QUICKSTART GUIDE
Bei der Entwicklung von Botshield wurde sehr darauf geachtet, den Administrator nicht mit zu vielen
Optionen und Einstellungsmöglichkeiten zu überfordern. Denn die Erfahrung hat gezeigt:
Der beste Schutz ist der, der zügig funktioniert - und nicht erst fehleranfällig konfiguriert werden muss!
Beim ersten Start der Software öffnet sich daher Botshields Schnellstart-Assistent, der durch die
wichtigsten Schritte zur sofortigen, reibungslosen Inbetriebnahme des Systems führt.
Essentiell wichtig ist es, dass die Windows-eigene Firewall aktiviert ist und der kostenlose WinPCap Treiber
installiert wird. Dieser Treiber ermöglicht ein das Mitschneiden des Datenverkehrs und gilt in diesem Bereich
als "Industrie-Standard". Die aktuelle Version von WinPCap wird mitgeliefert, so dass
- unterstützt von Botshield - die Installation mit wenigen Klicks vorgenommen werden kann.
Sind beide Grundvoraussetzungen erfüllt, kann zum nächsten und wichtigsten Schritt fortgefahren werden.
Die Grundeinstellungen umfassen 4 Bereiche.
Wählen Sie im ersten Schritt zunächst das Netzwerk-Gerät aus, über das der Server an das Internet
angebunden ist und wählen Sie Auswahlfeld darunter die zutreffende IP-Adresse aus.
Sofern der Internet Information Server (IIS) installiert ist, wird das Standard-Verzeichnis für Webdokumente
bereits voreingestellt. Andernfalls wählen Sie bitte unter "Web Root Directory" das Haupt-Verzeichnis wie
wie z.B. im Falle eines installierten Apache-Servers C:\<pfad>\htdocs
Neben dem Root-Laufwerk C:\ wird das Webdirectory im Anschluss bereits für die Überwachung
durch die Filesensor-Komponente vorkonfiguriert, so dass Botshield über Änderungen in diesem wichtigen
Verzeichnis informieren kann.
Im dritten Schritt ist die Angabe der E-Mail Adresse des systemverantwortlichen Administrators notwendig.
Diese Person erhält voreingestellt die täglichen Berichte und Alarm-Meldungen und wird von Botshield
ggfs. auch in anderen Belangen informiert.
Damit Botshield E-Mails versenden kann, ist im vierten und letzten Schritt die Angabe eines SMTP-Servers
erforderlich.Voreingestellt wird der localhost über den Port 25 vorgegeben. Das Versenden von Nachrichten
sollte - sofern auf dem Server ein Mail-Server aktiv ist - zumindest auf lokaler Ebene funktionieren.
Andernfalls steht es ihnen frei, jeden beliebigen anderen Mail-Server auch von anderen Systemen
gehostet anzugeben.
Die Passwort-Authentifizierungsmethode sollte auf "Autodetect" belassen werden, da Botshield die
funktionierende Methode automatisch ermittelt.
Sind alle Angaben gemacht, kann zum nächsten Schritt fortgefahren werden - der Auswahl der
grundlegenden Botshield-Features, die direkt beim Start aktiviert werden sollen.
Sollten Sie z.B. grundlegend keine Unterstützung durch eine automatisch bereitgestellte IP-Blacklist wünschen,
können Sie diese Funktion bereits jetzt deaktivieren.
Selbstverständlich ist es aber auch zu jedem späteren Zeitpunkt möglich, die einzelnen Komponenten ein-
oder auszuschalten.
Nach dem Klick auf "START BOTSHIELD" wird die Botshield Service-Anwendung auf dem System installiert.
Nach diesem Schritt werden Sie zu den Einstellungen von Botshields wichtigster Komponente geführt.
Portshield überwacht die aktivierten Ports und blockiert Angriffe mit den jeweiligen Parametern:
In der Spalte "COUNT" wird die Anzahl der Detektionen einer verdächtigen IP-Adresse innerhalb der in der
Spalte "SPAN" eingetragenen Sekunden festgelegt. Wird spätestens diese Anzahl erreicht, wird eine
IP-Adresse für die in der Spalte "BLOCK" angegebene Dauer in Sekunden über die Firewall gesperrt.
Wir empfehlen, diese Detail-Einstellungen zunüächst unverändert zu lassen und lediglich die gewünschten
Ports zu (de)aktivieren und ggfs. die vorgegebenen Standard-Ports für die jeweiligen Dienste anzupassen.
Sollte ihr System z.B. auf dem RDP-Port 3389 stark durch Brute-Force-Attacken beeinträchtigt werden,
können Sie die Zeitspannen später entsprechend erweitern. Doch Vorsicht: Bei allzu strengen Festlegungen
könnten so auch erwünschte Nutzer für längere Zeit aus dem System ausgesperrt werden, die lediglich
einmal das Konto-Passwort vergessen haben und zwangsläufig durch die mehrfach fehlerhafte Eingabe von
Botshield dann ggfs. als Angreifer betrachtet werden!
Sind alle Einstellungen angepasst bzw. Vorgaben akzeptiert, müssen Sie nur noch den OK Button unter der
Tabelle anklicken, und schon wird Botshield aktiviert und ist fortan rund um die Uhr zum Schutze Ihres
Servers einsatzbereit!
Sicher wird es nicht lange dauern, bis Botshield auf Ihrem System Angreifer oder ungewöhnliche
Aktivitäten entdeckt und Sie darüber im zentralen Bereich der Benutzeroberfläche informiert:
Die erste Spalte "LAST HOUR" gibt die erkannten Ereignisse der letzten Stunde wieder.
Klicken Sie auf einen der Buttons, um die zugehörigen Ereignisse übersichtlich im Ereignis-Protokoll
einzusehen.
Übrigens:
Bei umfangreicheren Arbeiten am Server kann es zwangsläufig passieren, dass u.a. der Filesensor
sehr viele Änderungen erkennt. Um unnötige Fehlalarme zu vermeiden, können Sie jederzeit das gesamte
Botshield-System oder aber auch einzelne Grundfunktionen im rechten Bereich der Software mit
einem Klick deaktivieren - und natürlich so auch wieder später in Betrieb nehmen!
Wir hoffen, dass Ihnen diese grundlegenden Informationen zur Inbetriebnahme bereits eine Hilfe waren.
Zögern Sie bitte nicht, uns bei Fragen oder Problemen zu kontaktieren.