Mobile Systems III INFORMATIK
Mobile Systems III INFORMATIK
Mobile Systems III INFORMATIK
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Lars Langer 157<br />
Aktiv:<br />
Maßnahmen bezüglich des angegriffenen <strong>Systems</strong>:<br />
In diesem Fall wird versucht, über das eigene System die Kontrolle zurück zu gewinnen.<br />
Im Allgemeinen ist man bestrebt die Auswirkungen des Angriffs zu vermeiden oder zumindest<br />
so gering wie möglich zu halten. Hierzu übliche Aktionen sind die Unterbrechung der<br />
Verbindung, beispielsweise durch das senden von TCP Reset Paketen, die Sperrung von<br />
kompromittierten Benutzerkonten, die möglicherweise infiltriert wurden um sich von dort<br />
aus Administratorrechte zu verschaffen, das Beenden schädlicher Prozesse, die eventuell<br />
Würmer oder auch Trojaner zugehörig sind, und das Aktivieren einer höheren Sicherheitsstufe,<br />
was neben anderen Maßnahmen durch eine Rekonfiguration der Firewalls geschehen<br />
kann.<br />
Maßnahmen bezüglich des angreifenden <strong>Systems</strong>:<br />
Hierbei wird versucht, in die Operationsplattform des Angreifers einzudringen und diese<br />
unschädlich zu machen und möglicherweise entwendete Daten zu entfernen. Diese Vorgehensweise<br />
ist rechtlich problematisch und wird deshalb nicht von Unternehmen und<br />
privaten Netzwerkbetreibern angewandt. Sie findet daher nur Verwendung beim Militär,<br />
beim Bundesnachrichtendienst, bei der Polizei oder anderen Einrichtungen des Bundes.<br />
7.3.4 Umgang mit Prüfdaten<br />
Hauptunterscheidungsmerkmal sind beim Umgang mit den Prüfdaten die Aspekte der<br />
Zentralisierung und Dezentralisierung.<br />
Möglichkeiten der Datensammlung:<br />
Auditdaten können an zwei verschiedenen Stellen gesammelten werden[1]. Sie können<br />
von einem einzelnen System, Teilsystem oder User gesammelt und kontrolliert werden,<br />
oder an einem Router, Gateway oder einer anderer zentralen Einheit abgegriffen werden,<br />
womit mehrere Systeme miteinander verbunden werden und worüber die Kommunikation<br />
gebündelt wird, so dass es nicht umgangen werden kann.<br />
Möglichkeiten der Datenprüfung:<br />
Ähnlich der Datensammlung kann auch die Datenprüfung in zwei Arten unterteilt werden.<br />
Die Auditdaten können einmal auf dem System geprüft werden, auf dem sie gesammelt<br />
werden, oder man verteilt diese Prüfdaten auf mehrere Intrusion Detection Systeme, die<br />
miteinander kooperieren[1]. So kann man weiterhin eine gute Performance des eigentlichen<br />
<strong>Systems</strong> gewährleisten, da die Prüfung selbst dieses System nicht belastet. Möglich ist<br />
auch, dass man die Ergebnisse bei dezentralisierter Datenprüfung miteinander abgleicht,<br />
also beispielsweise die anderen Systeme danach fragt, ob sie dieselbe Anomalie entdeckt<br />
haben, wie das eigene System.