Monitoraggio e Analisi del traffico di rete

L’origine del problema del traffico di rete è spesso sottovalutato

I problemi di sicurezza nella rete potrebbero iniziare come qualcosa di semplice come un picco di traffico o un collo di bottiglia. Questi sono, tuttavia, spesso ignorati, specialmente nelle organizzazioni in via di sviluppo, che si presume siano la crescita delle applicazioni o l’aumento del numero di utenti. Ma trascurare questi problemi può causare violazioni dei dati, perdita di dati dei clienti, arresti anomali dei dispositivi, ecc.

Ogni volta che si verifica un picco di traffico o un collo di bottiglia, prima di affrettarsi ad aumentare la larghezza di banda per supportare il traffico in entrata, è importante esaminare elementi come il modello di crescita e la frequenza dei picchi o delle anomalie e determinare la causa principale dei picchi. Mentre l’aumento del traffico potrebbe essere dovuto non solo ad una crescita organizzativa positiva, ma anche come conseguenza di anomalie o picchi di larghezza di banda potrebbero essere causati da qualsiasi cosa, da un problema del server di posta a un tentativo di hacking. Pertanto, è opportuno richiedere una verifica forense di rete con lo scopo di raccogliere informazioni, prove legali o individuare intrusioni.

Gli Obiettivi della Network Forensics

La Network forensics è quella scienza che si propone l’acquisizione, la registrazione e l’analisi dei pacchetti di rete al fine di determinare l’origine degli attacchi alla sicurezza di una rete. L’obiettivo della Network Forensics è quello di analizzare il traffico di rete per ottenere delle prove digitali di eventuali attacchi e valutare la natura degli aggressori.

Un esame forense di rete generico include i seguenti passaggi: Identificazione, conservazione, raccolta, esame, analisi, presentazione e risposta all’incidente.

Ecco nel dettaglio spiegate le varie fasi:

• Identificazione : riconoscere e determinare un incidente sulla base di indicatori di rete. Questo passaggio è significativo poiché ha un impatto nei passaggi seguenti.
• Conservazione : proteggere e isolare lo stato delle prove fisiche e logiche dall’alterazione, come, ad esempio, la protezione da danni o interferenze elettromagnetiche.
• Raccolta : registrazione della scena fisica e duplicazione di prove digitali utilizzando metodi e procedure standardizzati.
• Esame : ricerca sistematica approfondita delle prove relative all’attacco alla rete. Questo si concentra sull’identificazione e la scoperta di potenziali prove e sulla creazione di una documentazione dettagliata per l’analisi.
• Analisi : determinare il significato, ricostruire i pacchetti di dati sul traffico di rete e trarre conclusioni sulla base delle prove trovate.
• Presentazione : riassumere e spiegare le conclusioni tratte.
• Risposta all’incidente: la risposta all’attacco o all’intrusione rilevata viene avviata in base alle informazioni raccolte per convalidare e valutare l’incidente.

L’analisi forense di rete, come qualsiasi altra indagine forense, presenta molte sfide. La prima sfida riguarda lo sniffing dei dati sul traffico. A seconda della configurazione di rete e delle misure di sicurezza in cui è distribuito lo sniffer, lo strumento potrebbe non acquisire tutti i dati sul traffico desiderati. Per risolvere questo problema, l’amministratore di rete deve utilizzare una porta span sui dispositivi di rete in più punti della rete.

Un compito noioso nella analisi forense di rete è la correlazione dei dati. La correlazione dei dati può essere causale o temporale. Per quest’ultimo caso, dovrebbero essere registrati anche i timestamp.

Un utente malintenzionato può crittografare il traffico, solitamente utilizzando una connessione SSL VPN. Per un investigatore di rete, l’indirizzo e la porta sono ancora visibili; tuttavia, il flusso di dati non è disponibile. È necessario eseguire più registrazioni e ulteriori indagini per determinare i dati infiltrati.

Un’altra sfida aggiuntiva è determinare la fonte di un attacco, poiché un utente malintenzionato può utilizzare una “macchina zombi”, un host intermedio per eseguire un attacco o semplicemente utilizzare un server proxy remoto. Ciò rende difficile per un investigatore di rete seguire l’indirizzo originale degli aggressori.

Prendendo in considerazione queste preoccupazioni, il compito principale di un investigatore forense di rete è analizzare l’acquisizione dei pacchetti di rete, noti come file PCAP. Gli elementi presenti nel traffico di rete che dovrebbero essere esaminati includono ma non sono limitati a: Protocolli utilizzati, indirizzi IP, numeri di porta, timestamp, pacchetti dannosi, file trasferiti, agenti utente, versioni dei server delle applicazioni e versioni del sistema operativo. Queste informazioni possono essere estratte da diversi tipi di traffico.

Quali protocolli di traffico e livelli di rete vengono analizzati in Network Forensics?

1. Collegamenti Ethernet – I metodi sono ottenuti con l’intercettazione di flussi di bit sul livello Ethernet del modello OSI. Questo può essere fatto utilizzando strumenti di monitoraggio o sniffer come Wireshark o Tcpdump, che catturano entrambi i dati sul traffico da un’interfaccia di una scheda di rete configurata in modalità promiscua. Questi strumenti consentono all’investigatore di filtrare il traffico e ricostruire gli allegati trasmessi sulla rete. Inoltre, è possibile consultare e analizzare protocolli, come l’Address Resolution Protocol (ARP) o qualsiasi protocollo di livello superiore. Tuttavia, questo può essere evitato con la crittografia. La crittografia potrebbe indicare che l’host è sospetto poiché l’attaccante utilizza la crittografia per proteggere la sua connessione e aggirare le intercettazioni. Lo svantaggio di questo metodo è che richiede una grande capacità di archiviazione.
2. Protocollo TCP/IP – Il livello di rete fornisce informazioni sul router in base alla tabella di routing presente su tutti i router e fornisce anche prove di registro di autenticazione. L’analisi di queste informazioni consente di determinare i pacchetti compromessi, identificare l’origine e invertire il routing e il monitoraggio dei dati. I registri dei dispositivi di rete forniscono informazioni dettagliate sulle attività di rete. Più log registrati da diversi dispositivi di rete possono essere correlati tra loro per ricostruire lo scenario di attacco.
3. Traffico Internet – Internet offre numerosi servizi come WWW, e-mail, chat, trasferimento di file, ecc. che lo rendono ricco di prove digitali. Ciò si ottiene identificando i registri dei server distribuiti su Internet. I server includono server Web, server di posta elettronica, chat IRC e altri tipi di traffico e comunicazione. Questi server raccolgono informazioni di registro utili, come la cronologia di navigazione, gli account e-mail, le informazioni sull’account utente, ecc.
4. Wireless / Senza Fili – Ciò si ottiene raccogliendo e analizzando il traffico da reti e dispositivi wireless, come i telefoni cellulari. Questo estende i normali dati sul traffico per includere le comunicazioni vocali. È anche possibile determinare la posizione del telefono. I metodi di analisi del traffico wireless sono simili al traffico di rete cablata, ma è necessario prendere in considerazione diversi problemi di sicurezza.