Análisis forense de redes

La ciencia forense de redes es una subrama de la ciencia forense digital relacionada con el monitoreo y análisis del tráfico de redes informáticas con el fin de recopilar información, evidencia legal o detección de intrusiones . ^[1] A diferencia de otras áreas de la ciencia forense digital, las investigaciones de redes se ocupan de información volátil y dinámica. El tráfico de la red se transmite y luego se pierde, por lo que la análisis forense de la red suele ser una investigación proactiva. ^[2]

La análisis forense de redes generalmente tiene dos usos. El primero, relacionado con la seguridad, implica monitorear una red en busca de tráfico anómalo e identificar intrusiones. Un atacante podría borrar todos los archivos de registro en un host comprometido; Por lo tanto, la evidencia basada en redes podría ser la única evidencia disponible para el análisis forense. ^[3] La segunda forma se refiere a la aplicación de la ley. En este caso, el análisis del tráfico de red capturado puede incluir tareas como volver a ensamblar archivos transferidos, buscar palabras clave y analizar comunicaciones humanas como correos electrónicos o sesiones de chat.

Normalmente se utilizan dos sistemas para recopilar datos de la red; una fuerza bruta de "atrápalo como puedas" y un método más inteligente de "deja de mirar y escucha".

Descripción general

La ciencia forense en red es un campo comparativamente nuevo de la ciencia forense. La creciente popularidad de Internet en los hogares significa que la informática se ha centrado en la red y los datos ahora están disponibles fuera de la evidencia digital basada en disco . La análisis forense de redes se puede realizar como una investigación independiente o junto con un análisis forense informático (donde a menudo se utiliza para revelar vínculos entre dispositivos digitales o reconstruir cómo se cometió un delito). ^[2]

A Marcus Ranum se le atribuye la definición de la ciencia forense de redes como "la captura, registro y análisis de eventos de red para descubrir el origen de ataques de seguridad u otros incidentes problemáticos". ^[4]

En comparación con la informática forense, donde la evidencia generalmente se conserva en disco, los datos de la red son más volátiles e impredecibles. A menudo, los investigadores sólo tienen material para examinar si los filtros de paquetes, los firewalls y los sistemas de detección de intrusiones se configuraron para anticipar violaciones de seguridad. ^[2]

Los sistemas utilizados para recopilar datos de red para uso forense suelen presentarse en dos formas: ^[5]

• "Cógelo como puedas": aquí es donde todos los paquetes que pasan a través de un determinado punto de tráfico se capturan y se escriben en el almacenamiento y el análisis se realiza posteriormente en modo por lotes. Este enfoque requiere grandes cantidades de almacenamiento.
• "Detente, mira y escucha": aquí es donde cada paquete se analiza de forma rudimentaria en la memoria y solo se guarda cierta información para análisis futuros. Este enfoque requiere un procesador más rápido para mantenerse al día con el tráfico entrante.

Tipos

Ethernet

Wireshark , una herramienta común utilizada para monitorear y registrar el tráfico de red

Todos los datos de esta capa permiten al usuario filtrar por diferentes eventos. Con estas herramientas, las páginas de sitios web, los archivos adjuntos de correo electrónico y otro tráfico de red se pueden reconstruir sólo si se transmiten o reciben sin cifrar. Una ventaja de recopilar estos datos es que están conectados directamente a un host. Si, por ejemplo , se conoce la dirección IP o la dirección MAC de un host en un momento determinado, se pueden filtrar todos los datos enviados hacia o desde esta dirección IP o MAC.

Para establecer la conexión entre la dirección IP y MAC, resulta útil observar más de cerca los protocolos de red auxiliares. Las tablas del Protocolo de resolución de direcciones (ARP) enumeran las direcciones MAC con las direcciones IP correspondientes.

Para recopilar datos en esta capa, la tarjeta de interfaz de red (NIC) de un host se puede poner en " modo promiscuo ". Al hacerlo, todo el tráfico pasará a la CPU, no sólo el tráfico destinado al host.

Sin embargo, si un intruso o atacante sabe que su conexión puede ser escuchada, puede utilizar cifrado para proteger su conexión. Hoy en día es casi imposible romper el cifrado, pero el hecho de que la conexión de un sospechoso a otro host esté cifrada todo el tiempo podría indicar que el otro host es cómplice del sospechoso.

TCP/IP

En la capa de red, el Protocolo de Internet (IP) es responsable de dirigir los paquetes generados por TCP a través de la red (por ejemplo, Internet) agregando información de origen y destino que puede ser interpretada por los enrutadores de toda la red. Las redes celulares de paquetes digitales, como GPRS , utilizan protocolos similares a IP, por lo que los métodos descritos para IP también funcionan con ellas.

Para el enrutamiento correcto, cada enrutador intermedio debe tener una tabla de enrutamiento para saber dónde enviar el paquete a continuación. Estas tablas de enrutamiento son una de las mejores fuentes de información si se investiga un delito digital y se intenta localizar a un atacante. Para hacer esto, es necesario seguir los paquetes del atacante, invertir la ruta de envío y encontrar la computadora de donde proviene el paquete (es decir, el atacante).

Análisis de tráfico cifrado

Dada la proliferación del cifrado TLS en Internet, en abril de 2021 ^[update]se estima que la mitad de todo el malware utiliza TLS para evadir la detección. ^[6] El análisis de tráfico cifrado inspecciona el tráfico para identificar el tráfico cifrado proveniente de malware y otras amenazas mediante la detección de combinaciones sospechosas de características TLS, generalmente a redes ^[7] o servidores poco comunes. ^[8] Otro enfoque para el análisis de tráfico cifrado utiliza una base de datos generada de huellas dactilares, ^[9] aunque estas técnicas han sido criticadas por ser fácilmente eludidas por los piratas informáticos ^{[10] [11]} e inexactas.

Internet

Internet puede ser una rica fuente de evidencia digital que incluye navegación web, correo electrónico, grupos de noticias , chat sincrónico y tráfico entre pares . Por ejemplo, los registros del servidor web se pueden utilizar para mostrar cuándo (o si) un sospechoso accedió a información relacionada con una actividad delictiva. Las cuentas de correo electrónico suelen contener pruebas útiles; pero los encabezados de los correos electrónicos se falsifican fácilmente y, por lo tanto, se pueden utilizar análisis forenses de red para probar el origen exacto del material incriminatorio. La análisis forense de red también se puede utilizar para descubrir quién está utilizando una computadora en particular ^[12] extrayendo información de la cuenta del usuario del tráfico de la red.

Forense inalámbrico

La ciencia forense inalámbrica es una subdisciplina de la ciencia forense de redes. El objetivo principal de la ciencia forense inalámbrica es proporcionar la metodología y las herramientas necesarias para recopilar y analizar el tráfico de red (inalámbrica) que pueda presentarse como evidencia digital válida en un tribunal de justicia. La evidencia recopilada puede corresponder a datos simples o, con el uso generalizado de tecnologías de voz sobre IP (VoIP), especialmente inalámbricas, puede incluir conversaciones de voz.

El análisis del tráfico de la red inalámbrica es similar al de las redes cableadas; sin embargo, puede haber una consideración adicional de las medidas de seguridad inalámbrica .

Referencias

1. Gary Palmer, Una hoja de ruta para la investigación forense digital, Informe de DFRWS 2001, Primer taller de investigación forense digital, Utica, Nueva York, 7 al 8 de agosto de 2001, páginas 27 a 30
2. Casey, Eoghan (2004). Evidencia digital y delitos informáticos, segunda edición. Elsevier. ISBN 0-12-163104-4.
3. Erik Hjelmvik, Análisis de seguridad de red pasiva con NetworkMiner http://www.forensicfocus.com/passive-network-security-analysis-networkminer Archivado el 23 de febrero de 2012 en Wayback Machine.
4. Marcus Ranum, registrador de vuelos en red, http://www.ranum.com
5. Simson Garfinkel, Análisis forense de redes: acceso a Internet http://www.oreillynet.com/pub/a/network/2002/04/26/nettap.html
6. Gallagher, Sean (21 de abril de 2021). "Casi la mitad del malware utiliza ahora TLS para ocultar las comunicaciones". Noticias de Sophos . Consultado el 29 de abril de 2021 .
7. Números del sistema autónomo
8. Análisis de tráfico cifrado (Parte 1): detectar, no descifrar, archivado desde el original el 20 de diciembre de 2021 , consultado el 29 de abril de 2021.
9. Althouse, John. "Toma de huellas dactilares TLS con JA3 y JA3S".
10. Rinaldi, Mateo (3 de noviembre de 2020). "Hacerse pasar por huellas dactilares JA3". Medio . Consultado el 29 de abril de 2021 .
11. "Firmas JA3/S y cómo evitarlas". Seguridad BC . 2020-04-16 . Consultado el 29 de abril de 2021 .
12. "Facebook, SSL y análisis forense de redes", Blog de seguridad de redes de NETRESEC, 2011

enlaces externos

• Descripción general de las herramientas y conjuntos de datos forenses de redes (2021)
• Wiki forense (2010)