Nach dem Angriff: Notfallplan für Netzwerk-Administratoren

Image des Systems erstellen, um Beweismaterial zu sichern

Wenn man darauf hofft, den Eindringling zu identifizieren, der das Problem verursacht hat, oder eine Diagnose durchführen möchte, um die genaue Herkunft der Attacke zu bestimmen, ist es erforderlich, ein Image aller kompromittierten Systeme zu erstellen. Eine Software wie Symantec Ghost erstellt eine Imagedatei des Systems, mit der sich der Zustand des Systems zum Zeitpunkt der Entdeckung der Attacke rekonstruieren lässt. Das Image kann auf einen anderen Datenträger kopiert werden, um das Problem zu dokumentieren, und kann dann zur Identifizierung des Angreifers oder bestimmter Schwachstellen benutzt werden. Ist das Image erstellt, kann das Produktionssystem wieder auf seinen Betriebszustand zurückgesetzt werden.

Am besten wird das Image auf andere Festplatten kopiert, die dann für die weiteren Untersuchungen herangezogen werden, da der Imaging-Vorgang nur solche Daten kopiert, die durch die Dateizuordnungstabellen als in Gebrauch markiert sind. Folglich werden kürzlich gelöschte, aber wiederherstellbare Dateien nicht in das Image kopiert. Zwar machen sich nur Wenige die Mühe, bereits gelöschte Dateien wiederherzustellen, aber es kommt vor.

Systeme auf unbefugte Eingriffe überprüfen

Vor einer erneuten Verbindung der Systeme mit dem Internet muss festgestellt werden, ob sie kompromittiert worden sind. Dies ist wohl der schwierigste Aspekt bei einem Hacker-Angriff, denn er erfordert, dass der Status aller Systeme und die möglicherweise erstellten Protokolle kritisch unter die Lupe genommen werden.

Zunächst sind sämtliche Sicherheitskonten auf der Maschine und alle angeschlossenen Systeme zu überprüfen. In einer typischen Netzwerkumgebung beinhaltet das sowohl die Kontern der lokalen Rechner als auch die Netzwerkkonten von Novell Directory Services (NDS) oder Active Directory. Es bedeutet darüber hinaus die Überprüfung der Datenbankkonten, um sicherzustellen, dass auf diese nicht unbefugterweise zugegriffen wurde. Hierbei ist auch sicherzustellen, dass keine der deaktivierten Konten im System aktiviert worden sind. Jedes Konto, das nicht existieren sollte oder nicht erklärt werden kann, ist auffällig. Findet man ein solches Konto, sollte es deaktiviert werden, bis der Grund für seine Existenz im Netzwerk festgestellt ist.

 

Themenseiten: Security-Praxis

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Nach dem Angriff: Notfallplan für Netzwerk-Administratoren

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *