Please enable JavaScript to view this site.

Navigation: Arbeiten mit EventSentry > Collector > Konfiguration

Sicherheit

Scroll Prev Top Next More

Der Collector ist so konzipiert, dass er eine sichere und zuverlässige Datenübertragung zwischen den EventSentry Agenten und den Collector. Die meisten der unten aufgeführten Sicherheitseinstellungen gelten nur, wenn die TLS-Kommunikation aktiviert ist.

 

TLS-Verschlüsselung

Zertifikate für die TLS-Kommunikation werden automatisch vom Collector erstellt, wenn der Dienst zum ersten Mal gestartet wird. Zertifikate werden mit einer Bitlänge von 2048 Bit (1024 Bit auf Windows Server 2003) unter Verwendung von SHA256 als Signaturalgorithmus erstellt.

 

Chiffren

Der/die Agent(en) und der Collector handeln auf beiden Hosts die sicherste verfügbare Chiffre aus. Die verwendete Chiffre hängt sowohl vom Betriebssystem als auch von der Schannel-Konfiguration unter Windows ab (sowohl auf dem Client (Agent) als auch auf dem Server (Collector)).

 

security_lock_24

Es wird empfohlen, den Collector möglichst auf der neueren Windows-Version (2012 oder höher) laufen zu lassen, um sicherzustellen, dass die sichersten Chiffren zur Verfügung stehen.

 

Standardmäßige Sicherheitsfunktionen

Die folgenden Sicherheitsfunktionen sind immer aktiviert, unabhängig von der unten gewählten Sicherheitsstufe.

 

Shared Secret

Wenn ein EventSentry Agent sich zum ersten Mal mit einem Collector verbindet, generiert er eine eindeutige ID sowie ein gemeinsames Passwort, das er über einen verschlüsselten TLS-Kanal an den Collector sendet. Der Collector speichert dann das gemeinsame Geheimnis lokal und ordnet es der eindeutigen ID des entfernten Hosts zu. Sobald das "shared secret" mit dem entfernten Host assoziiert ist, werden nur noch Verbindungsversuche akzeptiert, die mit dem lokal gespeicherten gemeinsamen Geheimnis übereinstimmen. Dadurch wird sichergestellt, dass ein entfernter Host nicht imitiert werden kann.

 

Zertifikatsvalidierung (Agenten)

Wenn ein Agent zum ersten Mal eine Verbindung zu einem Collector herstellt, lädt er das Zertifikat des Remote-Hosts herunter und speichert es lokal im Cache. Bei allen zukünftigen Verbindungsversuchen mit demselben Collector wird das vom Collector vorgelegte Zertifikat mit dem lokal zwischengespeicherten Zertifikat verglichen. Die Verbindung wird vom Agenten abgebrochen, wenn die Zertifikate nicht übereinstimmen.

 

Sicherheitsebenen

Der Collector unterstützt 3 verschiedene Sicherheitsstufen sowie Zugriffslisten auf IP-Ebene, um sicherzustellen, dass sich nur autorisierte Hosts mit dem Collector verbinden können. Die Sicherheitsstufen sind kumulativ: Eine mittlere Sicherheitsstufe erfordert, dass Prüfungen von der Basissicherheitsstufe durchlaufen werden, eine hohe Sicherheitsstufe erfordert, dass Prüfungen sowohl von der Basis- als auch von der mittleren Sicherheitsstufe durchlaufen werden.

 

info_32

Netzwerkbasierte Berechtigungen (autorisierte und gesperrte Netzwerke) werden immer ausgewertet, bevor eine weitere Prüfung auf Basis der Sicherheitsstufe durchgeführt wird.

 

Grundlegend

Ermöglicht jedem EventSentry-Agenten mit einer gültigen gemeinsamen geheimen Verbindung.

 

Medium

Der Remote-Hostname (der vom Agenten in einer Autorisierung gesendet wird, die auf dem Hostnamen des Agenten basiert) muss sich in einer EventSentry-Gruppe befinden, damit eine Verbindung hergestellt werden kann.

 

Hoch

Ein Reverse-IP-Lookup des verbindenden Hosts muss zu einem Host in einer Gruppe aufgelöst werden. Wenn z. B. ein Host mit der IP-Adresse 192.168.1.50 eine Verbindung herstellt, versucht der Collector, eine umgekehrte IP-Abfrage durchzuführen und dann den resultierenden Hostnamen in einer Gruppe zu finden.

 

Zertifikat zurücksetzen

Das Zurücksetzen des Collectorzertifikats ist nur unter den folgenden Umständen erforderlich:

 

Das Zertifikat wurde kompromittiert und muss ersetzt werden

Das Zertifikat muss durch ein anderes Zertifikat ersetzt werden

Die entfernten Hosts haben ein anderes Zertifikat für den Collector-Host zwischengespeichert und lehnen den Collector ab

 

Beim Zurücksetzen des Zertifikats werden die folgenden Aktionen durchgeführt:

 

1. Das bestehende Zertifikat wird umbenannt (um das Zertifikat zu erhalten)

2. Wenn der EventSentry Collector neu gestartet wird, wird ein neues Zertifikat erstellt

3. Remote-Agenten werden bis zu 1 Woche lang befugt sein, ein neues Zertifikat zu akzeptieren.

 

Nach dem Klicken auf die Schaltfläche "Zertifikat zurücksetzen" müssen die folgenden Aktionen durchgeführt werden:

 

1. Die Konfiguration muss an alle entfernten Hosts übertragen werden

2. Der EventSentry Collector-Dienst muss neu gestartet werden

 

"Shared Secret" zurücksetzen

Das Zurücksetzen gemeinsam genutzter Geheimnisse ist nur dann erforderlich, wenn ein entfernter EventSentry-Agent neu installiert wird, ohne zuvor aus der Konfiguration entfernt worden zu sein. Durch Klicken auf die Schaltfläche "Reset Shared Secrets" wird die gesamte lokale Datenbank mit gemeinsam genutzten Geheimnissen gelöscht und neue gemeinsam genutzte Geheimnisse von allen entfernten Hosts akzeptiert, so als ob sie sich zum ersten Mal verbinden würden.

 

Netzwerk-Autorisierung

Autorisierte und gesperrte Netzwerke können für beide angegeben werden:

 

nur bestimmten Hosts oder Subnetzen Zugang gewähren

bestimmte Hosts oder Subnetze blockieren

beides

 

Autorisierte Netzwerke

Gibt alle autorisierten Netzwerke an. Autorisiert alle Subnetze/Hosts, wenn leer. Blockierte Netzwerke haben Vorrang vor autorisierten Netzwerken.

 

Blockierte Netzwerke

Gibt alle Subnetze/Hosts an, die keine Verbindung herstellen dürfen. Blockierte Hosts haben immer Vorrang vor autorisierten Hosts.