Mailinglist Archive: opensuse-de (977 mails)
| < Previous | Next > |
Re: massenhaft versuche "einzubrechen" was kann ich machen
- From: "Erik P. Roderwald" <suse@xxxxxxxxxxxx>
- Date: Fri, 30 Oct 2009 13:12:17 +0200
- Message-id: <200910301212.18291.suse@xxxxxxxxxxxx>
On Freitag 30 Oktober 2009, Heinz Diehl wrote:
Einverstanden. Es muss beim geringsten Verdacht neu installiert
werden. Wird ein erfolgreicher Angriff entdeckt, gibt es keine
andere sichere Möglichkeit, evtl. installierte Schadsoftware
wieder los zu werden. Vollkommen einverstanden. Es ging aber
erst einmal darum, die Tatsache, ob ein Angriff stattgefunden
hat, festzustellen, und nicht um die Beseitigung der Folgen. Bei
der Beseitigung der Folgen gebe ich Dir vollkommen recht. No
way.
Das ist richtig. 100% aller Angreifer auf einen Webserver wollen
diesen für ihre Zwecke missbrauchen. Dazu müssen sie entweder
zusätzliche Ports öffnen oder über geöffenete Ports tunneln.
Beides kann ich feststellen. Ich kann z. B. von außen einen
Portscan machen oder feststellen, ob die richtige Anwendung auf
z. B. Port 80 antwortet. Desweiteren muss dazu zusätzliche
Software installiert werden. Auch die kann ich finden
vorausgesetzt, ich weiß, was so auf meinem System sein darf.
Übrigens ist der mögliche Zweck immer Ausgangspunkt beim
Erstellen der Bedrohungsszenarien. Ich muss mir ja erst einmal
darüber klar werden, was eigentlich eine Gefahr darstellt, bevor
ich sie abwenden kann.
Das ist etwas anderes. Gefährlich ist ein solcher Angriff aber
nur, wenn sensible Daten gestohlen werden sollen. Dann
hinterlassen intelligente Angreifer keinerlei Spuren. Hinterher
ist wieder alles so wie vorher und demzufolge der Angriff nicht
mehr erkennbar. Deshalb sind solche Server auch ganz anders
abzusichern als Webserver. Auf solche Server sollte niemand ohne
VPN von außen direkten Zugriff haben. Auch sollte hier vor dem
Server eine Firewall eingerichtet werden, die alle Zugriffe logt
und beim geringsten Anzeichen das Teil vom Netz abklemmt.
Wie schon gesagt: Jede Situation verlangt ihr eigenes
Sicherheitskonzept.
Liebe Grüße
Erik
--
"Als ich die erste Havanna ansteckte, war das mein wahrer
Geburtstag."
Lord Grade of Elstree
Erik P. Roderwald * Uhlenhoffweg 18 * 21129 Hamburg
Telefon: +49 (0)40 8510 3150 * Fax: +49(0)40 8510 3148
http://www.zigarren-rollen.de
http://www.roderwald.de
http://blogs.roderwald.de
http://forum.roderwald.de
http://twitter.com/erikrode
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx
Wenn die
Maschine also erstmal kompromittiert ist, dann gibt es keine
Sicherheit mehr, da jeglicher Hinweis auf eine
Kompromittierung vom Eindringling manipulierbar ist.
Deswegen der Tip mit aide, und deswegen das (entfremdete)
Zitat: "There is no way....". Es gibt keinen Weg, dir
Sicherheit zu verschaffen mit Mitteln, die gleichzeitig dem
Zugriff des Eindringlings ausgesetzt sind, und keine
Sicherheit der Daten, die vom Eindringling manipuliert sein
koennen.
Einverstanden. Es muss beim geringsten Verdacht neu installiert
werden. Wird ein erfolgreicher Angriff entdeckt, gibt es keine
andere sichere Möglichkeit, evtl. installierte Schadsoftware
wieder los zu werden. Vollkommen einverstanden. Es ging aber
erst einmal darum, die Tatsache, ob ein Angriff stattgefunden
hat, festzustellen, und nicht um die Beseitigung der Folgen. Bei
der Beseitigung der Folgen gebe ich Dir vollkommen recht. No
way.
Du rechnest hier damit, dass 99.9% der Eindringlinge mehr oder
weniger unsauber vorgehen, und denkst an einen evtl. Zweck,
den der Eindringling evtl. damit vorhaben koennte.
Das ist richtig. 100% aller Angreifer auf einen Webserver wollen
diesen für ihre Zwecke missbrauchen. Dazu müssen sie entweder
zusätzliche Ports öffnen oder über geöffenete Ports tunneln.
Beides kann ich feststellen. Ich kann z. B. von außen einen
Portscan machen oder feststellen, ob die richtige Anwendung auf
z. B. Port 80 antwortet. Desweiteren muss dazu zusätzliche
Software installiert werden. Auch die kann ich finden
vorausgesetzt, ich weiß, was so auf meinem System sein darf.
Übrigens ist der mögliche Zweck immer Ausgangspunkt beim
Erstellen der Bedrohungsszenarien. Ich muss mir ja erst einmal
darüber klar werden, was eigentlich eine Gefahr darstellt, bevor
ich sie abwenden kann.
Jetzt denke
umgekehrt: was, wenn jemand in dein System eindringt und es so
veraendert, dass alle Spuren beseitigt sind? Genau: there is
no way...
Das ist etwas anderes. Gefährlich ist ein solcher Angriff aber
nur, wenn sensible Daten gestohlen werden sollen. Dann
hinterlassen intelligente Angreifer keinerlei Spuren. Hinterher
ist wieder alles so wie vorher und demzufolge der Angriff nicht
mehr erkennbar. Deshalb sind solche Server auch ganz anders
abzusichern als Webserver. Auf solche Server sollte niemand ohne
VPN von außen direkten Zugriff haben. Auch sollte hier vor dem
Server eine Firewall eingerichtet werden, die alle Zugriffe logt
und beim geringsten Anzeichen das Teil vom Netz abklemmt.
Wie schon gesagt: Jede Situation verlangt ihr eigenes
Sicherheitskonzept.
Liebe Grüße
Erik
--
"Als ich die erste Havanna ansteckte, war das mein wahrer
Geburtstag."
Lord Grade of Elstree
Erik P. Roderwald * Uhlenhoffweg 18 * 21129 Hamburg
Telefon: +49 (0)40 8510 3150 * Fax: +49(0)40 8510 3148
http://www.zigarren-rollen.de
http://www.roderwald.de
http://blogs.roderwald.de
http://forum.roderwald.de
http://twitter.com/erikrode
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx
| < Previous | Next > |