Journal (Network Forensic)

Week 1

The things that were learned from the session: 

Definition and purpose of forensics networks. Basically, Network Forensics focuses on analyzing monitored network traffic. The purposes are to detect/prevent intrusion, to collect information, and to collect legal evidence.

Some of the differences between forensics on computers and networks. The first difference is that data usually changes continuously when dealing with network forensics cases. 

In computer forensics, this isn’t the case. 

In addition, the data is usually stored in volatile memory such as RAM in network forensics, making it hard to acquire evidence. Finally, the seizure of network devices may prove problematic for an organization, as it may also affect other devices. On the contrary, in computer forensics, taking a computer doesn’t really mean that a company is negatively affected.

The two types of investigative methods used. The first is OSCAR and the second is TAARA. OSCAR stands for obtaining information, strategizing, gathering evidence, analyzing, and, finally, reporting, while TAARA stands for the trigger, acquisition, analysis, reporting, and action.

Week 2

Network proof sources include switches, routers, DHCP servers, DNS servers, authentication servers, etc. 

The switch and router are used in the second and third OSI layers, respectively. 

Evidence that one can obtain from the switches is the MAC address of the device. 

In the case of the router, the source IP addresses and port numbers can be obtained as the router itself. 

The centralized log server is a server that stores traffic from various devices on the network. The traffic is then transmitted to the SIEM to be analyzed.

Week 4

What’s a flow analysis? The term “flow” itself refers to a sequence of packets transmitted from the source to the destination. 

Flow analysis is therefore performed to determine patterns in the packet or traffic sequence, to isolate suspicious activity, 

to analyze higher layer protocols, and to extract data. 
What’s unicast, anycast, and multicast? 

Unicast refers to the transfer of packets from one source to the destination. 

An example could be a person watching a video on Youtube. 

Anycast is when an IP “exists” in a number of locations. 

It is also referred to as the global IP. For example, if someone accesses Google in Europe, they will be directed to the nearest Google server. 

Multicast occurs when data is transmitted to multiple devices. An example would be a radio station that would broadcast its signals so that people could hear the radio.

 
The difference between broadcasts and multicast. 

The concepts of broadcast and multicast are similar in that packets are transferred to multiple destinations. 

However, services are only provided to subscribers when broadcast. 

Week 7

FM/AM radio and the differences between them. FM and AM stand for frequency modulation and amplitude modulation, respectively. 

Although the range of AM is high, it has low power. The opposite is true for FM. 

Difference between CSMA/CD and CSMA/CA. 

In CSMA/CD, the Ethernet medium can only be used by one computer at a time.

If another computer (let’s say computer B) wants to communicate with another device, it needs to wait for the ethernet medium to be unused. 

In CSMA/CA, the computer that wishes to communicate using the occupied Ethernet medium will be informed that the medium is currently unavailable.

Week 10

  • Examples of storage media include ROM, NVRAM, DRAM, CAM, Hard Drive. 
  • The switching function is to map MAC addresses to switch ports. It can also be used to locate the physical location of the MACs. The switch is equipped with a CAM and an ARP table. 
  • CAM table: is used to store MAC addresses available on physical ports along with their corresponding VLAN parameters. Maps mac addresses to physical switch ports and also helps identify attackers who are trying to sniff local traffic. Last but not least, although it has a fast speed, its memory is volatile. 
  • ARP table: stores information about each MAC address and its corresponding IP address.

Firewall is a network security device that monitors traffic in and out of the network. It has the ability to filter traffic based on a defined set of safety rules. Firewall logs contain valuable information such as connection attempts, protocols, applications, etc. Firewall evidence may be volatile (e.g. command history), persistent (Access logs, DHCP logs, etc.), and remote (usual logs).

Week 11

A web proxy is a gateway between us and the Internet. It offers a high level of privacy as it is capable of providing anonymity. 

Other major web proxy features include caching, URI filtering, content filtering, and distributed caching. 
There are three types of web proxies: forward, reverse, and tunnel proxy. 
Forward proxy: is a type of proxy that provides services to a client or a group of clients. 

It hides the client’s identities. It processes all outbound web requests from within.