El forense de redes abarca el análisis de los rastros y registros de los datos relacionados con incidentes de red, capturados a través de la infraestructura de red, y proporciona información útil para obtener las características o comportamiento de un incidente. Los datos recolectados actúan como evidencia para una respuesta de incidentes e investigación del mismo. El forense de redes no bloquea los incidentes en las redes, recolecta tanta evidencia como sea posible sobre estos. La vigilancia y análisis de los datos desde los sistemas en funcionamiento y redes, se convertirá en algo esencial para las fuerzas legales. Lo cibercriminales pueden ser castigados por su accionar, lo cual proporciona un elemento disuasorio para los crímenes cibernéticos. El poder de las diversas herramientas de seguridad de red y herramientas disponibles para el análisis forense, como aquellas de fuente abierta, pueden ser integradas para el investigador tenga más ventajas sobre un atacante.

El desafío del forense de redes es identificar exitosamente eventos de la red, y seleccionar un conjunto mínimo representativo el cual podría potencialmente ser evidencia para una diversidad de cibercrimenes. Las diversas herramientas de seguridad y forenses, recolectan datos sobre diferentes atributos y características de protocolos, además de registrarlo en diferentes formatos. Los diversos atributos siendo inadecuadamente utilizados en la capa de red y transporte, pueden ser identificados y analizados. La información recolectada en varios formatos pueden ser fusionados en un único archivos, y luego ser analizados por información potencial de evidencia. Es importante analizar las características y atributos de los diferentes protocolos de la suite TCP/IP, los cuales son manipulados por los atacantes para comprometer un sistema o red. Herramientas como TCPdump o Wireshark, son las principalmente utilizadas para recolectar paquetes IP, con la información del protocolo de transporte y aplicación.

Las herramientas de seguridad y vigilancia de red no, necesariamente están diseñadas para manejar investigaciones forenses, y la forma de alcanzar esto es capturar los paquetes completos de datos, y analizarlo con detalle. Existen dos maneras para capturar el tráfico de red. Los paquetes pueden ser capturados en archivos libpcap (.pcap). La segunda es datos “Netflow”, recolectados desde routers o switches. Estas capturas ayudan a los investigadores a entender como es el ataque, quien está detrás del ataque, cuando fue ejecutado, desde donde el atacante ingreso hacia la red, y como se comprometió las defensas de la red.

Así como existe el formato para la captura de paquetes, “pcap”, y la librería libpcap, sobre el cual se construye el formato del archivo pcap, también existe la siguiente generación del formato, denominado como “pcapng”.

Fuentes:

https://www.tcpdump.org/
https://www.wireshark.org/
https://wiki.wireshark.org/Development/LibpcapFileFormat
https://wiki.wireshark.org/Development/PcapNg
https://github.com/pcapng/pcapng/
https://en.wikipedia.org/wiki/NetFlow