Como você poderia esperar , o termo " rede de computador forense " é emprestado do campo da criminologia . Trata-se de buscar e encontrar as questões de segurança e outros problemas dentro de redes de computadores. Essencialmente, é a gravação e análise de incidentes na rede para descobrir a fonte de falhas de segurança ou outros problemas. E, especificamente , exige a capacidade de expulsar os padrões incomuns escondidos dentro de tráfego de rede aparentemente inocente . Marcus Ranum , especialista firewall de renome, diz-se que cunhou o termo " rede forense, " de acordo com SearchSecurity.com . Identificação
Marcus Ranum , autor de "Nação Base de dados: A Morte de Privacidade no Século 21 ", entre outros títulos relacionados com a segurança do computador, explica que os sistemas forenses rede cair dentro de duas grandes categorias: " pegá-lo como vocês sistemas podem "e" parar, olhar e escutar " . Em ambos os tipos , os pacotes de dados são monitorados ao longo de um fluxo de tráfego designado e , muito em especial .
Um pacote é um pedaço de informação que é encaminhado a partir de um ponto A para um destino B na Internet ou rede similar. A parte de protocolo de controle de transmissão (TCP) das iniciais "TCP /IP" esculpe o arquivo em "pedaços" gerenciáveis para roteamento. Cada um desses pacotes é numerado e carrega o endereço de Internet do destino, potencialmente viajar diferentes rotas através do éter.
Pegá-lo enquanto você pode
"Catch -lo como você pode " sistemas forenses rede ter pacotes que estão voando através de pontos de trânsito especificamente orientadas dentro de uma rede e capturá-los . Em outras palavras , os pacotes de dados são escritos para armazenamento . O exame real e profunda análise destes dados é feito em uma data posterior em uma série de lotes. Não surpreendentemente, isso significa que você precisa de grandes quantidades de capacidade de armazenamento , muitas vezes encontrados em um sistema chamado RAID, que significa " Redundant Array of Independent Disks ". Com o RAID , os mesmos dados são armazenados em locais diferentes , agilizando e acelerando o processo de análise de dados.
Pare, Olhe e Escute
" Pare, olhe e escute " rede forense leva cada pacote e examina -lo no que poderia ser chamado de uma maneira superficial , na memória, eliminando alguns pedaços particularmente suculentos de informações e salvá-las para análise futura . Menos de armazenamento é necessário com " parar, olhar e escutar ", mas esta abordagem , muitas vezes significa que você precisa de um processador mais rápido para ficar a par dos volumes de tráfego de entrada
Armazenamento
< . p> Tanto " pegá-lo , como você pode " sistemas forenses e " parar, olhar e escutar " rede exigem a capacidade de armazenar montes enormes de dados ea necessidade de abrir espaço para novas informações despejando peças obsoletas de dados. Existem programas de software projetados especificamente para a captura e análise de dados para a rede forense . Um par de versões de código aberto são tcpdump e windump , explica SearchSecurity.com . Programas comerciais também estão disponíveis para captura e análise de dados.
Considerações
De acordo com Marcus Ranum , a " pegá-lo , como você pode " protocolo , em particular, traz consigo a problema de privacidade. Cada pacote de dados de informações - inclusive os dados gerados pelo usuário - é capturado e armazenado , deixando essas informações vulnerável a olhares indiscretos e vazamentos. Embora o Electronic Communications Privacy Act proíbe totalmente espionagem pelos prestadores de serviços de Internet - exceto para o monitoramento de operações, sob ordem judicial ou com a permissão dos usuários - , parece que quanto mais informação que fica estocado , o mais provável é que falhas de segurança será ocorrer . Uma rede ferramenta de análise forense controverso, ou NFAT , por exemplo, é carnívoro , executado pelo FBI .