Netzwerk Forensik. Ronny Fischer. Security Consultant CA Schweiz Ronny.Fischer@ca.com. Was ist Forensik und Wo wird sie eingesetzt?



Ähnliche Dokumente
neto consulting Sind Sie Sicher, wenn Sie sicher sind? EDV Sachverständigenbüro Dienstag, den Dozent: Thomas Neuwert neto consulting

Applikations-Performance in Citrix Umgebungen

Guide DynDNS und Portforwarding

Ordner Berechtigung vergeben Zugriffsrechte unter Windows einrichten

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

icloud nicht neu, aber doch irgendwie anders

Speicher in der Cloud

Anleitung über den Umgang mit Schildern

How-to: Webserver NAT. Securepoint Security System Version 2007nx

SharePoint Demonstration

Microsoft Office 365 Kalenderfreigabe

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

Das Leitbild vom Verein WIR

Regeln für das Qualitäts-Siegel

Anleitung zum Extranet-Portal des BBZ Solothurn-Grenchen

Outlook. sysplus.ch outlook - mail-grundlagen Seite 1/8. Mail-Grundlagen. Posteingang

Fehler und Probleme bei Auswahl und Installation eines Dokumentenmanagement Systems

Studieren- Erklärungen und Tipps

Novell Client. Anleitung. zur Verfügung gestellt durch: ZID Dezentrale Systeme. Februar ZID Dezentrale Systeme

Datensicherung. Beschreibung der Datensicherung

EMU Bill & Report 1/33

Die Bundes-Zentrale für politische Bildung stellt sich vor

Psychologie im Arbeitsschutz

RT Request Tracker. Benutzerhandbuch V2.0. Inhalte

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

40-Tage-Wunder- Kurs. Umarme, was Du nicht ändern kannst.

.procmailrc HOWTO. zur Mailfilterung und Verteilung. Stand:

Professionelle Seminare im Bereich MS-Office

Beispiel Shop-Eintrag Ladenlokal & Online-Shop im Verzeichnis 1

Verpasst der Mittelstand den Zug?

Updatehinweise für die Version forma 5.5.5

Umgang mit der Software ebuddy Ändern von IP Adresse, Firmware und erstellen von Backups von ewon Geräten.

Web Interface für Anwender

Den Durchblick haben. VOLKSBANK BAD MÜNDER eg. Online aber sicher: Unsere Produkt- und Sicherheitshotline hilft und informiert

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank

1. Bearbeite Host Netzgruppen

Look Inside: desite. modellorientiertes Arbeiten im Bauwesen. B.I.M.

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)

Die neue Aufgabe von der Monitoring-Stelle. Das ist die Monitoring-Stelle:

Binäre Bäume. 1. Allgemeines. 2. Funktionsweise. 2.1 Eintragen

Neues Modul für individuelle Anlagen. Änderung bei den Postleitzahl-Mutationen

Persönliche Zukunftsplanung mit Menschen, denen nicht zugetraut wird, dass sie für sich selbst sprechen können Von Susanne Göbel und Josef Ströbl

Datenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen?

Kurzanleitung. MEYTON Aufbau einer Internetverbindung. 1 Von 11

1. Einschränkung für Mac-User ohne Office Dokumente hochladen, teilen und bearbeiten

Anwendungsbeispiele Buchhaltung

Lizenzen auschecken. Was ist zu tun?

Wie oft soll ich essen?

Statuten in leichter Sprache

ERPaaS TM. In nur drei Minuten zur individuellen Lösung und maximaler Flexibilität.

Informatik für Ökonomen II HS 09

OpenSource Forensik-Werkzeuge

Erfahrungen mit Hartz IV- Empfängern

Die Online-Meetings bei den Anonymen Alkoholikern. zum Thema. Online - Meetings. Eine neue Form der Selbsthilfe?

Bauteilattribute als Sachdaten anzeigen

Ohne Fehler geht es nicht Doch wie viele Fehler sind erlaubt?

Windows XP Jugendschutz einrichten. Monika Pross Molberger PC-Kurse

CCI Swing Strategie. Cut your losers short and let your winners run

Sich einen eigenen Blog anzulegen, ist gar nicht so schwer. Es gibt verschiedene Anbieter. ist einer davon.

Wichtig ist die Originalsatzung. Nur was in der Originalsatzung steht, gilt. Denn nur die Originalsatzung wurde vom Gericht geprüft.

Welche Bereiche gibt es auf der Internetseite vom Bundes-Aufsichtsamt für Flugsicherung?

Beschreibung Regeln z.b. Abwesenheitsmeldung und Weiterleitung

Outlook-Daten komplett sichern

Das Persönliche Budget in verständlicher Sprache

Ihr Weg in die Suchmaschinen

Informationsblatt Induktionsbeweis

Installation und Inbetriebnahme von SolidWorks

Content Management System mit INTREXX 2002.

Einrichtung eines VPN-Zugangs

Die Post hat eine Umfrage gemacht

Inhaltsverzeichnis U M S T E L L U N G A U F O F F I C E 3 6 5

Dr. Kraus & Partner Ihr Angebot zu Konfliktmanagement

Technische Analyse der Zukunft

Wichtige Hinweise zu den neuen Orientierungshilfen der Architekten-/Objektplanerverträge

Was ist Leichte Sprache?

Verwendung des IDS Backup Systems unter Windows 2000

ICS-Addin. Benutzerhandbuch. Version: 1.0

Buchhaltung mit WISO EÜR & Kasse 2011

Tevalo Handbuch v 1.1 vom

Handbuch ECDL 2003 Basic Modul 5: Datenbank Grundlagen von relationalen Datenbanken

Nützliche Tipps für Einsteiger

COMPUTER MULTIMEDIA SERVICE

Europäischer Fonds für Regionale Entwicklung: EFRE im Bundes-Land Brandenburg vom Jahr 2014 bis für das Jahr 2020 in Leichter Sprache

YouTube: Video-Untertitel übersetzen

Urlaubsregel in David

SJ OFFICE - Update 3.0

Local Control Network

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Eva Douma: Die Vorteile und Nachteile der Ökonomisierung in der Sozialen Arbeit

WordPress. Dokumentation

Root-Server für anspruchsvolle Lösungen

Behindert ist, wer behindert wird

Herstellen von Symbolen mit Corel Draw ab Version 9

Einrichten einer Festplatte mit FDISK unter Windows 95/98/98SE/Me

iphone 4 - Einrichtung des VPN Clients (Cisco VPN Client) / Verbinden des iphones mit einem Exchange

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an.

Jede Zahl muss dabei einzeln umgerechnet werden. Beginnen wir also ganz am Anfang mit der Zahl,192.

agitat Werkzeuge kann man brauchen und missbrauchen - vom Einsatz von NLP in der Führung

Transkript:

Netzwerk Forensik Ronny Fischer Security Consultant CA Schweiz Ronny.Fischer@ca.com Agenda Was und Wo Was ist Forensik und Wo wird sie eingesetzt? Wie Wird bei einer forensischen Analyse vorgegangen? Ein leistungsfähiges Werkzeug für die Netzwerk Forensik. CA etrust Network Forensics 95 1

Was und Wo? Was ist Forensik und wo wird sie eingesetzt? 96 WAS bedeutet Forensik? Der Begriff der Forensik stammt vom lat. forum = der Marktplatz, das Forum, da vormals Gerichtsverfahren, Untersuchungen, Urteilsverkündungen sowie der Strafvollzug öffentlich und meist auf dem Marktplatz durchgeführt wurden. Daher bezeichnet das Attribut forensisch alles, was gerichtlichen oder kriminologischen Charakter hat. In der kriminologischen Forensik geht es primär darum, Beweise zu finden, die vor Gericht standhalten. Vereinfacht gesagt versucht die Kriminal Forensik Beweise für folgende Fragen zu liefern : Wer, Was, Wo, Wann, Womit, Wie und Weshalb 97 2

Moderne Kriminal Forensik Die Spezialgebiete der Kriminal Forensik sind vielfältig. Hier einige Beispiele aus der modernen Kriminal Forensik : forensische Traumatologie im Sinne der Rechtsmedizin befasst sich mit körperlichen Verletzungen, forensische Entomologie, befasst,sich mit der Aufklärung der Todesumstände mittels der Interpretation von Insektenfunden bei Leichen forensische Toxikologie befasst sich mit dem Nachweis von Giften forensische Serologie beschäftigt sich mit der Auswertung von Blutspuren und anderen Sekreten forensische Ballistik vergleicht und beurteilt Geschosse und Geschosswirkungen forensische Daktyloskopie wertet Fingerabdrücke aus forensische Linguistik untersucht Sprache auf einen kriminologischen Aspekt hin, z.b. bei der Feststellung des Urhebers eines Erpresserbriefes forensische Osteologie identifiziert Personen anhand des Skeletts, die forensische Odontologie versucht das gleiche anhand des Gebisses. 98 IT Forensik Die IT Forensik unterscheidet primär zwei forensische Spezialgebiete : Die Computer Forensik Hierbei geht es darum mittels spezieller Analyse von Datenträgern einen bestimmten Beweis zu erbringen. Da diese Beweise in der Regel auch einem Gericht vorgelegt werden, ist es elementar, dass die Daten während der Analyse auf keinen Fall verändert werden. Wird nur ein einziges Byte verändert, ist der Beweis vor Gericht nicht mehr aussagekräftig. Die Netzwerk Forensik Hier werden in der Regel Beweise innerhalb eines Kommunkationsverhaltens gesucht. Sind die Bweise in Form eines "Network-Captures" vorhanden, können diese Daten mit geeigneten Werkzeugen in Echtzeit wiedergegeben werden. 99 3

Computer Forensik, Definition Die Computer Forensik ist als Anwendung der Informatik auf jede Art von gespeicherten Daten zum Zweck der Spurensuche und Beweissicherung zu betrachten. Damit die Ergebnisse gerichtlich als Beweise verwertbar sind, gilt es gewisse Prinzipien zu beachten. Dazu zählen vor allem: Datenverluste minimieren Alles aufzeichnen, möglichst nichts verändern Analysen nur auf Kopien durchführen (never touch original) Ergebnisse neutral, überprüf- und nachvollziehbar präsentieren. Daraus kann man den folgenden Prozess einer forensischen Untersuchung ableiten: Erstellen eines forensisch korrekten Abbilds der elektronisch gespeicherten Daten (forensic sound imaging) Authentifizierung dieses Abbilds Analyse der gespeicherten Daten neutrale, sachlich fundierte und unparteiische Berichterstattung in Form eines Gutachtens. 100 Netzwerk Forensik, Definition In der Netzwerkforensik gelten prinzipiell die gleichen Grundsätze wie in der Computer Forensik. Zusätzlich unterscheiden wir aber zwei Hauptbereiche : Datensammlung Netzwerkverkehr muss auch in sehr schnellen Netzwerken (GB und mehr) ohne Verlust von Paketen in Echtzeit auf geeignete Datenträger gespeichert werden können. Datenauswertung Muss grosse Mengen von Daten schnell, einfach, transparent und nachvollziehbar analysieren. Netzwerktechnologie ist kompliziert, darum ist es elementar dass die Daten auch für Laien nachvollziehbar dargestellt werden. Um Beweise zu erarbeiten die Übertretungen dokumentieren sollten die Kommunikationsprotokolle und Nodes visuell dargestellt werden. 101 4

Gründe für die Netzwerkforensik Der Gesamtverband der deutschen Versicherungswirtschaft etwa 40 Prozent der Betrugs-, Diebstahls-und Unterschlagungsdelikte werden von den Mitarbeitern der betroffenen Unternehmen begangen. Im Jahr 2002 Schäden in Höhe von rund 3 Milliarden Euro durch kriminelle Handlungen wie Korruption und Vorteilsnahme, Untreue, Unterschlagung, Diebstahl, Betrug, Wirtschafts- und Betriebsspionage, Verrat von Betriebsgeheimnissen, Erpressung und Insider- Geschäfte. höchstwahrscheinlich ist, dass für eine Vielzahl dieser Delikte Computersysteme unterstützend oder begünstigend beteiligt waren. Laut Aussage des GdV besitzen die Täter meist betriebswirtschaftliches Fachwissen sowie gute Kenntnisse der internen organisatorischen Abläufe und Gewohnheiten des geschädigten Unternehmens. INSIDER! 102 DIE Ergänzung zu bestehender IT Securiy Wenn wir Netzwerkforensik im Zusammenspiel mit weiteren IT-Sicherheitstechnologien betrachten und versuchen einen Vergleich mit der richtigen Welt zu ermöglichen würde das folgendermassen aussehen : Die Firewall ist der Zaun der unser Grundstück vor ungebetenen Gästen schützt. Sollte doch einmal jemand durch den Zaun auf unser Grundstück gelangen, wird das IDS/IPS, also die Alarmanlage uns darüber informieren. Sollte es uns entgangen sein, dass uns die Alarmanlage informiert hat, können wir mit Hilfe der Videoüberwachung, also der Netzwerkforensik jederzeit beweisen wer, wann, was, wie auf unserem Grundstück gemacht hat. 103 5

Wie? wird bei einer forensischen Analyse vorgegangen? 104 Grundregeln in der IT-Forensik IT-Forensik wird in der Regel durchgeführt, nachdem etwas vorgefallen ist (reaktiv). Forensisches Arbeiten erfordert die Dokumentation jedes ausgeführten Schrittes. Die klassischen Maßnahmen des "Incident Response" - das System so schnell wie möglich wieder zum Laufen zu bringen - steht in direkter Konkurrenz zu den Maßnahmen der IT-Forensik. Die zu sichernden Daten müssen (sofern möglich) während des Sicherungsvorgangs und allen weiteren Prozessen unverändert bleiben. Die Integrität der Daten muss zu jedem Zeitpunkt gesichert sein. 105 6

Fragen vor der forensischen Analyse Bevor mit der Analyse der Daten begonnen wird, sollten folgende Fragen gestellt werden : Gibt es einen Notfallplan ist dieser überhaupt anwendbar? Welche konkreten Aufgaben haben Priorität (Spurensicherung, Wiederanlauf der Systeme, Absicherung der Systeme) Sollen Polizei und Staatsanwaltschaft eingeschaltet werden? Soll das System vom Netz genommen werden? An welcher Stelle erfolgte der Zugriff? Wie erhielt der Angreifer Zugriff? Von welcher Stelle ging der Angriff aus? Was war das Ziel des Angreifers? Wer ist der Angreifer? Welcher materielle Schaden ist entstanden? Welche Daten wurden modifiziert, gelöscht oder hinzugefügt? Welche Änderungen am System wurden vorgenommen? 106 Datensammlung (Netzdaten) Eine Empfehlung der Fachgruppe Security der Schweizer Informatiker-Gesellschaft (fgsec) in der Broschure Forensic Computing unter Ausgewählte präventive Informatik- Massnahmen gegen Hacking / Spionage lautet unter anderem : "permanente real-time Überwachung der Netzwerke und Zugriffsschutzsysteme". http://www.adverum.ch/download/forensic_computing.pdf Dies scheint in der Netzwerk Forensik der wirklich einzig gangbare Weg zu sein, da nur durch lückenlose Aufzeichnungen sichergestellt wird, dass die kompletten Kommunikationsbeziehungen aufgezeichnet wurden. Geräte und Techniken mit denen Netzwerkdaten ohne Verlust auf Datenträger gespeichert werden können sind im Internet genügend vorhanden. Dieses Problem sollte mit relativ wenig Aufwand realisierbar sein. Tcpdump http://www.tcpdump.org Ethereal http://www.ethereal.com Sniffer http://www.sniffer.com 107 7

Datenauswertung (Netzdaten) Die Auswertung der Daten ist definitiv die grösste Herausforderung in der Netzwerkforensik. Wenn man viele GigaByte von Netzwerkdaten zu analysieren hat und meistens nicht einmal weiss nach was genau man suchen muss, sind professionelle Werkzeuge zur Analyse unumgänglich. Ein flexibles und leistungsfähiges Werkzeug zur Auswertung von Netzwerkdaten und Log-Dateien aller Art ist etrust Network Forensics der Firma Computer Associates. 108 Historie von etrust Network Forensics 1999 lizensierte das NSA's Office of Research and Technology Application in Zusammenarbeit mit dem US General Counsel for Technology Software Code an die Rüstungsfirma Raytheon. Als direktes Resultat aus diesem Technologie- Transfer entwickelte Raytheon aus diesem Software Code ein Produkt mit dem Namen Silent Runner. Silent Runner wurde darauf an Abteilungen des Departements of Defense, an die NSA und kommerzielle Anwender in Lizenz verkauft. Im July 2003 verkaufte Raytheon Silent Runner mit allen Rechten an die Firma Computer Associates. Computer Associates führt die Software nun unter dem Namen etrust Network Forensics in der etrust Security Produktelinie und hat einige Teile des Source Code auch in andere CA Produkte (Unicenter etc.) einfliessen lassen. 109 8

Einsatzbereiche von etrust Network Forensics etrust Network Forensics hilft bei: Der Überwachung und Rekonstruktion von Kommunikations- Verkehr im Netzwerk. Überwachung auf Einhaltung von Regeln. Entdeckt Missbrauch von Netzwerkressourcen. Aufspüren von Policy-Verletzungen. Analyse von Kommunikationsbeziehungen bis auf Anwendungs-Ebene (Geschäftsprozesse). Schützt geistiges Eigentum und vertrauliche Informationen. Blinde oder gezielte Kontextanalyse. Sammeln von Informationen für das Risiko- Management. Visualisiert die Netzwerkbenutzung. Hilft komplexe Prozesse einfacher zu verstehen. Analysiert, korreliert, Daten von verschiedenen Quellen wie IDS/IPS etc. 110 etrust Network Forensics Collector Klartext Protokolle werden in Echtzeit in verständliche Nachrichten dekodiert. Kommunikations-Beziehungen werden übersichtlich in Echtzeit dargestellt. Beziehungen zwischen Benutzern, IP Adressen, DNS Namen etc. können einfach eruiert werden. 111 9

etrust Network Forensics Analyzer Der etrust Network Forensics Analyzer bietet eine 2D Darstellung von Node Kommunkationsbeziehungen. Diese Darstellung erlaubt eine einfache Analyse des Verkehrsflusses und hebt Anomalien im Verhalten der Protokolle speziell hervor. Die Nodes und die Beziehungen sind interaktiv und können bei einem Mausklick weitere Informationen preisgeben. Durch die Time sequencing Funktion wird die Untersuchung massgeblich erleichert. Durch das orginalgetreue Animieren der Kommunikationsdaten werden Anomalien (wie z:bsp. Portscanns) schnell identifiziert. 112 Context Management Das Modul Context Management dient zur optischen Analyse von Daten und analysiert mit n-gramm Technologie nach dem Prinzip der Ähnlichkeit. Durch den Einsatz von n-grams und Analyse auf Bit-Ebene ist das Context Management Modul Datei-Formatunabhängig. Ähnliche Daten werden zu Clustern gruppiert. Die Angleichung der Daten wird über einen Schieberegler realisiert. Daten können auch nach bestimmten Schlüsselwörtern durchsucht werden. 113 10

Summary etrust Network Forensics ist ein Netzwerk Discovery-, Analyse- und Visualisierungswerkzeug das zur Verteidigung des geistigen Firmeneigentums eingesetzt wird. etrust Network Forensics identifiziert Sicherheitsrisikos und Netzwerk Verletzbarkeiten und alarmiert das Management über den evt. Verlust von Daten. etrust Network Forensics ist das einzige Produkt das durch die Möglichkeit der Korrelation von komplexen Netzwerk Ereignissen rasche Gegenmassnahmen ermöglicht etrust Network Forensics hilft beim: internen Schutz von geistigem Eigentum Missbrauch von Ressourcen Netzwerk Risikoanalyse. Netzwerk Forensik. maximieren des Wert von IDS, FW, etc. Logdaten 114 11

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback