Red Hat Enterprise Linux 3: Sicherheitshandbuch | ||
---|---|---|
Zurück | Kapitel 10. Vorfallsreaktion | Nach vorne |
Während eine Vorfallsreaktion ausgeführt wird, sollte das CERT-Team auf Daten- und Systemwiederherstellung hinarbeiten und diese untersuchen. Es liegt jedoch an der Natur des Einbruchs, der festlegt, wie bei der Wiederherstellung zu verfahren ist. Backups oder redundante Systeme offline haben sich als unermesslich wertvoll erwiesen.
Um Systeme wiederherzustellen, muss das Team jegliche ausgefallene Systeme oder Applikationen wie z.B. Authentifitzierungsserver, datenbankserver und alle anderen Produktionsressourcen wieder online bringen.
Es wird dringend empfohlen, Backup-Hardware für die Produktion einsatzbereit zu haben. Dies umfasst Extra-Festplatten, Ersatz-Server und ähnliches. Fertige Systeme sollten bereits alle Software geladen haben und für sofortigen Einsatz bereit sein. Es müssen dann vielleicht nur die allerneuesten Daten importiert werden. Dieses fertige System sollte isoliert vom potentiell betroffenen Netzwerk gehalten werden. Tritt ein Sicherheitsbruch auf und das Backup-System ist Teil des Netzwerks, ist es zwecklos, überhaupt ein Backup-System anzulegen.
Systemwiederherstellung ist ein umständlicher Prozess. In vielen Situationen gibt es zwei Methoden, aus denen man auswählen muss. Administratoren können entweder das Betriebssytem neu installieren, gefolgt von einer Neuinstallation aller Applikationen und Daten. Alternativ dazu kann der Administrator das System mit einem Patch versehen und das betroffene System wieder zur Produktion zurückbringen.
Das Durchführen einer sauberen Neuinstallation versichert, dass das betroffene System von allen Trojanern, Backdoors und bösartigen Prozessen gereinigt wird. Eine Neuinstallation stellt außerdem sicher, dass jegliche Daten (wenn von einer vertrauenswürdigen Quelle wiederhergestellt) von bösartigen Veränderungen gereinigt werden. Der Nachteil einer vollständigen Systemwiederherstellung ist der Zeitaufwand, das System von Grund auf neu aufzubauen. Wenn jedoch ein aktuelles Backup-System vorhanden ist, bei dem Sie nur die neuesten Daten hinzufügen müssen, wird die Systemausfallzeit erheblich verringert.
Die zweite Möglichkeit ist, die betroffenen Systeme mit einem Patch zu versehen. Diese Wiederherstellungsmethode ist gefährlicher, und sollte nur mit großer Vorsicht durchgeführt werden. Die Gefahr eines Patches anstelle einer Neuinstallation ist das Feststellen, ob Sie das System ausreichend von Trojanern, Sicherheitslöchern und korrupten Daten gereinigt haben. Wenn Sie einen modularen Kernel verwenden, kann das Patchen eines Systems noch wesentlich schwieriger werden. Die meisten rootkits (Programme oder Pakete, die ein Cracker hinterlässt, um Root-Zugang zu Ihrem System zu erhalten), trojanische Systembefehle und Shell-Umgebungen wurden so entwickelt, dass ihre bösartigen Aktivitäten bei Prüfungen nicht gefunden werden. Verwenden Sie die Patch-Methode, sollten nur vertrauenswürdige Binaries (wie zum Beispiel von einer Nur-Lese-CD-ROM) verwendet werden.
Zurück | Zum Anfang | Nach vorne |
Untersuchen des Vorfalls | Nach oben | Den Vorfall melden |