Sprechen Ihre »Traffic-Allowed«-Logs mit Ihnen?
Praxis: Log-Files von Firewall-Systemen auswerten
Fortsetzung des Artikels von Teil 1
Verbindungen überprüfen
Die meisten Unternehmen haben klar definierte »Acceptable Use Policies« (AUP). Sie legen fest, auf welche Weise jeder einzelne User vom Corporate Networks aus auf das Internet zugreifen darf.
Eine solche Richtlinie kann beispielsweise festlegen, dass alle Internet-Verbindungen über ein Content-Gateway laufen müssen. Verletzungen gegen diese Richtlinien lassen sich ermitteln, indem nach http- oder http-Traffic gesucht wird, der nicht von diesem Gateway stammt.
Der Hintergrund: Schadprogramme nutzen häufig http-POST-Abfragen, um sich an PHP-Files auf Kontroll-Servern »anzuhängen«. Solche Aktivitäten können auf diese Weise erfasst werden.
Auch Hinweise auf DoS-Angriffe oder Attacken durch Würmer lassen sich in TAL-Daten finden. So kann etwa eine steigende oder unerwartet hohe Anzahl von »akzeptierten Verbindungen« die Folge einer bösartigen Aktivität sein.
Wenn in diesen Fällen der Traffic nicht von der Firewall blockiert wird, sollte der Angriff ernst genommen werden.
In vielen Unternehmen ist nicht gestattet, mit bestimmten Ländern zu kommunizieren. Dies betrifft aus Sicht der USA beispielsweise China, Kuba, den Iran oder Nordkorea. Unter bestimmten Umständen kann sogar jeglicher Datenverkehr mit diesen Ländern illegal sein.
Hier erweisen sich TAL als nützlich, um solchen Netzwerkverkehr zu identifizieren und Gegenmaßnahmen zu ergreifen.
- Praxis: Log-Files von Firewall-Systemen auswerten
- Verbindungen überprüfen
- Erstellen von Trendberichten zu Netzaktivitäten
Lesen Sie mehr zum Thema
