor allem dem Internet zuzulassen.
|4=flexelement items_4
| }}
|5=flexelement items_5
{{var|78|Netzwerkverkehr, der über den {{ Hinweis |HTTP-Proxy der UTM| grün}} läuft, kann auf *'''Schadcode''' ( Einstellungen unter {{ Menu | Anwendungen | HTTP-Proxy }} {{ Reiter | Virenscanner}} ) und *'''unerwünschte Inhalte''' (Einstellungen unter  {{ Menu | Anwendungen | Webfilter}} ) überprüft werden.
|6=flexelement items_6
| }}
|7=flexelement items_7
{{var|79|Weitere Hinweise gibt es in unserem Webinar [https://www.youtube.com/watch?v=yd3GsyGJbNY Best Practice - Gute Firewall Konfiguration] auf Youtube.
|8=flexelement items_8
| }}
|9=flexelement items_9
 
|10%=flexelement items_10
 
}}
</div>{{DISPLAYTITLE:{{#var:display:IDS / IPS - FailToBan-Funktion}} }}{{Select_lang}}{{TOC2}}
}}{{#vardefine: class-width_i13 | {{#switch: {{{i13|{{{i|{{{w|3}}} }}} }}}
<p>'''{{#var:1|Beschreibung der Intrusion Detection und Intrusion Prevention Funktionen}}'''</p>
|1=flexelement items_1
 
|2=flexelement items_2
<p>{{#var:2|Letzte Anpassung zur Version:}} '''11.8.6'''</p>
|3=flexelement items_3
<p>{{ cl | {{#var:3|Neu:}} |  
|4=flexelement items_4
* {{#var:4|Fehlgeschlagene Authentifizierungsversuche auf die Webschnittstellen und den SSH Dienst können für gewisse Zeit blockiert werden. Mit der Überwachung und der temporären Sperrung der Zugänge werden Angriffe aus dem Internet oder einem Netzwerk erkannt und deutlich erschwert.}}  
|5=flexelement items_5
* {{#var:5|{{ Hinweis | Neu in 11.8.6 | 11.8.6 }} FailToBan erweitert um die Authentifizierung über das Mailgateway.}}
|6=flexelement items_6
| w=40px }}</p>
|7=flexelement items_7
<br>
|8=flexelement items_8
<p>{{#var:6|Vorherige Versionen:}} [[UTM/APP/IDS_IPS_11.7|11.7]] | [[UTM/APP/IDS_IPS_11.8|11.8]]</p>
|9=flexelement items_9
----
|10%=flexelement items_10
=== {{#var:7|Einleitung}} ===
}}
{{#var:8|IDS (Intrusion Detection System) und IPS (Intrusion Prevention System) können Angriffe aus dem Internet oder einem Netzwerk erkennen und verhindern.<br>
}}{{#vardefine: class-width_i14 | {{#switch: {{{i14|{{{i|{{{w|3}}} }}} }}}
Diese Funktionen sind hilfreich, um das Fluten des Servers mit bösartigen Verbindungsversuchen zu stoppen.}}
|1=flexelement items_1
 
|2=flexelement items_2
=== {{#var:9|Überwachung der Firewall}} ===
|3=flexelement items_3
==== {{#var:10|Aktivierung der Überwachung}} ====
|4=flexelement items_4
<p>{{#var:11|Die Aktivierung / Deaktivierung der Überwachung erfolgt im Menü {{Menu | Firewall | Implizite Regeln}} in der Gruppe 'BlockChain'.}}
|5=flexelement items_5
</p>
|6=flexelement items_6
{| class="sptable"
|7=flexelement items_7
| class="Leerzeile noborder" rowspan="5" | {{ButtonAn |{{#var:ein|Ein}} }} ||class="Leerzeile noborder" colspan="3"| {{#var:12|BlockChain<br>Es lässt sich die Überwachung für diese Zugänge abschalten}}
|8=flexelement items_8
|-
|9=flexelement items_9
! {{#var:13|Vorgabe}} !! {{#var:14|Regel}} !! {{#var:15|Beschreibung}}
|10%=flexelement items_10
|-
}}
| {{ButtonAn |{{#var:ein|Ein}} }} || FailToBan_ssh || {{#var:16|Zugriff per ssh }}
}}{{#vardefine: class-width_i14 | {{#switch: {{{i14|{{{i|{{{w|3}}} }}} }}}
|-
|1=flexelement items_1
| {{ButtonAn |{{#var:ein|Ein}}}} || FailToBan_http_admin || {{#var:17|Zugriff über das Admin Interface}}
|2=flexelement items_2
|-
|3=flexelement items_3
| {{ButtonAn |{{#var:ein|Ein}}}} || FailToBan_http_user || {{#var:18|Zugriff über das User Interface}}
|4=flexelement items_4
|-
|5=flexelement items_5
| class="noborder" | {{ Hinweis | {{#var:19|Neu in 11.8.6}} | 11.8.6 }} || {{ButtonAn |{{#var:ein|Ein}}}} || FailToBan_smtp || {{#var:20|Zugriff über das Mailgateway}}
|6=flexelement items_6
|}
|7=flexelement items_7
<div style="clear: both;">
|8=flexelement items_8
<br><br>
|9=flexelement items_9
 
|10%=flexelement items_10
==== {{#var:21|Sperrungen}} ====
}}
 
}}{{#vardefine: class-width_i15 | {{#switch: {{{i15|{{{i|{{{w|3}}} }}} }}}
{{pt3| {{#var:22|UTM_11.8.6_Anwendungen_IDS-IPS_Sperrungen.png}} |hochkant=1.5| {{#var:21|Sperrungen}} }}
|1=flexelement items_1
<p>{{#var:23|Die Zugänge zur Firewall können nach einer bestimmten Anzahl fehlerhafter Anmeldeversuche gesperrt werden.}}</p>
|2=flexelement items_2
 
|3=flexelement items_3
<p>{{#var:24|Im Menü {{Menu| Anwendungen | IDS / IPS}} werden die Einstellungen konfiguriert.}}</p>
|4=flexelement items_4
 
|5=flexelement items_5
<p>{{#var:25|Im Abschnitt {{ Reiter | Sperrungen}} können unter {{ Kasten|Allgemein}} {{Beschriftung|Niemals gesperrte Adressen und Zonen:}} hinzugefügt werden. Von diesen sind dann unbegrenzt viele Fehl-Versuche für eine Anmeldung möglich. In der Klickbox können verschiedene vorhandene Zonen ausgewählt oder neue IP-Adressen und Subnetze angegeben werden.</p>
|6=flexelement items_6
<br>
|7=flexelement items_7
Unter {{KastenGrau|Geschützte Dienste}} werden Dienste Konfiguriert, deren Authentifizierungsversuche überwacht und damit geschützt werden.<br>
|8=flexelement items_8
Es finden sich vier bereits vorkonfigurierte Dienste, die entfernt und wieder hinzugefügt werden können.:}}
|9=flexelement items_9
 
|10%=flexelement items_10
{| class="sptable"
}}
! {{#var:26|Dienst}} !! {{#var:27|Beschreibung}}
}}{{#vardefine: class-width_i16 | {{#switch: {{{i16|{{{i|{{{w|3}}} }}} }}}
|-
|1=flexelement items_1
| {{Button|admin-ui|dr|w=85px}} || {{#var:28|Authentifizierung über das Admin-Interface. <br>(Standard-LogIn-Port für Admininstratoren unter <code>192.168.175.1:11115</code>)}}
|2=flexelement items_2
|-
|3=flexelement items_3
| {{Button|sshd|dr|w=85px}} || {{#var:29|Authentifizierung über ssh-Protokoll (z.B. PuTTY)}}
|4=flexelement items_4
|-
|5=flexelement items_5
| {{Button|user-ui|dr|w=85px}} || {{#var:30|Authentifizierung über das User-Interface. <br>(Standard-Login-Port für User unter: {{sw|192.168.175.1:443}})}}
|6=flexelement items_6
|-
|7=flexelement items_7
| {{Button|smtp|dr|w=85px}} || {{#var:31|Authentifizierung über das Mailgateway}}
|8=flexelement items_8
|}
|9=flexelement items_9
<br clear=all>
|10%=flexelement items_10
<p>{{Hinweis|!|g}} {{#var:32|Da im Auslieferungszustand alle vier Dienste bereits konfiguriert sind, lassen sich mit {{Button|+ Hinzufügen}} erst nach vorherigem entfernen auch Dienste auswählen.}}</p>
}}
 
}}{{#vardefine: class-width_i17 | {{#switch: {{{i17|{{{i|{{{w|3}}} }}} }}}
<p>{{#var:33|Folgende Werte können {{ Button | | w}} konfiguriert werden:}}</p>
|1=flexelement items_1
{| class="sptable"
|2=flexelement items_2
! {{#var:cap|Beschriftung}} !! {{#var:def|Default-Wert}} !! {{#var:desc|Beschreibung}}
|3=flexelement items_3
|-
|4=flexelement items_4
| {{Beschriftung|{{#var:34|Messzeit:}}}} || {{ic|86400|c|w=100px}} {{#var:35|Sekunden}} || {{#var:36|Messzeit innerhalb der Fehlversuche gezählt werden.}}
|5=flexelement items_5
|-
|6=flexelement items_6
| {{Beschriftung|{{#var:37|Max. Versuche:}} }} || {{ic|3|c|w=100px}} || {{#var:38|Anzahl der Fehlversuche einer Authentifizierung}}
|7=flexelement items_7
|-
|8=flexelement items_8
| {{Beschriftung|{{#var:39|Bannzeit:}}}} || {{ic|3600|c|w=100px}} || {{#var:40|Zeitraum, für den der Zugang zu dieser Authentifizierung gesperrt wird.}}
|9=flexelement items_9
|}
|10%=flexelement items_10
 
}}
 
}}{{#vardefine: class-width_i18 | {{#switch: {{{i18|{{{i|{{{w|3}}} }}} }}}
<br>
|1=flexelement items_1
[[Datei:{{#var:41|UTM_v11-8_F2B_Zeitlinie_1b.png}} | right | thumb | hochkant=2.7 | {{#var:42|Zeitlicher Verlauf ohne Sperrung}} ]]
|2=flexelement items_2
[[Datei:{{#var:43|UTM_v11-8_F2B_Zeitlinie_2b.png}} | right | thumb | hochkant=2.7 | {{#var:44|Zeitlicher Verlauf mit Sperrung}} ]]
|3=flexelement items_3
<br clear=all>
|4=flexelement items_4
{{Hinweis | {{#var:45|! Wichtig:}} | gelb}}
|5=flexelement items_5
 
|6=flexelement items_6
==== {{#var:46|Gesperrte Zugänge wieder freigeben}} ====
|7=flexelement items_7
<p>{{#var:47|Unter {{KastenGrau|Aktuelle Sperrungen}} können gesperrte IP-Adressen für den Erneuten Zugriff auf einen Dienst vor Ablauf der Bannzeit mit dem Button {{Button|'''⤺'''}} wieder freigegeben werden.}}</p>
|8=flexelement items_8
<p>{{#var:28|Das Entsperren ist auch über das CLI möglich:}}
|9=flexelement items_9
{{#var:49|utm.name.local> spf2bd ip remove service admin-ui ip 192.0.2.192}}
|10%=flexelement items_10
{{#var:50|Hier steht die ip <code>192.0.2.192</code> für die IP eines Hosts, für den das admin-Interface gesperrt wurde (per Default unter <nowiki>https://192.168.175.1:11115</nowiki> erreichbar).}}</p>
}}
<br/><br/>
}}{{#vardefine: class-width_i19 | {{#switch: {{{i19|{{{i|{{{w|3}}} }}} }}}
----
|1=flexelement items_1
 
|2=flexelement items_2
==== {{#var:51|Benachrichtigung über Sperrungen}} ====
|3=flexelement items_3
{{#var:52|Im [[:neu/UTM/AlertingCenter#.C3.9Cber_Ereignisse_gesteuerte_Benachrichtigungen.| Alerting Center]] kann unter  {{ic|IPS Sperrungen|bc=green;| c=&#444444;}} eingestellt werden, ob und wie man über solche Sperrungen benachrichtigt werden will.}}
|4=flexelement items_4
<div style="clear: both;">
|5=flexelement items_5
----
|6=flexelement items_6
 
|7=flexelement items_7
{{h3| {{#var:53|Cyber Defence Cloud}} | <small>{{Reiter| {{#var:53|Cyber Defence Cloud}} }}</small>}}
|8=flexelement items_8
<br>
|9=flexelement items_9
<p>{{Hinweis| {{#var:54|Coming soon: 11.8.7}} | 11.8.6}}</p>
|10%=flexelement items_10
 
}}
----
}}{{#vardefine: class-width_i20 | {{#switch: {{{i209|{{{i|{{{w|3}}} }}} }}}
 
|1=flexelement items_1
{{pt3|{{#var:70|UTM_v11-8_IDS-IPS_TCP-Flags.png}}|hochkant=1.5| {{#var:71|Ungültige TCP-Flags}} | {{h3| {{#var:71|Ungültige TCP-Flags}} | <small>{{Reiter| {{#var:71|Ungültige TCP-Flags}} }}</small> }} }}
|2=flexelement items_2
<p>{{Hinweis| {{#var:72|!! Durch eine Änderung / Anpassung der Einstellungen innerhalb dieses Abschnitts, kann es zu Problemen innerhalb des Netzwerks kommen.}} }}</p>
|3=flexelement items_3
 
|4=flexelement items_4
{{#var:73|Die Erkennung der bekannten Flags im TCP-Protokoll kann im Reiter {{Reiter|Ungültige TCP-Flags}} aktiviert oder deaktiviert werden.}}
|5=flexelement items_5
<br><br>
|6=flexelement items_6
<div style="clear: both;">
|7=flexelement items_7
 
|8=flexelement items_8
----
|9=flexelement items_9
 
|10%=flexelement items_10
 
}}
{{pt3|{{#var:74|idsips_trojaner.png}}| hochkant=1.5| {{#var:75|Trojaner}} | {{h3 | {{#var:75|Trojaner}} | <small>{{Reiter| {{#var:75|Trojaner}} }} </small>}} }}
}}{{#if: {{{einblenden | {{{einklappen|}}} }}} |
<p>{{#var:76|Wenn im Netzwerk Aktionen festgestellt werden, die einem Trojaner gleichen, können diese im Reiter {{Reiter|Trojaner}} unterbunden werden.}}</p>
<div class="mw-collapsible {{#ifeq: {{{collapsed|false}}}|true | mw-collapsed}} {{#ifeq: {{{layout|{{{dezent|}}} }}} |dezent|dezent}}"
 
data-expandtext="{{{einblenden|{{{ausklappen|ausklappen}}} }}}"
<p>{{ Hinweis | {{#var:77|!! Wir empfehlen grundsätzlich keinen direkten Verkehr mit anderen Netzwerken, vor allem dem Internet zuzulassen.}} }}</p>
data-collapsetext="{{{ausblenden | {{{einklappen|einklappen}}} }}}"
<p>{{#var:78|Netzwerkverkehr, der über den {{ Hinweis |HTTP-Proxy der UTM| grün}} läuft, kann auf
id="mw-customcollapsible-Gallery"
*'''Schadcode''' ( Einstellungen unter {{ Menu | Anwendungen | HTTP-Proxy }} {{ Reiter | Virenscanner}} ) und
><div class="mw-collapsible-content">
*'''unerwünschte Inhalte''' (Einstellungen unter  {{ Menu | Anwendungen | Webfilter}} ) überprüft werden.}}</p>
}}<div class="flexbox"><div class="{{#var: class-width_i1}}" {{#if:{{{1|}}}||style="border: 1px solid white; background: white; text-align:left;"}}>{{#if:{{{1|}}} | [[Datei:{{{1|}}}|mini|hochkant=2|{{{2|1}}}]] | {{{2|}}} }}</div>
<p>{{#var:79|Weitere Hinweise gibt es in unserem Webinar [https://www.youtube.com/watch?v=yd3GsyGJbNY Best Practice - Gute Firewall Konfiguration] auf Youtube.}} </p>
{{#if: {{{3|}}} | <div class="{{#var: class-width_i2}}">[[Datei:{{{3|}}}|mini|hochkant=2|{{{4|2}}}]]</div>}}
 
{{#if: {{{5|}}} | <div class="{{#var: class-width_i3}}">[[Datei:{{{5|}}}|mini|hochkant=2|{{{6|3}}}]]</div>}}
<br clear=all>
{{#if: {{{7|}}} | <div class="{{#var: class-width_i4}}">[[Datei:{{{7|}}}|mini|hochkant=2|{{{8|4}}}]]</div>}}
{{#if: {{{9|}}} | <div class="{{#var: class-width_i5}}">[[Datei:{{{9|}}}|mini|hochkant=2|{{{10|5}}}]]</div>}}
{{#if: {{{11|}}} | <div class="{{#var: class-width_i6}}">[[Datei:{{{11|}}}|mini|hochkant=2|{{{12|6}}}]]</div>}}
{{#if: {{{13|}}} | <div class="{{#var: class-width_i7}}">[[Datei:{{{13|}}}|mini|hochkant=2|{{{14|7}}}]]</div>}}
{{#if: {{{15|}}} | <div class="{{#var: class-width_i8}}">[[Datei:{{{15|}}}|mini|hochkant=2|{{{16|}}}]]</div>}}
{{#if: {{{17|}}} | <div class="{{#var: class-width_i9}}">[[Datei:{{{17|}}}|mini|hochkant=2|{{{18|}}}]]</div>}}
{{#if: {{{19|}}} | <div class="{{#var: class-width_i10}}">[[Datei:{{{19|}}}|mini|hochkant=2|{{{20|}}}]]</div>}}
{{#if: {{{21|}}} | <div class="{{#var: class-width_i11}}">[[Datei:{{{21|}}}|mini|hochkant=2|{{{22|}}}]]</div>}}
{{#if: {{{23|}}} | <div class="{{#var: class-width_i12}}">[[Datei:{{{23|}}}|mini|hochkant=2|{{{24|}}}]]</div>}}
{{#if: {{{25|}}} | <div class="{{#var: class-width_i13}}">[[Datei:{{{25|}}}|mini|hochkant=2|{{{26|}}}]]</div>}}
{{#if: {{{27|}}} | <div class="{{#var: class-width_i14}}">[[Datei:{{{27|}}}|mini|hochkant=2|{{{28|}}}]]</div>}}
{{#if: {{{29|}}} | <div class="{{#var: class-width_i15}}">[[Datei:{{{29|}}}|mini|hochkant=2|{{{30|}}}]]</div>}}
{{#if: {{{31|}}} | <div class="{{#var: class-width_i16}}">[[Datei:{{{31|}}}|mini|hochkant=2|{{{32|}}}]]</div>}}
{{#if: {{{33|}}} | <div class="{{#var: class-width_i17}}">[[Datei:{{{33|}}}|mini|hochkant=2|{{{34|}}}]]</div>}}
{{#if: {{{35|}}} | <div class="{{#var: class-width_i18}}">[[Datei:{{{35|}}}|mini|hochkant=2|{{{36|}}}]]</div>}}
{{#if: {{{37|}}} | <div class="{{#var: class-width_i19}}">[[Datei:{{{37|}}}|mini|hochkant=2|{{{38|}}}]]</div>}}
{{#if: {{{39|}}} | <div class="{{#var: class-width_i20}}">[[Datei:{{{39|}}}|mini|hochkant=2|{{{40|}}}]]</div>}}
</div>
{{#if: {{{einklappen}}} |</div></div>}}
<noinclude>
{{Dokumentation}}
</noinclude>

Version vom 8. November 2019, 14:30 Uhr



























Fail2Ban





































De.png
En.png
Fr.png

Beschreibung der Intrusion Detection und Intrusion Prevention Funktionen

Letzte Anpassung zur Version: 11.8.6

Neu:

  • Fehlgeschlagene Authentifizierungsversuche auf die Webschnittstellen und den SSH Dienst können für gewisse Zeit blockiert werden. Mit der Überwachung und der temporären Sperrung der Zugänge werden Angriffe aus dem Internet oder einem Netzwerk erkannt und deutlich erschwert.
  • Neu in 11.8.6 FailToBan erweitert um die Authentifizierung über das Mailgateway.


Vorherige Versionen: 11.7 | 11.8


Einleitung

IDS (Intrusion Detection System) und IPS (Intrusion Prevention System) können Angriffe aus dem Internet oder einem Netzwerk erkennen und verhindern.
Diese Funktionen sind hilfreich, um das Fluten des Servers mit bösartigen Verbindungsversuchen zu stoppen.

Überwachung der Firewall

Aktivierung der Überwachung

Die Aktivierung / Deaktivierung der Überwachung erfolgt im Menü → Firewall →Implizite Regeln in der Gruppe 'BlockChain'.

Ein BlockChain
Es lässt sich die Überwachung für diese Zugänge abschalten
Vorgabe Regel Beschreibung
Ein FailToBan_ssh Zugriff per ssh
Ein FailToBan_http_admin Zugriff über das Admin Interface
Ein FailToBan_http_user Zugriff über das User Interface
Neu in 11.8.6 Ein FailToBan_smtp Zugriff über das Mailgateway



Sperrungen

Sperrungen

Die Zugänge zur Firewall können nach einer bestimmten Anzahl fehlerhafter Anmeldeversuche gesperrt werden.

Im Menü → Anwendungen →IDS / IPS werden die Einstellungen konfiguriert.

Im Abschnitt Sperrungen können unter

Allgemein
Niemals gesperrte Adressen und Zonen: hinzugefügt werden. Von diesen sind dann unbegrenzt viele Fehl-Versuche für eine Anmeldung möglich. In der Klickbox können verschiedene vorhandene Zonen ausgewählt oder neue IP-Adressen und Subnetze angegeben werden.


Unter  Geschützte Dienste  werden Dienste Konfiguriert, deren Authentifizierungsversuche überwacht und damit geschützt werden.
Es finden sich vier bereits vorkonfigurierte Dienste, die entfernt und wieder hinzugefügt werden können.:
Dienst Beschreibung
admin-ui Das Entsperren ist auch über das CLI möglich:
sshd Authentifizierung über ssh-Protokoll (z.B. PuTTY)
user-ui Authentifizierung über das User-Interface.
(Standard-Login-Port für User unter: 192.168.175.1:443)
smtp Authentifizierung über das Mailgateway


Da im Auslieferungszustand alle vier Dienste bereits konfiguriert sind, lassen sich mit + Hinzufügen erst nach vorherigem entfernen auch Dienste auswählen.

Folgende Werte können konfiguriert werden:

Beschriftung Default-Wert Beschreibung
Messzeit: 86400Link= Sekunden Messzeit innerhalb der Fehlversuche gezählt werden.
Max. Versuche: 3Link= Anzahl der Fehlversuche einer Authentifizierung
Bannzeit: 3600Link= Zeitraum, für den der Zugang zu dieser Authentifizierung gesperrt wird.



Zeitlicher Verlauf ohne Sperrung
Zeitlicher Verlauf mit Sperrung


Wichtig:

Gesperrte Zugänge wieder freigeben

Unter  Aktuelle Sperrungen  können gesperrte IP-Adressen für den Erneuten Zugriff auf einen Dienst vor Ablauf der Bannzeit mit dem Button wieder freigegeben werden.

Das Entsperren ist auch über das CLI möglich:

utm.name.local> spf2bd ip remove service admin-ui ip 192.0.2.192
Hier steht die ip 192.0.2.192 für die IP eines Hosts, für den das admin-Interface gesperrt wurde (per Default unter https://192.168.175.1:11115 erreichbar).




Benachrichtigung über Sperrungen

Im Alerting Center kann unter IPS Sperrungen eingestellt werden, ob und wie man über solche Sperrungen benachrichtigt werden will.


Cyber Defence Cloud

Cyber Defence Cloud


Coming soon: 11.8.7


Ungültige TCP-Flags

Ungültige TCP-Flags
Ungültige TCP-Flags

Durch eine Änderung / Anpassung der Einstellungen innerhalb dieses Abschnitts, kann es zu Problemen innerhalb des Netzwerks kommen.

Die Erkennung der bekannten Flags im TCP-Protokoll kann im Reiter Ungültige TCP-Flags aktiviert oder deaktiviert werden.



Trojaner

Trojaner
Trojaner

Wenn im Netzwerk Aktionen festgestellt werden, die einem Trojaner gleichen, können diese im Reiter Trojaner unterbunden werden.

Wir empfehlen grundsätzlich keinen direkten Verkehr mit anderen Netzwerken, vor allem dem Internet zuzulassen.

Netzwerkverkehr, der über den HTTP-Proxy der UTM läuft, kann auf *Schadcode ( Einstellungen unter → Anwendungen →HTTP-Proxy Virenscanner ) und *unerwünschte Inhalte (Einstellungen unter → Anwendungen →Webfilter ) überprüft werden.

Weitere Hinweise gibt es in unserem Webinar Best Practice - Gute Firewall Konfiguration auf Youtube.