Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
verbreiteter Irrtum, zu glauben, daß ein Angriff durch Unterbrechung der Internet-<br />
Verbindung abgebrochen werden kann.<br />
23.10 Zeitversatz zwischen Angriffen <strong>und</strong> die Analyse von<br />
Logfiles<br />
Da sogenannte "events" in Routern <strong>und</strong> <strong>Firewall</strong>s bei Angriffen zeitlich einen großen<br />
Abstand haben können, kann ein Systemadministrator oft keinen Zusammenhang<br />
zwischen ungewöhnlichen Ereignissen erkennen, auch wenn Logfiles zusammen<br />
ausgewertet werden. Nur aufwendige Analyse - Programme, die mitunter auch Logfiles<br />
von mehreren Servern/Clients/Routern/<strong>Firewall</strong>s miteinander kombinieren, geben<br />
zuverlässige Hinweise darauf, ob ein Angriff erfolgreich war, oder nicht. Der Unterschied<br />
ist in etwa vergleichbar mit der Auswertung von Zugriffen auf Web-Seiten. Die einen<br />
werten nur die Zahl der Zugriffe auf die jeweiligen Seiten aus. Viel wichtiger ist aber, zu<br />
wissen, in welcher Reihenfolge ein "K<strong>und</strong>e" das "Angebot" bzw. die Serverlandschaft<br />
eines Unternehmens durchstreift hat, <strong>und</strong> wo<strong>für</strong> er sich dabei interessierte. Der Zeitversatz<br />
ist allerdings immer ein Problem, falls alle Server <strong>und</strong> Clients nicht zeitsynchron laufen.<br />
Daher wird ein Angreifer auch stets den Timeserver eines Unternehmens manipulieren,<br />
oder die Uhrzeit der Server verstellen. In vielen Fällen werden aber Logserver einfach<br />
angehalten, damit wichtige Informationen über die Art des Einbruchs <strong>und</strong> die Wege nicht<br />
in den Logfiles erscheinen.<br />
23.11 Wie schnell ein Angriff auf einen Server erfolgt<br />
Ein Angreifer macht sich immer die Zeitdiskrepanz zwischen der Entdeckung eines<br />
Sicherheitsproblems <strong>und</strong> dem Aufspielen der Patches im Unternehmen zunutze. Kann er<br />
durch eine "saubere" Vorbereitung des Angriffs innerhalb weniger Sek<strong>und</strong>en in das<br />
System eindringen, was fast immer der Fall ist, so ist es danach nur noch eine Frage von<br />
wenigen Minuten, bis sich dieser durch die Systemkonfiguration durchgef<strong>und</strong>en hat, <strong>und</strong> in<br />
den Logfiles seine Spuren verwischen kann. Häufig ist es auch nur eine Frage von<br />
Sek<strong>und</strong>en, entsprechende Werkzeuge hochzuladen <strong>und</strong> zu starten, je nach<br />
Geschwindigkeit der Anbindung. In großen Unternehmen ist der Zeitraum zwischen der<br />
Benachrichtigung des Systemadministrators <strong>und</strong> dem Einspielen von Sicherheitspatches<br />
auf den zahlreichen Arbeitsstationen viel zu groß, oder sogar unmöglich (NT), da in vielen<br />
Fällen mit den Servicepacks auch Systemänderungen <strong>und</strong> Ergänzungen eingespielt<br />
werden müssen, die neue Probleme heraufbeschwören. Wichtig ist, daß diejenigen<br />
Server, die die Logmeldungen der Server / <strong>Firewall</strong> speichern, selber hochgradig<br />
abgesichert sind. Einen Angriff in Echtzeit mit zu verfolgen, dieses Privileg haben nur<br />
wenige.... Umso wichtiger ist die absolut zuverlässige Auswertung von Logfiles nach<br />
einem Angriff. Bei dem Einsatz von Microsoft Servern <strong>und</strong> Arbeitsstationen sollte man<br />
auch die Logfiles der Arbeitsstationen auf einen zentralen Logserver sichern <strong>und</strong><br />
überwachen. Es hilft, Unregelmäßigkeiten bei Arbeitsstationen zu erkennen, <strong>und</strong> evtl.<br />
diese genauer auf Einbruchsspuren zu untersuchen. Hierzu darf der Angreifer keinen<br />
Zugriff auf den LogHost erhalten. Dieser sollte durch eine eigene <strong>Firewall</strong> mit eigener<br />
Hardware geschützt sein.<br />
23.12 Der unbemerkte Diebstahl von Daten<br />
Wege, ein Programm in ein Unternehmen zu schleusen, sind vielfältig. Problematischer ist<br />
es, größere Informationsmengen unentdeckt heraus zu schleusen. Besonders einfach hat<br />
es ein Angreifer, der die zumeist sehr großen Datenbestände eines Unternehmens, z.B. in<br />
einer SQL-Datenbank unbemerkt "aufarbeiten" <strong>und</strong> filtern kann, um dann die<br />
ausgewerteten Daten möglichst unauffällig aus dem Netz heraus transportieren zu<br />
können. Dabei nutzt ein Angreifer gerne vernachlässigte Server zur Vorselektierung,<br />
Filterung <strong>und</strong> Komprimierung der Daten, bevor er diese in das Internet entführt. Hierbei<br />
spielt es keine Rolle, ob als Serversystem UNIX mit seinen vielen, leistungsfähigen<br />
Werkzeugen zum Einsatz kommt, oder z.B. Windows NT. Angreifer verfügen über die<br />
Fähigkeit, "mal eben" zumeist freie UNIX-Werkeuge auf NT zu portieren, sofern dies um<br />
Zusammenhang mit der erwähnten POSIX-Kompatibilität von NT nicht schon längst<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins