Domanda:
Network Forensics: cosa c'è nella tua cassetta degli attrezzi
Rory Alsop
2010-12-15 03:42:21 UTC
view on stackexchange narkive permalink

In modo simile a questa domanda sull'analisi forense del computer, quali strumenti avresti nella tua cassetta degli attrezzi per l'infrastruttura e la rete forense. Casi di esempio tipici sarebbero se venissi chiamato dopo un incidente o sospettato di un incidente e ti chiedessi "Siamo stati compromessi? Cosa ha fatto l'aggressore? Come ha fatto? Siamo ancora compromessi? Ed è un l'attacco è ancora in corso? "

Supponi che l'organizzazione disponga di log: quali sarebbero di maggior valore? Quali strumenti avresti come strumenti essenziali?

Umm, potrei fraintendere qualcosa, ma non è la rete forense * durante * l'incidente? Dopo che l'incidente è già avvenuto, non c'è niente da fare - e questo risale alla normale informatica forense. No?
Ancora non capisco bene la differenza tra "infrastruttura" e l'altra questione forense. A quanto ho capito (e ammetto che questa non è la mia area di competenza), l'analisi forense di rete si riferisce al monitoraggio del * traffico *. Altrimenti, è solo "forensics" (okay, computer / digital forensics). I log non fanno parte del traffico, anche ad es. registri del firewall, fanno parte delle analisi forensi. Dove mi sbaglio?
Ah ok, quello che sto cercando di descrivere qui non è solo uno sguardo a un server, un database o un'altra piattaforma per vedere cosa è successo su quell'host. Sto descrivendo più il caso in cui potrebbe esserci un incidente ancora in corso, o avere periodi di attività. Ad esempio, qualcosa solleva sospetti, quindi la scientifica guarda un computer - è stato compromesso - l'analisi dovrebbe fermarsi qui? È meglio controllare l'entità del compromesso e identificare cosa sta ancora succedendo.
grande domanda
Grazie per una domanda ben formulata che sarà ben indicizzata. Guarda le risposte alla recente domanda "Jump bag" qui: http://security.stackexchange.com/questions/935/what-should-be-included-in-a-jump-bag-and-how-often-should -essere-rivisto
+1 - queste 3 domande sono ben correlate: jump bag, informatica forense (come nel server / desktop) e network forensics. Tutto bene per una persona che risponde agli incidenti.
Quattro risposte:
Scott Pack
2010-12-15 06:51:00 UTC
view on stackexchange narkive permalink

Bene, per le prime 3 domande eseguivo un esame completo sulla macchina in ufficio. Abbiamo la fortuna di avere un monitoraggio della rete continuo in diverse posizioni della nostra rete, sia sotto forma di firewall che di raccoglitori di flusso.

  1. Flow Records da Argus (simile a Flussi di rete o J)
  2. Log del firewall (da host "vicini" e firewall hardware)
  3. tcpdump (catturato da una porta con mirroring se possibile, hub / tap se necessario )
  4. perl / grep / awk

La maggior parte della magia si presenta sotto forma di script Perl che abbiamo sviluppato nel corso degli anni e strumenti di analisi / aggregazione fornito con Argus.

La maggior parte dei compromessi che ho esaminato vengono utilizzati per fornire film / musica / ecc. illegali o per eseguire attacchi denial of service. In entrambi i casi è facile tenere traccia delle infezioni dai record di flusso o dai firewall.

ho letto su Argus perché non l'ho mai usato prima: è una buona suite di strumenti. Saluti
Rory McCune
2010-12-15 04:00:01 UTC
view on stackexchange narkive permalink

Un paio di strumenti che ho trovato utili per questo genere di cose.

Analisi delle acquisizioni di pacchetti, se disponibili

Per l'analisi dei log di testo, tendo a fare affidamento su una combinazione di grep e ruby ​​.

Non avevo usato Network Miner, sembra interessante.
iivel
2010-12-15 07:19:03 UTC
view on stackexchange narkive permalink

Anche in questo caso non è la mia lista, ma questa è la mia cassetta degli attrezzi: http://www.forensicswiki.org/wiki/Tools:Network_Forensics

più alcune cose per il rilevamento wireless (come inssider)

Rory Alsop
2011-01-12 05:31:09 UTC
view on stackexchange narkive permalink

Ho pensato di far apparire alcuni degli strumenti che io o il mio team abbiamo dovuto utilizzare in alcune occasioni. Supponendo che un server sia compromesso (e che tu abbia il tuo toolkit forense del computer a portata di mano per esaminarlo), allora vorrei quanto segue:

  • Wireshark
  • tcpdump
  • ngrep
  • grep / perl scripts (anche se sto lentamente imparando ruby)
  • netflows (anche se guardando Argus penso che potrebbe essere un scommessa migliore)

A seconda della valutazione iniziale del server, potresti staccare la corrente, disconnetterti dalla rete o cadere in una rete investigativa. Se sto utilizzando il potere, voglio rivedere dall'infrastruttura attorno al server e il percorso verso Internet, cercando un compromesso all'interno della rete e le comunicazioni attraverso il perimetro. Per la terza opzione vorrei monitorare i registri in tempo reale dalla mia rete di indagine. In ogni caso, vorrei un controllo in tutta la rete per rilevare eventuali segni di compromissione.

Gli strumenti SIEM a questo punto possono essere molto efficaci quando a livello aziendale: possono essere aggiornati man mano che l'indagine procede, contribuendo a limitare ulteriormente compromesso.

Ma la maggior parte degli sforzi verrà dopo il fatto - e la maggior parte dei miei rapporti con i log sono stati tutti seguiti dal grep.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 2.0 con cui è distribuito.
Loading...