Disk-Forensik/ Sonstige/ Protokolldaten

Aus Wikibooks
Zur Navigation springen Zur Suche springen

Inhaltsverzeichnis

Jedes in einem Netzwerk verwendete Programm, das für mehr Sicherheit sorgen soll, hat unterschiedliche Eigenschaften und speichert unterschiedliche Daten, deren Relevanz von unwichtig bis sehr wichtig reicht. Diese können unter anderem auf einen Einbruch hinweisen oder auch Informationen über den Angreifer oder die Art des Angriffs enthalten.

Firewall[Bearbeiten]

Eine Firewall regelt den Verkehr, der zwischen einem ungesicherten Netzwerk (z.B. Internet) und einem gesicherten Netzwerk (z.B Firmen-Intranet) abläuft. Unterschieden wird zwischen Hardware- und Software-Firewalls sowie Personal Firewalls, die sich direkt am Client Rechner befinden.

Ungewöhnlich hoher Netzverkehr, sowie eine überdurchschnittlich hohe Anzahl von Firewall-Regelverstößen, eingehend sowie ausgehend, können Indizien für eine Attacke auf das Rechnersystem sein. Dies kann aus den von der Firewall definierten Logs hervorgehen. Hierbei sollte darauf geachtet werden, dass es sowohl darauf ankommt, wie streng die Firewall konfiguriert wurde (strenge Regeln führen zu mehr Regelverstößen und dadurch zu mehr Logeinträgen), als auch wie umfangreich die Logs geschrieben werden (werden Ausfälle und Warnungen oder auch Informationen über korrekte Verbindungsaufbauten geloggt?). Sobald diese Aspekte in Betracht gezogen wurden und bekannt ist, wie viele Logs normalerweise anfallen, kann erkannt werden, wann ungewöhnlicher Netzverkehr aufgetreten ist. Ebenfalls muss berücksichtigt werden, ob es zu diesem Zeitpunkt im Netzwerk ganz bewusst erhöhten Verkehr gegeben hat. Diese Vorfälle können, wenn sie bekannt sind, von weiteren Untersuchungen ausgeschlossen werden.

IDS[Bearbeiten]

Bei Intrusion Detection Systemen muss man zwischen Netzwerk IDS und Host IDS unterscheiden. Je nachdem, welches dieser Systeme eingesetzt wird, können unterschiedliche Daten heraus gefiltert werden.

Allgemein werden folgende Aspekte von Intrusion Detection Systemen beachtet:

* Erkennung von Angriffen im Netzwerkverkehr und die entsprechende Frühwarnfunktion
* Überprüfung auf Policy-konformes Verhalten
* Überwachung der Funktion und Integrität der Systeme und Komponenten
* permanente, umfangreiche und konsistente Systembeobachtung
* Verbesserung der Transparenz des zu schützenden Systems
* Beweissicherung
* Erkennung allgemeiner Systemstörungen
* bei Bedarf ausgewählte automatische Reaktionen

Bei IDS muss beachtet werden, dass standardmäßig das System oder Netzwerk nur überwacht wird, und gegebenenfalls Meldungen versendet werden. Um präventive bzw. aktive Maßnahmen gegen einen Einbruch in ein System kümmert sich ein Intrusion Prevention System (IPS). Beim IDS sollten die Logs, auch wenn kein Verdacht auf einen Einbruch besteht, regelmäßig überprüft werden.

RAS[Bearbeiten]

In den Logs eines Remote Access Systems kann nachvollzogen werden, welche Benutzer zu welcher Uhrzeit wie lange über eine entfernte Verbindung am System eingeloggt waren. Dies kann bei ungewöhnlichen Uhrzeiten oder ungewöhnlichen Benutzern oder einer Kombination derer den Verdacht aufwerfen, dass es sich hierbei um einen Angreifer gehandelt haben könnte.

Eine Vorsichtsmaßnahme hierbei ist es, bestimmten Benutzern zu bestimmten Zeiten den entfernten Zugriff auf das System zu verweigern.

Sonstige[Bearbeiten]

Weiter können zum Beispiel Logs von angebotenen Serverdiensten Aufschluss darüber geben, ob möglicherweise zu einem bestimmten Zeitpunkt der Dienst ungeplant neu gestartet oder auch nur beendet wurde. Dies kann ein Indiz für eine Denial of Service Attacke darstellen.

Bei manchen Systemen gibt es Logeinträge, wenn die Systemlast für eine längere Zeit ungewöhnlich hoch ist. Dies könnte ebenfalls auf eine Attacke hinweisen. Hierbei sollte jedoch beachtet werden, dass es sich ebenfalls um einen zu diesem Zeitpunkt laufenden legitimen Systemprozess handeln könnte (z.B. Virenscan).