BalaBit Shell Control Box                                                                                                                
Die BalaBit Shell Control Box (SCB) ist ein klassisches Nischenprodukt. Ausgehend von den Bedürfnissen der Wirtschaft wurde sie für einen bestimmten Zweck entwickelt:
 
Sie ist eine Appliance zur Kontrolle, Überwachung und Protokollierung der Fernadministration von Servern und Netzwerkkomponenten. Die SCB kontrolliert administrative Zugriffe und Administrationsprozesse, indem es die bei der Serveradministration verwendeten verschlüsselten Verbindungen überwacht. Sie ist ein externes, vollkommen transparentes und von Clients und Servern unabhängiges Gerät.
 
Einsatz
 
Die SCB zeichnet den gesamten administrativen Verkehr auf (einschließlich Konfigurations-änderungen, ausgeführte Befehle, usw.) und speichert diesen in so genannten Audit Trails.
 
 Zu ihrem Einsatz bedarf es keiner Modifizierung der client- oder serverseitigen Anwendungen, sie lässt sich problemlos in bereits bestehende Infrastrukturen integrieren.
 
 der Einsatz bietet sich an für:
 
  • Unternehmen, die zur Erfüllung und Einhaltung von Compliance-Auflagen wie Basel II u. III, HIPAA, SOX oder PCI-DSS verpflichtet sind.
  • Unternehmen mit ausgegliederter IT
  • Unternehmen, die Fernwartung anbieten
  • Organisationen mit Thin-Client Infrastrukturen
  • Echtzeit-Dateiübertragung und Dateizugriffsüberwachung
  • Organisationen, die SSH Verkehr kontrollieren wollen
  • Organisationen, die Jump Hosts benutzen
 
Methode
 
Alle Informationen werden in verschlüsselten, zeitgestempelten und digital signierten Dateien gespeichert, um eine Modifizierung und Manipulation der aufgezeichneten Daten zu verhindern. Tritt irgendein Problem auf (z.B. Serverkonfigurationsfehler, unautorisierte Datenbankänderung, unerwartetes Herunterfahren), sind die Umstände des Ereignisses sofort in den Audit Trails zugänglich, wodurch sich die Ursachen des Vorfalls leicht feststellen lassen. Die gespeicherten Audit Trails lassen sich wie Filme abspielen und stellen somit sämtliche Handlungen der Administratoren dar. Sämtliche Audit Trails können auf einem separaten Indexierungsserver indexiert werden, wodurch das schnelle Suchen in vom Administrator betrachteten Texten möglich ist. Darüber hinaus kann nach verschiedenen Ereignissen (z.B. Mausklick, Tastendruck) gesucht werden. Vordefinierte Suchläufe und die Erzeugung von Reports sind ebenfalls möglich. Um die in der Kommunikation enthaltenen empfindlichen Informationen zu schützen, können die zwei Richtungen des Verkehrs (Client-Server und Server-Client) voneinander getrennt und mit separatem Schlüssel verschlüsselt werden, wodurch sensible Informationen wie Passwörter nur dann angezeigt werden, wenn es tatsächlich notwendig ist.
 
Die SCB kann den unverschlüsselten Datenverkehr an ein Intrusion Detection System (IDS) weiterleiten, um die ursprünglich verschlüsselten Daten inhaltlich analysieren zu können. Dadurch werden die früher unzugänglichen Daten für das IDS in Echtzeit kontrollierbar. Die Überwachung der in den SSH-Verkehr eingebetteten Protokolle ist ebenfalls möglich. Auf ähnliche Weise können Daten der über verschlüsselte Protokolle übertragenen oder geöffneten Dateien an ein Data Leakage Prevention (DLP) System weitergeleitet werden.