Raporty dotyczące ataków poprzez sieć wskazują, że znaczny procent ataków dokonywany jest przez pracowników firmy. Przykładem takich ataków może być kradzież dokumentów lub ich modyfikacja. Ataki te są trudne do wykrycia, ponieważ systemy obronne (firewalle, systemy wykrywania intruzów) zwykle umieszczane są na styku sieci wewnętrznej z siecią zewnętrzną i nie wykrywają niepokojących zdarzeń zachodzących w obrębie sieci lokalnej, do której mają dostęp pracownicy firmy.
Jedną z metod za pomocą, której można udowodnić pracownikowi przeprowadzenie ataku jest zapisywanie całego ruchu, a następnie analiza i odtworzenie zapamiętanego ruchu generowanego przez komputer pracownika. Metoda ta ma także inną zaletę – za jej pomocą można udowodnić pracownikowi przeprowadzanie dowolnych akcji w sieci, na przykład:
- Łączenie się z niedozwolonymi zasobami w Internecie (np. przeglądanie określonych stron WWW, łączenie się z określonymi serwerami plików);
- Pobieranie z sieci filmów, muzyki;
- Pobieranie z sieci pirackiego oprogramowania;
- Dokonywanie włamań poprzez sieć.
Poprzez zapisywanie całego ruchu można archiwizować dowolne zdarzenia w sieci dotyczące nie tylko pracowników firmy. W zależności od tego, gdzie zostanie wpięte urządzenie zapisujące, można np. prześledzić krok po kroku poczynania intruza znajdującego się poza siecią lokalną. Dzięki temu otrzymamy materiał dowodowy oraz informacje na podstawie, których będzie można odtworzyć stan systemu sprzed ataku. Urządzenia działające w opisany powyżej sposób nazywane są urządzeniami do analizy powypadkowej (ang. forensic analysis) lub urządzeniami do zapisywania danych.
W celu analizy zapisanego ruchu niezbędne jest dysponowanie narzędziami, które spośród setek tysięcy pakietów danych odseparują interesujący nas ruch oraz umożliwią jego wizualizację. Niektóre zaawansowane urządzenia zapisujące ruch sieciowy oferują możliwość rekonstrukcji ruchu i zdarzeń określonego rodzaju. Dla najbardziej popularnych protokołów sieciowych (HTTP, FTP, IRC, SMTP, POP3 itp.) można odtworzyć sesje w taki sposób, w jaki były obsługiwane przez inicjatora sesji.
Jednym z najważniejszych parametrów urządzeń do zapisywania ruchu sieciowego jest pojemność nośników danych, na których są zapisywane dane. Obecnie najbardziej efektywnym rozwiązaniem jest zastosowanie macierzy dyskowych. Istnieją urządzenia o pojemności 2,9 TB, co przy założeniu sieci w standardzie 1 Gigabit, zapisywaniu ruchu przez 8 godzin dziennie i 20% utylizacji łącza, wystarczy na ok. 4 dni.
Innym ważnym parametrem jest przepustowość interfejsów sieciowych oraz ich liczba. Najbardziej funkcjonalne urządzenia posiadają kilka interfejsów sieciowych o przepustowości 1 Gigabit. Istnieją także dedykowane interfejsy sieciowe służące do połączenia z konsolą zarządzającą urządzeniem.
Użyteczną funkcją jest możliwość zdefiniowania filtrów, które określają, jaki ruch ma być przechwytywany, jednak nie są one rozbudowane. Głównym zadaniem opisywanych urządzeń jest przechwytywanie ruchu i jego zapisywanie. W przypadku szybkich sieci i dużej liczby pakietów danych operacja ta zajmuje większość mocy obliczeniowej urządzenia, co w połączeniu z trudnością analizowania każdego pakietu w gigabitowym strumieniu danych powoduję, że dostępne filtry są dość proste i zwykle pozwalają na filtrowanie w czasie rzeczywistym pakietów na podstawie adresów IP. Pewnym rozwiązaniem może być import zapisanych danych do konsoli zarządzającej na innej, dedykowanej maszynie i tam zdefiniowanie filtrów o większej funkcjonalności.
Podobnie jak w innych systemach przeznaczonych do działania w sieci, system do zapisywania danych składa się z właściwego urządzenia przechwytującego i zapisującego dane oraz z konsoli zarządzającej, która może być wpięta bezpośrednio do urządzenia lub połączona z urządzeniem z dowolnego miejsca w sieci.
Przykładowe rozmieszczenie komponentów systemu do zapisywania danych przedstawiono na rysunku poniżej.
Rys. Przykładowe rozmieszczenie urządzeń zapisujących oraz konsol zarządzających
Przykładem urządzenia do zapisywania ruchu oraz rekonstrukcji zdarzeń w sieci jest urządzenie InfiniStream Security Forensics firmy Network Associates. Urządzenie to posiada szereg nowatorskich rozwiązań, przez co jest uznawane za jeden z najlepszych produktów tego typu. Ponadto urządzenie współpracuje z analizatorem sieciowym Sniffer Distributed tej samej firmy, co pozwala na wymianę danych między urządzeniami.
Cechy urządzenia:
- Pojemność: 2,9 TB;
- Dwa gigabitowe interfejsy sieciowe (1000BASE-SX) przechwytujące dane;
- Możliwość rekonstrukcji najbardziej popularnych protokołów: HTTP, FTP, POP3, SMTP, IMAP4, IRC oraz HTTPS i SSH (w ograniczonej postaci);
- Możliwość rekonstrukcji protokołu Voice Over IP (VOIP);
- Możliwość definiowania filtrów na podstawie adresów IP oraz numerów portów;
- Współpraca z analizatorem sieciowym Sniffer Distributed.
|
