On Freitag 30 Oktober 2009, Heinz Diehl wrote:
Wenn die Maschine also erstmal kompromittiert ist, dann gibt es keine Sicherheit mehr, da jeglicher Hinweis auf eine Kompromittierung vom Eindringling manipulierbar ist.
Deswegen der Tip mit aide, und deswegen das (entfremdete) Zitat: "There is no way....". Es gibt keinen Weg, dir Sicherheit zu verschaffen mit Mitteln, die gleichzeitig dem Zugriff des Eindringlings ausgesetzt sind, und keine Sicherheit der Daten, die vom Eindringling manipuliert sein koennen.
Einverstanden. Es muss beim geringsten Verdacht neu installiert werden. Wird ein erfolgreicher Angriff entdeckt, gibt es keine andere sichere Möglichkeit, evtl. installierte Schadsoftware wieder los zu werden. Vollkommen einverstanden. Es ging aber erst einmal darum, die Tatsache, ob ein Angriff stattgefunden hat, festzustellen, und nicht um die Beseitigung der Folgen. Bei der Beseitigung der Folgen gebe ich Dir vollkommen recht. No way.
Du rechnest hier damit, dass 99.9% der Eindringlinge mehr oder weniger unsauber vorgehen, und denkst an einen evtl. Zweck, den der Eindringling evtl. damit vorhaben koennte.
Das ist richtig. 100% aller Angreifer auf einen Webserver wollen diesen für ihre Zwecke missbrauchen. Dazu müssen sie entweder zusätzliche Ports öffnen oder über geöffenete Ports tunneln. Beides kann ich feststellen. Ich kann z. B. von außen einen Portscan machen oder feststellen, ob die richtige Anwendung auf z. B. Port 80 antwortet. Desweiteren muss dazu zusätzliche Software installiert werden. Auch die kann ich finden vorausgesetzt, ich weiß, was so auf meinem System sein darf. Übrigens ist der mögliche Zweck immer Ausgangspunkt beim Erstellen der Bedrohungsszenarien. Ich muss mir ja erst einmal darüber klar werden, was eigentlich eine Gefahr darstellt, bevor ich sie abwenden kann.
Jetzt denke umgekehrt: was, wenn jemand in dein System eindringt und es so veraendert, dass alle Spuren beseitigt sind? Genau: there is no way...
Das ist etwas anderes. Gefährlich ist ein solcher Angriff aber nur, wenn sensible Daten gestohlen werden sollen. Dann hinterlassen intelligente Angreifer keinerlei Spuren. Hinterher ist wieder alles so wie vorher und demzufolge der Angriff nicht mehr erkennbar. Deshalb sind solche Server auch ganz anders abzusichern als Webserver. Auf solche Server sollte niemand ohne VPN von außen direkten Zugriff haben. Auch sollte hier vor dem Server eine Firewall eingerichtet werden, die alle Zugriffe logt und beim geringsten Anzeichen das Teil vom Netz abklemmt. Wie schon gesagt: Jede Situation verlangt ihr eigenes Sicherheitskonzept. Liebe Grüße Erik -- "Als ich die erste Havanna ansteckte, war das mein wahrer Geburtstag." Lord Grade of Elstree Erik P. Roderwald * Uhlenhoffweg 18 * 21129 Hamburg Telefon: +49 (0)40 8510 3150 * Fax: +49(0)40 8510 3148 http://www.zigarren-rollen.de http://www.roderwald.de http://blogs.roderwald.de http://forum.roderwald.de http://twitter.com/erikrode -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org