PORTAL und PPS Knowledge Base

Intrusion Detection & Prevention System

Das Intrusion Detection & Prevention System (IDS/IPS) sperrt regelbasiert IP-Adressen, welche in einem nicht konformen Muster auf das PEIQ PORTAL & PRINT PPS zugreifen. Es ist dauerhaft aktiv und kann nicht deaktiviert werden.

Funktionalitäten des Intrusion Detection & Prevention System

  • Sperrung von IP-Adressen

  • Schutz vor unerwünschten Angriffen

Inhaltsverzeichnis

Allgemeine Beschreibung

Das Intrusion Detection & Prevention System (IDS/IPS) erkennt anhand definierter Regelsätze ungesteuerte Zugriffe - wie beispielsweise Cyber-Angriffe - und sperrt daraufhin die IP-Adresse, von welcher diese Zugriffe erfolgt sind. Eine Bewertung, ob Zugriffe als Angriffe oder normale Zugriffe einzuordnen sind, findet dabei grundsätzlich nicht auf Basis eines einzelnen Zugriffs statt. Das IDS/IPS bewertet immer mehrere Zugriffe über einen bestimmten Zeitraum hinweg, um die Art des Zugriffs einzuordnen.

Wird ein auffälliges Verhalten bemerkt, kann es zu einer Sperre durch das IDS/IPS kommen. Diese Sperre ist temporär. Potenzielle Angreifer können während der Sperre keine Verbindungen mehr aufbauen und somit auch keine Angriffe gegen die Systeme von PEIQ durchführen.

Sonderfälle

Zugriffsprobleme im Firmennetzwerk - Whitelisting

Sind Zugriffe aus dem Firmennetzwerk nicht mehr möglich, können statische IP-Adressen/-Adressbereiche von Kund:innen an PEIQ übermittelt und von PEIQ freigeschaltet werden.

In seltenen Fällen können massenweise Zugriffe derselben IP-Adresse, wie sie beispielsweise in Firmennetzwerken vorkommen können, als Angriffe eingestuft werden. Infolgedessen würde die entsprechende IP-Adresse des Firmennetzwerks gesperrt werden und alle Benutzer:innen/Mitarbeiter:innen in diesem Firmennetzwerk wären von dem eigenen PORTAL & PRINT PPS ausgeschlossen und könnten keine Verbindung aufbauen.

In einem solchen Fall können Kund:innen die bekannten statischen IP-Adressen/-Adressbereiche des Firmennetzwerks an PEIQ übermitteln, sodass PEIQ diese in einer Whitelist des IDS/IPS hinterlegt. Zugriffe aus dem Firmennetzwerk werden dann nicht mehr als Angriffe klassifiziert und gesperrt.

Es ist zu beachten, dass dies den Schutz vor internen Angriffen aus dem Kundennetzwerk heraus aushebelt/deaktiviert!

Blockierung der Indexierung bei Suchmaschinen und Live-Tests durch Suchmaschinen-Bots

In seltenen Fällen kann es dazu kommen, dass auch eine IP-Adresse von Suchmaschinen-Bots gesperrt wird.

Live-Tests von Google

Wird nun der Live-Test eines Suchmaschinenbetreibers durchgeführt und der Suchmaschinen-Bot verwendet eine solche IP-Adresse, kann der Bot keine Verbindung zu unseren Systemen aufbauen und gibt eine Fehlermeldung aus:

Beispiel aus dem Introduction to Lighthouse  |  Chrome for Developers: Crawling fehlgeschlagen
Beispiel aus der Google Search Console: “Fehler: Fehler bei der Serververbindung”

Bots von Suchmaschinen kommen nicht immer über dieselbe eindeutige IP, sie teilen sich mehrere tausend IPs. Je nach Server, welcher für einen Live-Test verwendet wird, unterscheiden sich daher auch die IPs der Bots. In manchen Fällen kann es daher vorkommen, dass die Live-Tests bei einem bzw. einer Kund:in normal funktionieren, bei einem bzw. einer anderen Kund:in jedoch nicht.

Im schlimmsten Fall wird eine IP des Suchmaschinen-Crawlers, der für die Indexierung der Seiten zuständig ist, gesperrt, sodass keine Inhalt mehr auf Suchmaschinen einlaufen. Typischerweise sendet die Suchmaschine jedoch bei Fehlversuchen in bestimmten Zeitabständen weitere Bots, die dann auch von anderen IPs kommen können, um die Inhalte weiterhin indexieren zu können.

Wird ein oben erläutertes Verhalten festgestellt, sollen sich Kund:innen bitte umgehend an PEIQ wenden, damit Deindexierung/Rankingverlust von Seiten schnellstmöglich ausschließen können.

Glücklicherweise stellen Suchmaschinenbetreiber in der Regel ihre verwendeten IPs und IP-Adressbereiche öffentlich zur Verfügung:

Diese IP-Adressen der Google- und Bing-Crawler hat PEIQ bereits auf die Whitelist des IDS/IPS gesetzt, sodass sie keinesfalls geblockt werden. Diese Listen werden auch regelmäßig abgeglichen, so dass das IDS/IPS auch auf Veränderungen in diesen Listen reagiert.

FAQs

Wenn Benutzer:innen nicht mehr auf das PORTAL oder PRINT PPS zugreifen können, könnte eine gesperrte IP-Adresse die Ursache sein. Sofern keine missbräuchliche Intention vorliegt, benötigt PEIQ folgende Informationen von Kund:innen:

  • Wann wurde die Sperrung bemerkt?

  • Gab es vor der Sperre ein merklich anderes Nutzungsverhalten? Werden Tools zur Automatisierung von Zugriffen (z. B. Crawler) genutzt?

  • Wie lautet die IP-Adresse? Und: Wird über eine geteilte IP-Adresse zugegriffen (nutzen andere Personen im Unternehmen/Organisation auch diese IP-Adresse)?

  • Handelt es sich um eine feste (statische) oder eine dynamische IP-Adresse? Sofern eine statische IP-Adresse vorliegt, kann PEIQ diese erneut freigeben und anschließend whitelisten. 

  • Wenn keine feste, sondern eine dynamische IP-Adresse genutzt wird, kann geprüft werden, ob ein Neustart des Routers bereits Abhilfe schafft.

Um die Regeln des IDS/IPS, welche zur Sperrung der IP-Adressen führen, weiter optimieren zu können, ist PEIQ darauf angewiesen, möglichst viel über das zuvor abgelaufene Verhalten beim Besuch eines PEIQ PORTALs zu erfahren.

Treten bei Live-Tests im Mobile Friendly Testing Tool oder der Google Search Console Fehlermeldungen bezüglich der Indexierung von URLs auf, könnte eine IP-Sperrung durch das IDS/IPS für den Suchmaschinen-Bot die Ursache sein.

PEIQ hat bereits alle öffentlich bekannten IP-Adressen von Suchmaschinen-Bots im IDS/IPS hinterlegt, sodass eine solche Fehlermeldung nicht mehr auftreten sollte.

Um sicherzustellen, dass die Indexierung der Seiten erfolgen kann, benötigt PEIQ noch folgende Informationen:

  • Wann wurde die Fehlermeldung bemerkt?

  • Welche URLs sind davon betroffen?

  • In welchen Tools ist die Fehlermeldung aufgetreten?

Um die Regeln des IDS/IPS, welche zur Sperrung der IP-Adressen führen, weiter optimieren zu können, ist PEIQ darauf angewiesen, möglichst viel über das zuvor abgelaufene Verhalten beim Besuch eines PEIQ PORTALs zu erfahren.

Eine Übersicht für einzelne Kund:innen ist nicht möglich, da das IDS/IPS die gesamte Infrastruktur vom PEIQ PORTAL und PRINT PPS abdeckt. Ein Filtern auf ein bestimmtes Kund:innen-System ist manuell sehr aufwendig, da alle nicht betreffenden Daten anderer Kund:innen bereinigt werden müssten.  

 Verwandte Seiten

 

Nur für PEIQ-Mitarbeiter:innen
https://peiq.atlassian.net/wiki/x/XgDkR