Network Forensic چیست؟

Forensic

Forensic در لغت به معنی پزشکی قانونی است. به روش های علمی اشاره دارد که برای حل جرم استفاده می شود. Forensic جمع آوری و تجزیه و تحلیل تمام شواهد فیزیکی مرتبط با جرم است تا بتواند در مورد مظنون نتیجه گیری کند. محققان برای تعیین چگونگی وقوع جرم، دیسک های سخت، رایانه یا سایر فناوری ها را بررسی می کنند. گرچه این یک تعریف کلی است، زیرا انواع مختلف Forensic وجود دارد.

 

در مبحث Digital Forensics انواع مختلفی وجود دارد که عبارتند از:

ـ Disk Forensics:

این کار با استخراج داده ها از رسانه های ذخیره سازی با جستجو در پرونده های فعال، اصلاح شده یا حذف شده سروکار دارد.

ـ Network Forensics:

یکی از زیرشاخه های پزشکی قانونی دیجیتال است. این امر برای جمع آوری اطلاعات مهم و شواهد قانونی مربوط به نظارت و تجزیه و تحلیل ترافیک شبکه رایانه ای است.

ـ Wireless Forensics:

این یک بخش از Network Forensic است. هدف اصلی ان ارائه ابزارهای مورد نیاز برای جمع آوری و تجزیه و تحلیل داده ها از ترافیک شبکه بی سیم است.

ـ Database Forensics:

این یک شاخه از Digital Forensic است که مربوط به مطالعه و بررسی پایگاه های داده و فراداده مربوط به آنها است.

ـ Malware Forensics:

این شاخه با شناسایی کد مخرب، برای بررسی میزان بارگذاری آنها، ویروس ها، کرم ها و غیره سروکار دارد.

ـ Email Forensics:

با بازیابی و تجزیه و تحلیل ایمیل ها، از جمله ایمیل های پاک شده، تقویم ها و مخاطبین، سر و کار دارد.

ـ Memory Forensics:

این کار با جمع آوری داده ها از حافظه سیستم (ثبات های سیستم، حافظه پنهان، حافظه RAM) به صورت خام و سپس حک کردن داده ها از Raw dump سرو کار دارد.

ـ Mobile Phone Forensics:

این کار عمدتا با بررسی و تجزیه و تحلیل دستگاه های تلفن همراه انجام می شود. به بازیابی مخاطبین تلفن و سیم کارت، گزارش تماس، پیام کوتاه، صوتی، ویدئویی و غیره ورودی و خروجی کمک می کند.

در این مقاله ما قصد داریم به مبحث Network Forensic بپردازیم.

 

Network Forensic چیست؟

روند ثبت و ضبط و تجزیه و تحلیل بسته های شبکه برای تعیین منبع حملات امنیتی شبکه تحت عنوان Network Forensics شناخته می شود.  Forensic مربوط به جمع آوری، نظارت و تجزیه و تحلیل فعالیت های شبکه برای کشف منبع حملات، ویروس ها، نفوذها یا نقض امنیت در شبکه یا در ترافیک شبکه است. علاوه بر این Forensic نیز فرآیند شناسایی الگوهای نفوذ و تمرکز بر فعالیت های حمله است همچنین برای خنثی سازی یا بررسی حملات شبکه مفید است به منظور تجزیه و تحلیل داده های ترافیک شبکه، داده ها را از سایت های مختلف و تجهیزات مختلف شبکه مانند فایروال ها و IDS جمع آوری می کنند. علاوه بر این، Network Forensics می تواند برای نظارت، جلوگیری و تجزیه و تحلیل حملات احتمالی استفاده شود.

 

مفهوم IoC چیست و چه کاربردی دارد؟

 

Network Forensic شامل 7 مرحله است:

1ـ شناسایی (Identification):

روند شناسایی تأثیر بسزایی در مراحل زیر دارد زیرا این مرحله مسیر ختم پرونده است. این مراحل شامل روند شناسایی و تعیین یک حادثه بر اساس شاخص های شبکه است.

2ـ حفظ (Preservation):

در فرآیند دوم، فرد آزمونگر داده ها را برای اهداف حفاظت و امنیت جدا می کند تا از استفاده مردم از دستگاه دیجیتال جلوگیری کند تا شواهد دیجیتالی دستکاری نشود. ابزارهای نرم افزاری بسیاری برای حفظ داده ها مانند Autopsy و Encase وجود دارد.

3ـ مجموعه (Collection):

جمع آوری فرآیند ضبط صحنه فیزیکی و تکثیر شواهد دیجیتالی با استفاده از روش ها و رویه های استاندارد است.

4ـ معاینه (Examination):

این فرایند شامل ثبت تمام داده های قابل مشاهده است. فرد آزمایش کننده ممکن است بسیاری از داده های فراداده را پیدا کند که ارائه آنها به دادگاه مفید است.

5ـ تحلیل و بررسی (Analysis):

پس از شناسایی و حفظ شواهد (داده ها)، عوامل تحقیق قطعات داده را بازسازی می کنند. براساس تجزیه و تحلیل داده ها، نماینده براساس شواهد نتیجه گیری می کند. نرم افزار Security Information and Event Management (SIEM) سابقه فعالیتهای موجود در محیط IT را ارائه می دهد. ابزارهای SIEM داده های گزارش و رویداد را در زمان واقعی تجزیه و تحلیل می کند تا نظارت بر تهدید، همبستگی رویداد و پاسخ حادثه را فراهم کند- با استفاده از مدیریت اطلاعات امنیتی (SIM) که داده های گزارش را جمع آوری، تجزیه و تحلیل و گزارش می کند.

6ـ ارائه (Presentation):

روند جمع بندی و توضیح نتیجه گیری انجام می شود. این مرحله باید با اصطلاحات انتزاعی در layperson نوشته شود و تمام اصطلاحات انتزاعی باید به جزئیات خاص مراجعه کنند.

7ـ پاسخ حادثه (Incident Response):

نفوذ شناسایی شده بر اساس اطلاعات جمع آوری شده برای اعتبارسنجی و ارزیابی حادثه است.

 

انواع Network Forensics:

ـ Ethernet:

Wireshark، ابزاری رایج که برای مانیتور و ضبط ترافیک شبکه استفاده می شود.میتوانید تمام داده های موجود در این لایه را انتخاب کنید و به کاربر اجازه می دهد تا رویدادهای مختلف را فیلتر کند. با استفاده از این ابزار، فقط در صورت انتقال یا دریافت بدون رمزگذاری صفحات وب سایت، پیوست های ایمیل و سایر ترافیک شبکه می توان بازسازی کرد. یک مزیت جمع آوری این داده ها اتصال مستقیم آنها به یک هاست است. اگر به عنوان مثال آدرس IP یا آدرس MAC هاست در یک زمان مشخص، مشخص باشد، تمام داده های ارسال شده به این آدرس IP یا MAC می توانند فیلتر شوند.

برای ایجاد ارتباط بین آدرس IP و MAC، جداول پروتکل ARP آدرسهای MAC را با آدرسهای IP مربوطه لیست می کند. برای جمع آوری اطلاعات روی این لایه، کارت رابط شبکه (NIC) از یک هاست می تواند در حالت ” promiscuous mode ” قرار گیرد. با این کار کل ترافیک به CPU منتقل می شود، نه فقط ترافیکی که برای هاست در نظر گرفته شده است.

با این حال، اگر مهاجم مطلع باشد که ممکن است اتصال وی شنود شود، ممکن است از رمزگذاری برای برقراری ارتباط خود استفاده کند. امروزه شکستن رمزگذاری تقریباً غیرممکن است اما این واقعیت که ارتباط مظنون با هاست به طور مداوم رمزگذاری شده است، ممکن است نشان دهنده این باشد که هاست دیگر،همدست مظنون است.

ـ TCP/IP:

در لایه network، پروتکل اینترنت (IP) وظیفه هدایت بسته های تولید شده توسط TCP را از طریق شبکه (به عنوان مثال اینترنت) با اضافه کردن اطلاعات مبدا و مقصد قابل تفسیر توسط روترهای سراسر شبکه بر عهده دارد. شبکه هایی مانند GPRS، از پروتکل های مشابه IP استفاده می کنند، بنابراین روش های توصیف شده برای IP نیز با آنها کار می کنند.

برای مسیریابی صحیح، هر روتر میانی باید یک جدول مسیریابی داشته باشد تا بداند بسته بعدی را کجا ارسال می کند. این جداول مسیریابی یکی از بهترین منابع اطلاعاتی در صورت بررسی جرم دیجیتالی و تلاش برای ردیابی یک مهاجم هستند. برای انجام این کار، لازم است بسته های مهاجم را دنبال کنید، مسیر ارسال را معکوس کنید و رایانه ای را که بسته از آن آمده است (یعنی مهاجم) پیدا کنید.

 

ـ Encrypted Traffic Analytics:

با توجه به گسترش رمزگذاری TLS در اینترنت، از آوریل 2021 تخمین زده می شود که نیمی از بدافزارها از TLS برای فرار از شناسایی استفاده می کنند. تجزیه و تحلیل ترافیک رمزنگاری شده با شناسایی ترکیبات مشکوک از ویژگی های TLS، معمولاً به شبکه ها یا سرورهای غیرمعمول، ترافیک را برای شناسایی ترافیک رمزگذاری شده ناشی از بدافزار و سایر تهدیدات بررسی می کند. رویکرد دیگر برای تجزیه و تحلیل ترافیک رمزنگاری شده از پایگاه داده تولید شده از اثر انگشت استفاده می کند ، اگرچه این تکنیک ها مورد انتقاد قرار گرفته اند که توسط هکرها به راحتی دور زده می شوند و نادرست هستند.

ـ Internet:

اینترنت می تواند منبع غنی از شواهد دیجیتالی از جمله مرور وب، ایمیل، گروه خبری، چت همزمان و ترافیک نظیر به نظیر باشد. به عنوان مثال، گزارش های سرور وب می تواند برای نشان دادن اینکه (یا اگر) مظنون به اطلاعات مربوط به فعالیت مجرمانه دسترسی پیدا کرده است استفاده شود. حساب های ایمیل اغلب می تواند حاوی شواهد مفیدی باشد. اما سرصفحه های ایمیل به راحتی جعل می شوند، بنابراین ممکن است از پزشکی قانونی شبکه برای اثبات منشأ دقیق مطالب مجازات آمیز استفاده شود. همچنین می توان با استفاده از استخراج اطلاعات حساب کاربری از ترافیک شبکه، از Network Forensic برای کشف اینکه چه کسی از رایانه خاصی استفاده می کند استفاده کرد.

 

هدف Network Forensic:

هدف از تجزیه و تحلیل Network Forensic کاملاً ساده است. به طور معمول در مورد حملات شبکه استفاده می شود. در بسیاری از موارد، برای نظارت بر شبکه برای شناسایی فعالانه ترافیک مشکوک یا حمله قریب الوقوع استفاده می شود. در طرف دیگر، برای جمع آوری شواهد از طریق تجزیه و تحلیل داده های ترافیک شبکه به منظور شناسایی منبع حمله استفاده می شود.

همه سازمان ها می توانند از Network Forensic بهره مند شوند:

Forensic می تواند نقش مهمی در محافظت از شبکه ها در برابر تهدیدات امنیتی ظریف و مخرب داشته باشد. Network Forensic می تواند یک سازمان را قادر به بررسی و متوقف کردن نقض داده هایی کند که باعث تهدید سازمان، هزینه های رقابتی یا هر دو می شود. جمع آوری یک سابقه کامل از فعالیت شبکه می تواند برای پرداختن به انبوهی از مسائل فنی، عملیاتی و سازمانی بسیار ارزشمند باشد.

 

چرا به Network Forensic نیاز دارید؟

سازمان ها وقتی به نیاز به یک رویکرد سیستماتیک برای حل سریع مشکلات امنیتی و عملکرد شبکه پی بردند، در Network Forensic سرمایه گذاری کردند. اما درسرعت 10گیگ و شبکه های سریعتر، Forensic اهمیت بیشتری پیدا کرده است زیرا تنها راهی که سازمان ها می توانند تجزیه و تحلیل دقیق از عبور و مرور از شبکه خود با سرعت 5Gbps یا بالاتر را انجام دهند. شبکه های امروزی داده های زیادی را انتقال می دهند به طوری که تنها راه برای نظارت و عیب یابی ترافیک، ابتدا ضبط آن است. بنابراین، در حالی که پزشکی قانونی شبکه هنوز ابزاری ارزشمند برای یافتن اثبات حملات امنیتی است، اکنون نیز یک ابزار “ضروری” برای تجزیه و تحلیل دقیق شبکه های مدرن است.

پزشکی قانونی می تواند در بسیاری از موارد برای حل مشکلات عملکرد، امنیت و سیاستگذاری در شبکه های پرسرعت امروز اعمال شود. این شامل:

ـ یافتن اثبات حمله امنیتی

ـ عیب یابی مشکلات عملکرد متناوب

ـ نظارت بر فعالیت کاربر برای انطباق با سیاست های IT و HR

ـ شناسایی منبع نشت داده ها

ـ نظارت بر معاملات تجاری

ـ عیب یابی VoIP وفیلم از طریق IP

 

آنچه برای پیاده سازی Network Forensic شبکه نیاز دارید:

برای تسهیل مناسب Network Forensic سه قابلیت اساسی لازم است:

ـ ضبط و ضبط داده ها: توانایی ضبط و ذخیره چندین ترابایت داده از شبکه های با توان بالا، از جمله 10گیگ و حتی 40 گیگ، بدون دراپ شدن و از دست دادن هیچ بسته ای.

ـ کشف داده ها: پس از ثبت داده ها در محیط ذخیره سازی، راه حل باید ابزاری برای فیلتر کردن موارد خاص مورد علاقه، به عنوان مثال  توسط آدرس IP، برنامه، زمینه و غیره فراهم کند. مهندسان فناوری اطلاعات به ابزارهای کشف برای غربالگری ترابایت داده ها متکی هستند برای پیدا کردن مکالمات خاص شبکه یا بسته های فردی به موقع.

ـ تجزیه و تحلیل داده ها: تجزیه و تحلیل خودکار، از جمله تجزیه و تحلیل تخصصی که زمینه وقایع شبکه را توضیح می دهد، به مهندسان فناوری اطلاعات کمک می کند تا رویدادهای شبکه را به سرعت غیر عادی یا غیر قابل توجه تشخیص دهند. به محض شناسایی این موارد، آنها می توانند وارد شده و اصلاحات مناسب را انجام دهند.

 

RADIUS Server چیست و چگونه کار می کند؟

برگشت به بالا
محصول با موفقیت به سبد خرید اضافه شد.