Los sistemas forenses para redes son clasificados en diferentes tipos, basados en diversas características.

Propósito: El Forense General de Red (GNF) se enfoca en mejorar la seguridad. Los datos del tráfico de red son analizados, y los patrones de ataque son descubiertos. El Forense Estricto de Red (SNF) involucra requerimientos legales rígidos, pues los resultados obtenidos serán utilizados como evidencia, para persecución de crímenes de red.

Captura de Paquetes: Sistemas “Atrapalo como puedas” capturan todos los paquetes transitando a través de un punto de tráfico particular, y subsecuentemente los analiza, requiriendo grandes capacidades de almacenamiento. Sistemas “Pare de mirar y escuche” analizan cada paquete en memoria, y únicamente cierta información es guardada para un análisis futuro, requiriendo un procesador más rápido.

Plataforma: El sistema Forense de Red puede ser un appliance de hardware con un software previamente instalado. Este puede capturar datos, analizarlos, y presentar los resultados sobre una interfaz de cómputo. También puede ser un software autónomo, el cual puede ser instalado en un host. Analiza capturas de paquetes o registros NetFlow, los cuales son copiados y almacenados en un host.

Tiempo de Análisis: Los appliances comerciales para el análisis forense de redes, involucran vigilancia de red en tiempo real, detección de anomalías basada en firmas, análisis de datos, e investigación forense. Muchas herramientas de software open source están diseñadas para una investigación “post-mortem” de los paquetes capturados. Los datos completos del paquete son capturados por las herramientas “sniffer”, almacenadas en un host, y analizados fuera de línea posteriormente.

Fuente de Datos: Sistemas basados en flujo recolectan información estadística basado en algún criterio dentro del tráfico de red, conforme pasa a través de la red. El equipo de red recolecta estos datos y los envía hacia un recolector de flujo, el cual almacena y analiza los datos. Los sistemas basados en paquetes involucran capturas completas de paquetes en varios puntos de la red. Estos paquetes son recolectados y almacenados para una inspección profunda.

Fuentes:

https://www.forensicswiki.org/wiki/Tools:Network_Forensics
https://www.usenix.org/node/194945