July 20
Come ci si potrebbe aspettare, il termine di computer forensics "rete" è preso in prestito dal campo della criminologia. Si tratta di cercare e trovare i problemi di sicurezza e di altri problemi all'interno reti di computer. In sostanza, è la registrazione e analisi degli incidenti di rete per scoprire la fonte di calzoni di sicurezza o altri problemi. E in particolare, richiede la capacità di scovare schemi inusuali nascosti all'interno del traffico di rete apparentemente innocente. Marcus Ranum, noto esperto di firewall, si dice che hanno coniato il termine "forense di rete", secondo SearchSecurity.com.
Marcus Ranum, autore di "Nazione Database: La morte della Privacy nel 21 ° secolo" tra gli altri titoli legati alla sicurezza informatica, spiega che i sistemi di medicina legale di rete rientrano in due grandi categorie: "prenderlo come si può" e "stop, guardare e ascoltare "sistemi. In entrambi i tipi, i pacchetti di dati sono tracciati lungo un flusso di traffico designato e hanno esaminato molto da vicino.
Un pacchetto è un pezzo di informazione che viene instradato da un punto A ad una destinazione B su Internet o una rete simile. Il protocollo di controllo della trasmissione (TCP) porzione della sigla "TCP / IP" scolpisce il file in "blocchi" gestibili per il routing. Ognuno di questi pacchetti viene numerato e porta l'indirizzo Internet della destinazione, potenzialmente viaggiare percorsi differenti attraverso l'etere.
"Catch come si può" Rete sistemi forensi prendono i pacchetti che stanno volando attraverso punti di traffico specificamente mirati all'interno di una rete e li catturano. In altre parole, i pacchetti di dati vengono scritti nella memoria. L'esame reale e profonda analisi di questi dati avviene in un secondo momento in una serie di lotti. Non a caso, questo significa che avete bisogno di grandi quantità di capacità di storage, spesso si trovano in un sistema chiamato RAID, che sta per "redundant array of independent disks." Con RAID, gli stessi dati sono memorizzati in luoghi diversi, consente una razionalizzazione e l'accelerazione del processo di analisi dei dati.
"Stop, guarda e ascolta" forense di rete prende ogni pacchetto e lo esamina in quello che potrebbe essere chiamato un modo superficiale, in memoria, estirpare alcuni pezzi particolarmente succosi di informazione e di risparmio per le analisi future. Meno di stoccaggio è necessaria con "stop, guardare e ascoltare"; ma questo approccio spesso significa che è necessario un processore più veloce per rimanere al passo dei volumi di traffico in entrata.
Sia "prenderlo come si può" e "stop, guardare e ascoltare" i sistemi di medicina legale di rete richiedono la capacità di immagazzinare enormi cumuli di dati e la necessità di fare spazio per nuove informazioni dal dumping pezzi obsoleti di dati. Ci sono programmi software progettati specificamente per l'acquisizione e l'analisi dei dati per la medicina legale di rete. Un paio di versioni open source sono tcpdump e windump, spiega SearchSecurity.com. i programmi commerciali sono disponibili per l'acquisizione e l'analisi dei dati anche.
Secondo Marcus Ranum, il "Catch come è possibile" il protocollo, in particolare, porta con sé il problema della privacy. Ogni pacchetto di dati di informazioni - inclusi i dati generati dall'utente - è catturato e immagazzinato, lasciando queste informazioni vulnerabile a occhi indiscreti e perdite. Anche se l'Electronic Communications Privacy Act vieta assolutamente le intercettazioni da parte dei fornitori di servizi Internet - fatta eccezione per il monitoraggio delle operazioni, sotto ordine del tribunale o con il permesso da parte degli utenti - sembrerebbe che più informazioni che viene accumulato, tanto più è probabile che sarà brache di sicurezza si verificano. Uno strumento di analisi forense controverso rete o NFAT, per esempio, è Carnivore, gestito dal FBI.