Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux Sicherheitshandbuch - Implementieren des Incident-Response-Plans
Red Hat Enterprise Linux 4: Sicherheitshandbuch
Zur�ckKapitel 10. VorfallsreaktionNach vorne

10.3. Implementieren des Incident-Response-Plans

Nachdem ein Schlachtplan erstellt wurde, muss dieser verabschiedet und aktiv implementiert werden. Jeder Aspekt dieses Plans, der w�hrend der Implementierung in Frage gestellt wird, resultiert wahrscheinlich in langsamer Reaktionszeit und Systemausfall, falls ein Versto� vorliegt. Hier wird praktische �bung unsch�tzbar. Solange nicht etwas bem�ngelt wird, bevor der Plan aktiv in der Produktionsumgebung eingesetzt wird, sollte der Plan von allen direkt betroffenen Parteien verabschiedet und zuversichtlich implementiert werden.

Wird ein Bruch bemerkt w�hrend die CERT f�r eine schnelle Reaktion vor-Ort ist, k�nnen m�gliche Reaktionen variieren. Das Team kann sich einigen, das Netzwerk zu trennen, die betroffenen Systeme zu trennen, das Sicherheitsloch mit einem Patch zu versehen und schnell wieder ohne weitere Komplikationen zu verbinden. Das Team kann auch die Eindringlinge �berwachen und deren Aktionen verfolgen. Das Team kann sogar einen Eindringling an einen Honigtopf weiterleiten — ein System oder Netzwerksegment, das absichtlich falsche Daten enth�lt — um den Vorfall sicher zu verfolgen ohne Produktionsressourcen zu unterbrechen.

Die Reaktion auf einen Vorfall sollte, wenn immer m�glich, von Informationssammlung begleitet werden. Das Ausf�hren von Prozessen, Netzwerkverbindungen, Dateien, Verzeichnissen und vielem mehr sollte aktiv in Echtzeit �berpr�ft werden. Ein Schnappschuss der Produktionsressourcen zum Vergleich ist hilfreich beim Verfolgen von schlechten Services oder Prozessen. CERT-Mitglieder und In-House Experten stellen gro�artige Ressourcen bei der Verfolgung dieser Anomalien in einem System dar. Systemadministratoren wissen, welche Prozesse erscheinen sollten und welche nicht, wenn die Befehle top oder ps ausgef�hrt werden. Netzwerkadministratoren wissen, wie normaler Netzwerkverkehr aussieht, wenn snort oder tcpdump ausgef�hrt wird. Diese Team-Mitglieder kennen ihre Systeme und sollten in der Lage sein, Anomalien schneller zu entdecken als jemand, der sich mit der Infrastruktur nicht auskennt.

Zur�ckZum AnfangNach vorne
Erstellen eines Incident-Response-PlansNach obenUntersuchen des Vorfalls

  
 
  Published under the terms of the GNU General Public License Design by Interspire