Admin-Datenverkehr wird aufgezeichnet

Aus diesem Grund hat sich für diese Zwecke eine transparente Proxy-basierte Architektur bewährt. Ein Proxy terminiert die Administrations-Sessions während des Aufbaus zunächst und baut dann selbst eine eigene Verbindung zum Zielsystem auf. Während so alle Daten weiterhin verschlüsselt über das Netzwerk übertragen werden, liegen sie zur Protokollierung unverschlüsselt vor. Ist der Proxy transparent im Netzwerk integriert, sind zudem keine Konfigurationsänderungen an Clients und Servern notwendig.

Einmal im Netzwerk implementiert, schneidet der Wächter dann zunächst den kompletten Administrationsverkehr mit und legt ihn verschlüsselt und signiert ab. Dies stellt sicher, dass die Aufzeichnungen nicht nachträglich manipuliert werden können.

Gleichzeitig kann eine Proxy-Lösung im kompletten Verkehr die Integrität der Protokolle prüfen und auf diese Weise verhindern, dass Angreifer eventuelle Schwachstellen der Administrationsprotokolle ausnutzen.

Mit entsprechenden Rechten ausgestattete Auditoren haben dann die Möglichkeit, mit Hilfe einer Abspielsoftware jede Administrationssitzung zu einem späteren Zeitpunkt so wiedergeben, als wären sie live vor dem Bildschirm des Administrators mit dabei gewesen.

Um auch bei der Wiedergabe dieser Audit-Trails die Vertraulichkeit der aufgezeichneten Daten zu wahren, hat sich hier der Einsatz des Vier-Augen-Prinzips bewährt.

So könnte beispielsweise ein Audit-Trail eines Hosting-Anbieters nur in gleichzeitiger Anwesenheit von einem Repräsentanten des Kunden und dem eigenen Datenschutzbeauftragten abgespielt werden.

Auch bei forensischen Untersuchungen nach einem Angriffsversuch leisten Audit-Trails gute Dienste bei der Ermittlung des Täters. Mit Hilfe von Metadaten einer Administrationssitzung, wie beispielsweise der IP-Adresse und des Ports von Client und Server, der Authentifizierungsmethode, dem Benutzernamen sowie zahlreichen weiteren Parametern, lassen sich relevante Audit-Trails schnell auffinden. Bei der Suche nach bestimmten Daten innerhalb eines Audit-Trails ist dann eine Volltextsuche nützlich.

Mit Hilfe von OCR (Optical Character Recognition) ist diese sogar in grafischen Darstellungen möglich, wie etwa einem Verzeichnisbaum des Windows Explorers innerhalb einer RDP-Sitzung.

Transparenz in der Systemadministration nützt Unternehmen in vielen Bereichen – von Compliance bis zur Forensik. Da ein Proxy als Wächter und Protokollator wie eine Firewall jedoch immer auch einen Single-Point-of-Failure darstellt, sollten Unternehmen darauf achten, dass dieser mit einem stabilen, zuverlässigen und gehärten Betriebssystem ausgestattet und hochverfügbar ausgelegt ist.

Der Autor: Enikö Visky ist Regional Director DACH bei Balabit IT Security in München. Das Unternehmen entwickelt und vertreibt unter anderem die hochverfügbare »Balabit Shell Control Box« zu revisionssicheren Protokollierung und Archivierung des kompletten administrativen Datenverkehrs in Unternehmen, Behörden und bei Dienstleistern.