Mrežna forenzika

Mrežna forenzika uključuje analizu mrežne opreme kao što su usmjeritelji, preklopnici (eng. switch), koncentratori (eng. hub), NIC (eng. Network Interface Card), samo računalo te razni mediji poput parica, optičkih kablova i sl. Konkretni podaci se mogu naći na sljedećim uređajima:

• Računalo domaćin (eng. host)
  Riječ je o “standardnom” prikupljanju podataka. Obuhvaća slike (eng. image) uređaja za pohranjivanje, sadržaj radne memorije i bilo kakve statičke podatke unutar dohvata računala koji se mogu slati preko mreže. Tu se ne broje samo pojedina računala već i svi poslužitelji na mreži (e-mail, datotečni, s bazama podataka, poslužitelji pisača)

• Usmjeritelj (eng. router)
  Usmjeriteljski zapisi mogu sadržavati greške do kojih je došlo tijekom usmjeravanja, detalje o komponentama usmjeritelja (npr. sučelja) te sumnjive aktivnosti (ovisno o postavkama zapisa). Osim toga, usmjeritelji čuvaju tablice IP i MAC adresa prema kojima usmjeravaju promet.

• Vatrozid (eng. firewall)
  Vatrozid pohranjuje detaljne zapise aktivnosti sustava kao što su prepoznati napadi, odbačeni paketi, aplikacije kojima je dopušten ulaz ili izlaz te popisuje sve sumnjive aktivnosti.

• Preklopnik (eng. switch)
  Preklopnici ne stvaraju zapise, ali su korisni za postavljanje prisluškivača ili tzv. zrcala kako bi se kopirali nadolazeći podaci u stvarnom vremenu. No u CAM memoriji (eng. Content Addressable Memory) se mogu pronaći podaci o MAC adresama povezanih s određenim portovima, kao i podaci o virtualnim lokalnim mrežama (VLAN – eng. Virtual Local Area Network).

• IDS (eng. Intrusion Detection System)
  Zapisnici IDS-a sadrže sve što se smatra imalo sumnjivim. Jedna od funkcija IDS-a je zapisivanje događaja za kasniju analizu kako bi se spriječilo ponavljanje incidenta. IDS-ovi su osmišljeni da budu pasivni i mogu se smatrati protuprovalnim alarmom kod računala. Zapisuju se podaci kao što su:
  • skenovi portova,
  • nadolazeći promet iz sumnjivih portova (npr. portovi koji ne bi trebali biti otvoreni, a jesu) ili protokola (npr. protokol koji koristi krivi port),
  • poznate prijetnje poput crva ili virusa koji pokušavaju prodrijeti u mrežu,
  • anonimni pokušaji korištenja FTP ili drugih servisa u mreži,
  • IP adrese izvora napada,
  • iskorištenost veze (eng. bandwidth usage).

• IPS (eng. Intrusion Prevention System)
  IPS-u je svrha blokirati ili isključiti svaku uočenu prijetnju u mreži. Zapisuje mnoge događaje kao i IDS, ali glavna mu je funkcija analizirati podatke na mreži u stvarnom vremenu. Ako se IDS može usporediti sa protuprovalnim alarmom, IPS bi pozvao policiju i blokirao vrata.

• Mrežni pisač (eng. network printer)
  Moderni pisači često pohranjuju zapise o ispisivanim dokumentima zajedno s metapodacima tih dokumenata.

• Mrežni uređaji za kopiranje (eng. network copier)
  Kao i pisači, pohranjuju zapise o kopiranim i ispisanim dokumentima.

• WAP (eng. Wireless access point)
  WAP zapisuje sve što i normalni “žičani” usmjeritelj uz podatke specifične za bežični promet kao što su SSID identifikatori mreža.