Nach dem Angriff: Notfallplan für Netzwerk-Administratoren

Wiederanschluss der Systeme

Der physische Vorgang des Wiederanschließens der Systeme an das Internet klingt banal: Sämtliche Steckverbindungen werden wieder angeschlossen, und alles läuft wieder. Wichtig ist eigentlich, was nach dem Anmelden der Systeme geschieht.

Sobald die Geräte wieder angeschlossen sind, beginnen sie, ausgehende Verbindungen durch die Firewall zu erstellen. Diese Verbindungen sind genau auf ihre Bestimmung hin zu überwachen. Die meisten Anwender werden dann feststellen, dass viele Anwendungen und Utilities auf ihren Workstations mit der Außenwelt kommunizieren.

Jede einzelne Verbindung sollte auf ihre Berechtigung hin untersucht werden. Ganz besonders gilt das für Verbindungen, deren Ziel nicht Port 80 (der HTTP-Port) ist. Mit nslookup lässt sich die Ziel-IP-Adresse feststellen. Auf der Kommandozeile gibt man NSLOOKUP ein, anschließend SET TYPE=PTR und bestätigt dann mit der Enter-Taste. Zuletzt gibt man die zuvor umgekehrte IP-Adresse ein und fügt in-addr.arpa hinzu. Ist das alles eingegeben, kann man auf eine Antwort hoffen. Für die externe Adresse von 216.37.52.229 würde man zum Beispiel 229.52.37.216.in-addr.arpa eingeben. Erhält man nicht die gewünschte Antwort, wird die IP-Adresse von hinten solange verkürzt, bis eine Antwort vorliegt. Die nächste Eingabe wäre beispielsweise 52.37.216.in-addr.arpa.

Aufräumen lohnt sich

Wenn ein Netzwerk angegriffen wurde, ist eine Menge Arbeit erforderlich um sicherzustellen, dass dies nicht nochmals passiert. Trotz des ganzen Aufwands ist es jedoch nicht ratsam, irgendwelche Abkürzungen zu nehmen. Werden die kompromittierten Systeme nicht vollständig gesäubert und die Ergebnisse nach dem Wiederanschluss überwacht, können die Probleme unvorhersehbare Ausmaße annehmen.