Netzwerk-Forensik
Netzwerk Forensik 1. Allgemein Bei Netzwerk-Forensik werden forensische Techniken zur Untersuchung von Netzwerken eingesetzt, um Sicherheitsvorfälle im Bereich Netzwerk und Netzwerk-Sicherheit zu analysieren. Ziel ist die die Identifikation von Angriffen und Bedrohungen: Um dieses Ziel zu erreichen werden Informationen automatisiert oder manuell analysiert, zusammengeführt und ausgewertet.
2. Ziele Untersucht werden Netzwerkdaten, Protokolle, Netzwerk-Komponenten, Netzwerk-Artefakte, Aufbau und potentielle Schwachstellen der Umgebung uvm., um Informationsabfluss, Datenmanipulation, das Auskundschaften nichtöffentlicher Informationen, Erpressungsversuche usw. zu verhindern.
3. Werkzeuge Zur Feststellung und Analyse von Netzwerk-Vorfällen wird automatisiert und manuell vorgegangen, um digitale Beweise zu finden oder präventiv Zugriffe zu verhindern. Zur manuellen Auswertung wird z.B. tcpdump oder Wireshark genutzt. Es werden auch Protokolldaten, Logfiles, und Konfigurationsdaten auf verschiedenen Komponenten im Netzwerk ausgewertet. Dazu gehören Server, Firewalls, IDS/IPS, Router, Switche usw.. Zur automatisierten Auswertung werden auch Werkzeuge wie z.B. SIEM oder ElasticSearch, Splunk eingesetzt. Diese können eine Korrelation von verdächtigen Netzwerkaktivitäten herstellen, die bewertet wird.
4. Ablauf Auf Grund von Anhaltspunkten an den erwähnten Komponenten können auf Grund von verdächtigem Netzwerktraffic zusätzliche Netzwerkdaten ausgewertet und die Vorfall rekonstruiert werden, um das Ausmaß, die betroffenen Bereiche und die Identifikation des Täters beweisend zusammen zu führen. Je nach Schwere des Angriffs und der Funktion des/der Ermittelnden wird auch in den Netzwerkverkehr eingegriffen und ein forensischer Bericht erstellt, der bei Bedarf zur weiteren Auswertung mehreren Administratoren (auch aus anderen Bereichen) benutzt wird, um Ursache und Auswirkung fest zu stellen. Es ist ein Verständnis für den Vorfall zu entwickeln, die Schwachstelle zu identifizieren, Sicherheitsmaßnahmen und der rechtliche Aspekt umzusetzen.
5. Anwendungsfälle Anwendungsfälle betreffen jegliche Bereiche, in denen Netzwerke vorhanden sind. Ziel ist es Integrität, Vertraulichkeit, Authentizität, Verfügbarkeit im Netzwerk zu gewährleisten.