it-swarm-es.com

Análisis forense de redes: lo que hay en su caja de herramientas

De manera similar a esta pregunta sobre informática forense, ¿qué herramientas tendría en su caja de herramientas para la infraestructura y la red forense? Los casos típicos de ejemplo serían si lo llamaran después de un incidente o por sospecha de un incidente y le preguntaran "¿Nos han comprometido? ¿Qué hizo el atacante? ¿Cómo lo hizo? ¿Seguimos comprometidos? ataque aún en curso? "

Suponga que la organización tiene registros, ¿cuáles serían de mayor valor? ¿Qué tendrías como herramientas esenciales?

17
Rory Alsop

Bueno, para las primeras 3 preguntas, realizaría un examen completo en la máquina en la oficina. Tenemos la suerte de tener un monitoreo de red continuo en varias ubicaciones de nuestra red, tanto en forma de firewalls como de recolectores de flujo.

  1. Registros de flujo de Argus (similar a los flujos netos o J)
  2. Registros de cortafuegos (tanto de hosts 'cercanos' como de cortafuegos de hardware)
  3. tcpdump (capturado desde un puerto reflejado si es posible, hub/tap si es necesario)
  4. Perl/grep/awk

La mayor parte de la magia viene en forma de los scripts de Perl que hemos desarrollado a lo largo de los años y las herramientas de análisis/agregación incluidas con Argus.

La mayoría de los compromisos que he examinado se utilizan para publicar películas, música, etc. ilegales o para realizar ataques de denegación de servicio. En ambos casos, las infecciones son fáciles de rastrear desde los registros de flujo o los firewalls.

6
Scott Pack

Un par de herramientas que he encontrado útiles para este tipo de cosas.

Analizar capturas de paquetes, si están disponibles

Para el análisis de registros de texto, tiendo a confiar en una combinación de grep y Ruby .

5
Rory McCune

Una vez más, no es mi lista, pero esta es mi caja de herramientas: http://www.forensicswiki.org/wiki/Tools:Network_Forensics

además de algunas cosas para la detección inalámbrica (como inssider)

5
iivel

Pensé en mostrar algunas de las herramientas que yo o mi equipo hemos tenido que usar en algunas ocasiones. Suponiendo que un servidor está comprometido (y tiene su kit de herramientas forenses informáticas a mano para verlo), entonces querría lo siguiente:

  • Wireshark
  • tcpdump
  • ngrep
  • scripts grep/Perl (aunque estoy aprendiendo lentamente Ruby)
  • netflows (aunque mirando a Argus, creo que podría ser una mejor apuesta)

Dependiendo de la evaluación inicial del servidor, puede desconectar la energía, desconectarse de la red o conectarse a una red de investigación. Si estoy tomando energía, entonces quiero revisar la infraestructura alrededor del servidor y la ruta a Internet, buscando compromisos dentro de la red y comunicaciones a través del perímetro. Para la tercera opción, me gustaría estar monitoreando los registros en vivo de mi red de investigación. En cualquier caso, querría comprobar en toda la red si hay signos de compromiso.

Las herramientas SIEM en este punto pueden ser muy efectivas en toda la empresa: se pueden actualizar a medida que avanza la investigación, lo que ayuda a limitar un mayor compromiso.

Pero la mayor parte del esfuerzo vendrá después del hecho, y la mayoría de mis relaciones con los registros se han realizado por la ruta grep.

4
Rory Alsop