Definición de análisis forense de redes

Como era de esperar, el término "equipo forense de la red" se ha tomado del campo de la criminología. Se trata de buscar y encontrar problemas de seguridad y otros problemas dentro de las redes de ordenadores. Esencialmente, es la grabación y análisis de incidentes en la red para descubrir el origen de violaciones de seguridad u otros problemas. Y específicamente, se requiere la capacidad de descubrir a los patrones inusuales ocultos dentro del tráfico de red aparentemente inocente. Marcus Ranum, reconocido experto en cortafuegos, se dice que ha acuñado el término "análisis forense de red", según SearchSecurity.com.

Identificación

Marcus Ranum, autor de "Base de datos Nación: La muerte de privacidad en el siglo 21", entre otros títulos relacionados con la seguridad de ordenador, explica que los sistemas forenses de red se dividen en dos grandes categorías: "cogerlo como se puede" y "parar, mirar y escuchar "sistemas. En ambos tipos, los paquetes de datos se realiza un seguimiento a lo largo de un flujo de tráfico designado y examinados muy de cerca.

Un paquete es una pieza de información que se dirige desde un punto A a un destino B en Internet o red similar. La parte de protocolo de control de transmisión (TCP) de la sigla "TCP / IP" esculpe el archivo en "trozos" manejables para el enrutamiento. Cada uno de estos paquetes se numera y lleva la dirección de Internet del destino, lo que podría viajar diferentes rutas a través del éter.

Coger lo que pueda

"Catch lo que pueda" en red los sistemas forenses toman los paquetes que están volando a través de puntos de tráfico dirigidos específicamente dentro de una red y la captura de ellos. En otras palabras, los paquetes de datos se escriben en el almacenamiento. El examen real y profundo análisis de estos datos se lleva a cabo en una fecha posterior en una serie de lotes. Como era de esperar, esto significa que necesita grandes cantidades de capacidad de almacenamiento, que se encuentra a menudo en un sistema llamado RAID, que significa "matriz redundante de discos independientes." Con RAID, los mismos datos se almacenan en diferentes lugares, agilizar y acelerar el proceso de análisis de datos de esta manera.

Parar, mirar y escuchar

"Pare, mire y escuche" análisis forense de red se lleva a todos y cada paquete y lo examina en lo que podría llamarse una manera superficial, en la memoria, eliminar a algunos bits de información particularmente jugosos y guardarlas para su posterior análisis. Menos de almacenamiento se necesita con "parar, mirar y escuchar"; pero este método a menudo significa que necesita un procesador más rápido para mantenerse al tanto de los volúmenes de tráfico de entrada.

Almacenamiento

Tanto "cogerlo como se puede" y "detenerse, mirar y escuchar" los sistemas forenses de red requieren la capacidad de almacenar enormes montículos de datos y la necesidad de hacer espacio para la nueva información por el dumping piezas obsoletas de datos. Hay programas de software diseñados específicamente para capturar y analizar los datos para el análisis forense de la red. Un par de versiones de código abierto son tcpdump y windump, explica SearchSecurity.com. programas comerciales también están disponibles para la captura y análisis de datos.

consideraciones

De acuerdo con Marcus Ranum, el "coger lo que pueda" protocolo en particular, lleva consigo el problema de la privacidad. Cada paquete de datos de la información - incluyendo los datos generados por el usuario - es capturada y almacenada, dejando esta información vulnerables a las miradas indiscretas y fugas. Aunque la Ley de Privacidad de Comunicaciones Electrónicas prohíbe completamente espionaje por parte de los proveedores de servicios de Internet - a excepción de las operaciones de vigilancia, en virtud de orden judicial o con permiso de los usuarios - parecería que cuanto más información que se almacenó, lo más probable es que las violaciones de seguridad se ocurrir. Una herramienta de análisis forense controvertido red o NFAT, por ejemplo, es carnívoro, dirigido por el FBI.