Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2023:raid_forenzika [2024/01/15 21:21]
mfain [Literatura] 		racfor_wiki:seminari2023:raid_forenzika [2024/12/05 12:24] (trenutno)
Redak 4: Redak 4:
 ===== Sažetak ===== ===== Sažetak =====
  
-RAID...+Redundantno polje nezavisnih tvrdih diskova, RAID (eng//Redundant Array of Independent Disks//), je tehnologija koja pruža zaštitu podataka u slučaju neispravnosti tvrdog diskaPostoji više razina RAID-ova koji se razlikuju po konfiguracijama i značajkama koje nude. Sve razine RAID-ova osim RAID-0 razine, koja je ujedno i najosnovnija razina, pružaju mogućnost redundancije. Redundancija omogućava potpuni oporavak podataka u slučaju neispravnosti tvrdog diska. Pri forenzičkoj analizi RAID-a, potrebno je snimiti sliku sustava po kojoj se provodi istraga. Moguće je snimiti sliku kompletnog RAID-a ili snimati zasebne slike svakog tvrdog diska koji predstavlja dio cjeline te potom napraviti rekonstrukciju RAID-a. Za ponovno sastavljanje RAID-a potrebno je saznati parametre koji čine njegovu konfiguraciju, za što se koriste razne metode i alati
  
 Ključne riječi: RAID; redundancija; tvrdi disk; striping; blokovi podataka; Ključne riječi: RAID; redundancija; tvrdi disk; striping; blokovi podataka;
Redak 11: Redak 11:
 ===== Uvod ===== ===== Uvod =====
  
-RAID, redundantno polje nezavisnih diskova, je tehnologija koja služi za povećanje sigurnosti podataka i brzine protoka podataka.  +U današnje vrijeme u kojem dominiraju digitalni podaci, jedna od glavnih briga je pouzdanost i sigurnost sustava koji se koriste za njihovu pohranu. RAID, redundantno polje nezavisnih tvrdih diskova, je tehnologija koja nudi povećani kapacitet za pohranu podataka, toleranciju na greške te brzinu protoka podataka. Ovisno o razini RAID-a, odnosno njegovoj konfiguraciji, nude se različite prednosti korištenja sustava. Dok RAID konfiguracije pružaju zaštitu od zatajenja tvrdih diskova, također postavljaju izazove digitalnim forenzičarima koji pokušavaju otkriti, analizirati i sačuvati podatke sadržane u njima. Cilj ovog seminara je opisati RAID tehnologiju, najčešće korištene RAID razine, njihove prednosti i mane te opisati moguće forenzičke postupke u kontekstu RAID tehnologije.
  
 ===== Definicija RAID-a ===== ===== Definicija RAID-a =====
Redak 31: Redak 30:
   * programska podrška (softverski RAID) - RAID-om upravljaju posebne aplikacije namijenjene za RAID [2]   * programska podrška (softverski RAID) - RAID-om upravljaju posebne aplikacije namijenjene za RAID [2]
  
-RAID sustavi imaju tzv. RAID kontroler koji obavlja operacije čitanja i pisanja (eng. //read/write operations//) na tvrdim diskovima na način koji uzima u obzir redundanciju. S pomoću tog kontrolera RAID sustavi operiraju kao jedna logička cjelina. Ideja RAID sustava je postići redundanciju koja osigurava dodatnu sigurnost od zatajenja hardvera i poboljšava I/O (eng. //Input/Output//) performanse, odnosno performanse operacija čitanja i pisanja. Redundancija omogućava da se sadržaj neispravnog tvrdog diska u potpunosti povrati bez gubitka podataka. Ostvarenje redundancije u poljima diskova sa sobom povlači problem odabiranja metode računanja redundantnih informacija. Za taj problem većina RAID-a koristi paritet, dok neki koriste Hammingov ili Reed-Solomonov kod. Paritet izračunava blok podataka koji nedostaje kako bi se spriječio gubitak podataka u slučaju neispravnog diska koristeći XOR operaciju. Ovisno o tipu (razini) RAID-a koji se koristi, a koji će biti objašnjeni u sljedećem poglavlju, postupak spašavanja podataka razlikuje se po kompleksnosti i toleranciji na pogreške. [2]+RAID sustavi imaju tzv. RAID kontroler koji obavlja operacije čitanja i pisanja (eng. //read/write operations//) na tvrdim diskovima na način koji uzima u obzir redundanciju. S pomoću tog kontrolera RAID sustavi operiraju kao jedna logička cjelina. Ideja RAID sustava je postići redundanciju koja osigurava dodatnu sigurnost od zatajenja hardvera i poboljšava I/O (eng. //Input/Output//) performanse, odnosno performanse operacija čitanja i pisanja. Redundancija omogućava da se sadržaj neispravnog tvrdog diska u potpunosti povrati bez gubitka podataka. Ostvarenje redundancije u poljima diskova sa sobom povlači problem odabiranja metode računanja redundantnih informacija. Za taj problem većina RAID-a koristi paritet, dok neki koriste Hammingov ili Reed-Solomonov kod. Paritet izračunava blok podataka koji nedostaje kako bi se spriječio gubitak podataka u slučaju neispravnog diska koristeći XOR operaciju. Ovisno o tipu (razini) RAID-a koji se koristi, a koji će biti objašnjeni u sljedećem poglavlju, postupak spašavanja podataka razlikuje se po kompleksnosti i toleranciji na pogreške. [3]
  
  
Redak 40: Redak 39:
  
  
-RAID tehnologije razlikuju se po razinama rada i načinima spajanja diskova. Svaka RAID razina zahtjeva određen minimalan broj diskova za spajanje, od samo dva pa sve do minimalno četiri diska.[3]+RAID tehnologije razlikuju se po razinama rada i načinima spajanja diskova. Svaka RAID razina zahtjeva određen minimalan broj diskova za spajanje, od samo dva pa sve do minimalno četiri diska.[4]
  
-Većina RAID razina koriste „//striping//” na svakom od pojedinih tvrdih diskova da bi poboljšali performanse operacija čitanja i pisanja. Proces zvan „//striping//” obuhvaća ravnopravnu distribuciju podataka na više diskova da bi se činilo kao da oni tvore jedan brz i velik disk. Podaci se distribuiraju u obliku blokova zvanih „//stripes//” odakle i naziv samog procesa potječe. Ovaj proces poboljšava agregirane I/O performanse na način da dopušta više performansi da se poslužuju istovremeno, odnosno omogućava paralelno posluživanje više I/O operacija. [4]+Većina RAID razina koriste „//striping//” na svakom od pojedinih tvrdih diskova da bi poboljšali performanse operacija čitanja i pisanja. Proces zvan „//striping//” obuhvaća ravnopravnu distribuciju podataka na više diskova da bi se činilo kao da oni tvore jedan brz i velik disk. Podaci se distribuiraju u obliku blokova zvanih „//stripes//” odakle i naziv samog procesa potječe. Ovaj proces poboljšava agregirane I/O performanse na način da dopušta više performansi da se poslužuju istovremeno, odnosno omogućava paralelno posluživanje više I/O operacija. [5]
  
 Ovisno o RAID kontroleru, odabiru se različite veličine blokova podataka („//stripe//”-ova). Najmanja moguća veličina bloka je upravo veličina sektora tvrdog diska koja iznosi 512 bajtova, a najveća moguća veličina bloka nije definirana. Ovisno o RAID kontroleru, odabiru se različite veličine blokova podataka („//stripe//”-ova). Najmanja moguća veličina bloka je upravo veličina sektora tvrdog diska koja iznosi 512 bajtova, a najveća moguća veličina bloka nije definirana.
Redak 56: Redak 55:
 RAID-0 je najosnovniji primjer procesa „//striping//” gdje tzv. „//stripe map//” opisuje linearizaciju blokova podataka kroz sve uređaje, što je prikazano slikom 1.  RAID-0 je najosnovniji primjer procesa „//striping//” gdje tzv. „//stripe map//” opisuje linearizaciju blokova podataka kroz sve uređaje, što je prikazano slikom 1. 
  
-{{ :racfor_wiki:seminari2023:raid0.jpg?600 |Slika 1: Primjer distribucije blokova podataka RAID-0 sustava s četiri diska [2]}}+{{ :racfor_wiki:seminari2023:raid0.jpg?600 |Slika 1: Primjer distribucije blokova podataka RAID-0 sustava s četiri diska [3]}}
  
                Slika 1: Primjer distribucije blokova podataka RAID-0                 Slika 1: Primjer distribucije blokova podataka RAID-0 
-                           sustava s četiri diska [2]+                           sustava s četiri diska [3]
  
  
Redak 71: Redak 70:
  
  
-Izuzev RAID-0 i RAID-1 razina, sve ostale RAID razine podržavaju redundanciju kroz bitove pariteta koji su najčešće ostvareni koristeći XOR operaciju na razini bitova. Trenutno najraširenija i široko prihvaćena kao jedna od sigurnijih konfiguracija je RAID-5 konfiguracija. RAID-5 zahtijeva najmanje tri diska, a zbog mogućnosti pristupa podacima s više diskova nudi brzinu kao jednu od prednosti. Također omogućuje i veliku pouzdanost jer može nastaviti s radom uz kvar jednog od diskova bez da se dogodi gubitak podataka. [1] RAID-5 distribuira paritet jednoliko kroz sve diskove što donosi prednosti zato što se ujedno i podaci distribuiraju kroz sve diskove, a ne kroz sve osim jednog. Ovakav način rada dopušta svim diskovima da sudjeluju u posluživanju operacija čitanja, dok su u razinama koje prethode razini RAID-5, neki diskovi uvijek bili zaduženi samo za paritet. [4] RAID-5 se najčešće koristi za pohranu datoteka i za poslužitelje aplikacija.+Izuzev RAID-0 i RAID-1 razina, sve ostale RAID razine podržavaju redundanciju kroz bitove pariteta koji su najčešće ostvareni koristeći XOR operaciju na razini bitova. Trenutno najraširenija i široko prihvaćena kao jedna od sigurnijih konfiguracija je RAID-5 konfiguracija. RAID-5 zahtijeva najmanje tri diska, a zbog mogućnosti pristupa podacima s više diskova nudi brzinu kao jednu od prednosti. Također omogućuje i veliku pouzdanost jer može nastaviti s radom uz kvar jednog od diskova bez da se dogodi gubitak podataka. [1] RAID-5 distribuira paritet jednoliko kroz sve diskove što donosi prednosti zato što se ujedno i podaci distribuiraju kroz sve diskove, a ne kroz sve osim jednog. Ovakav način rada dopušta svim diskovima da sudjeluju u posluživanju operacija čitanja, dok su u razinama koje prethode razini RAID-5, neki diskovi uvijek bili zaduženi samo za paritet. [5] RAID-5 se najčešće koristi za pohranu datoteka i za poslužitelje aplikacija.
  
 Slikom 2 su usporedno prikazane razine RAID-0, RAID-1 i RAID-5 s kapacitetom od četiri diskova. Diskovi s više slojeva ukazuju da se „//striping//” proces (proces distribucije podataka) odvija na razini blokova, dok se kod razina poput RAID-2 i RAID-3 (koji nisu objašnjeni u sklopu ovog seminara) taj proces odvija na razini bitova. Osjenčani dijelovi diskova predstavljaju redundantne podatke.  Slikom 2 su usporedno prikazane razine RAID-0, RAID-1 i RAID-5 s kapacitetom od četiri diskova. Diskovi s više slojeva ukazuju da se „//striping//” proces (proces distribucije podataka) odvija na razini blokova, dok se kod razina poput RAID-2 i RAID-3 (koji nisu objašnjeni u sklopu ovog seminara) taj proces odvija na razini bitova. Osjenčani dijelovi diskova predstavljaju redundantne podatke. 
  
-{{:racfor_wiki:seminari2023:raid_types.png | Slika 2: Prikaz opisanih RAID razina s kapacitetom od 4 diskova [4]}}+{{:racfor_wiki:seminari2023:raid_types.png | Slika 2: Prikaz opisanih RAID razina s kapacitetom od 4 diskova [5]}}
  
-         Slika 2: Prikaz opisanih RAID razina s kapacitetom od 4 diskova [4]   +         Slika 2: Prikaz opisanih RAID razina s kapacitetom od 4 diskova [5]   
 ===== RAID akvizicija ===== ===== RAID akvizicija =====
  
Redak 93: Redak 92:
   * Je li moguće ugasiti sustav koji održava RAID? Mnoge organizacije si ne mogu priuštiti gašenje poslužitelja (eng. //server//) pa to u nekim slučajevima nije praktično rješenje.   * Je li moguće ugasiti sustav koji održava RAID? Mnoge organizacije si ne mogu priuštiti gašenje poslužitelja (eng. //server//) pa to u nekim slučajevima nije praktično rješenje.
  
-  * Trebaju li se komponente RAID-a snimiti zajedno ili pojedinačno? Snimanje pojedinačnih slika za svaki disk može biti potrebno zbog problema s upravljačkim programom (eng. //driver//) ili pohranom, ali može dovesti do komplikacija koje bi uslijedile kada dođe vrijeme za obraditi i ispitati slike. [5]+  * Trebaju li se komponente RAID-a snimiti zajedno ili pojedinačno? Snimanje pojedinačnih slika za svaki disk može biti potrebno zbog problema s upravljačkim programom (eng. //driver//) ili pohranom, ali može dovesti do komplikacija koje bi uslijedile kada dođe vrijeme za obraditi i ispitati slike. [6]
  
  
 U slučaju kada nije moguće ugasiti RAID poslužitelj, često se koriste //live// akvizicije u sustavu Windows. Ako postoji mogućnost korištenja administratorskih akreditiva, najbrži i najjednostavniji način za snimiti sliku dok poslužitelj radi je pokrenuti alate za snimanje slika po želji (npr. AccessData FTK Imager) s //thumb drive//-a. Nakon toga se slika može spremiti na formatirani disk za pohranu podataka (npr. NTFS) koji je spojen direktno na RAID sustav ili se slika može poslati preko mreže. Ako se disk spaja direktno na RAID, forenzičar treba pripaziti na izbor najbrže sabirnice. Pri mrežnom slanju slike brzina prijenosa može se ubrzati ako i RAID poslužitelj i računalo koje prima sliku imaju Gigabit Ethernet kartice. U slučaju kada nije moguće ugasiti RAID poslužitelj, često se koriste //live// akvizicije u sustavu Windows. Ako postoji mogućnost korištenja administratorskih akreditiva, najbrži i najjednostavniji način za snimiti sliku dok poslužitelj radi je pokrenuti alate za snimanje slika po želji (npr. AccessData FTK Imager) s //thumb drive//-a. Nakon toga se slika može spremiti na formatirani disk za pohranu podataka (npr. NTFS) koji je spojen direktno na RAID sustav ili se slika može poslati preko mreže. Ako se disk spaja direktno na RAID, forenzičar treba pripaziti na izbor najbrže sabirnice. Pri mrežnom slanju slike brzina prijenosa može se ubrzati ako i RAID poslužitelj i računalo koje prima sliku imaju Gigabit Ethernet kartice.
  
-U slučaju da se RAID sustav može ugasiti za snimanje slike, najlakša metoda za snimanje slike RAID hardvera je da se sustav //boot//-a s pomoću //boot// CD-a i da se slika spremi na vanjski disk povezan najbržom dostupnom sabirnicom. Kod ovakvog postupka snimanja slike, konfiguracijske podatke pruža RAID kontroler, a koji su potrebni da operacijski sustav pristupi RAID-u. Zbog toga je bitan odabir //boot// diska koji ima odgovarajuće //driver//-e za hardver RAID kontrolera. [5]+U slučaju da se RAID sustav može ugasiti za snimanje slike, najlakša metoda za snimanje slike RAID hardvera je da se sustav //boot//-a s pomoću //boot// CD-a i da se slika spremi na vanjski disk povezan najbržom dostupnom sabirnicom. Kod ovakvog postupka snimanja slike, konfiguracijske podatke pruža RAID kontroler, a koji su potrebni da operacijski sustav pristupi RAID-u. Zbog toga je bitan odabir //boot// diska koji ima odgovarajuće //driver//-e za hardver RAID kontrolera. [6]
  
 U oba prethodno spomenuta slučaja, postoji rizik da podatci neće ostati nepromijenjeni. Na primjer, pri korištenju CD-a postoji mogućnost da operacijski sustav napravi neke promjene tijekom rada na sustavu. Slika RAID-a koja nastaje u ovim slučajevima prikazana je slikom 3. U oba prethodno spomenuta slučaja, postoji rizik da podatci neće ostati nepromijenjeni. Na primjer, pri korištenju CD-a postoji mogućnost da operacijski sustav napravi neke promjene tijekom rada na sustavu. Slika RAID-a koja nastaje u ovim slučajevima prikazana je slikom 3.
  
  
-{{ :racfor_wiki:seminari2023:raid_image1.png?direct&600 | Slika 3: Jedinstvena slika RAID-a [6]}}+{{ :racfor_wiki:seminari2023:raid_image1.png?direct&600 | Slika 3: Jedinstvena slika RAID-a [7]}}
  
-                        Slika 3: Jedinstvena slika RAID-a [6]+                        Slika 3: Jedinstvena slika RAID-a [7]
  
 U nekim slučajevima, forenzičari će biti primorani snimiti odvojene slike za svaku od RAID komponenti, odnosno za svaki disk RAID-a te ih nakon toga logički presložiti prije početka forenzičke istrage. Prije snimanja zasebnih slika, forenzičar (ili osoba koja je prva na mjestu scene istrage) bi trebao zabilježiti sve podatke o konfiguraciji RAID-a prije gašenja sustava. Neke od informacija koje bi se trebale zabilježiti su npr. RAID tip (RAID-0, RAID-1, RAID-5, itd.), redoslijed diskova i veličina blokova podataka (eng. //stripe size//). Takve i slične informacije su od velike vrijednosti za rekonstrukciju RAID-a za njegovo ispitivanje. Ova metoda snimanja slike RAID-a prikazana je slikom 4. U nekim slučajevima, forenzičari će biti primorani snimiti odvojene slike za svaku od RAID komponenti, odnosno za svaki disk RAID-a te ih nakon toga logički presložiti prije početka forenzičke istrage. Prije snimanja zasebnih slika, forenzičar (ili osoba koja je prva na mjestu scene istrage) bi trebao zabilježiti sve podatke o konfiguraciji RAID-a prije gašenja sustava. Neke od informacija koje bi se trebale zabilježiti su npr. RAID tip (RAID-0, RAID-1, RAID-5, itd.), redoslijed diskova i veličina blokova podataka (eng. //stripe size//). Takve i slične informacije su od velike vrijednosti za rekonstrukciju RAID-a za njegovo ispitivanje. Ova metoda snimanja slike RAID-a prikazana je slikom 4.
  
-{{ :racfor_wiki:seminari2023:raid_image2.png?direct&600 | Slika 4: Zasebno snimanje slika svakog HDD-a i njihovo sastavljanje da bi se dobila cjelovita slika RAID-a [6]}}+{{ :racfor_wiki:seminari2023:raid_image2.png?direct&600 | Slika 4: Zasebno snimanje slika svakog HDD-a i njihovo sastavljanje da bi se dobila cjelovita slika RAID-a [7]}}
  
                    Slika 4: Zasebno snimanje slika svakog HDD-a i                     Slika 4: Zasebno snimanje slika svakog HDD-a i 
-           njihovo sastavljanje da bi se dobila cjelovita slika RAID-a [6]+           njihovo sastavljanje da bi se dobila cjelovita slika RAID-a [7]
  
 Prednost ove metode je što jedina osigurava integritet podataka i daje priliku za istraživanje svih područja tvrdog diska (RAID ne mora koristiti cijeli disk pa se na neiskorištenim područjima mogu kriti neki podatci). Mana je što je za sastavljanje polja diskova potrebno odrediti njegovu konfiguraciju koja ne mora biti unaprijed poznata.  Prednost ove metode je što jedina osigurava integritet podataka i daje priliku za istraživanje svih područja tvrdog diska (RAID ne mora koristiti cijeli disk pa se na neiskorištenim područjima mogu kriti neki podatci). Mana je što je za sastavljanje polja diskova potrebno odrediti njegovu konfiguraciju koja ne mora biti unaprijed poznata. 
Redak 119: Redak 118:
 ==== Sastavljanje RAID-ova ==== ==== Sastavljanje RAID-ova ====
  
-Da bi se RAID sastavio nakon snimanja zasebnih slika svakog tvrdog diska, potrebno je odrediti njegovu konfiguraciju. To znači da je potrebno odrediti [6]:+Da bi se RAID sastavio nakon snimanja zasebnih slika svakog tvrdog diska, potrebno je odrediti njegovu konfiguraciju. To znači da je potrebno odrediti [7]:
  
   * koji su diskovi korišteni za RAID (moguće je da postoji višak diskova koji se koriste za sustav, a moguć je i manjak diskova u slučaju da su neki diskovi bili pokvareni ili bačeni, a RAID još uvijek funkcionira zbog redundancije)   * koji su diskovi korišteni za RAID (moguće je da postoji višak diskova koji se koriste za sustav, a moguć je i manjak diskova u slučaju da su neki diskovi bili pokvareni ili bačeni, a RAID još uvijek funkcionira zbog redundancije)
Redak 131: Redak 130:
   * početni i završni LBA (Logical Block Addressing) korišten u RAID-u    * početni i završni LBA (Logical Block Addressing) korišten u RAID-u 
  
-Određivanje ovih parametara može biti problematično jer je broj mogućih konfiguracija velik i brzo raste s porastom broja diskova (kombinatorna eksplozija). +Određivanje ovih parametara može biti problematično jer je broj mogućih konfiguracija velik i brzo raste s porastom broja diskova u polju (kombinatorna eksplozija).  
 + 
 +Danas postoji mnogo tehnika i alata za sastavljanje RAID-ova i za određivanje parametara njihovih konfiguracija. Na primjer, u [3] korištene su heuristike zasnovane na računanju entropije za sastavljanje RAID-ova, odnosno za određivanje parametara konfiguracije poput lociranja granica „//stripe//”-ova. Po [6], jedan od najboljih alata za rekonstrukciju RAID-ova je [[https://www.runtime.org/raid.htm| RAID Reconstructor]] tvrtke Runtime Software. Također se spominje i Guidance Softwareov EnCase koji je sposoban obnavljati i softverske i hardverske verzije RAID-ova. 
 + 
  
-Danas postoji mnogo tehnika i alata za sastavljanje RAID-ova i za određivanje parametara njihovih konfiguracija. Na primjer, u [2] korištene su heuristike zasnovane na računanju entropije za sastavljanje RAID-ova, odnosno za određivanje parametara konfiguracije poput lociranja granica „//stripe//”-ova. Po [5], jedan od najboljih alata za rekonstrukciju RAID-ova je [[https://www.runtime.org/raid.htm| RAID Reconstructor]] tvrtke Runtime Software. Također se spominje i Guidance Softwareov EnCase koji je sposoban obnavljati i softverske i hardverske verzije RAID-ova. 
  
  
 ===== Zaključak ===== ===== Zaključak =====
 +
 +RAID konfiguracije koriste se u svrhu zaštite i mogućnosti oporavka podataka u slučaju neispravnosti tvrdog diska. Postoje različite razine RAID konfiguracija koje se razlikuju i po svojstvima uporabe, odnosno korisničkim potrebama i resursima. Općenite prednosti uporabe redundantnih polja diskova uključuju povećanje kapaciteta za pohranu podataka, mogućnost oporavka podataka nakon zatajenja tvrdog diska te poboljšane performanse operacija čitanja i pisanja podataka. Osim toga, koriste se i za forenzičku analizu digitalnih podataka. Glavni izazov koji slijedi prije same forenzičke analize podataka je sastavljanje RAID-a, odnosno određivanje parametara konfiguracije polja.
 +
  
  
racfor_wiki/seminari2023/raid_forenzika.1705353717.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0