Image des Systems erstellen, um Beweismaterial zu sichern
Wenn man darauf hofft, den Eindringling zu identifizieren, der das Problem verursacht hat, oder eine Diagnose durchführen möchte, um die genaue Herkunft der Attacke zu bestimmen, ist es erforderlich, ein Image aller kompromittierten Systeme zu erstellen. Eine Software wie Symantec Ghost erstellt eine Imagedatei des Systems, mit der sich der Zustand des Systems zum Zeitpunkt der Entdeckung der Attacke rekonstruieren lässt. Das Image kann auf einen anderen Datenträger kopiert werden, um das Problem zu dokumentieren, und kann dann zur Identifizierung des Angreifers oder bestimmter Schwachstellen benutzt werden. Ist das Image erstellt, kann das Produktionssystem wieder auf seinen Betriebszustand zurückgesetzt werden.
Am besten wird das Image auf andere Festplatten kopiert, die dann für die weiteren Untersuchungen herangezogen werden, da der Imaging-Vorgang nur solche Daten kopiert, die durch die Dateizuordnungstabellen als in Gebrauch markiert sind. Folglich werden kürzlich gelöschte, aber wiederherstellbare Dateien nicht in das Image kopiert. Zwar machen sich nur Wenige die Mühe, bereits gelöschte Dateien wiederherzustellen, aber es kommt vor.
Systeme auf unbefugte Eingriffe überprüfen
Vor einer erneuten Verbindung der Systeme mit dem Internet muss festgestellt werden, ob sie kompromittiert worden sind. Dies ist wohl der schwierigste Aspekt bei einem Hacker-Angriff, denn er erfordert, dass der Status aller Systeme und die möglicherweise erstellten Protokolle kritisch unter die Lupe genommen werden.
Zunächst sind sämtliche Sicherheitskonten auf der Maschine und alle angeschlossenen Systeme zu überprüfen. In einer typischen Netzwerkumgebung beinhaltet das sowohl die Kontern der lokalen Rechner als auch die Netzwerkkonten von Novell Directory Services (NDS) oder Active Directory. Es bedeutet darüber hinaus die Überprüfung der Datenbankkonten, um sicherzustellen, dass auf diese nicht unbefugterweise zugegriffen wurde. Hierbei ist auch sicherzustellen, dass keine der deaktivierten Konten im System aktiviert worden sind. Jedes Konto, das nicht existieren sollte oder nicht erklärt werden kann, ist auffällig. Findet man ein solches Konto, sollte es deaktiviert werden, bis der Grund für seine Existenz im Netzwerk festgestellt ist.
Neueste Kommentare
Noch keine Kommentare zu Nach dem Angriff: Notfallplan für Netzwerk-Administratoren
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.