...

BRIEF dociera do polskich firm i ich pracowników – do wszystkich tych, którzy poszukują inspiracji w biznesie i oczekują informacji o ludziach, trendach i ideach.

Skontaktuj się z nami

Analiza ruchu sieciowego

Monitorowanie danych przychodzących i wychodzących to zagadnienie budzące kontrowersje etyczne. Pozornie naruszająca swobodę i poszanowanie dla prywatności funkcjonalność może okazać się jednak użyteczna. Analiza informacji pomaga w wykryciu ataków, infekcji komputera, udowadnianiu przestępstw, jak i nadzorowaniu pracowników w celu zwiększenia efektywności pracy.

 

Przy monitorowaniu sieci brane pod uwagę są dwa aspekty analizy. Pierwsza z nich odbywa się pod kątem wydajności. W tym aspekcie ważnym jest określenie funkcjonowania sieci lokalnej, jak np. komunikacji i dostępu do Internetu. Możliwym jest badanie usług w konkretnych segmentach, czy choćby analiza ich przepustowości. W drugim przypadku monitorowanie dotyczy dostępu i bezpieczeństwa. Mowa tutaj o powiązaniu komponentów z konkretnymi usługami, w tym serwerami i łączem internetowym. Określanie ruchu w sieci, będące analizą treści, skierowane w stronę computer forensic jest jednak zgoła innym zagadnieniem. Jak wygląda ono w praktyce?

 

Monitorowanie ruchu polega na podłączeniu się do urządzenia TAP, które klonuje sygnał sieciowy adresowany do klienta, bądź sam węzeł kabla internetowego. Użytkownik nie jest w stanie zauważyć różnicy podczas codziennego korzystania z komputera. Jeśli mamy do czynienia np. z laptopem, urządzenie zewnętrzne nie jest nam potrzebne. Pracując w systemie Linux możemy uruchomić kartę Wi-Fi w trybie monitorowania (Windows nie posiada takiej funkcji, niezbędna w tym przypadku jest modyfikacja sterowników) – zaznaczają specjaliści informatyki śledczej z MiP Data Recovery.

 

Dla przykładu, National Security Agency analizuje ruch sieciowy sieci Internet, monitorując miliony użytkowników w czasie rzeczywistym. Informacje przechodzą przez serwery, które wyodrębniają treści na podstawie filtrów, jakimi są np. słowa kluczowe. Chcąc dotrzeć do konkretnego użytkownika, należy dostać się do podsieci, do której należy. Pierwszym krokiem, jest jednak identyfikacja operatora.

 

Polskie służby policyjne zaopatrzone były do niedawna w system Moniuszko, izraelski program mający początkowo spełniać rolę narzędzia monitorującego ruch sieciowy. W rezultacie stał się on systemem podsłuchowym ograniczającym się jedynie do rozmów telefonicznych. W tym momencie jednostki sięgają po rodzimy program Harnaś.

 

Funkcje programów monitorujących można sprowadzić do zapisu ruchu sieciowego, monitorowania aktywności na portach switch i stanu usług systemu, analizy przepływających pakietów, obsługiwania wiadomości syslog, czy pułapek SNMP. Kontrolują one sieć IP poprzez badanie pakietów przepływających informacji, zarówno tych wychodzących, jak i przychodzących. Przechowują i eksportują pliki i certyfikaty pojawiające się w sieci, dzięki czemu mają możliwość wygenerowania różnego rodzaju dokumentów.

 

Firmy wykupujące tego typu programy, konfigurują system w taki sposób, aby po skopiowaniu danych, bądź wejściu na wyznaczone strony, administrator sieci otrzymywał alert. Zapobiegają tym samym przechwytywaniu niekodowanych treści. MiP Data Recovery zauważa, że dwa wiodące portale informacyjne w Polsce (Wirtualna Polska i Onet) swojego czasu nie szyfrowały wiadomości e-mail. Przejęcie tych treści nie stanowiło problemu. Zapobiec temu można było wyłącznie dzięki wybraniu konkretnych opcji w ustawieniach. Co ciekawe, nadal szyfrowane jest jedynie hasło. Login ma charakter otwarty.

 

Znanym i powszechnie używanym reprezentantem programu monitorującego jest Wireshark. Jest on narzędziem mniej zautomatyzowanym niż rozwiązania komercyjne. Dekodowanie informacji pojawiających się w panelu wymaga wiedzy i profesjonalizmu. Nie oznacza to, że nie jest pomocny. W sieci roi się od poradników z zakresu jego obsługi.

 

Przykładowe funkcje programu:

1. Filtr „http” zebranych pakietów.

 

2. Filtr pakietu po porcie 80 protokołu tcp (działającym w trybie klient-serwer) 

 

3. Dostępne sieci wlan. Czynność poprzedzającą monitorowanie. Niezbędna do wykrycia słabych zabezpieczeń. Uwidacznia m.in. parametr BSSID.

 

4. Moment zapisu ruchu sieci (Monster) 

 

5. Przykład filtrowania ruchu na podstawie przechwyconych zdjęć. 

 


 

 

 

© lculig – Zobacz portfolio

 

Brief.pl - jedno z najważniejszych polskich mediów z obszaru marketingu, biznesu i nowych technologii. Wydawca Brief.pl, organizator Rankingu 50 Kreatywnych Ludzi w Biznesie.

BRIEF