Taggat med: spela in nätverkstrafik

PCAP – Or it didn’t happend

Jag fick denna T-shirt av Erik på Netresec som bl.a. gör Network Miner och CapLoader. Du kan köpa den direkt från Netresec eller under konferensen 4SICS som går av stapeln imorgon.

PCAP or it didn't happend

Och vad menas med texten som står på t-shirten kanske du undrar? Jo, det är så att PCAP står för packet capture och är ett filformat för inspelad nätverkstrafik. För oss som jobbar med IT-säkerhet så är inspelad nätverkstrafik A och O när det gäller IT-forensiska undersökningar och analys av skadlig kod exempelvis.

Du kan läsa mer om inspelning av nätverkstrafik här.

Inspelning av nätverkstrafik (trafikinspelning)

TrafikinspelningVi har tidigare belyst vikten av att spela in rå nätverkstrafik för att möjliggöra och underlätta eventuella undersökningar av dataintrång eller försök till detta. Detta har speciellt varit på tapeten efter offentliggörandet av sårbarheten vid namn Heartbleed.

Om trafikinspelning används så skulle det vara möjligt att till viss del se om ett TLS heartbeat-paket skickats.

Det kan även vara en fördel att kryptera de råa filerna så att en enskild individ ej kan nyttja nätverkstrafiken (dubbelhandsfattning). Denna metod kallas även ibland för FPC (Full Packet Capture).

Teknisk lösning för trafikinspelning

Det finns flera sätt att lösa detta rent tekniskt. Ett sätt är att använda sig av dumpcap som en ringbuffer där man kan ställa in att exempelvis nyttja X antal GB spritt över X antal filer.

Se framförallt till att det finns tillräckligt med utrymme på hårddisken. Med fördel bör även utrustningen för trafikinspelning placeras på ett sådant sätt att maximalt med trafik ses, exempelvis vid en perimeter i nätverket eller vid centrala noder.

För att spela in nätverkstrafik 7 dagar oavsett hur mycket hårddisk som nyttjas skriver man följande kommando:

$ sudo dumpcap -i en0 -b duration:3600 -b files:168 -w packets.cap

En mer rekommenderad variant är att nyttja maximalt med tillgängligt diskutrymme och göra enligt följande om vi har 11 GB ledigt diskutrymme på filsystemet /pcap

$ sudo dumpcap -i en0 -b filsize:1048576 -b files:10 -w /pcap/packets.cap

Se även till att paketdumparna ligger på ett eget filsystem för att förhindra att diskutrymme tas upp av något annat i operativsystemet.

Nätverkstappar

IPACU3_SMFör att erhålla möjligghet att spegla av nätverkstrafik så kan man välja ett antal olika lösningar. Ett populärt sätt är att använda sig av en såkallad nätverkstapp. Det finns många olika nätverkstappar i olika priskategorier.

Det man bör titta efter är en med hög driftsäkerhet såsom dubbla nätverksaggregat samt som fungerar även vid strömbortfall. Även är aggregering en önskvärd funktion för att få RX samt TX via en enda kabel.

Netoptics har ett stort utbud av nätverkstappar men är rätt dyra, vill man ha en lite billigare variant så säljer Direktronik EasyTap som kostar runt 3000 SEK.

Även så går det att nyttja en såkallad span-port mirroring på många av dagens switchar:

Span port mirroring

Vidare läsning

daemonlogger_full_smKolla även in OpenFPC som använder sig av daemonlogger. Daemonlogger är utvecklad av Marty Roesch som även är grundaren till Snort.

Även så har nu Google utvecklat en mjukvara vid namn Stenographer som sparar ner stora mängder datatrafik till disk: https://github.com/google/stenographer