Wenn Sie auch schon Informationen, wer wann was an einem System geändert hat, liefern sollten, wissen Sie, dass trotz Log Management diese Aufgabe nur schwierig oder gar nicht zu lösen ist und die Audit und Compliance Anforderungen nicht einfach so gelöst werden können. Der Grund ist einfach: Wenn eine Applikation etwas nicht aufzeichnet, dann steht diese Informationen in einem Audit Report logischerweise nicht zur Verfügung. Dies ist bei Hunderten von Sicherheits-Ereignissen der Fall. Hinzu kommt, dass Aufzeichnungen oft nicht zeigen, was wirklich ausgeführt und geändert worden ist.
In diesem Beitrag wird anhand von 4 Beispielen gezeigt, wo solche Situation auftreten und wie man diese am einfachsten in den Griff bekommt. Es werden grundlegende und alltägliche Windows Server Systemaktivitäten gezeigt, bei welchen man annimmt, dass sie prüfbare Log Einträge generieren, dies aber in Wirklichkeit nicht tun.
Dies sind die 4 Beispiele:
· Zufügen und Löschen von IP Adressen
· Dienst Ausführung auf Administrator ändern
· Änderng von web.config (IIS Web Server Konfiguration)
· Änderung des aktiven IIS Ports
Natürlich kann man für diese Bespiele mittels WMI basierten Tools, Log Auswertungen oder speziellen Aufzeichnungstools für IP Adressänderung oder Web Config Datei versuchen, an die Informationen zu gelangen. Allerdings weiss man oft gar nicht, nach was man suchen soll und die Implementierung von einem eigenen Tool für jedes Problem ist schlicht zu aufwendig und es ist nicht möglich, alle Fälle abzudecken. Man muss vom Grundsatz „Erwarte das Unerwartete“ ausgehen.
Die Aufzeichnen der Benutzer Aktivität folgt diesem Grundsatz. Statt Aktionen aufzuzeichnen, die aufgezeichnet werden sollen, können einfach alle Benutzeraktionen aufgezeichnet werden. Selbstverständlich müssen rechtliche Anforderungen berücksichtigt werden, Benutzer über die Aufzeichnung informiert und definiert werden, auf welchen Servern und kritischen Arbeitsplätzen eine Aufzeichnung sinnvoll ist.
Für die folgenden Szenarios wurde "Full System" Überwachung auf einem Windows Server 2003 Rechner aktiviert. Zusätzlich wurde ein ObserveIT Agent auf diesem Rechner installiert mit dem Ziel die Benutzeraktionen aufzuzeichnen und auszuwerten.
Szenario 1: Ändern der IP Adresse eines Systems
Was der Benutzer ausgeführt hat: Ein privilegierter Benutzer logt sich auf einem Windows 2003 Server ein (in diesem Fall via RDP, aber es kann auch jedes andere Lokale- oder Remoteverbindungsprotokoll sein.) Nach dem Login, öffnet der Benutzer die Erweiterten TCP/IP Einstellungen (via Start > Settings > Network > Connections > Local Area Connection > Properties > Internet Protocol > Properties > Advanced). Dort entfernt er die IP Adresse 10.1.200.178 und fügt die IP Adresse 10.1.200.179 zu.
Erweiterte TCP/IP Einstellung
Security und Audit Implikationen dieser Aktion: Zufügen einer IP Adresse erlaubt möglicherweise, dass Firewall Einstellungen umgangen werden und dass die ordnungsgemäße Ausführung von kritischen Diensten gestört wird.
Was im Event Log angezeigt wird: Ist die vollständige Überwachung aktiviert, werden über 11´000 Log Einträge - während den 30 Sekunden, die der Benutzer braucht um einen IP Adresse zu löschen und eine neue hinzuzufügen - generiert. Fast alle Log Einträge gehören zu der „Object Access“ Kategorie. Werden diese Einträge nach den Worten „TCP“ „IP“ oder „179“ ( letzte 3 Zahlen der zugefügten IP Adresse) durchsucht, werden zahlreiche Einträge gefunden, jedoch sind diese falsche Treffer. (Bsp: „IP“ taucht im Dateinamen „wshtcpip.dll“ in einem Log Eintrag auf. Ein anderer Log Eintrag hat die Operation ID „74312179“). Keiner dieser Log Einträge bezieht sich explizit auf die durchgeführte Aktion des Benutzers.
Es kann möglich sein, dass ein erfahrener Sicherheitsexperte diese einzelnen Puzzleteile zusammensetzen und die Aktionen des Benutzers nachvollziehen kann. Aber dies bedeutet eine zeitintensive forensische Analyse, welche knappe und kostbare Ressourcen verbraucht. Dabei stellt sich die Frage, ob man gut ausgebildete Sicherheitsexperten hat und ob man diese mit der langweiligen und mühsamen Aufgabe Log Einträge durchzuarbeiten beauftragen will.
Event Viewer: 11000 Log Einträge in 30 Sekungen, dutzende von falschen Treffer und kein klares Bild.
Was die Benutzer-Aktivität-Überwachung zeigt: Ein textbasiertes Audit Log zeigt dass „Brad“ sich als „administrator“ angemeldet hat und was er ausgeführt hat, nämlich Network Connections > Properties > TCP/IP Properties > TCP/IP Adress. Dies ist bereits jetzt viel mehr Information als durch die System Logs zu erhalten ist. Mit der Videoaufzeichnung der Benutzersession wird genau gezeigt, was der Benutzer verändert hat.
ObserveIT Audit Log: Zeigt, was der Benutzer ausgeführt hat
ObserveIT Video: Zeigt, wie der Benutzer die IP Adresse geändert hat
Szenario 2: Dienst Ausführung auf Administrator ändern
Was der Benutzer ausgeführt hat: Ein Benutzer mit Administratorrechten ändert die Einstellungen eines Dienstes (via Start > Settings > Control Panel > Administrative Tools > Services). Der Benutzer wählt den „Cryptographic Services“ Dienst und ändert die Einstellungen so, dass dieser als Administrator ausgeführt wird.
Aenderung: Führe einen Service Dienst als Administrator aus
Security und Audit Implikationen dieser Aktion: Einen nicht sicheren Dienst ändern, dass er als Administrator ausgeführt wird, ermöglich Remote-Hacking und kann dazu führen, dass der Dienst missbräuchlich sensitive Systemkonfigurationen und Daten beeinträchtigt.
Was im Event Log angezeigt wird: Über 24 000 Logeinträge werden während dieser 40 Sekunden dauernden Aktion generiert. Trotz des riesigen Volumens an Einträgen, enthält keiner dieser Einträge das Wort „Cryptographic“ ( der Name des Dienstes)! Wieder kann nur durch eine intensive Untersuchung von Systemexperten die eigentlichen Aktionen identifiziert werden, aber diese Aufgabe möchten wir niemandem zumuten.
Event Viewer: 24000 Log Einträge in 40 Sekunden und keine Anzeige, dass der Dienst geändert worden ist.
Was die Benutzer-Aktivität-Überwachung zeigt: Das ObserveIT Audit Log zeigt chronologische geordnet die Aktionen, die der Benutzer durchgeführt hat und die Videoaufzeichnung zeigt im Detail, was der Benutzer verändert hat.
ObserveIT Audit Log
Video Wiedergabe der Dienständerung
Szenario 3: Ändern von web.config ( IIS Webserver Konfiguration)
Was der Benutzer ausgeführt hat: Mittels Windows Explorer und Notepad wird in web.config in einem XML Node ein Attribut von „0“ (false) auf „1“ (true) gesetzt.
Editiere web.config mit Notepad
Security und Audit Implikationen dieser Aktion: Änderungen in dieser Datei verändern den IIS Webserver. Dies kann dazu führen, dass Sicherheitsschwachstellen offengelegt werden und Operationen nicht mehr korrekt ausgeführt werden.
Was in den System-Event-Logs angezeigt wird: 6000 Log Einträge werden in 20 Sekunden generiert. Ein Log Eintrag weist darauf hin, dass „Notepad“ gestartet wurde. Ein anderer Log Eintrag zeigt, dass „web.config“ zu der „Recent Files“ Liste in Windows hinzugefügt wurde. Ein dritter Log Eintrag deutet an, allerdings nicht überzeugend, dass mit Notepad die web.config Datei geändert wurde.
Aber trotz all dieser Informationen, kann nicht gesagt werden. was genau in der Datei verändert wurde! (War es ein harmloses Zufügen einer Anwendungserweiterung oder hat der Benutzer einen kritischen Eintrag verändert?)
Um zu wissen, was genau verändert wurde, muss auf ein Fileserver Backup zugegriffen werden und ein Dateivergleich zwischen der alten und der neuen Version durchgeführt werden. Dies ist möglich, jedoch ist der Aufwand sehr gross, verglichen mit der einfachen Frage die beantwortet werden soll: „Was hat der Benutzer verändert?"
Was Benutzer-Aktivität-Überwachung zeigt: Das Log von ObserveIT zeigt anschaulich, was der Benutzer ausgeführt hat und in der Videoaufzeichnung sieht man, was genau in der Datei verändert worden ist.
Szenario 4: Änderung des aktiven IIS Ports
Was der Benutzer ausgeführt hat: Ein Benutzer mit Administratorrechten ändert den IIS Port von 80 auf 8080. Er hat „Start > Settings > Control Panel > Administrative Tools > IIS Manager“ aufgerufen und im IIS Manager die Eigenschaften für die „Default website“ verändert.
Security und Audit Implikationen dieser Aktion: Das Verändern des Port eines Dienstes, der ausserhalb der DMZ zugänglich ist, kann ein grosses Sicherheitsleck in der Firewall verursachen.
Was in den System-Event-Logs angezeigt wird: Unter den 5500 Log Einträgen ist nur ein einzelner Eintrag, der zeigt, dass der IIS Manager zu der „Recent Items“ Liste in Windows hinzugefügt wurde. Dabei wird die Zeit ausgewiesen, wann die Applikation geschlossen wurde. Dies kann auf eine falsche Fährte führen. Schliesst der Benutzer das Fenster nicht, wird nichts aufgezeichnet. Etwas früher ist ein unklarer Eintrag vorhanden, der zeigt, dass ein DLL in den Speicher geladen wurde. Dieser Eintrag zeigt, dass der IIS Manager gestartet wurde, aber es ist nicht ganz einfach dies richtig zu interpretieren.
Was Benutzer-Aktivität-Überwachung zeigt: Wieder zeigt ObserveIT das ganze Bild. Und anhand der Videoaufzeichnung lässt sich die Aktivität des Benutzers genau nachverfolgen.
Videoaufzeichnung der Änderung eines IIS Ports
Bemerkung zur Plattform
Die gezeigten Scenarios wurden auf einem Windows Server 2003 durchgeführt. Bei Windows Server 2008 R2 wurde zwar zusätzliche „Audit Policy Granularität“ zugefügt und somit können Logs besser gefiltert werden, aber es steht nicht zusätzliches Wissen in den Logs zur Verfügung. Das Problem, dass zu viele riskante, sicherheitsspezifische Aktionen nicht aufgezeichnet werden, bleibt bestehen.
Schlussfolgerung
Sicherheitsprüfungen die auf existierenden System Logs basieren weisen grosse Lücken auf, da in den Logdateien nicht alle nötigen Informationen aufgezeichnet werden.
Der einfachste und effizienteste Weg um diese Informationslücken zu schliessen, ist der Einsatz einer Benutzer-Aktivität-Aufzeichnungs Lösung wie z.B. ObserveIT, die die Aktivitäten eines Benutzers automatisch und gesteuert aufzeichnet und detailliert auswerten lässt.
Weitere Information über ObserveIT finden Sie unter www.ibvinfo.com/observeit