Computer-Forensik: Analyse von Angriffen

Protokollierung

Aus genannten Gründen ist es im Bereich der Netzwerk-Sicherheit wichtig, sämtliche zur Verfügung stehenden Protokollierungs-Mechanismen zu aktivieren und zu pflegen. Im Gegensatz zu den für den Forensiker auch nach langer Zeit noch auswertbaren Spuren auf nicht flüchtigen Speichern wie Festplatten, sind die Daten in einer aktiven Netzwerkkomponente wie einem Netzwerk-Switch oder einem Router extrem flüchtig. Nur entsprechend ausgestattete und konfigurierte Netzwerk-Systeme erlauben ein kontinuierliches Mitschreiben der für eine Zuordnung und Nachverfolgung nötigen Adress- und Protokoll-Informationen.

Firewall-Systeme und Intrusion-Detection-Systeme werten den Datenverkehr aus und überprüfen nicht nur wie beim reinen Packet-Filtering die Zulässigkeit von Quell-, Ziel- und Port-Adresse eines Paketes. Darüber hinaus analysieren sie auch dessen Inhalt. Entsprechend versierte Eindringlinge versuchen beispielsweise bekannte Betriebssystemschwächen durch Verstecken von gefährlichem Code in Paketen mit ungefährlichen Portadressen auszunutzen, beispielsweise durch das Tarnen von Telnet-Paketen in SMTP-Paketen. Eine gute Firewall - damit sind nicht die Desktop-Firewalls gemeint - wird also nicht nur solche Pakete blockieren, sondern anhand einer Vielzahl von Kriterien versuchen festzustellen, ob ein konkreter Angriff vorliegt (beispielsweise Port-Scan-Detection) und den Systemadministrator entsprechend informieren.

Grundsätzlich besteht das Bestreben eines Eindringlings darin, sich in dem angegriffenen System unbemerkt zu bewegen und sich für die spätere Rückkehr eine Hintertür (Backdoor) offen zu halten. Hierzu wird er versuchen, aktive Logging-Mechanismen und für ihn gefährliche Systemüberwachungsdienste abzuschalten. Des Weiteren wird er danach streben, privilegierte Rechte zu erlangen, um einen möglichst tief greifenden Einblick und Zugriff auf das System oder Netzwerk zu erhalten. Die Kenntnis solcher Verhaltensweisen und von Sicherheitslöchern der beteiligten Systeme ermöglicht dem Analytiker, Spuren des Eindringlings zu erkennen beziehungsweise im Rahmen der Prevention die Schwachstellen zu schließen.