Slijede razlike između dviju inačica stranice
— |
network_forenzika [2015/01/21 13:37] (trenutno) |
||
---|---|---|---|
Redak 1: | Redak 1: | ||
+ | ====== Mrežna forenzika ====== | ||
+ | Mrežna forenzika uključuje analizu mrežne opreme kao što su usmjeritelji, preklopnici (eng. //switch//), koncentratori (eng. //hub//), NIC (eng. //Network Interface Card//), samo računalo te razni mediji poput parica, optičkih kablova i sl. Konkretni podaci se mogu naći na sljedećim uređajima: | ||
+ | * Računalo domaćin (eng. //host//)\\ Riječ je o "standardnom" prikupljanju podataka. Obuhvaća slike (eng. //image//) uređaja za pohranjivanje, sadržaj radne memorije i bilo kakve statičke podatke unutar dohvata računala koji se mogu slati preko mreže. Tu se ne broje samo pojedina računala već i svi poslužitelji na mreži (e-mail, datotečni, s bazama podataka, poslužitelji pisača) | ||
+ | * Usmjeritelj (eng. //router//)\\ Usmjeriteljski zapisi mogu sadržavati greške do kojih je došlo tijekom usmjeravanja, detalje o komponentama usmjeritelja (npr. sučelja) te sumnjive aktivnosti (ovisno o postavkama zapisa). Osim toga, usmjeritelji čuvaju tablice IP i MAC adresa prema kojima usmjeravaju promet. | ||
+ | |||
+ | * Vatrozid (eng. //firewall//)\\ Vatrozid pohranjuje detaljne zapise aktivnosti sustava kao što su prepoznati napadi, odbačeni paketi, aplikacije kojima je dopušten ulaz ili izlaz te popisuje sve sumnjive aktivnosti. | ||
+ | |||
+ | * Preklopnik (eng. //switch//)\\ Preklopnici ne stvaraju zapise, ali su korisni za postavljanje prisluškivača ili tzv. zrcala kako bi se kopirali nadolazeći podaci u stvarnom vremenu. No u CAM memoriji (eng. //Content Addressable Memory//) se mogu pronaći podaci o MAC adresama povezanih s određenim portovima, kao i podaci o virtualnim lokalnim mrežama (VLAN – eng. //Virtual Local Area Network//). | ||
+ | |||
+ | * IDS (eng. //Intrusion Detection System//)\\ Zapisnici IDS-a sadrže sve što se smatra imalo sumnjivim. Jedna od funkcija IDS-a je zapisivanje događaja za kasniju analizu kako bi se spriječilo ponavljanje incidenta. IDS-ovi su osmišljeni da budu pasivni i mogu se smatrati protuprovalnim alarmom kod računala. Zapisuju se podaci kao što su: | ||
+ | * skenovi portova, | ||
+ | * nadolazeći promet iz sumnjivih portova (npr. portovi koji ne bi trebali biti otvoreni, a jesu) ili protokola (npr. protokol koji koristi krivi port), | ||
+ | * poznate prijetnje poput crva ili virusa koji pokušavaju prodrijeti u mrežu, | ||
+ | * anonimni pokušaji korištenja FTP ili drugih servisa u mreži, | ||
+ | * IP adrese izvora napada, | ||
+ | * iskorištenost veze (eng. //bandwidth usage//). | ||
+ | |||
+ | * IPS (eng. //Intrusion Prevention System//)\\ IPS-u je svrha blokirati ili isključiti svaku uočenu prijetnju u mreži. Zapisuje mnoge događaje kao i IDS, ali glavna mu je funkcija analizirati podatke na mreži u stvarnom vremenu. Ako se IDS može usporediti sa protuprovalnim alarmom, IPS bi pozvao policiju i blokirao vrata. | ||
+ | |||
+ | * Mrežni pisač (eng. //network printer//)\\ Moderni pisači često pohranjuju zapise o ispisivanim dokumentima zajedno s metapodacima tih dokumenata. | ||
+ | |||
+ | * Mrežni uređaji za kopiranje (eng. //network copier//)\\ Kao i pisači, pohranjuju zapise o kopiranim i ispisanim dokumentima. | ||
+ | |||
+ | * WAP (eng. //Wireless access point//)\\ WAP zapisuje sve što i normalni "žičani" usmjeritelj uz podatke specifične za bežični promet kao što su SSID identifikatori mreža. |