Network Forensics: cosa c'è nella tua cassetta degli attrezzi

In modo simile a questa domanda su computer forensics , quali strumenti avresti nella tua casella degli strumenti per l'infrastruttura e la rete forense. Casi di esempio tipici sarebbero quelli in cui sei stato chiamato in seguito a un incidente o in caso di sospetto di un incidente e hai chiesto "Siamo stati compromessi? Cosa ha fatto l'attaccante? Come hanno fatto? Siamo ancora compromessi? attacco ancora in corso? "

Supponiamo che l'organizzazione abbia dei log, quali sarebbero di maggior valore? Cosa avresti come strumenti essenziali?

    
posta Rory Alsop 14.12.2010 - 22:42
fonte

4 risposte

Bene, per le prime 3 domande eseguirò un esame completo sulla macchina in ufficio. Abbiamo la fortuna di avere il monitoraggio della rete in corso in diverse posizioni nella nostra rete, sia sotto forma di firewall e collettori di flusso.

  1. Registri di flusso da Argus (simile ai flussi Netto o J)
  2. Registri del firewall (da entrambi gli host "vicini" e firewall hardware)
  3. tcpdump (catturato da una porta con mirroring se possibile, hub / tap se necessario)
  4. perl / grep / awk

La maggior parte della magia si presenta sotto forma degli script perl che abbiamo sviluppato nel corso degli anni e degli strumenti di analisi / aggregazione forniti con Argus.

La maggior parte dei compromessi che ho esaminato sono usati per servire film / musica / ecc. illegali o per eseguire attacchi denial of service. In entrambi i casi, le infezioni sono facilmente rintracciabili dai record di flusso o dai firewall.

    
risposta data 15.12.2010 - 01:51
fonte

Un paio di strumenti che ho trovato utili per questo genere di cose.

Analisi delle acquisizioni di pacchetti, se disponibili

Per l'analisi dei log di testo, tendo a fare affidamento su una combinazione di grep e ruby .

    
risposta data 14.12.2010 - 23:00
fonte

Ancora non è la mia lista, ma questa è la mia cassetta degli attrezzi: link

più alcune cose per il rilevamento wireless (come l'insider)

    
risposta data 15.12.2010 - 02:19
fonte

Ho pensato di far apparire alcuni degli strumenti che io o il mio team abbiamo dovuto usare in alcune occasioni. Supponendo che un server sia compromesso (e tu abbia il tuo computer forensic toolkit a disposizione per dare un'occhiata) allora vorrei vuoi quanto segue:

  • Wireshark
  • tcpdump
  • ngrep
  • script grep / perl (anche se sto imparando lentamente Ruby)
  • netflows (anche se guardando Argus penso che potrebbe essere una scommessa migliore)

A seconda della valutazione iniziale del server, è possibile staccare la corrente, disconnettersi dalla rete o cadere in una rete investigativa. Se sto prendendo il potere, allora voglio esaminare l'infrastruttura intorno al server e il percorso verso Internet, cercando compromessi all'interno della rete e delle comunicazioni attraverso il perimetro. Per la terza opzione, vorrei monitorare i log in tempo reale dalla mia rete di investigazione. In ogni caso vorrei un controllo in tutta la rete per i segnali di compromesso.

Gli strumenti SIEM a questo punto possono essere molto efficaci a livello aziendale: possono essere aggiornati man mano che l'indagine procede, contribuendo a limitare ulteriori compromessi.

Ma la maggior parte dello sforzo verrà dopo il fatto - e la maggior parte dei miei rapporti con i log sono stati tutti giù per la rotta grep.

    
risposta data 12.01.2011 - 00:31
fonte

Leggi altre domande sui tag