:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/c8/6fc89f7ea3b729aac10a382de00a5f90/0115140486.jpeg "Sysdig stellt neue Benchmark für Cloud-Sicherheit vor (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6f/44/6f442605378b21b6a1ad080455818d7e/0115182398.jpeg "Unternehmen sollten wirksames Risikomanagement zeitnah umsetzen, bevor sie von der endgültigen deutschen Gesetzgebung zur NIS2-Richtlinie noch überrascht werden. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Community-IPS CrowdSec installieren, einrichten und testen Windows-Server mit CrowdSec IPS vor Cyberattacken schützen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
CrowdSec ist ein Community-getriebenes IPS, das über einen Agenten Computer schützen kann. Dadurch können Teilnehmer an der Community Angriffsmuster miteinander teilen und sich dadurch zuverlässiger verteidigen. Der Dienst funktioniert mit Firewalls zusammen, aber auch mit Linux und Windows.
CrowdSec ist ein Community-IPS, bei dem die angebundenen Geräte, Firewalls und Server/Computer erkannte Angriffe dem System melden. Andere Teilnehmer bei CrowdSec können diese Angriffsmuster nutzen, um sich selbst zu schützen. Einfach ausgedrückt, sorgt CrowdSec dafür, dass bestimmte Angriffsmuster, IP-Adressen und andere Daten von Cyberattacken mit der Community geteilt werden. Ein bereits erkannter Angriff sorgt daher bei allen anderen Mitgliedern der Community sofort für Schutz, weil CrowdSec automatisiert eigene Firewall-Regeln erstellen kann. Im Gegenzug teilt jeder Teilnehmer die Angriffsinformationen mit dem Dienst. Vorbild der Technik ist Fail2Ban. Dabei sammeln Tools wie CrowdSec Signale von den Computern der Community ein und werten diese aus.
:quality(80)/p7i.vogel.de/wcms/26/bf/26bf539ab7567fa2fdbf09707ba30ded/0115099282.jpeg "CrowdSec lässt sich auf Firewalls wie OPNsense einsetzen, um automatisiert Angreifer zu blockieren, die durch die Community erkannt wurden.")
:quality(80)/p7i.vogel.de/wcms/66/94/6694c34d206fda47b1acdb8daa6c83bd/0115099281.jpeg "In OPNsense lässt sich auch ein Firewall-Bouncer von CrowdSec konfigurieren, der automatisiert Firewall-Regeln erstellt.")
:quality(80)/p7i.vogel.de/wcms/99/01/9901022681ac0394b9e40d2e37f416c6/0115099278.jpeg "CrowdSec lässt sich neben Linux und FreeBSD auch auf Windows-Rechnern installieren.")
:quality(80)/p7i.vogel.de/wcms/8b/06/8b06a82214827d89d3a8d32b6a9a22d6/0115099277.jpeg "Der CrowdSec-Windows-Firewall-Bouncer kann Regeln in der Windows-Firewall erstellen.")
CrowdSec schützt Netzwerke und Windows
CrowdSec lässt sich in Firewalls einbinden, wie zum Beispiel OPNsense. Durch die Teilnahme an der Community versorgt der Client auf der Firewall diese mit den notwendigen Aliasen über die IP-Adressen der Angriffe. Diese blockiert die Firewall in Zukunft. Schon alleine das sorgt für mehr Sicherheit im Netzwerk. Auf dem gleichen Weg kann CrowdSec auch in der Windows-Firewall Regeln automatisiert erstellen und Angreifer dadurch zuverlässig blockieren.
Auf dem gleichen Weg kann der Agent von CrowdSec auch auf Windows-Servern und Arbeitsstationen mit Windows 10/11 installiert werden, zum Beispiel einem Webserver, Dateiserver oder RDP-Host oder PCs von mobilen Anwendern. Die Installation auf Arbeitsstationen ist genauso einfach möglich, wie auf Windows-Servern. Die Einrichtung dabei ist weitgehend identisch.
Erkennt der Agent einen Angriff, lädt er die Daten über den Agenten zum Dienst hoch, sodass andere Teilnehmer der Community sofort geschützt sind. Auch hier erhält der Server/PC im Gegenzug Informationen von anderen Teilnehmern der Community, um sich selbst zu schützen. Dadurch lassen sich Webserver, RDP-Hosts, Datenbanken, Freigaben und andere Angriffe verhindern, bevor sie überhaupt erst beginnen. Es gibt schon länger CrowdSec-Agenten für Linux und FreeBSD. Von diesen profitieren Firewalls wie OPNsense. Mittlerweile gibt es auch einen Agenten für Windows-Systeme. Mit diesen können Admins PCs und Server vor Angriffen schützen.
CrowdSec in Windows installieren
Um einen Windows-Server oder Windows-PC mit CrowdSec zu schützen, ist auf dem Gerät zunächst der CrowdSec-Agent notwendig. Dieser steht für Windows als MSI-Datei zur Verfügung. Dazu kommt der Windows-Firewall-Bouncer. Dieser kann bei erkannten Angriffen die entsprechende IP-Adresse blockieren, indem er automatisch Firewall-Regeln in der Windows-Firewall erstellt. Dadurch kann CrowdSec Angriffe nicht nur erkennen und weitergeben, sondern auch gleich blockieren. Aus diesem Grund erfolgt zunächst die Installation des CrowdSec-Agenten in Verbindung mit dem Firewall-Bouncer. Der CrowdSec Windows-Firewall- Bouncer braucht das .NET -Framework 6. Ist das Framework nicht installiert, startet der Dienst nicht. Durch die Verwendung von „cs_windows_firewall_installer_bundle.exe“ installiert der Installationsassistent auch gleich das .NET Framework auf dem PC oder Server.
Im Rahmen der Installation sind keine Angaben notwendig, außer den Installationspfad. Agent und Bouncer sind in wenigen Sekunden installiert. Im Rahmen der Installation werden auch die beiden Systemdienste „Crowdsec“ und „Crowdsec Windows Firewall Bouncer“ installiert. Wichtig ist, dass beide Systemdienste vorhanden und gestartet sind.
CrowdSec einrichten und testen
Die weitere Einrichtung findet in der Befehlszeile statt. Mit „cscli metrics“ sollte eine Ausgabe der vorhandenen Metriken und Komponenten erfolgen. Nach einiger Zeit sind hier auch die Angriffe zu sehen, die Crowdsec kennt und blockieren kann. Wichtig ist, dass an dieser Stelle keine Fehlermeldungen erscheinen.
Der Windows-Firewall-Bouncer wird standardmäßig im Verzeichnis „C:\Program Files\CrowdSec\bouncers\cs-windows-firewall-bouncer” installiert. Hier ist noch eine YAML-Datei notwendig, mit der Crowdsec konfiguriert wird. Die Datei trägt die Bezeichnung „cs-windows-firewall-bouncer.yaml“. Die Konfiguration dieser Datei ist in der Online-Doku des Windows-Firewall-Bouncers zu finden. Eine Beispiel-Konfiguration der Datei sieht zum Beispiel folgendermaßen aus:
api_key: <your-api-key>api_url: http://127.0.0.1:8080log_level: infoupdate_frequency: 10slog_media: filelog_dir: C:\\ProgramData\\CrowdSec\\log\\fw_profiles:- domain- private-publicWichtig ist an dieser Stelle der Wert von „api_key“ und die Angabe des Firewall-Profiles, indem Crowdsec die erhaltenen Angriffsdaten für das Blockieren der Angreifer nutzen soll. Neben „-domain“ sind hier noch „-private“ und „-public“ möglich. Auch die Angabe aller drei Profile ist hier denkbar. Um einen API-Key zu erstellen, kann ebenfalls die Befehlszeile genutzt werden, mit folgendem Befehl:
cscli bouncers add firewallDer Befehl erstellt den API-Key und zeigt ihn im Fenster an. Der Key muss danach bei „api_key:“ eingetragen werden. Nach dem Speichern der Datei müssen beide Crowdsec-Dienste neu gestartet werden.
Automatisch erstellte Firewall-Regeln überprüfen
Nach kurzer Zeit sollte der Bouncer die Firewall-Regeln auf Basis der Crowdsec-Daten erstellt haben. Das lässt sich in der Verwaltung der Windows-Firewall mit „wf.msc“ bei „Eingehende Regeln“ überprüfen. Hier sind zahlreiche neue Regeln mit der Bezeichnung „crowdsec-blocklist“ zu finden.
(ID:49777379)
:quality(80)/p7i.vogel.de/wcms/42/25/4225bb9a60e43d6baf20bcda1f32b8f9/0114780613.jpeg "Cyberangriffe treffen irgendwann jedes Unternehmen - Mit diesen Threat Hunting Tools lässt sich der Schutz verbessern. (Bild: ink drop - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/a4/b4a406fca20011692876d63ea87b8554/0111848384.jpeg "Mit Blockierlisten und Geo-IP-Filtern für Firewalls lassen sich viele Angriffe ganz einfach automatisch abwehren. (Bild: bluebay2014 - stock.adobe.com)")