ICT Zine

Het rinkelen van de mobiele telefoon kondigt het nieuws aan dat elke netwerkbeveiligingsprofessional vreest: "Ik denk dat het netwerk is gehackt". Plotseling moet u antwoord vinden op vijf vragen die u nooit gesteld had willen zien.

Die vijf vragen zijn:

1. Welke schade is aangericht?
2. Wie was de indringer?
3. Hoe is de indringer langs de beveiliging gekomen?
4. Heeft de indringer een virus achtergelaten?
5. Heb ik voldoende gegevens om de aanval te analyseren en na te bootsen?

De klassieke manier om het dataverkeer van een netwerk te onderzoeken, omvat het ophalen van duizenden data-elementen uit een veelheid van bronnen, zoals firewall logs, router logs, Intrusion Detection Systems (IDS), server logs, harde schijven en system dumps. Het resultaat moet daarna aan elkaar worden gesmeed tot een samenhangend beeld. Het resultaat is vaak onvolledig.

Nieuwe techniek
Er is echter een nieuwe techniek in opkomst op het gebied van network forensics die aansluit bij de bestaande technieken om dataverkeer te analyseren en zo beveiligingsincidenten te reconstrueren. In dit artikel zullen we deze techniek 'Digital Network Packet Forensics' (DNPF) noemen.

DNPF-analyse is gebaseerd op de mogelijkheden van bestaande network analyzers zoals Wireshark voor het vastleggen, analyseren en reconstrueren van de gegevensstroom in een computernetwerk. Aangezien dit soort producten is ontworpen om dataverkeer vast te leggen en een gedetailleerde analyse te maken van verschillende gegevenstypen, is het zeer geschikt voor deze extra taak. Dit onderzoek naar de individuele datastromen en de elementen waaruit ze zijn samengesteld, maakt een reconstructie mogelijk van de volgorde van incidenten gedurende een bepaald tijdsbestek.

Recontructie en diepte-analyse
Als dit geïntegreerd wordt met de nieuwe generatie van high-performance, line-rate capture appliances die veel schijfruimte (meerdere terabyte) bevatten, dan kan de netwerkprofessional met de resterende capture files een beveiligingsincident reconstrueren en een diepte-analyse toepassen tot, indien nodig, op het individuele bit-niveau. Het resultaat van deze analyse kan worden gebruikt voor het beantwoorden van elk van de vijf eerder gestelde vragen. Daarnaast kunnen hiermee alle aangetaste knooppunten in het netwerk worden geïdentificeerd en kan het zelfs worden gebruikt als basis voor het actualiseren van de bestaande IDS.

De DNPF-analyse bouwt voort op enkele belangrijke aspecten van de manier waarop netwerken momenteel worden geanalyseerd. Terwijl de meeste netwerkanalyses bestaan uit het verzamelen en analyseren van statistieken, van bijvoorbeeld het gebruik van het netwerk,protocoldistributie en dergelijke, richt DNPF zich op het gedetailleerde gedrag van bepaalde netwerken of knooppunten, vaak binnen een bepaalde periode.

Men kan nu de DNPF-analyse inzetten door de volgende zes stappen (afgeleid van de klassieke zes-stappen-probleemoplossingsmethode) te nemen:

Stap 1 – Kiezen
Het selecteren van de relevante knooppunten, gesprekken en/of datastromen is de kritische eerste stap die de netwerkbeveiliger zet om de eerste signalen uit het netwerk te evalueren en de mogelijke reikwijdte van het beveiligingsincident te bepalen. Alle verdachte afwijkingen in zowel netwerk- of knooppuntprestaties worden genoteerd voor verdere evaluatie. Tijdens deze stap worden de eerste theorieën over het incident in kwestie geformuleerd.

Stap 2 – Plaatsen
Het opsporen en vaststellen van de betrokken trace files kan plaatsvinden na inschatting van de tijd waarop het beveiligingsincident plaatsvond. Vervolgens kunnen de files uit de storage-locatie worden opgehaald. Een storage-locatie kan zich simpelweg in de huidige packet capture buffer bevinden of in de huidige online netwerk data recorders of in een off-line Storage Area Network (SAN).

Stap 3 – Analyseren
Een analyse van de geselecteerde trace files richt zich op het identificeren en selecteren van de belangrijkste knooppunten, datastromen en gesprekken voor verder onderzoek. Dit kan worden bereikt met behulp van een aantal hulpmiddelen, bijvoorbeeld de eerder genoemde Wireshark.

Gedetailleerde analyse kan op verschillende manieren worden uitgevoerd, waaronder het een voor een inspecteren van de databestanden. Deze methode, die de meest gedetailleerde resultaten oplevert, vereist veel deskundigheid op het gebied van data-analyse en is ook zeer tijdrovend. Een alternatief hiervoor is een visuele analyse en evaluatie van de tracé files, maar dat vereist deskundigheid op het gebied van visuele analyse.

Het evalueren van het resultaat vereist gedetailleerd onderzoek naar de vele kenmerken binnen de data, waaronder dataheaders, MAC en netwerklaagadressen, TCP/IP-optievelden. Ook moet, indien aanwezig, de inhoud van de ACSII payload worden onderzocht. Kritieke informatie is doorgaans te vinden in het ASCII payload gedeelte van de data, omdat veel netwerkprotocollen nog steeds hun payload data in dit formaat overbrengen.

Stap 4 – Reconstrueren
Het herstel en een gedetailleerde evaluatie van het incident is nauw verbonden met de vorige stap en kan worden uitgevoerd met verschillende methoden. De meest effectieve manier om dit te doen is met behulp van visuele payload reconstructietechnieken. Hiermee kan de individuele payload data opnieuw worden opgebouwd tot een eenvoudig coherent beeld dat onderzocht kan worden.

Stap 5 – Construeren
Het bouwen en testen van specifieke datafilters, netwerk IDS waarschuwingssystemen en/of capture triggers is erg belangrijk. Hiermee kan de bron van het incident worden geïdentificeerd, alsmede andere geïnfecteerde knooppunten en netwerken die voor verbeteringen in aanmerking komen. Verder kunnen de resultaten van deze tests worden gebruikt om de veiligheid van netwerken, waaronder firewalls en IDS-apparatuur, te wijzigen en bij te werken.

Stap 6 – Samenvatten
Het samenvatten en rapporteren van bevindingen zijn twee van de meest vergeten aspecten bij het analyseren van dataverkeer. Deze elementen vormen vaak de basis voor toekomstige juridische acties, bieden na afloop doorgaans een grondig inzicht in de veiligheid van het netwerk en worden gebruikt om beveiligingsoplossingen verder te testen en te implementeren.

Trainingen
Digital Network Packet Forensics (DNPF) analyse vormt een krachtige aanvulling op de instrumenten die traditionele netwerkanalyse biedt. DNPF bouwt voort op de mogelijkheden en technieken die netwerktechnici al gebruiken. Verborgen in de sporen van de data zitten de belangrijkste aanwijzingen die een netwerkbeveiligingsprofessional nodig heeft om te analyseren, te evalueren en de meeste netwerkbeveiligingsincidenten op te lossen. SCOS Software te Hoofddorp (Wireshark Authorized Training Center) organiseert regelmatig trainingen waarin de Digital Network Packet Forensics wordt behandeld.

Phillip D. Shade, Certified Wireshark University Trainer bij SCOS Software bv