Marcus Ranum , autor de "Nación Base de datos: La muerte de la privacidad en el siglo 21 ", entre otros títulos relacionados con la seguridad informática , explica que los sistemas forenses de red caen dentro de dos categorías: " atraparlo como puedas "y " sistemas " parar, mirar y escuchar. En ambos tipos , los paquetes de datos se realiza un seguimiento a lo largo de un flujo de tráfico designado y se examinan muy de cerca .
Un paquete es una pieza de información que se dirige desde un punto A a un destino B en Internet o red similar . El protocolo de la parte de control de transmisión ( TCP ) de la sigla "TCP /IP" esculpe el archivo en "trozos" manejables para el enrutamiento . Cada uno de estos paquetes se numera y lleva la dirección de Internet del destino , lo que podría viajar diferentes rutas a través del éter.
Coger lo que pueda
"Catch como puede " sistemas forenses de red tener paquetes que están volando a través de puntos de tráfico dirigidos específicamente dentro de una red y capturarlos . En otras palabras , los paquetes de datos se escriben en el almacenamiento . El examen real y profundo análisis de estos datos se lleva a cabo en una fecha posterior de una serie de lotes. Como era de esperar , esto significa que usted necesita una gran cantidad de capacidad de almacenamiento , a menudo se encuentran en un sistema llamado RAID , que significa " matriz redundante de discos independientes . " Con RAID , los mismos datos se almacenan en diferentes lugares, permite la racionalización y la aceleración del proceso de análisis de datos .
Stop, Look and Listen
" Pare, mire y escuche " análisis forense de redes toma cada paquete y examina en lo que podría llamarse una manera superficial, en la memoria , eliminando algunas partes especialmente jugosos de información y guardarlos para futuros análisis. Menos de almacenamiento que se necesita con " parar, mirar y escuchar " , pero este enfoque a menudo significa que se necesita un procesador más rápido para mantenerse al tanto de los volúmenes de tráfico de entrada
Almacenamiento
< . p> Both " coger lo que pueda " y " parar, mirar y escuchar " los sistemas forenses de red requieren la capacidad de almacenar montones enormes de datos y la necesidad de hacer espacio para la nueva información por el dumping piezas obsoletas de datos. Hay programas de software diseñados específicamente para la captura y análisis de datos para análisis forense de redes . Un par de versiones de código abierto son tcpdump y windump , explica SearchSecurity.com . Programas comerciales también están disponibles para la captura y análisis de datos.
Consideraciones
Según Marcus Ranum , el " coger lo que pueda " protocolo en particular, lleva consigo la problema de la privacidad. Cada paquete de datos de la información - incluyendo los datos generados por el usuario - es capturada y guardada , dejando esta información vulnerable a miradas indiscretas y fugas. Aunque la Electronic Communications Privacy Act prohíbe totalmente espionaje por los proveedores de servicios de Internet - a excepción de las operaciones de vigilancia , por orden judicial o con permiso de los usuarios - parece que cuanta más información se obtiene almacenado , lo más probable es que los pantalones de la seguridad se ocurrir . Una herramienta de análisis forense controversial red o NFAT , por ejemplo, es carnívoro , dirigida por el FBI .