» Home » Admin und Betrieb » Forensik

Forensik

Hinweise und Ideen zur Analyse von Dateneinbrüchen in Exchange.

Es gibt mehrere Wege eine aktive oder vergangene unerlaubte Nutzung zu erkennen bzw. zu diagnostizieren. Voraussetzung ist aber, dass die Spuren nicht verwischt wurden und einige Einstellungen durchgeführt wurden. Leider sind in der Standardeinstellung die meisten Überwachungsfunktionen abgeschaltet! An folgenden Stellen können Sie "suchen"

• Exchange Nachrichtentracking
  per Default nicht aktiv
  werden oft nach 7 bzw. 30 Tagen gelöscht
  kann von Administratoren gelöscht, verändert deaktiviert werden
  Jede Mail, die Exchange überträgt,. wird hier protokolliert. Damit ist es möglich Weiterleitungen, Regeln aber auch dern Versand von Informationen an externe oder andere Postfächer zu erkennen. Leider sieht man nicht die Inhalte. (Hinweis: Archivlösungen können hier aber oft helfen, da Sie jede Mail archivieren und der Anwender diese nicht löschen kann. Echte Angreifer werden Infos aber eher über andere Kommunikationswege übermitteln. (Freemailer, Papier, USB-Stick etc.)
• Gesendete/Gelöschte Objekte
  kann vom Anwender gelöscht werden
  Oft übersehen Anwender, dass versendete Mails in "Gesendete Objekte" liegen. Mit entsprechenden Rechten kann man daher im Verdächtigen Quell aber auch Zielpostfach nach Spuren suchen.
• Zugriffsprotokoll im Eventlog
  muss aktiviert werden
  kann von Administratoren gelöscht, deaktiviert werden
  Zugriff auf ein Postfach oder einen Store können ab Exchange 2000/2003 bei Aktivierung der richtigen Einstellungen im Sicherheitseventlog erkannt werden. Auch Zugriffe per POP3 etc. können hier bei Aktivierung einiger Diagnoseeinstellungen erkannt werden
• IISLogs
  muss aktiviert werden
  kann von Administratoren gelöscht, verändert, deaktiviert werden
  Erfolgt der Zugriff per pop3; IMAP4, OWA, dann kann in den Logfiles des IIS erkannt werden.
• Exchange Berechtigungen
  Kann von Administratoren verändert werden
  Um in ein Postfach oder einen öffentlichen Ordner zu schauen, muss der Anwender die notwendigen Rechte habe. Bei Exchange 5.5. ist hierzu das Dienstkonto bzw. der Administrator des Exchange Standorte berechtigt bzw. kann anderen Personen die Rechte geben. bei Exchange 2000/2003 ist der ADmin nicht mehr berechtigt und im native Mode gibt es kein Dienstkonto. Aber hier kann auf dem jeweiligen Informationsspeicher selbst das Recht gegeben werden. Alternativ kann ein Angreifer sich auf dem Postfach selbst (Exchange Berechtigungen des Users) das Recht auf das Postfach geben bzw. der Anwender kann es selbst tun. Sehr oft werden Computer nicht gesperrt, so dass z.B. ein Angreifer in einem unbeobachteten Moment im Outlook der Zielperson sich selbst als "Stellvertreter" eintragen kann. Dies erkennt der Anwender selbst meist nicht auf Abhieb. Solche Zugriffe sind aber im Eventlog nachweisbar (wenn aktiviert)
• NetMon
  Nur für aktuell aktive Angriffe nutzbar
  Systemzugriff erforderlich
  Der Mitschnitt der Netzwerkpakete ist nur bei aktiven Zugriffen möglich und erfordert sehr viel Erfahrung und passende Filter und ist daher kaum praktikabel bzw. zum in Verbindung mit Intrusion Detection Systemen. MAPI Zugriffs sind verschlüsselt und kaum zu decodieren. Die Überwachung und Kontrolle mit Patterns ist aber für POP3, IMAP4, HTTP (alles ohne SSL) möglich.
• Backups
  Gerade Protokolldateien und auch der Inhalt von "Gesendete Objekte" werden nicht sofort gelöscht. So kann es sein, dass diese auf einem älteren Backup vielleicht noch vorhanden sind.
• Anmeldungen im Sicherheitseventlog
  muss erst aktiviert werden
  Kann von Administratoren gelöscht werden
  Sie können unter Windows die "Anmeldung/Abmeldung" von Benutzern überwachen lassen, so dass erfolgreiche und fehlerhafte Anmeldungen an Diensten im Sicherheitseventlog aufgeführt werden. Über diese Funktion lässt sich natürlich feststellen, ob ein Benutzerkonto gesperrt oder "versucht" wurde. Seit Windows 2003 erhalten Sie noch ausführlichere Informationen über den Dienst und den Client. Dies können Hinweise sein, um den Täter und Tatzeitpunkt weiter einzukreisen.
• IP-Adressen tracken Internet Proxy und Webserver
  nur ergänzend zur Qualifizierung des Angreifers
  Wenn Sie IP-Adresse des fraglichen Systems feststeht, aber der Benutzer noch nicht zu ermitteln ist, dann kann es hilfreich sein, andere Dienste zu kontrollieren. Vielleicht hat der Angreifer parallel im Internet gesurft oder die Daten sogar über diesen Weg nach außen gesendet oder andere Informationen im Internet abgerufen, die Rückschlüsse auf die Person zulassen.

Sie sehen also, dass es sehr viele Stellen gibt, an denen Sie kleine Puzzlestücke finden können, aus denen dann am Ende ein Gesamtbild gibt. Ob dies natürlich zu einer lückenlosen Beweiskette führt, ist nicht sicher gestellt.

Grenzen

Am Ende kann dabei aber nur heraus kommen, von welchem Computer (IP-Adresse, NetBios Name) bzw. mit welchen Benutzerkonto (AD-Account) der Zugriff erfolgte. Leider sind diese beiden Informationen nur bedingt beweistauglich, da die IP-Adresse auch bei fester Vergabe keinen 100%tigen Rückschluss auf den Arbeitsplatz zulässt und der Zugriff über ein Benutzerkonto auch keine Aussage zulässt, wer letztlich das Benutzerkonto genutzt hat. So kann es durchaus sein, dass jemand das Kennwort eines anderen Benutzers kennt oder über einen Keylogger, Trojaner ö.ä. dieses ermittelt hat oder den PC fern bedient.

Insofern ist der beste Schutz eine klare Vergabe und Kontrolle der Berechtigungen, so dass ein Übergriff gar nicht erst möglich ist. Denn die Veruntreuung von Informationen können Sie nicht rückgängig machen.

Zusammenfassung

In der Standardeinstellung von Exchange können nur sehr wenige Informationen bei einem Missbrauchsverdacht analysiert werden. Ein wichtiger Schritt in kritischen Umgebungen ist daher die Aktivierung der möglichen Protokollfunktionen in Verbindung mit einer Software zu Auswertung und Archivierung dieser Protokolle.

Mit diesen Voraussetzungen kann dann sehr viel genauer der Zugriff von einzelnen Systemen oder Benutzerkonten auf Postfächer etc. analysiert werden. Allerdings kann ein Administrator diese Daten selten "manuell" auswerten, sondern Hilfsprogramme sollten Abweichungen von bekannten Zugriffsmustern erkennen und melden.

Optional kann mittels Verschlüsselung (SMIME) auch der interne Verkehr verschlüsselt werden, was jedoch zu Problemen bei Archivierung und Virenschutz führt.

Weitere Links

• Adminkonzept
• AG-Rechte
• Exchange Berechtigungen
• Exchange 2000 Berechtigungen
• Senden als
• Stellvertreter mit Outlook
• http://de.wikipedia.org/wiki/IT-Forensik

Keywords:

Forensik Analyse Berechtigungen Protokollierung

Impressum und Datenschutzerklärung. Anmerkungen, Anregungen oder Fragen siehe "Kontakt". Alle Angaben ohne Gewähr! Namen und Produktbezeichnungen können Eigentum der jeweiligen Hersteller sein. (c) 2000-heute Frank Carius, Jede weitere Veröffentlichung nur mit meinem vorherigen Einverständnis.

• NOTFALL
• Grundlagen
• Konzepte
• Signieren und Verschlüsseln
• Verfügbarkeit
• Admin und Betrieb
  • Active Directory
  • 100 Admin Fehler
  • Ex5.5 auf Win2000
  • Service Pack
  • Backup und Restore
  • Benutzermanagement
  • LDAP-Felder
  • DS/IS Konsistenzanpassung
  • Datenbank Recover
  • Recovery Storage Group
  • ESM Installieren
  • Benutzermanagement
  • Nachrichtentracking
  • Überwachung
  • Systemaufsicht
  • Badmail
  • Diagnoseprotokoll
  • Verschieben, Umbenennen, Umbauen
  • Move Server Wizard
  • Native AG in Mixed Org
  • Limit 2000/2003
  • Limit 2007/2010
  • Adressbücher und GAL
  • Berechtigungen
  • Mailboxrechte
  • Senden als
  • Delegate Admin
  • ManagedBy
  • Datenbankgrundlagen
  • Defrag
  • Neuer Benutzer
  • Benutzer löschen
  • Offline Adressbuch Generierung
  • SystemAufsicht (SA)
  • Dumpster
  • Journal
  • Abfragebasierte Verteiler
  • Dokumentation
  • Leistungstest
  • Mailbox Manager
  • Event 9646
  • Disabled Account
  • Duplicate MessageID
  • Ungelesen gelöscht
  • Forensik
  • PowerShell4Admin
  • Authenticode
  • UserPrincipalName
  • WinRM
  • ADPhoto
  • Exchangegruppen
  • Wunschzettel
• Ex 2000/2003
• Ex 2007/2010
• Unified Communication
• Lync 2010
• Mobile Clients
• Clients
• Connectoren
• Internet
• Spam und UCE
• Migration/Koexistenz
• Tools
• How-To
• Programmieren
• Produkte
• Events
• Buch
• Verschiedenes
• Ideen
• Sonstiges
• Net at Work
• Newsletter
• Archiv
• English pages