Aus dem Kurs: Computer-Forensik lernen

Spezialisierung auf Netzwerkforensik

Aus dem Kurs: Computer-Forensik lernen

Gratismonat starten Für Ihr Team erwerben

Spezialisierung auf Netzwerkforensik

Die zentralen Aktivitäten der Netzwerkforensik sind die Sicherung, Analyse und Auswertung von Netzwerkverkehr. Netzwerkforensik ist ein Teilgebiet der Forensik, die sich darauf spezialisiert hat, Netzwerkinformationen auszuwerten und wichtige Informationen zu Angriffen oder Datenaustausch zu liefern Der Vorteil ist, dass es nicht durch ein befallenes Betriebssystem verfälscht werden kann, da man hier wirklich den Netzwerkverkehr sieht und viele wichtige forensische Artefakte wie Kommunikation zu Command- und Control-Servern beobachten kann. Es gibt verschiedene Artefakte, die bei digitalen Untersuchungen im Netzwerkbereich verwendet werden können. Der vollständigste ist die komplette Aufzeichnung des kompletten Netzwerkverkehrs. Dabei werden alle Daten, die über das Netzwerk geschickt werden, gesichert. Diese vollständige Kopie nennt man auch Packet-Captures oder PCAP. Aufgrund der großen Anzahl an Daten einer solchen vollständigen Aufzeichnung muss aber danach ein Filter verwendet werden, um den Beweis auch gut analysieren zu können. Sitzungsdaten hingegen besitzen den Inhalt nicht mehr, sondern geben nur Auskunft, wer mit wem wie lange kommuniziert hat. Auch das ist oftmals schon eine sehr wertvolle Information in Untersuchungen. Bei den Warnmeldungen und Alarmmeldungen geht es in der Regel um Intrusion-Detection-Systeme, suricata und snort, die Anmeldungen erzeugen. Auch Firewalls erzeugen Anmeldungen. Diese zu analysieren, kann oftmals wichtig sein, um bestimmte Vorgänge im Netzwerk zu verstehen. Der letzte Bereich an Beweismitteln sind statistische Daten. Statistische Daten über den Netzwerkverkehr können z.B. Anomalien aufzeigen, welches Gerät sendet ungewöhnlich viele Daten. Die Netzwerkforensik besitzt viele Herausforderungen. Eine der größten Herausforderungen ist das hohe Datenaufkommen, d.h., den Beweis im Netzwerkverkehr zu finden, ist oftmals, wie die Nadel im Heuhaufen zu finden. Es gibt eine Vielzahl von unterschiedlichen Protokollen, die man verstehen muss. Es gibt sehr komplexe Netzwerktopologien und ein wichtiger Bereich, den wir nicht vergessen dürfen, ist die Privatsphäre. In dem Moment, wo man sich den Netzwerkverkehr anschaut, sind natürlich auch im Netzwerkverkehr oft Daten von Unbeteiligten vorhanden. Um die Beweise zu sammeln, gibt es verschiedene Arten, d.h., man kann entweder Netzwerk-TAPs oder Hubs auf der untersten Ebene verwenden. Auf sogenannten Switches gibt es meistens einen Mirror-Port, d.h., dort wird dann der ganze Netzwerk-Traffic hingeleitet zur Analyse. Und bei drahtlosen Netzwerken gibt es zwei Arten, den Netzwerkverkehr aufzuzeichnen. Das ist einerseits der Monitor Mode, der über alle Netzwerke funktioniert, und der Promiscuous Mode, der zu dem verbundenen Netzwerk den Netzwerkverkehr aufzeichnet. Einige ausgewählte Tools für die, die sich näher damit befassen wollen, wenn es darum geht, Netzwerkverkehr aufzuzeichnen, das ist das Packet Capture, was wir vorher angesprochen haben, kann man entweder die tcpdump oder dumpcap verwenden. Für den Vergleich oder für das Finden von Mustern kann man ngrep verwenden Wenn man sich diese Session Data Flow Captures anschauen will, dann argus; und auch die angesprochenen Network Intrusion Detection Systems, snort und suricata, wären meine Empfehlungen.

Inhalt