forensics.cyber-kill-chain.ch

Perimeter Devices

Definition und Begriff

Geräte, die Netzwerkteile verbinden, werden als Perimeter Devices bezeichnet. Darunter fallen Router, Wireless Access Points, (managed) Switches, etc. Perimeter Devices können zentrale Informationen über Geschehnisse enthalten, sind aber unter Umständen nicht trivial auszuwerten.

Synonyme Begriffe: Protokolldatei, Ereignisprotokoll, Eventlog, log file, log.

Praktische Relevanz

Perimertergeräte enthalten oft Metadaten zur Kommunikation, die über sie gelaufen ist. Entsprechend konfigurierte Geräte können Log Files anlegen oder Log Events an einen zentralen Server sende. Lokale Log Files auf Perimetergeräten werden nicht für unbeschränkte zeit vorgehalten. Bei vielen Systemen besteht eine Log Rotate System, das die Log Files zyklisch löscht oder überschreibt, um den beschränkten Speicherplatz auf den Perimetergeräten zu verwalten. Dieses Problem kann mit den erwähnten zentralen Log Servern behoben werden.

Ein enormes Problem für Unternehmen und damit auch für forensische Untersuchungen ist der Umstand, dass Defizite bei der Inventarisierung und Dokumentation der Perimetergeräte bestehen. Dazu kommt das Problem, dass das Personal unter Umständen in Eigenregie das Netzwerk erweitert und bspw. im eigenen Büro ohne Rücksprache und Bewilligung einen Access Point installiert.

Perimetergeräte sind oft selbst Gegenstand eines Angriffs, was in aller Regeln nicht von Beginn an bekannt ist. Bei angegriffene Perimetergeräten muss in Betracht gezogen werden, dass die auf dem Gerät gesicherten Artefakte durch die Angreiferschaft verändert worden sein könnten. Die Sicherung von Spuren ab angegriffenen Perimetergeräten bedarf besonderer Vorbereitung und einer Vorgehensweise, welche die weitere Veränderung durch die forensische Untersuchung vermeidet oder diese Veränderungen detailliert dokumentiert.1Geschonneck, S. 308;
Overview: Perimeter Devices

Fundorte von Perimeter Devices

Perimeter Devices finden sich oft hier:

  • Verteilkästen,
  • Serverräume,
  • einzelne Büros (insbesondere Switches und Access Points).

Artefakte auf Perimeter Devices

Switches

Managed Switches:

“Dumb” Switches:

Router

Auf dem internen Festspeicher (Flash, SSD, HDD):

  • Logdateien,
    • System Logs,
    • Firewall Logs,
    • Access Logs,
    • Terminallogins,
    • Remote Logins (SSH etc. pp.),
    • VPN-Dienst.
  • Kommandozeilen-History,
  • Firewall-Regeln,
  • NAT-Regeln,
  • Dynamische Routingregeln.

Im Arbeitsspeicher2Vgl. Geschonneck, S. 308;:

  • ARP-Tabelle,
  • Dynamische Routingregeln,
  • bestehende Connections (TCP).

Im Arbeitsspeicher3Vgl. Geschonneck, S. 308;:

  • ARP-Tabelle,
  • Dynamische Routingregeln,

Access Point

Firewalls

Web Application Firewall

Praktische Vorgehensweise / Beweissicherungsprinzipien

Folgende Prinzipien sollten eingehalten werden:

  • Die forensischen Grundsätze gelten bei Log Files uneiengeschränkt;
  • Administrtoren/Owner von Log Files oder Systemen mit relevanten Log Files oder von zentralen Log Verwaltungsinstanzen dürfen nicht die eigenen untersuchungen führen (vgl. )
  • Log Files müssen in einem Kontext betrachtet und analysiert werden: Es müssen gleichzeitig mit der Lig File-Sicherung aktuelle Netzwerktopologien herausverlangt oder erstellt werden; anders lassen sich viele netzwerktechnische Sachverhalte nicht interpretieren
  •  …
Angegriffene Perimetergeräte:
  • Das Gerät sollte nach Möglichkeit nicht abgeschaltet werden, damit man vorhandene Terminalsessions und allenfalls den Arbeitsspeicher sichern kann4Barrios Ritar und Signori Yuri in Bayuk, S. 103 ff.; Geschonneck, S. 309 mit einer kleinen Befehlssammlung für Cisco-Router (Stand 2014), S. 309 und 310f.,
 

Weitere Materialien

Referenzen
Referenzen
1 Geschonneck, S. 308;
2, 3 Vgl. Geschonneck, S. 308;
4 Barrios Ritar und Signori Yuri in Bayuk, S. 103 ff.; Geschonneck, S. 309 mit einer kleinen Befehlssammlung für Cisco-Router (Stand 2014), S. 309 und 310f.