Weiter Zurück [Inhalt] Online Suche im Handbuch LITTLE-IDIOT NETWORKING

23.11 Wie schnell ein Angriff auf einen Server erfolgt

Ein Angreifer macht sich immer die Zeitdiskrepanz zwischen der Entdeckung eines Sicherheitsproblems und dem Aufspielen der Patches im Unternehmen zunutze. Kann er durch eine "saubere" Vorbereitung des Angriffs innerhalb weniger Sekunden in das System eindringen, was fast immer der Fall ist, so ist es danach nur noch eine Frage von wenigen Minuten, bis sich dieser durch die Systemkonfiguration durchgefunden hat, und in den Logfiles seine Spuren verwischen kann. Häufig ist es auch nur eine Frage von Sekunden, entsprechende Werkzeuge hochzuladen und zu starten, je nach Geschwindigkeit der Anbindung. In großen Unternehmen ist der Zeitraum zwischen der Benachrichtigung des Systemadministrators und dem Einspielen von Sicherheitspatches auf den zahlreichen Arbeitsstationen viel zu groß, oder sogar unmöglich (NT), da in vielen Fällen mit den Servicepacks auch Systemänderungen und Ergänzungen eingespielt werden müssen, die neue Probleme heraufbeschwören. Wichtig ist, daß diejenigen Server, die die Logmeldungen der Server / Firewall speichern, selber hochgradig abgesichert sind. Einen Angriff in Echtzeit mit zu verfolgen, dieses Privileg haben nur wenige.... Umso wichtiger ist die absolut zuverlässige Auswertung von Logfiles nach einem Angriff. Bei dem Einsatz von Microsoft Servern und Arbeitsstationen sollte man auch die Logfiles der Arbeitsstationen auf einen zentralen Logserver sichern und überwachen. Es hilft, Unregelmäßigkeiten bei Arbeitsstationen zu erkennen, und evtl. diese genauer auf Einbruchsspuren zu untersuchen. Hierzu darf der Angreifer keinen Zugriff auf den LogHost erhalten. Dieser sollte durch eine eigene Firewall mit eigener Hardware geschützt sein.


Weiter Zurück [Inhalt] Online Suche im Handbuch LITTLE-IDIOT NETWORKING