Intrusion Detection & Prevention System
Logo

Botshield ist ein host-basierendes "Intrusion Detection and Prevention System". Die kostenlose Sicherheitssoftware umfasst mehrere Komponenten, die im Zusammenspiel einen Windows Internet-Server vor schadhaften Bedrohungen wie z.B. Brute Force Attacken und Eindringlingen schützen.


Die übersichtliche Benutzeroberfäche der Software erlaubt sowohl eine zügige Konfiguration der einzelnen Funktionen, deren Steuerung wie auch die Einsicht in die aufgezeichneten Ereignisse über beliebige Zeiträume.

 

Der eigentliche Schutz findet durch eine Windows Service-Anwendung im Hintergrund statt. Sie belastet das System nur minimal, da sie lediglich passiv den Netzwerkverkehr scannt. Sie wird aktiv, wenn eine Bedrohung erkannt wird, die je nach Schwere zunächst zu einer Detektion oder bereits direkt zur Blockade über die Windows-Firewall führt!

   Screenshot  
 

PORTSHIELD

Portshield ist die Kern-Komponente der Software und umfasst eine Erkennung von Fehl-Logins und Brute-Force-Attacken auf häufig verwendete, sicherheitskritische Server-Dienste wie

  • Remote-Desktop (RDP)
  • Web-Server (HTTP/HTTPS)
  • Datei-Server (FTP)
  • E-Mail Dienste (POP3, IMAP, SMTP)
  • MySQL Datenbanken

 

Speziell auf den für Angreifer reizvollen RDP-Port 3389 werden auf vielen Servern tagtäglich tausende fehlgeschlagene Login-Versuche unternommen, die die System-Ressourcen empfindlich belasten.

Für jeden zu schützenden Port kann eine individuelle Anzahl von Fehl-Logins/Ereignissen innerhalb einer Zeitspanne konfiguriert werden, die zum beliebig langen blockieren einer IP Adresse führt.

   Screenshot  
 

THREATSHIELD

Threatshield schützt speziell den HTTP/HTTPS Port, da dieser aufgrund der Vielzahl angebundener Dienste und möglicher Website-Anwendungen für zahlreiche Schwachstellen ("Exploits") empfänglich ist. Derzeit umfasst der Schutz durch Botshield bereits die Erkennung aktuell häufig eingesetzter Scanner wie z.B. Hacktool.DFind, die tagtäglich ihre Spuren in den Logfiles des Webservers hinterlassen. Derlei Programme werden von Hackern vorbereitend für gezieltere Attacken auf aufgespürte Webservices und Skripte eingesetzt.

  

WHITELIST

Vertrauenswürdige IP-Adressen können in eine Whitelist eingetragen werden, damit diese nicht irrtümlich vom System als Angreifer erfasst werden.

Besonders praktisch dabei:
Botshield unterstützt auch dynamische IP Adressen, so dass auch häufig wechselnde Internet-Verbindungen kein Problem für die Schutzfunktionen darstellen!

  
 

BOTBAN

Verschiedenste aggressive Crawler und Spider versuchen automatisiert Websites nach Schwachstellen zu durchsuchen oder Inhalte ohne Berücksichtigung der robots.txt Steuerungsdatei zu indizieren. Botshield erkennt bereits rund 400 dieser ungebetenen "Agenten" und sperrt diese rigoros aus, bevor Schaden angerichtet oder die System-Performance in Mitleidenschaft gezogen werden kann! Die Liste der auszusperrenden "User-Agents" kann bei Bedarf auch individuell erweitert werden.

Screenshot Gobal Blacklist

 

IP BLACKLIST

Die globale IP Blacklist enthält stündlich aktualisiert viele tausend IP-Adressen, die als schädlich eingestuft wurden. Oftmals handelt es sich hier um ganze Bot-Netzwerke, die wahllos auf raffinierteste Weise weltweit nach Schwachstellen von weiteren Servern suchen, um diese zu kapern. Die Botshield-Blacklist wird sowohl durch verschiedene Antispam-Datenbanken gespeist als auch durch das Botshield-eigene, weltweite "Honeypot"-Netzwerk ergänzt.
Screenshot Gobal Blacklist

Zusätzlich kann auch eine eigene Blacklist verwaltet werden, um individuell unerwünschte IP-Adressen dauerhaft zu blockieren!

  
 

FILESENSOR

Der Filesensor erkennt Änderungen im Datei-System in beliebigen Verzeichnissen und kann individuell durch Filter angepasst werden. Werden z.B. im Homepage-Verzeichnis Dateien aufgespielt oder manipuliert, informiert Sie die Software nach zuvor definierten Filter-Regeln darüber im täglichen Report als auch umgehend per E-Mail. Ein potentiell jederzeit mögliches Einspielen von schädlichen Skripten über Sicherheitslücken durch Dritte bleibt so nicht mehr für lange Zeit unentdeckt!

   Screenshot  
 
EREIGNIS-PROTOKOLL   TÄGLICHER REPORT  
Über alle Aktivitäten des Systems gibt das Ereignisprotokoll detailliert Auskunft. Neben der IP Adresse des Angreifers wird das Datum und die Art der Detektion festgehalten. Direkt aus dem Ereignisprotokoll heraus ist es auch möglich, IP Adressen auf Ihre eigene, dauerhafte Blacklist zu setzen!   Die protokollierten Ereignisse können einmal täglich zu einer beliebigen Uhrzeit automatisch per E-Mail zugesandt werden oder auch jederzeit direkt über die Software in einer Vorschau eingesehen werden.  
       
Screenshot
  Screenshot  


Download
 für Windows Server 2008/2012/2016
Windows 7/8/10 (sofern als Server genutzt)