El Forense de redes trata con los diversos tipos de datos encontrados a través de las conexiones de redes, principalmente relacionado con el tráfico saliente y el tráfico entrante. El Forense de Redes intenta analizar los datos del tráfico registrado a través de los más diversos y variados tipos de dispositivos como cortafuegos (firewalls) y Sistemas para la Detección de Intrusión (Intrusion Detection System - IDS), o también en dispositivos de red como encaminadores (routers) o conmutadores (switches), entre otros.

El Forense de Redes se define como; “uso de técnicas probadas científicamente para recolectar, fusionar, identificar, examinar, correlacionar, analizar, y documentar evidencia digital desde múltiples, activamente procesadas y transmitidas fuentes digitales, con el propósito de descubrir hechos relacionados con intención planificada, o medición exitosa de actividades no autorizadas, destinadas a interrumpir, corromper, y o comprometer componentes del sistema, como también proporcionar información para ayudar en responder o recuperarse desde estas actividades”.

También se define el forense de redes como; “capturar, registrar, y analizar eventos de red, para descubrir la fuente de ataques de seguridad, u otros incidentes problemáticos”.

El Forense de Redes comprende la vigilancia del tráfico de red, y determinar si existe una anomalía en el tráfico, para determinar si este indica un ataque. Si un ataque es detectado, a continuación se determina también la naturaleza del ataque. Las técnicas del Forense de Redes proporcionan poder a los investigadores para rastrear a los atacantes. El objetivo supremo es proporciona suficiente evidencia para permitir el perpetrador sea procesado legalmente.

Fuentes:

https://www.forensicswiki.org/wiki/Network_forensics
https://en.wikipedia.org/wiki/Network_forensics