Produktbeschreibung. BalaBit. Shell Control Box. Copyright 2000-2007 BalaBit IT Security All rights reserved. www.balabit.de

Ähnliche Dokumente
How-to: Webserver NAT. Securepoint Security System Version 2007nx

Root-Server für anspruchsvolle Lösungen

FTP-Leitfaden RZ. Benutzerleitfaden

Übersicht. Was ist FTP? Übertragungsmodi. Sicherheit. Öffentliche FTP-Server. FTP-Software

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Benutzeranleitung (nicht für versierte Benutzer) SSH Secure Shell

Konfigurationsanleitung Network Address Translation (NAT) Funkwerk. Seite Copyright Stefan Dahler Oktober 2008 Version 1.

ANYWHERE Zugriff von externen Arbeitsplätzen

Übung - Konfigurieren einer Windows-XP-Firewall

Powermanager Server- Client- Installation

Guide DynDNS und Portforwarding

Übung - Konfigurieren einer Windows 7-Firewall

Backup der Progress Datenbank

WLAN Konfiguration. Michael Bukreus Seite 1

Übung - Datensicherung und Wiederherstellung in Windows 7

Eigenen WSUS Server mit dem UNI WSUS Server Synchronisieren

Technical Note ewon über DSL & VPN mit einander verbinden

How to install freesshd

Avira Server Security Produktupdates. Best Practice

FTP-Leitfaden Inhouse. Benutzerleitfaden

Anbindung des eibport an das Internet

Datensicherung EBV für Mehrplatz Installationen

meta.crm meta.relations

Swisscom TV Medien Assistent

Wo finde ich die Software? - Jedem ProLiant Server liegt eine Management CD bei. - Über die Internetseite

Hinweise zum Update des KPP Auswahltools (Netzwerkinstallation) auf Version 7.2

Memeo Instant Backup Kurzleitfaden. Schritt 1: Richten Sie Ihr kostenloses Memeo-Konto ein

Anleitung zur Nutzung des SharePort Utility

Formular»Fragenkatalog BIM-Server«

Durchführung der Datenübernahme nach Reisekosten 2011

IntelliRestore Seedload und Notfallwiederherstellung

Übung - Konfigurieren einer Windows Vista-Firewall

estos UCServer Multiline TAPI Driver

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Übung - Datensicherung und Wiederherstellung in Windows Vista

Diese Anleitung enthält Anweisungen, die nur durch erfahrene Anwender durchgeführt werden sollten!

OpenMAP WEBDrive Konfiguration. Oxinia GmbH , Version 1

Hilfestellung. ALL500VDSL2 Rev.B & ALL02400N. Zugriff aus dem Internet / Portweiterleitung / Fernwartung. Router. Endgeräte. lokales.

Installation und Sicherung von AdmiCash mit airbackup

Inhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER

START - SYSTEMSTEUERUNG - SYSTEM - REMOTE

ICS-Addin. Benutzerhandbuch. Version: 1.0

Anleitung zur Konfiguration eines NO-IP DynDNS-Accounts mit der TOOLBOXflex-3.2

Firewalls für Lexware Info Service konfigurieren

Virtual Private Network

SharePoint Demonstration

Handbuch. timecard Connector Version: REINER SCT Kartengeräte GmbH & Co. KG Goethestr Furtwangen

Netzwerkeinstellungen unter Mac OS X

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Cisco Security Monitoring, Analysis & Response System (MARS)

Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite.

Funktion rsync mit den actinas Cube Systemen.

Installation und Konfiguration Microsoft SQL Server 2012

Firewalls für Lexware Info Service konfigurieren

Avira Professional Security/ Avira Server Security Version 2014 Release-Informationen

Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten

Installationsanleitung dateiagent Pro

BitDefender Client Security Kurzanleitung

Auto-Provisionierung tiptel 31x0 mit Yeastar MyPBX

kreativgeschoss.de Webhosting Accounts verwalten

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)

UMSTELLUNG DER RÖNTGEN-SCHNITTSTELLE DÜRR-DBSWIN AUF DÜRR-VDDS

Leichte-Sprache-Bilder

Seite 1 von 14. Cookie-Einstellungen verschiedener Browser

Verwendung des Terminalservers der MUG

Ist Excel das richtige Tool für FMEA? Steve Murphy, Marc Schaeffers

Mit der in Windows Vista integrierten Firewall Schützen Sie Ihren Computer gegen Angriffe aus dem Internet.

Spotlight 5 Gründe für die Sicherung auf NAS-Geräten

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version Deutsch

Umgang mit der Software ebuddy Ändern von IP Adresse, Firmware und erstellen von Backups von ewon Geräten.

Senden von strukturierten Berichten über das SFTP Häufig gestellte Fragen

ISA Server 2004 Erstellen einer Webverkettung (Proxy-Chain) - Von Marc Grote

Virtual Private Network

Datenbank-Verschlüsselung mit DbDefence und Webanwendungen.

Nachricht der Kundenbetreuung

OP-LOG

Systemvoraussetzungen und Installation

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

Lizenzen auschecken. Was ist zu tun?

Verwendung des IDS Backup Systems unter Windows 2000

Anleitung zum Extranet-Portal des BBZ Solothurn-Grenchen

NTR-Support Die neue Fernwartung

Welche Bereiche gibt es auf der Internetseite vom Bundes-Aufsichtsamt für Flugsicherung?

Datensicherung. Beschreibung der Datensicherung

Anleitung für den Zugriff auf Mitgliederdateien der AG-KiM

Integration mit. Wie AristaFlow Sie in Ihrem Unternehmen unterstützen kann, zeigen wir Ihnen am nachfolgenden Beispiel einer Support-Anfrage.

Ist das so mit HTTPS wirklich eine gute Lösung?

Das Handbuch zu KNetAttach. Orville Bennett Übersetzung: Thomas Bögel

Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2

CD einlegen (Moment warten) Die Aktion markieren, die durchgeführt werden soll. (in diesem Beispiel»Audio-CD-Wiedergabe)

Online-Prüfungs-ABC. ABC Vertriebsberatung GmbH Bahnhofstraße Neckargemünd

MARCANT - File Delivery System

Diese Anleitung erläutert die Einrichtung des Active Directory Modus im DNS-343.

Endpoint Web Control Übersichtsanleitung

Information zum SQL Server: Installieren und deinstallieren. (Stand: September 2012)

GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT

ISA Server 2004 Protokollierung - Von Marc Grote. Die Informationen in diesem Artikel beziehen sich auf:

Installation Server HASP unter Windows 2008 R2 Server 1 von 15. Inhaltsverzeichnis

Transkript:

Shell Control Box Produktbeschreibung BalaBit Shell Control Box Copyright 2000-2007 BalaBit IT Security All rights reserved. www.balabit.de

Einleitung Die BalaBit Shell Control Box () ist eine Appliance zur Kontrolle, Überwachung und Protokollierung der Administration von entfernten Servern. Das Gerät kontrolliert die Administratoren und die Administrationsprozesse, indem es die bei der fernen Serveradministration verwendeten verschlüsselten Verbindungen überwacht. Die ist ein externes, vollkommen transparentes und von Clients und Servern unabhängiges Gerät. Zu ihrem Einsatz bedarf es keiner Modifizierung der client- oder serverseitigen Anwendungen, sie lässt sich problemlos in bereits bestehende Infrastrukturen integrieren. Die zeichnet den gesamten administrativen Verkehr auf (einschließlich Konfigurationsänderungen, ausgeführte Befehle, usw.) und speichert diesen in Prüfprotokollen, so genannten Audit Trails. Alle Informationen werden in digital verschlüsselten Dateien gespeichert, um die Modifizierung und Manipulation der Protokolle zu verhindern. Tritt irgendein Problem auf (Serverkonfigurationsfehler, unautorisierte Copyright Datenbankänderung, 2000-2006 BalaBit IT Security unerwartetes All rights Herunterfahren), reserved. www.balabit.hu sind die Umstände des Ereignisses sofort in den Prüfprotokollen zugänglich, wodurch sich die Gründe des Vorfalls leicht feststellen lassen. Die gespeicherten Audit Trails lassen sich wie Filme abspielen und stellen somit sämtliche Handlungen des Administrators dar. Alle Prüfprotokolle werden indiziert, was unter anderem schnelles Blättern und Suchen in den aufgezeichneten Texten ermöglicht.

Anwendungsgebiete und Zielgruppen Erfüllung gesetzlicher Vorschriften Bestimmte Vorschriften beispielsweise der Sarbanes-Oxley Act (SOX), welcher für alle, auch ausländische, in den USA börsennotierte Aktiengesellschaften verbindlich gilt erfordern vom Finanzvorstand eines Unternehmens die Bestätigung, dass die den Behörden vorgelegten Finanzdaten korrekt, und von niemandem manipuliert worden sind. Auch in anderen Branchen existieren ähnlich strenge Regelungen zum entsprechenden Schutz persönlicher oder finanzieller Daten, so z.b. der Health Insurance Portability and Accountability Act, HIPAA, oder die Payment Card Industry (PCI) Bestimmungen. Daten dieser Art werden für gewöhnlich in einer Datenbank eines Zentralservers gespeichert, die nur durch entsprechende Anwendungen, beispielsweise eine Finanzsoftware, zugänglich ist. Diese Programme erstellen immer die den gesetzlichen Vorschriften entsprechenden Protokolle und Berichte. Jedoch beachten diese Anwendungen lediglich den vorschriftsmäßigen Zugang zur Datenbank. Auf die Datenbank kann aber auch der für die Serverwartung zuständige Systemadministrator zugreifen. Da der Administrator über besondere Rechte auf dem Server verfügt, hat er die Möglichkeit, direkt auf die Datenbank zuzugreifen, diese zu manipulieren und sogar die darauf deutenden Spuren aus den Serverprotokollen zu löschen. Die protokolliert aber eben die Aktivitäten des Administrators, die Protokolle und Berichte anderer Anwendungen ergänzend. Unternehmen mit ausgegliederter IT Viele Unternehmen beauftragen externe Firmen mit der Konfiguration, Wartung und Aufsicht ihrer Server und IT-Dienste. Dies bedeutet im Grunde, dass das Unternehmen bereit ist, alle Daten (z.b. privaten und geschäftlichen E-Mail-Verkehr, Kundendaten, usw.) oder sogar den Betrieb unternehmenskritischer Dienste, wie beispielsweise einen Online-Shop, den Administratoren der externen Firma anzuvertrauen. In solchen Fällen ist es sehr beruhigend, wenn eine unabhängige Instanz alle Aktivitäten der Administratoren verlässlich protokolliert. Die BalaBit Shell Control Box tut genau dies sie liefert detaillierte Informationen im Falle eines mit den Servern zusammenhängenden Problems, und vereinfacht somit das Auffinden der dafür Verantwortlichen. Unternehmen, die Fernwartung anbieten Unternehmen am anderen Ende der Ausgliederungskette z.b. Server- oder Webhosting anbietende Dienstleistungsbetriebe können ebenfalls vom Einsatz der profitieren. Sie bietet die Möglichkeit zur Überwachung und Protokollierung der Administratoren, ist aber auch ein hervorragendes Instrument zur Bewertung ihrer Effektivität. Die gespeicherten Audit Trails können auch verwendet werden um mit der Fernwartung zusammenhängende Streitfälle lösen zu können. Sicherheitsexperten, die sich mit Honeypot-Systemen beschäftigen Ihre transparenten Protokollierungsfähigkeiten machen die zum idealen Werkzeug für den Betrieb von Honeypot und Honeynet-Systemen. Alle Hacker-Aktivitäten auf entfernt liegende Server können aufgezeichnet werden, ohne dass die Angreifer die Möglichkeit haben, die Aufzeichnungen zu verfälschen oder zu löschen.

Besondere Produkteigenschaften Überwachen und Protokollieren Sie die Arbeit Ihrer Systemadministratoren Sammeln Sie verlässliche Informationen für den Fall einer Betriebsstörung Unabhängiges, schwer zu kompromittierendes Instrument Kontrollieren Sie alle Aspekte der SSH-Verbindungen Präzise Zugangssteuerung zu den Servern Leichte Integration in die bestehende Infrastruktur Führen Sie das 4-Augen Prinzip zur Zugriffsüberwachung ein Unterstützt Hochverfügbarkeit Basiert auf verlässlicher Sun Microsystems Hardware Der Grundpreis beinhaltet einjährige Produktunterstützung, Garantie und Updates Einfaches, webbasiertes System-Management Automatische Datenarchivierung und Sicherheitsbackups Halten Sie SSH-Daten eines ganzen Jahres auf der BalaBit Shell Control Box

Integration der im Netzwerk Um die Integration ins Netzwerk zu vereinfachen, unterstützt die 3 verschiedene Operationsmodi: Bridge, Router und Bastion Host Bridge Modus Im Bridge Modus operiert die als Brücke und verbindet die Netzwerksegmente der Administratoren mit den Segmenten der Server auf der 2. Schicht im OSI-Modell (Sicherungsschicht). Client External interface Internal interface Management interface IP scb IP server Server administrator Router Modus Im Router Modus fungiert die als Router und verbindet die Netzwerksegmente der Administratoren mit den Segmenten der Server auf der 3. Schicht im OSI-Modell (Vermittlungsschicht). Client External interface Internal interface IP server IP scb Management interface IP scb IP server Server administrator Bastion Modus Die Administratoren können nur die adressieren oder werden von vorgelagerten Firewalls mittels NAT auf die umgeleitet, die Server sind direkt nicht zugänglich. Anhand der Parameter einer ankommenden Verbindung (die IP-Adresse des Administrators, die IP-Adresse und die Port-Nummer des Ziels) legt die fest, zu welchem Server eine Verbindung aufgebaut und protokolliert werden muss. Client administrator External interface IP server Server

Protokollkontrolle Die operiert als Proxy-Gateway auf der Anwendungsebene: SSH-Verbindungen und Verkehr werden auf Anwendungsebene (7., Anwendungsschicht im OSI-Modell) überwacht, der den Protokollvorgaben nicht entsprechende Verkehr wird abgewiesen, somit kann ein wirksamer Schutz gegen Angriffe gewährt werden. Eine solche hoch entwickelte Überwachung des SSH-Protokolls ermöglicht die Überprüfung unterschiedlicher Parameter der Verbindung, wie beispielsweise die verwendeten Authentifizierungsmethoden oder Verschlüsselungsalgorithmen. Unwanted tunnel Allowed tunnel Audited tunnel SSH TRAFFIC UPLOAD CD COPY Verkehrsüberwachung und Aufzeichnung mit der Die speichert den SSH-Verkehr in frei durchsuchbaren Audit Trails, wodurch im Falle einer Betriebsstörung o.ä. wichtige Informationen leicht auffindbar sind. Durchforsten Sie die Prüfprotokolle online oder verfolgen Sie die Aktivitäten der Administratoren in Echtzeit. Sowohl die in der, als auch auf entfernt liegenden Servern archivierten Audit Trails sind von der -Bedienungsoberfläche zugänglich. Der mitgelieferte Player kann den aufgezeichneten SSH-Verkehr in Form eines Films abspielen jede Aktivität der Administratoren wird genauso dargestellt, wie es auf deren Monitor erschienen ist. Die speichert alle Protokollbestände digital verschlüsselt und verhindert so die Manipulation der Daten und gewährleistet somit verlässliche Informationen. Verlässliche Protokollierung Systemprotokollierung basiert normalerweise auf den Journaldateien des überwachten Servers. Dieses Modell ist von vornherein problematisch, da es keine Garantie dafür gibt, dass die auf den Servern gespeicherten oder von dort weitergeleiteten Journaleinträge nicht von Administratoren oder Angreifern manipuliert worden sind. Die ist ein unabhängiges, transparent operierendes Werkzeug, das die Protokolldaten unmittelbar aus der Kommunikation zwischen Client und Server generiert. So können die protokollierten Daten nicht modifiziert werden die verschlüsselten Audit Trails können selbst vom - Administrator nicht verändert werden.

Strenge Zugangskontrolle wer, wann, von wo, wie, zu welchem Server Zugang hat Mit Hilfe der lassen sich Verbindungen definieren: der Server ist mittels SSH nur von den aufgelisteten IP-Adressen der Clients zugänglich. Dies kann weiterhin eingegrenzt werden, indem man die zugelassenen Nutzer, die Authentifizierungsmethode, den Zeitpunkt, und den Typ des SSH-Kanals bestimmt. Die überprüft auch das Authentifizierungsmittel, das heißt, sie kann den Einsatz starker Authentifizierungsmethoden (Public Key) erzwingen und ist auch in der Lage, die Benutzer-Keys zu kontrollieren. Folgende Parameter lassen sich kontrollieren: Die IP-Adressen der Clients, die Zugang zum Server haben. Die Administratoren, die Zugang zum Server haben dürfen (Nutzername black- und whitelists ). Die Authentifizierungsmethode (z.b. Passwort, Public Key), durch die Zugang zum Server besteht. Das Zeitfenster, innerhalb dessen der Server erreichbar ist (z.b. nur während der Arbeitszeiten). Der Typ des zum Server zugelassenen SSH-Kanals (z.b. SSH-Terminal,Port Forward, usw.). Die oben genannten Regeln lassen sich sowohl auf Verbindungs- als auch Kanalebene anwenden. So kann der Zugang zu speziellen Kanälen auf eine kleinere Gruppe von Administratoren beschränkt werden nur diejenigen haben Zugang, die ihn wirklich benötigen.

Menschlichen Fehlern vorbeugen: 4-Augen Autorisierung Zur Vermeidung von Fehlkonfigurationen und anderen menschlichen Fehlern unterstützt die das 4-Augen Autorisierungsprinzip. Dabei müssen zwei Administratoren gleichzeitig am Server eingeloggt sein und kontinuierlich die gegenseitigen Aktivitäten kontrollieren: der Server genehmigt den Anschluss des ersten Administrators erst dann, wenn auch der zweite sich erfolgreich eingeloggt hat. Überprüfung der Serveridentität Die verfügt über die Fähigkeit, die systemidentifizierenden Host- Keys zu überprüfen, um so genannten man-in-the-middle Angriffen und anderen Manipulationen vorzubeugen. Hochverfügbarkeit Software-Upgrades Der gesamte administrative SSH-Verkehr muss die passieren, die dadurch zum single point of failure werden kann. Im Falle eines Sytemausfalls, könnten die Administratoren die geschützten Server nicht mehr erreichen, was bezüglich kritischer Server und Leistungen inakzeptabel wäre. Daher kann die redundant als Hochverfügbarkeitscluster ausgelegt werden. Dabei operieren gleichzeitig zwei identisch konfigurierte -Systeme im Hot-Stand-By Modus. Die aktive Shell Control Box überträgt alle Konfigurationsänderungen, Audit Trails und andere Daten in Echtzeit auf das passive System, das sich sofort aktiviert, wenn ein Problem mit dem Master-System festgestellt wird. Software-Updates stehen als Firmware-Images bereit die kann leicht über das Web-Interface aktualisiert werden. Die kann bis zu fünf vorherige Firmware-Versionen speichern, von denen jede verwendet werden kann, wodurch im Falle eines Problems ein früherer Stand leicht wiederhergestellt werden kann. Im Grundpreis jeder sind Software-Updates ein Jahr lang mit inbegriffen.

Automatische Daten- und Konfigurationssicherung Die gespeicherten Protokolldateien sowie die Konfigurationseinstellungen der lassen sich regelmäßig mittels nachfolgender Protokolle auf einen entfernten Server transferieren. Network File System Protokoll (NFS), Rsync über SSH, Server Message Block Protokoll (SMB/CIFS). Die zuletzt erfolgte Sicherung die Datensicherung inbegriffen lässt sich leicht über die Benutzeroberfläche wiederherstellen. Automatische Archivierung Die Konfigurationseinstellungen der und die gespeicherten Audit Trails lassen sich automatisch auf einen entfernten Server archivieren. Die so ausgelagerten Daten bleiben weiterhin verfügbar und durchsuchbar, wodurch über die -Benutzeroberfläche mehrere Terabyte an Datenmaterial zugänglich sind. Über das Network File System (NFS) oder das Server Message Block (SMB/CIFS) Protokoll benutzt die den entfernten Server als Netzwerktreiber. Daten von mehr als einem Jahr sind verfügbar Da die textbasierende Secure Shell normalerweise keine großen Datenmengen erzeugt und hochkomprimierbare Audit Trails erzeugt werden, typischerweise ca. 1 MB pro Stunde, wird nicht viel Speicherkapazität auf der Festplatte benötigt. Somit kann die BalaBit Shell Control Box nahezu 500.000 Stunden aufzeichnen. Dies bedeutet, dass wenn 50 Administratoren durchgehend (7x24) online arbeiten, die in der Lage ist, SSH-Verbindungen von mehr als einem Jahr zu speichern in durchsuchbarer, abspielbarer und direkt erreichbarer Form. Verwaltung der Die wird über ein klar gegliedertes, intuitives Web-Interface konfiguriert. Die Rolle jedes Benutzers kann mit Hilfe nachfolgender Eigenschaften bestimmt werden: die Host-Konfiguration der, die Verwaltung der zu den Servern zugelassenen SSH-Verbindungen und der Zugang zu den Protokolldateien. Die Benutzeroberfläche kann nur durch das für den Managementverkehr vorbehaltene Interface erreicht werden.

Hardwarespezifikationen Die -Produkte basieren auf den leistungsstarken, energieeffizienten und verlässlichen Sun Microsystems X2100 und X2200 Servern. BalaBit Shell Control Box N1025 Sun Fire X2100 M2 x64 Server: AMD Opteron Model 1214 dual core processor (2.2GHz/1MB), 2x 1GB unregistered ECC DDR2-667 memory,2x Internal 250GB 7,200 RPM 3.5-inch Serial ATA Hard Disk Drive with bracket, 1x PSU, Service Processor, 4x 10/100/1000 Ethernet ports, 6x USB 2.0 ports, 1x I/O riser card with 2x PCI-Express x8 slots, X-Option slide rail kit for X2100 M2, Localized Power Cord Kit Continental Europe This Product is Hazard Class Y BalaBit Shell Control Box N2500 Sun Fire X2200 M2 x64 Server: 2x AMD Opteron Model 2214 dual core processor (2.2GHz/1MB), 4x 1GB registered ECC DDR2-667 memory,2x Internal 500GB 7,200 RPM 3.5-inch Serial ATA Hard Disk Drive with bracket, 1xPSU, Service Processor, 4x 10/100/1000 Ethernet ports, 6x USB 2.0 ports, 1x I/O riser card with 2x PCI-Express x8 slots, X-Option slide rail kit for X2200 M2, Localized Power Cord Kit Continental Europe This Product is Hazard Class Y Support und Garantie Der Grundpreis jeder -Einheit beinhaltet folgende Leistungen: Ein Jahr lang Produktunterstützung online und am Telefon (Montag Freitag: 9:00 18.00) Ein Jahr vor Ort Hardware Austauschgarantie. Alle Hardwarefehler werden bei Ihnen am Einsatzort behoben. Ein Jahr lang Softwareupdates Für umfangreichere Produktunterstützung und Gewährleistung wenden Sie Sich bitte an einen unserer Vertriebspartner in Ihrer Nähe. Kostenlose Testversion Eine Demoversion der im VMWare-Format kann auf Anfrage bereit gestellt werden. Für Details wenden Sie Sich bitte an einen unserer Vertriebspartner in Ihrer Nähe oder direkt an die BalaBit IT Security GmbH.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback