网络取证笔记(4)—网络设备和服务器

发布于 2022-03-11  39 次阅读


日志来源

服务器与操作系统日志

应用日志:数据库,DNS,网站

网络设备日志:交换机,路由器,防火墙等

物理设备:照相机,控制访问系统等

操作系统日志

登陆注销/执行特权指令/系统启动关闭/服务活动/错误

Windows日志

系统日志

记录操作系统组件产生的事件,主要包括驱动程序、系统组件,、应用软件崩溃和数据丢失错误。

默认日志位置

%SystemRoot%\System32\Winevt\Log\System.evtx

应用程序日志

包含应用程序或系统程序记录的事件

默认日志位置

%SystemRoot%System32\Winevt\Logs\Application.evtx

安全日志

记录系统安全审计事件,登陆日志,对象访问日志,进程追踪,特权使用,账号管理,策略变更,系统事件

默认日志位置

%SystemRoot%\System32\WInevt\Logs\Secuity.evtx

Linux事件日志

Syslog

/var/log

syslog是用于在IP网络中传输事件通知的一个C/S协议。默认情况下,syslog服务是在本地运行的,并允许系统管理员配置本地操作系统和应用程序数据的日志,配置文件同位于/etc/Syslog.conf,不加密。远程日志 ,syslog的默认端口UDP 514。

日志一般都会发送到各自特定的模块,完全由管理员定制,local0-7保留私有定制,常见syslog模块:auth,authpriv,cron,daemon,ftp...

优先级:debug(包含情报的信息,调试程序时使用),info(情报信息),notice(非报错,待处理),warning(警告),err(错误)/error,crit(重要情况)/panic

syslog-ng

syslog附加了传输加密(TLS),能通过加密信道发送信息到syslog-ng服务器。可配置为TCP传输。

配置位于/etc/syslog-ng/syslog-ng.conf

消息路由由源(文件,UDP端口,TCP端口),目标(写入),过滤器(指定一组将被记录的模块和端口),创建日志语句

Rsyslogd

支持IPv6,TCP传输,TLS/SSL用作加密传输,向前兼容,精确时间戳

应用日志

详见各应用

物理设备日志

摄像头日志:Zoneminder

UPS日志:Apcupsd

网络设备日志

日志记录架构:本地,远程分散,集中化。

日志聚合和分析工具

终端:SNARE。

中央聚合和分析软件:Splunk(日志检测),DAD(分布式日志聚合数据分析),MARS(思科检测分析响应系统)

收集和分析证据

收集

物理连接(SATA),手工远程(SSH ,RDP),中央日志聚合

分析

思路e.g: 检查登陆尝试日志(是否存在爆破)

检查特权身份使用

检查身份验证日志是否有篡改

检查防火墙日志,内网情况


交换机、路由器、防火墙

交换机

2/3层设备

管理级交换机:支持VLANs,访问控制,ARP缓存,端口镜像,命令行模式,SNMP,web接口

交换机证据:转发前的数据包,CAM表,ARP表等等

路由器

3层设备

证据:路由表,转发前数据包,ARP表,DHCP日志,访问控制等等

防火墙

分类:

数据包过滤:规则包括源地址和目的地址(3层)和tcp端口、标志(4层协议头)。

会话层代理:通过状态决定是否代表终端与对方建立连接。源和目的之间通过代理连接,不直接连接,提供TLS/SSL

应用层代理

企业级防火墙通常有IDS,NAT,DHCP,VPN隧道,负载均衡等等

证据:接口配置,ACLs和其他防火墙规则,隧道及状态,路由表和ARP缓存,数据包,历史命令,访问日志等。


Web 代理

分类:缓存代理(储存页面),内容过滤(检查web流量),TLS/SSL代理(会话层拦截Web流量),匿名代理,反向代理(内容检查,过滤入内部站的请求)

证据类型

所有HTTP/s流量和历史记录(内存和硬盘中缓存、登陆web网站的身份验证信息)、被阻止的Web访问、用户活动报告、web代理配置文件。

获取证据

储存在Web代理服务器或日志服务器中的日志文件。

web代理服务器的web缓存

squid分析工具

TLS(传输层安全)

TLS改进自SSL,设计成位于传输层顶部,如TCP,向更高层的应用提供加密安全,在CS传输中提供机密性和完整性保护

web服务器会把数字签名过的证书发送给客户端,客户端会用可信的CA证书去验证Web服务器的身份,使用与证书验证者对应的公钥检查数字签名。


网络隧道

IPsec

网际安全协议,为实现虚拟私有网络。提供节点间的相互认证,保证信息的完整性和机密性。

IPsec中有三个主要协议用来建立“安全关联”。IKE网际密钥交换用与生成和在终端间传递密钥,AH认证包头提供节点之间的认证与IP包头中完整性验证,ESP封装安全载荷提供数据包的机密性。

通常遇到VPN的流量会被IPsec封装。

工作模式

隧道模式:原始IP包会被封装在新的IP包里,填新的IP头。原IP包被完整加密

传输模式:原始IP包的头部和载荷分析。新IP包的载荷由原来的载荷和插入的IPsec头组成。原载荷被AH和ESP保护。原IP头保留到包的最前端,一些字段会被修改。

隧道模式的初始化通过500端口完成,传输通过50、51端口,通过第三层传输。传输模式通过UDP 4500端口传输

IPSec用于第三层终端加密,TLS用于第五层加密。OpenVPN基于TLS/SSL,IP包封装在会话层的TLS端。也就是说,分析TLS数据可以在会话层找到加密数据,可以找到源IP和目的IP。IPsec则在第三层找到数据可能更少

隐藏隧道

TCP序列号

使用32位长的TCP序列号构造隐藏隧道。通过数据加密,将数据32位一份,当作初始序列号镶嵌在TCP SYN包里。通过控制SYN/ACK响应包,达到构造双工信道

DNS隧道

DNS协议中含有理想字段:NULL,YXY,MX,SRV。最不常用的就是NULL字段。通过检查NULL字段和异常DNS请求和响应判定是否有DNS隧道

ICMP隧道

用于故障检修。出现在IP数据包,协议号1,在IPv4的协议字段中。

type 3 code 0表示目标站点不可达,网络不可达。type3code13表明目标站点不可达,通信被强制禁止。type11code0表示超时,TTL传输超时。type11code1表示片段重组超时。此时,载荷会包含IP头部,引发ICMP故障响应的第四层协议数据包的头部来告知故障原因。

type8(echo请求)和type0(echo响应)一般用于构造隐藏隧道。type8通常不会被防火墙拦截,type0被允许进入内网。此时的数据包包含type,code,校验和,一个标识符,一个请求或响应的序列号,还允许附上任意大小的任意数据。当然不能超过IP包的最大长度。

通常ICMP包过大才会被拦截


间桐桜のお菓子屋さん