Der Collector ist so konzipiert, dass er eine sichere und zuverlässige Datenübertragung zwischen den EventSentry Agenten und den Collector. Die meisten der unten aufgeführten Sicherheitseinstellungen gelten nur, wenn die TLS-Kommunikation aktiviert ist.
TLS-Verschlüsselung
Zertifikate für die TLS-Kommunikation werden automatisch vom Collector erstellt, wenn der Dienst zum ersten Mal gestartet wird. Zertifikate werden mit einer Bitlänge von 2048 Bit (1024 Bit auf Windows Server 2003) unter Verwendung von SHA256 als Signaturalgorithmus erstellt.
Chiffren
Der/die Agent(en) und der Collector handeln auf beiden Hosts die sicherste verfügbare Chiffre aus. Die verwendete Chiffre hängt sowohl vom Betriebssystem als auch von der Schannel-Konfiguration unter Windows ab (sowohl auf dem Client (Agent) als auch auf dem Server (Collector)).
Es wird empfohlen, den Collector möglichst auf der neueren Windows-Version (2012 oder höher) laufen zu lassen, um sicherzustellen, dass die sichersten Chiffren zur Verfügung stehen. |
Standardmäßige Sicherheitsfunktionen
Die folgenden Sicherheitsfunktionen sind immer aktiviert, unabhängig von der unten gewählten Sicherheitsstufe.
Shared Secret
Wenn ein EventSentry Agent sich zum ersten Mal mit einem Collector verbindet, generiert er eine eindeutige ID sowie ein gemeinsames Passwort, das er über einen verschlüsselten TLS-Kanal an den Collector sendet. Der Collector speichert dann das gemeinsame Geheimnis lokal und ordnet es der eindeutigen ID des entfernten Hosts zu. Sobald das "shared secret" mit dem entfernten Host assoziiert ist, werden nur noch Verbindungsversuche akzeptiert, die mit dem lokal gespeicherten gemeinsamen Geheimnis übereinstimmen. Dadurch wird sichergestellt, dass ein entfernter Host nicht imitiert werden kann.
Zertifikatsvalidierung (Agenten)
Wenn ein Agent zum ersten Mal eine Verbindung zu einem Collector herstellt, lädt er das Zertifikat des Remote-Hosts herunter und speichert es lokal im Cache. Bei allen zukünftigen Verbindungsversuchen mit demselben Collector wird das vom Collector vorgelegte Zertifikat mit dem lokal zwischengespeicherten Zertifikat verglichen. Die Verbindung wird vom Agenten abgebrochen, wenn die Zertifikate nicht übereinstimmen.
Sicherheitsebenen
Der Collector unterstützt 3 verschiedene Sicherheitsstufen sowie Zugriffslisten auf IP-Ebene, um sicherzustellen, dass sich nur autorisierte Hosts mit dem Collector verbinden können. Die Sicherheitsstufen sind kumulativ: Eine mittlere Sicherheitsstufe erfordert, dass Prüfungen von der Basissicherheitsstufe durchlaufen werden, eine hohe Sicherheitsstufe erfordert, dass Prüfungen sowohl von der Basis- als auch von der mittleren Sicherheitsstufe durchlaufen werden.
Netzwerkbasierte Berechtigungen (autorisierte und gesperrte Netzwerke) werden immer ausgewertet, bevor eine weitere Prüfung auf Basis der Sicherheitsstufe durchgeführt wird. |
Grundlegend
Ermöglicht jedem EventSentry-Agenten mit einer gültigen gemeinsamen geheimen Verbindung.
Medium
Der Remote-Hostname (der vom Agenten in einer Autorisierung gesendet wird, die auf dem Hostnamen des Agenten basiert) muss sich in einer EventSentry-Gruppe befinden, damit eine Verbindung hergestellt werden kann.
Hoch
Ein Reverse-IP-Lookup des verbindenden Hosts muss zu einem Host in einer Gruppe aufgelöst werden. Wenn z. B. ein Host mit der IP-Adresse 192.168.1.50 eine Verbindung herstellt, versucht der Collector, eine umgekehrte IP-Abfrage durchzuführen und dann den resultierenden Hostnamen in einer Gruppe zu finden.
Zertifikat zurücksetzen
Das Zurücksetzen des Collectorzertifikats ist nur unter den folgenden Umständen erforderlich:
• Das Zertifikat wurde kompromittiert und muss ersetzt werden
• Das Zertifikat muss durch ein anderes Zertifikat ersetzt werden
• Die entfernten Hosts haben ein anderes Zertifikat für den Collector-Host zwischengespeichert und lehnen den Collector ab
Beim Zurücksetzen des Zertifikats werden die folgenden Aktionen durchgeführt:
1. Das bestehende Zertifikat wird umbenannt (um das Zertifikat zu erhalten)
2. Wenn der EventSentry Collector neu gestartet wird, wird ein neues Zertifikat erstellt
3. Remote-Agenten werden bis zu 1 Woche lang befugt sein, ein neues Zertifikat zu akzeptieren.
Nach dem Klicken auf die Schaltfläche "Zertifikat zurücksetzen" müssen die folgenden Aktionen durchgeführt werden:
1. Die Konfiguration muss an alle entfernten Hosts übertragen werden
2. Der EventSentry Collector-Dienst muss neu gestartet werden
"Shared Secret" zurücksetzen
Das Zurücksetzen gemeinsam genutzter Geheimnisse ist nur dann erforderlich, wenn ein entfernter EventSentry-Agent neu installiert wird, ohne zuvor aus der Konfiguration entfernt worden zu sein. Durch Klicken auf die Schaltfläche "Reset Shared Secrets" wird die gesamte lokale Datenbank mit gemeinsam genutzten Geheimnissen gelöscht und neue gemeinsam genutzte Geheimnisse von allen entfernten Hosts akzeptiert, so als ob sie sich zum ersten Mal verbinden würden.
Netzwerk-Autorisierung
Autorisierte und gesperrte Netzwerke können für beide angegeben werden:
• nur bestimmten Hosts oder Subnetzen Zugang gewähren
• bestimmte Hosts oder Subnetze blockieren
• beides
Autorisierte Netzwerke
Gibt alle autorisierten Netzwerke an. Autorisiert alle Subnetze/Hosts, wenn leer. Blockierte Netzwerke haben Vorrang vor autorisierten Netzwerken.
Blockierte Netzwerke
Gibt alle Subnetze/Hosts an, die keine Verbindung herstellen dürfen. Blockierte Hosts haben immer Vorrang vor autorisierten Hosts.