🛡️ Guard – Brute-Force Detection & Auto-Block
Schützen Sie Ihre Server vor Brute-Force-Angriffen auf SSH, RDP, FTP, MySQL, MSSQL und mehr. Das integrierte Guard-Modul erkennt Angriffe in Echtzeit, blockiert automatisch bösartige IPs und benachrichtigt Sie sofort – plattformübergreifend auf Linux, Windows und BSD.
Was ist ISoné Guard?
Integrierter Schutz gegen Authentifizierungsangriffe
ISoné Guard ist ein vollständig integriertes Brute-Force-Detection-Modul, das direkt im ISoné Agent läuft. Es analysiert kontinuierlich Authentifizierungslogs verschiedener Dienste und erkennt verdächtige Muster wie wiederholte Fehllogins.
Im Gegensatz zu Standalone-Lösungen wie Fail2Ban bietet Guard eine zentrale Verwaltung über das ISoné Dashboard: Konfigurieren Sie Schwellwerte, verwalten Sie Whitelists und überwachen Sie Events – alles an einem Ort.
🎯 Kernvorteile
- Zentrale Verwaltung: Alle Agents über ein Dashboard konfigurieren
- Echtzeit-Events: WebSocket-basierte Benachrichtigungen bei Angriffen
- Plattformübergreifend: Gleiche Funktionalität auf Linux, Windows, BSD
- Auto-Block: Automatisches Sperren bei Schwellwertüberschreitung
- Whitelist-Management: IP-Ranges global oder pro Modul whitelisten
- Workload-basierte Vorschläge: Intelligente Modul-Empfehlungen
🆚 Guard vs. Fail2Ban
| Feature | Guard | Fail2Ban |
|---|---|---|
| Zentrale Verwaltung | ✅ | ❌ |
| Web-Dashboard | ✅ | ❌ |
| Windows-Support | ✅ | ❌ |
| Echtzeit-Events | ✅ | ❌ |
| E-Mail-Benachrichtigung | ✅ | ✅ |
| IP-Blocking | ✅ | ✅ |
🔒 Unterstützte Guard-Module
15+ Protokolle und Dienste auf allen Plattformen
🌐 Plattformübergreifend
🖥️ Windows-spezifisch
🐧👹 Linux/BSD-spezifisch
👹 BSD-spezifisch
Legende:
🐧 Linux | 🖥️ Windows | 👹 BSD
⚙️ Konfiguration pro Modul
Fein-granulare Einstellungen für jeden Dienst
Konfigurierbare Parameter
Jedes Guard-Modul kann individuell konfiguriert werden. Die Einstellungen werden zentral im ISoné Dashboard vorgenommen und automatisch an die Agents übertragen.
| Parameter | Beschreibung | Beispiel |
|---|---|---|
| enabled | Modul aktiviert/deaktiviert | true |
| threshold | Fehlversuche bis Alert | 5 |
| timeframe_minutes | Zeitfenster für Threshold | 10 |
| auto_block | Automatisches IP-Blocking | true |
| block_duration_minutes | Block-Dauer | 60 |
| whitelist_ips | IPs/Ranges ausgenommen | ["10.0.0.0/8"] |
| notify_on_detection | Benachrichtigung bei Alert | true |
| notify_email | E-Mail-Empfänger | admin@firma.de |
| critical_threshold | Schwellwert für Critical | 20 |
| high_threshold | Schwellwert für High | 10 |
📋 Beispiel-Konfiguration (SSH)
{
"module": "ssh",
"enabled": true,
"threshold": 5,
"timeframe_minutes": 10,
"auto_block": true,
"block_duration_minutes": 60,
"whitelist_ips": [
"10.0.0.0/8",
"192.168.0.0/16",
"203.0.113.50"
],
"notify_on_detection": true,
"notify_email": "security@firma.de",
"critical_threshold": 20,
"high_threshold": 10
}
Diese Konfiguration: 5 Fehlversuche in 10 Minuten → Block für 60 Minuten + E-Mail.
📊 Guard Dashboard
Übersicht aller Events und Blocks
┌─────────────────────────────────────────────────────────────────────────────┐
│ 🛡️ Guard Configuration: srv-web-01 [−] [□] [×] [↗] │
├─────────────────────────────────────────────────────────────────────────────┤
│ │
│ 📊 Übersicht (24h) │
│ ┌───────────────┐ ┌───────────────┐ ┌───────────────┐ ┌───────────────┐ │
│ │ Events Total │ │ 🔴 Critical │ │ 🟠 High │ │ Blocked IPs │ │
│ │ 127 │ │ 3 │ │ 12 │ │ 8 │ │
│ └───────────────┘ └───────────────┘ └───────────────┘ └───────────────┘ │
│ │
│ 🔒 Aktive Module │
│ ┌─────────────────────────────────────────────────────────────────────────┐│
│ │ Modul │ Status │ Threshold │ Timeframe │ Auto-Block │ Events (24h) ││
│ ├─────────────────────────────────────────────────────────────────────────┤│
│ │ 🔑 SSH │ ✅ An │ 5 │ 10 min │ ✅ An │ 89 ││
│ │ 📁 FTP │ ✅ An │ 5 │ 10 min │ ✅ An │ 23 ││
│ │ 🗄️ MySQL │ ❌ Aus │ 5 │ 10 min │ ❌ Aus │ 0 ││
│ │ 📧 Mail │ ✅ An │ 10 │ 15 min │ ✅ An │ 15 ││
│ └─────────────────────────────────────────────────────────────────────────┘│
│ │
│ 📝 Letzte Events [🔄 Aktualisieren] │
│ ┌─────────────────────────────────────────────────────────────────────────┐│
│ │ Zeit │ Modul │ Source IP │ User │ Attempts │ Status ││
│ ├─────────────────────────────────────────────────────────────────────────┤│
│ │ 14:23:01 │ SSH │ 185.234.72.91 │ root │ 15 │ 🔴 Block ││
│ │ 14:21:45 │ SSH │ 91.134.125.33 │ admin │ 8 │ 🟠 High ││
│ │ 14:20:12 │ FTP │ 103.42.78.156 │ anonymous │ 12 │ 🔴 Block ││
│ │ 14:18:33 │ Mail │ 45.227.253.99 │ info@ │ 5 │ 🟡 Med ││
│ └─────────────────────────────────────────────────────────────────────────┘│
│ │
│ [⚙️ Module konfigurieren] [📋 Whitelist] [📊 Report] [🔔 Benachrichtigungen]│
│ │
└─────────────────────────────────────────────────────────────────────────────┘
🔄 Event-Flow: Von der Erkennung zum Block
So funktioniert Guard im Detail
Log-Parsing
Guard-Monitor im Agent analysiert kontinuierlich die relevanten Logdateien (auth.log, Security Event Log, etc.)
Muster-Erkennung
Failed-Login-Events werden extrahiert und nach Source-IP aggregiert. Zeitstempel werden korreliert.
Threshold-Prüfung
Überschreitet die Anzahl der Fehlversuche einer IP den Threshold im Timeframe?
Event an Backend
Guard-Event wird via API/WebSocket an das ISoné Backend gemeldet (Realtime-Channel).
Auto-Block (optional)
Bei aktiviertem Auto-Block wird die IP in die lokale Firewall (iptables/Windows Firewall) eingetragen.
Benachrichtigung
E-Mail-Alert an konfigurierte Empfänger. Dashboard zeigt Event in Echtzeit.
📋 Whitelist-Management
Schützen Sie legitime Zugriffe vor versehentlichem Blocking
Whitelist-Optionen
-
Einzelne IPs:
203.0.113.50– Spezifische IP-Adresse -
CIDR-Notation:
10.0.0.0/8– Komplettes Netzwerk -
Private Ranges:
192.168.0.0/16– Interne Netzwerke -
IPv6:
2001:db8::/32– IPv6-Prefixe
Whitelist-Ebenen
| Ebene | Geltungsbereich |
|---|---|
| Global | Gilt für alle Module auf allen Agents |
| Pro Agent | Gilt für alle Module auf einem Agent |
| Pro Modul | Gilt nur für ein spezifisches Modul |
⚠️ Best Practices
- Whitelisten Sie Management-IPs (VPN-Gateways, Bastion-Hosts)
- Whitelisten Sie Monitoring-Server die regelmäßig pingen
- Whitelisten Sie Backup-Systeme mit Netzwerkzugriff
- Nicht whitelisten: Dynamische IPs, komplette öffentliche Ranges
⚡ Echtzeit-Benachrichtigungen
Sofortige Alerts via WebSocket, E-Mail und Dashboard
WebSocket-Events
Guard-Events werden in Echtzeit via WebSocket an das Dashboard übertragen.
Event-Typen:
guard.event– Neues Security-Eventguard.block– IP wurde geblocktguard.unblock– IP wurde entsperrtguard.config– Konfigurationsänderung
E-Mail-Alerts
Konfigurierbare E-Mail-Benachrichtigungen bei kritischen Events.
E-Mail-Inhalt:
- Agent-Name und Hostname
- Modul (SSH, RDP, etc.)
- Source-IP und Geolocation
- Angegriffener Benutzer
- Anzahl der Versuche
- Aktion (Block/Alert)
Dashboard-Integration
Guard-Events erscheinen im zentralen Event-Stream und im Agent-Detail.
Ansichten:
- Globale Event-Liste
- Pro-Agent Guard-Tab
- Blocked-IPs-Übersicht
- Event-Timeline mit Filterung
💡 Workload-basierte Vorschläge
Intelligente Modul-Empfehlungen basierend auf installierten Diensten
So funktioniert's
Der ISoné Agent analysiert bei jedem Scan die installierten Dienste (Workloads) auf dem System. Basierend darauf schlägt Guard automatisch passende Module vor:
| Erkannter Dienst | Vorgeschlagene Module |
|---|---|
| SSH-Server (sshd) | SSH-Modul |
| MySQL/MariaDB | MySQL-Modul |
| Postfix/Dovecot | Mail-Modul |
| RDP (TermService) | RDP-Modul |
| SQL Server | MSSQL-Modul |
| Active Directory | AD-Modul, WinLogon-Modul |
| pfSense/OPNsense | Firewall-Modul |
✨ One-Click Activation
Vorgeschlagene Module können mit einem Klick aktiviert werden. Die Konfiguration wird mit empfohlenen Standardwerten vorausgefüllt.
GET /api/agents/{id}/guard/suggestions
🔌 API-Endpunkte
RESTful API für Integration und Automatisierung
| Methode | Endpoint | Beschreibung |
|---|---|---|
| GET | /api/agents/{id}/guard/config |
Guard-Konfiguration für einen Agent laden |
| PUT | /api/agents/{id}/guard/config |
Guard-Konfiguration speichern |
| GET | /api/agents/{id}/guard/events |
Guard-Events abrufen (paginiert) |
| GET | /api/agents/{id}/guard/suggestions |
Workload-basierte Modul-Vorschläge |
| POST | /api/agents/{id}/guard/events |
Neues Event vom Agent melden |
| POST | /api/agent/guard/realtime |
Realtime-Event (HTTP-Fallback) |
| GET | /api/agents/{id}/guard/pending-blocks |
Ausstehende Block-Anfragen |
| POST | /api/agents/{id}/guard/events/{eventId}/confirm-block |
Block-Ausführung bestätigen |
📊 Severity-Levels
Priorisierung basierend auf Angriffsintensität
Critical
≥ critical_threshold
Massiver Angriff. Sofortige Aktion erforderlich. Auto-Block + E-Mail + Dashboard-Alert.
Beispiel: 20+ Versuche in 10 min
High
≥ high_threshold
Signifikanter Angriff. Auto-Block aktiviert (falls konfiguriert). E-Mail-Benachrichtigung.
Beispiel: 10-19 Versuche in 10 min
Medium
≥ threshold
Verdächtige Aktivität. Wird im Dashboard angezeigt. Optionale Benachrichtigung.
Beispiel: 5-9 Versuche in 10 min
Low/Info
< threshold
Normale Fehlversuche. Nur geloggt, keine Aktion. Für Analyse verfügbar.
Beispiel: 1-4 Versuche in 10 min
Guard für Ihre Server aktivieren?
Schützen Sie Ihre Infrastruktur vor Brute-Force-Angriffen – zentral verwaltet.