forensics.cyber-kill-chain.ch

NIDS/Network

Definition und Begriff

Netzwerke resp. der auf ihnen übertragene Verkehr können nicht direkt forensisch untersucht werden, da sie kein statisches Medium darstellen. Zur Untersuchung von Netzwerkverkehr muss der Datenverkehr mitgeschnitten und analysiert werden. Dazu kann auf Network Intrusion Detection Systems (NIDS) zurückgegriffen.

Einpflegen:

mitre datasources

Vorlesung CRS SW14-Mathias fuchs, Mathias fuchs auch noch auf befragungsliste nehmen

aus https://link.springer.com/chapter/10.1007/978-3-319-99277-8_3

E. Casey, Network traffic as a source of evidence: Tool strengths, weaknesses and future needs, Digital Investigation, vol. 1(1), pp. 28–43, 2004.Google Scholar

R. Joshi and E. Pilli, Fundamentals of Network Forensics: A Research Perspective, Springer-Verlag, London, United Kingdom, 2016.Google Scholar

Synonyme Begriffe: Intrusion Detection System (IDS), NIPS (Network Intrusion Prevention System), Security Information and Event Management (SIEM), Netzwerksniffer, Traffic Analyzer.

Overview: NIDS/Network

Praktische Relevanz

Logdateien sind ein zentrales Beweismittel. Nahezu jedes Gerät führt irgendeine Art von Logdatei. Logging-Facilities müssen mit besonderer Sorgfalt konfiguriert, verwaltet, gesichert und die von ihnen generierten Logfiles sicher verwahrt werden.

In der Praxis zeigt sich, dass in vielen Unternehmen Defizite bei der Inventarisierung und Dokumentation ihrer Systeme bestehen und nicht resp. nicht genügend bekannt ist, wo welche Logfiles mit welchem Inhalt generiert werden.

Fundorte

Wertvoll ist der Einsatz von zentralen Logservern1<span class=”autor”>Messier</span>, Network Forensics, S. 216; , die nur einer stark beschränkten Nutzergruppe zugänglich sind; am besten ausschliesslich im Vier-Augen-Prinzip. Es sollte nicht ausschliesslich auf einen zentralen Logserver abgestützt werden, sondern die NIDS sollten zum einen eigenständig ihre Logs noch über einen längeren Zeitraum vorhalten können und zum andern sollten zentrale Logserver idealerweise Redundanzen und eine andere Lokalität aufweisen. Auch Logserver sollten Backuping betreiben.

Einpflegen:

mitre datasources

Vorlesung CRS SW14-Mathias fuchs, Mathias fuchs auch noch auf befragungsliste nehmen

aus https://link.springer.com/chapter/10.1007/978-3-319-99277-8_3

E. Casey, Network traffic as a source of evidence: Tool strengths, weaknesses and future needs, Digital Investigation, vol. 1(1), pp. 28–43, 2004.Google Scholar

R. Joshi and E. Pilli, Fundamentals of Network Forensics: A Research Perspective, Springer-Verlag, London, United Kingdom, 2016.Google Scholar

Praktische Vorgehensweise / Beweissicherungsprinzipien

 

ALT AUS LOG FILES üBERNEHMEN

Folgende Prinzipien sollten eingehalten werden:

  • Die forensischen Grundsätze gelten bei Log Files uneiengeschränkt;
  • Administrtoren/Owner von Log Files oder Systemen mit relevanten Log Files oder von zentralen Log Verwaltungsinstanzen dürfen nicht die eigenen untersuchungen führen (vgl. )
  • Log Files müssen in einem Kontext betrachtet und analysiert werden: Es müssen gleichzeitig mit der Log File-Sicherung aktuelle Netzwerktopologien herausverlangt oder erstellt werden; anders lassen sich viele netzwerktechnische Sachverhalte nicht interpretieren;
  • Verschiedene Log Files müssen zeitlich synchronisiert werden, damit wird die zeitliche Interpretation der Vorkommnisse stark erleichtert2BSI, Leitfaden IT-Forensik, S. 203; Mohan/Anderson/Collie/Del Vel/McKemmish, S. 84 f.;
  •  …
 
Siehe auch: Bayuk Jennifer, CyberForensics, S. 10;

Tools zur Log File-Analyse

https://www.loganalysis.org/log-parsing/

Referenzen
Referenzen
1 <span class=”autor”>Messier</span>, Network Forensics, S. 216;
2 BSI, Leitfaden IT-Forensik, S. 203; Mohan/Anderson/Collie/Del Vel/McKemmish, S. 84 f.

Weitere Materialien