Konfiguration
Inhalt: configuration_de.txtDer KONFIGURATIONSBEREICH ermöglicht die individuelle Anpassung der Sicherheits- und Schutzfunktionen für jede geschützte Domain.
Die Einstellungen beeinflussen direkt das Verhalten der Sicherheits-Engine, der Analysefunktionen sowie verschiedener Schutz- und Filtermechanismen. Änderungen sollten daher bewusst und mit technischem Verständnis vorgenommen werden.
ALLOWLIST
Es kann vorkommen,
dass bestimmte Zugriffe trotz aktiver Sicherheitsregeln zugelassen werden müssen,
obwohl diese zuvor durch PLUS23.CYBER.SECURITY blockiert wurden.
Dies hängt unter anderem davon ab,
welches System,
Content-Management-System,
Plugin
oder welche Web-Anwendung eingesetzt wird
und ob die jeweilige Programmierung
saubere und standardkonforme Zugriffe verwendet.
Auch bei unseren Sicherheits-Signaturen
kann es in seltenen Fällen zu unerwünschten Sperrungen kommen.
Wir sind daher für Hinweise zu fehlerhaften
oder zu restriktiven Signaturen dankbar,
um die Erkennung kontinuierlich zu verbessern.
Die ALLOWLIST
kann jederzeit komplett
oder einzelne Einträge betreffend
aktiviert bzw. deaktiviert werden.
Die Eintragung erfolgt jeweils
in den einzelnen Unterrubriken der:
- Bot- und Spionage-Abwehr (Host, IP, IP-Range, CIDR-Block, UserAgent, Referrer)
- Hacker-Abwehr (Injektion, REGEX)
Sollten Freigaben in folgenden Bereichen erfolgen:
- IP
- HOST
- IP-RANGE
- CIDR-BLOCK
HINWEIS: Freigaben von IP-Adressen sollten regelmäßig überwacht und bei Bedarf wieder entfernt werden.
EXTREME VORSICHT ist insbesondere bei der Freigabe von:
- CIDR-Blöcken
- IP-Ranges
Innerhalb der textbasierten Bereiche:
- Host
- UserAgent
- Referrer
Deshalb empfiehlt es sich, Einträge möglichst exakt einzutragen.
Beispiel eines vollständigen Hostnamens:
unn-84-17-48-205.cdn77.com
In der Regel erfolgt eine Freigabe einer Injektion (Hacker-Abwehr) NUR, wenn zuvor eine unerwünschte Sperrung stattgefunden hat. In diesem Fall solltest Du die Details des Sicherheitsereignisses ermitteln, die entsprechende Injektions-ID auslesen und anschließend gezielt freigeben.
Beispiel:
Im dargestellten Beispiel lautet die Injektions-ID: 375
Diese ID kann anschließend über die Suchfunktion ermittelt und gezielt freigegeben werden.
Wie bereits im Bereich Injektion (Hacker-Abwehr) beschrieben, arbeitet die REGEX-Freigabe nach einem ähnlichen Prinzip. Hierbei ist jedoch zu beachten, dass durch die REGEX-Abwehr erkannte Zugriffe in der Regel als besonders schwerwiegende Angriffe eingestuft werden und automatisch in der BLOCKLIST gespeichert werden können.
Bei REGEX-Freigaben ist daher besondere Vorsicht geboten. Diese sollten ausschließlich verwendet werden, wenn die Funktion Deines eingesetzten Systems oder bestimmter Anwendungen beeinträchtigt wird.
Die Injektions- und REGEX-Einträge können zusätzlich in die Zwischenablage kopiert und zur weiteren Analyse weiterverarbeitet werden.
BLOCKLIST
Die BLOCKLIST dient zur gezielten Sperrung unerwünschter Zugriffe,
Netzwerkbereiche oder verdächtiger Verhaltensmuster.
Die Struktur orientiert sich an der ALLOWLIST und unterstützt unter anderem
IP-Adressen, IP-Ranges, CIDR-Blöcke, Hosts, User-Agents, Referrer
und E-Mail-Filter.
Beispiele für E-Mail-Filter:
%plus23.org - sperrt alle Mailadressen von plus23.org
%plus23% - sperrt alle Mailadressen, die den Begriff plus23 enthalten
support@plus23.org - sperrt ausschließlich diese Mailadresse
Das Zeichen % dient als Platzhalter für beliebige Zeichenfolgen.
Wenn die Blocklist-Heuristik aktiv ist,
können IP-Adressen automatisch gesperrt werden.
Der auslösende Sicherheits-CODE wird dabei in den Notizen dokumentiert.
GEO-BLOCKING (LÄNDER VERBIETEN)
Über GEO-BLOCKING können Zugriffe aus bestimmten Ländern eingeschränkt
oder vollständig blockiert werden.
Dadurch lässt sich die Angriffsfläche reduzieren,
wenn Deine Webseite, Dein Shop oder Deine Anwendung nur für bestimmte Zielmärkte gedacht ist.
Die Einschränkung auf ausgewählte Länder kann zusätzlich helfen,
automatisierte Zugriffe, TOR-, VPN-, Proxy- oder Relay-Aktivitäten zu reduzieren.
Internationale Netzwerke, CDN-Systeme oder Cloud-Infrastrukturen können jedoch dazu führen,
dass Länderkennungen oder Netzwerkzuordnungen abweichen.
EINSTELLUNGEN
In den EINSTELLUNGEN kannst Du das Verhalten der Sicherheits-Engine, der Module, Parameter und Anzeigetexte individuell anpassen.
INDIVIDUELLER ANZEIGETEXT
Der individuelle Anzeigetext wird angezeigt,
wenn ein Zugriff durch PLUS23.CYBER.SECURITY blockiert wurde.
Die Vorlage unterstützt HTML und kann an Dein Design angepasst werden.
Die Datei error_template_XX.txt des Standardtemplates kann im Benutzerkonto heruntergeladen
und angepasst werden.
Folgende Platzhalter stehen zur Verfügung:
-
{#DOMAIN#}
Name der geschützten Domain, zum Beispiel plus23.org -
{#TITLE#}
Titel oder Überschrift des Sicherheitsereignisses -
{#DESCRIPTION#}
Beschreibung des erkannten Angriffs oder Sicherheitsereignisses -
{#IP#}
Ermittelte IP-Adresse des Besuchers oder Angreifers -
{#HOST#}
Aufgelöster Hostname der IP-Adresse -
{#ISOCODE#}
ISO-Länderkennung der ermittelten IP-Adresse -
{#USERAGENT#}
Browser-, Geräte- oder Bot-Kennung des Besuchers
Wenn Du den Standardvorschlag übernimmst,
ersetze yourmail durch Deine eigene Kontaktadresse.
Testaufruf:
https://yourdomain.com?ID=plus23_engine_test
MODULE
Die Sicherheits-Engine besteht aus mehreren Schutzmodulen.
Grundsätzlich empfehlen wir, alle Module aktiv zu halten.
Scanner-Abwehr
Erkennt automatisierte Datei- und Ordner-Scans,
die häufig zur Vorbereitung von Angriffen genutzt werden.
Bruteforce-Abwehr
Erkennt wiederholte Login- oder Zugriffversuche.
Timeouts und Versuchszahlen können angepasst werden.
Wir empfehlen die Standardwerte.
Bot- und Spionage-Abwehr
Analysiert unter anderem Host, CIDR-Block, IP, Referrer und User-Agent,
um unerwünschte Bots, Crawler oder auffällige Netzwerkquellen zu erkennen.
Hacker-Abwehr
Erkennt typische Angriffsmuster wie SQL-Injection, XSS,
Remote File Inclusion und weitere Manipulationsversuche.
Länder-Abwehr
Steuert länderbasierte Zugriffsbeschränkungen.
Bei internationaler Zielgruppe sollte die GEO-Konfiguration bewusst angepasst werden.
DOKUMENTATION & HEURISTIK
Angriffe dokumentieren
Mit dieser Einstellung kann die Dokumentation von Sicherheitsereignissen deaktiviert werden.
Der Schutz bleibt aktiv, aber Ereignisse werden nicht mehr aufgezeichnet.
Die Deaktivierung wird nicht empfohlen.
Bei bestimmten Sicherheits-CODES kann die zugreifende IP-Adresse automatisch in die BLOCKLIST übernommen werden. Dazu gehören unter anderem CODES wie 13-2, 13-3, 15-1, 15-2, 15-4, 16-10 und 30.
Ein Sonderfall ist CODE 15-5 der IP-Fake-Abwehr. Diese Behandlung kann in den Parametern gesondert angepasst werden.
AUTOMATISCHE AKTUALISIERUNG
Die automatische Aktualisierung hilft dabei, Domain-Daten, Sicherheitsinformationen und Signaturen aktuell zu halten. So bleiben Schutzregeln und Erkennungsmechanismen auf dem neuesten Stand.
SPRACHE PRO DOMAIN
Für jede Domain kann eine eigene Systemsprache festgelegt werden. PLUS23 lädt Systemmeldungen, Hinweis-Texte und Sicherheitsinformationen automatisch in der gewählten Sprache.
EXTERN-API
In den lokalen Signaturen der PLUS23.CYBER.SECURITY Engine
sind bereits viele Einträge gespeichert,
die unerwünschte Zugriffe von TOR, VPN, PROXIES sowie CLOUD/RELAY-Servern erkennen.
Da sich solche Netzwerke jedoch ständig verändern,
kann zusätzlich das EXTERN-API aktiviert werden.
Diese Prüfung läuft nicht direkt auf Deiner Domain,
sondern über externe zentrale Sicherheits- und Analyse-Server.
Sollte es auf zeitkritischen Webseiten zu Verzögerungen kommen,
kann das EXTERN-API deaktiviert werden.
NUR TOR
Prüft ausschließlich auf TOR-Server.
VPN, Proxies sowie Cloud/Relay-Server werden dabei nicht zusätzlich geprüft.
Alle TOR, VPN, Proxies Cloud/Relay
Prüft TOR, VPN, Proxies sowie Cloud/Relay-Infrastrukturen.
Für diesen Modus kann eine Registrierung bei
vpnapi.io
erforderlich sein.
Die kostenlose Variante von vpnapi.io stellt ein begrenztes Kontingent bereit.
Geschwindigkeit und Verfügbarkeit können abhängig von API-Auslastung
und Anbieterbedingungen variieren.
Für leistungsfähigere API-Abfragen kann ein kostenpflichtiger API-Plan bei
vpnapi.io
erforderlich sein.
Bei Nutzung externer Dienste gelten zusätzlich deren
Nutzungsbedingungen
und
Datenschutzrichtlinien.
Weitere Informationen zu TOR, VPN, Proxies und Cloud/Relay findest Du auf:
plus23.substack.com
PARAMETER
Spezial-Abwehr extremer Angriffe
Diese Parameter gehören zur Bot- und Spionage-Abwehr sowie zur Hacker-Abwehr.
Wenn die Blocklist-Heuristik aktiv ist,
können zugreifende IP-Adressen automatisch gesperrt werden.
IP-Fake-Abwehr
Erkennt auffällige oder widersprüchliche IP-Informationen in Headern.
Da manche Provider Header nicht sauber oder uneinheitlich setzen,
kann die Speicherung in die Blocklist gesondert angepasst werden.
URL-Bypass-Abwehr
Erkennt schwerwiegende Umgehungs- oder Manipulationsversuche.
Die zugreifende IP kann sofort in die Blocklist übernommen werden.
Regular Expression Abwehr
Erkennt besonders auffällige Zugriffsmuster.
REGEX-Treffer gelten häufig als schwerwiegende Angriffe
und können ebenfalls zur Sperrung führen.
Erkennung TOR, VPN, Proxies, Cloud/Relay Provider
Diese Parameter sind Teil der Bot- und Spionage-Abwehr.
Ein Proxy-Provider kann gleichzeitig auch als Quelle extremer Angriffe erkannt werden.
Ist das EXTERN-API aktiv, werden diese Parameter zusätzlich berücksichtigt.
