Weiter Zurück [Inhalt] Online Suche im Handbuch LITTLE-IDIOT NETWORKING

23.10 Zeitversatz zwischen Angriffen und die Analyse von Logfiles

Da sogenannte "events" in Routern und Firewalls bei Angriffen zeitlich einen großen Abstand haben können, kann ein Systemadministrator oft keinen Zusammenhang zwischen ungewöhnlichen Ereignissen erkennen, auch wenn Logfiles zusammen ausgewertet werden. Nur aufwendige Analyse - Programme, die mitunter auch Logfiles von mehreren Servern/Clients/Routern/Firewalls miteinander kombinieren, geben zuverlässige Hinweise darauf, ob ein Angriff erfolgreich war, oder nicht. Der Unterschied ist in etwa vergleichbar mit der Auswertung von Zugriffen auf Web-Seiten. Die einen werten nur die Zahl der Zugriffe auf die jeweiligen Seiten aus. Viel wichtiger ist aber, zu wissen, in welcher Reihenfolge ein "Kunde" das "Angebot" bzw. die Serverlandschaft eines Unternehmens durchstreift hat, und wofür er sich dabei interessierte. Der Zeitversatz ist allerdings immer ein Problem, falls alle Server und Clients nicht zeitsynchron laufen. Daher wird ein Angreifer auch stets den Timeserver eines Unternehmens manipulieren, oder die Uhrzeit der Server verstellen. In vielen Fällen werden aber Logserver einfach angehalten, damit wichtige Informationen über die Art des Einbruchs und die Wege nicht in den Logfiles erscheinen.


Weiter Zurück [Inhalt] Online Suche im Handbuch LITTLE-IDIOT NETWORKING