Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
INSTITUTO POLITÉCNICO NACIONAL ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA SECCIÓN DE ESTUDIOS DE POSGRADO E INVESTIGACIÓN RECOMENDACIONES PARA ANÁLISIS FORENSE EN RED. Trabajo que para obtener el grado de Especialista en Seguridad Informática y Tecnologías de la Información P R E S E N T A ING. ADOLFO JULIÁN PACHECO GUTIÉRREZ Asesor: M. EN C. MARCOS A. ROSALES GARCÍA. M. EN C. ELEAZAR AGUIRRE ANAYA México, D.F., Octubre 2009 II III IV Í N D I C E G E N E R A L . CARTA DE REVISIÓN DE TESINA……………………..……………….. II CARTA DE CESIÓN DE DERECHOS…………………..………………. III ÍNDICE DE FIGURAS Y TABLAS…………………………...…………… VI RESUMEN………………………………………………............................ VII ABSTRACT……………………………………………………….………… VIII CAPÍTULO I MARCO DE REFERENCIA. 1.1. Antecedentes………………………….…………………………....... 1 1.2. Justificación…….……………………………………………….…….. 2 1.3. Planteamiento del problema………………………………………… 3 1.4. Objetivos…..…………………………………………………………... 3 CAPÍTULO II PRINCIPIOS DE LA INFORMÁTICA FORENSE. 2.1. Informática forense………..….……………………………………… 5 2.1.1. Evidencia digital…………………………………………....… 6 2.1.2. Delito informático..………………………………..………..… 7 2.2. Metodología de análisis forense informático……………...….….… 10 2.2.1. Departamento de Justicia de E.U.A………………………… 10 2.2.2. Metodología NIST…..………………………………………… 11 2.2.3. Metodología propuesta de análisis forense en Red………. 12 2.3. Informática forense en redes de computo…………………………. 13 2.3.1. Fases de un ataque informático..…..…………………....… 14 2.3.2. Herramientas de ataques en redes de computo.……....… 15 2.3.3. Recolección de información de la red.………….……....… 15 2.3.4. Escaneo de vulnerabilidades…………………..………..… 17 V CAPÍTULO III INFRAESTRUCTURA DE RED 3.1. Arquitectura general de la red…………….…………..……………. 19 3.2. Hardware dentro de la red………….……………………………….. 23 3.2.1. Firewall…………………………………………………………. 23 3.2.2. Router.…………………………………………………………. 24 3.2.3. Switches….……………………………………………………. 24 3.3. Software dentro de la red…………..…..…………………………… 25 3.3.1. Sniffers…………………………………………………………. 25 3.3.2. Sistema de Detección de Intrusos.…………………………. 26 3.4. Software de análisis…..……………………….……..…..………….. 28 3.4.1. OSSIM..………………………………………………………… 31 3.5. Monitoreo y captura de tráfico.…………………....………………... 32 3.6. Escaneo de red…….....…………………………..………………….. 34 3.7. Análisis de registros.....………………...……….……….…………... 35 CAPÍTULO IV HERRAMIENTAS DE ANÁLISIS FORENSE EN REDES DE COMPUTO 4.1. Herramientas de servicios de red……………………………...……. 36 4.2. Herramientas de reconstrucción de actividad en Internet.............. 45 4.3. Herramientas para análisis de redes de computo..……..……...…. 52 4.3.1. Herramientas de reconocimiento de red……………………. 57 4.4. Otras Herramientas indispensables..…………………………...….. 58 CAPÍTULO V RECOMENDACIONES PARA EL ANÁLISIS FORENSE EN REDES DE COMPUTO 5.1. Open Source Security Information Management………...……….. 62 5.2. Servidor syslog….....…………………………………....………..….. 63 5.3. Recomendaciones en las etapas del análisis forense en redes de computo…................................................................................ 65 5.3.1. Identificación del incidente.………………..…………………. 67 5.3.2. Recolección y preservación de evidencia……………….…. 69 5.3.3. Evaluación de los datos………….………..…………………. 72 5.3.4. Análisis de la información…………..……..…………………. 73 5.3.5. Reporte de resultados……………………..…………………. 76 CONCLUSIONES CONCLUSIONES…..…..………………………………………………….. 79 REFERENCIAS BIBLIOGRÁFICAS…..…………………………………. 80 VI ÍNDICE DE TABLAS Y FIGURAS. Figura 2.1 Violaciones de seguridad informática……………………….… 8 Figura 2.2 Frecuencias de ataques informáticos……………………….… 9 Figura 2.3 Proceso de análisis forense del Dep. de justicia de E.U.A.… 11 Figura 2.4 Proceso forense del NIST…………………..………………….. 12 Figura 2.5 Metodología propuesta………………………………………….. 13 Figura 3.1 Infraestructura de red………………………………………….... 20 Figura 3.2 Características del Modelo TCP/IP…………………...…..…… 21 Figura 3.3 Correlación de Eventos…………………………………………. 30 Figura 4.1 Ejecución de Fport…..…………………………………………... 37 Figura 4.2 Ejecución de PsFile……….……………………………….…..... 39 Figura 4.3 Ejecución de PsService……………………………..………….. 40 Figura 4.4 Ejecución del comando Netstat..……………………………..... 41 Figura 4.5 Ejecución del comando Nbtstat..……………………………..... 42 Figura 4.6 Comando ARP………..………………………………………..... 42 Figura 4.7 Interfaz de TCPView….……………………………………….... 44 Figura 4.8 Interfaz de ShereEnum..……………………………..……...…. 44 Figura 4.9 Interfaz de Mail PassView….…………………………..……..... 46 Figura 4.10 Ejecución de IE Cookies View.…………………………..…….. 47 Figura 4.11 Ejecución de Mozilla Cookies View….…………………..…..… 48 Figura 4.12 Interfaz de IE History View…..…………………………………. 49 Figura 4.13 Ejecución de IE Pass View..……………………………………. 50 Figura 4.14 Interfaz de My Last Search..……………………………………. 50 Figura 4.15 Ejecución de MessenPass..…………………………………….. 51 Figura 4.16 Ejecución de Snot…….…………………………………………. 54 Figura 4.17 Interfaz de Ethereal…..………………………………………….. 55 Figura 4.18 Captura con Wireshark.…………………………………………. 57 Figura 4.19 Resultado de Nslookup………………………………………..... 58 VII R E S U M E N. Existe una amplia variedad de herramientas y técnicas que tienen como finalidad la recolección de evidencia digital que esta involucrada en actividad ilícita pero, no hay una herramienta disponible en el mercado que realice el estudio de estos datos y eventos a fin de encontrar evidencia concreta que determine las causas del incidente. Esto se debe a que el análisis de eventos es una situación de investigación que implica razonamiento, cualidad única de los seres humanos, por lo que no es cercana su incorporación en una aplicación de software. En este trabajo de tesina se propone dar una descripción de los elementos que integran una red de cómputo, así, como una revisión de las diferentes herramientas que son utilizadas en la administración de la red, con la finalidad de identificar y presentar recomendaciones para la realización del análisis forense en redes de computo. VIII A B S T R A C T. A wide variety of tools and techniques that aim to collect digital data involved in any illegal activity related to computer systems, but there is no tool available in the market that make the study of these data in order to find concrete evidence to determine the causes of the incident. This is because the analysis of events in a research situation involves reasoning, unique quality of humans, so there is no immediate incorporation into a software application. In this document intended to give a description of the elements that comprise a network, as well as a review of several tools that are used in network management, to identify and make recommendations for the conduct Network Forensics Analysis. 1 CAPÍTULO I. MARCO DE REFERENCIA. 1.1. ANTECEDENTES. Actualmente el personal encargado de la administración de las redes de cómputo en la mayoría de las organizaciones, no cuentan con una metodología o procedimiento establecido para la realización de un análisis forense en red en caso de ocurrir un incidente informático y mucho menoscon la capacitación especializada que le permita llevar a cabo dichas tareas de una forma profesional; es por ello que surge la necesidad de contar con personal y equipo especializado en la realización de análisis forense en redes de computo. En el ámbito internacional no existe un estándar que indique como debe efectuarse un análisis forense en redes de computo, el levantamiento de evidencia física no es efectuado por un equipo experto, si no por los mismos empleados de la empresa, ya que son los que mejor conocen a los sistemas que serán analizados. El análisis forense de un sistema involucra primeramente la recopilación de información dispersa en todo el sistema y posteriormente un análisis de la misma; mientras más completa y contundente resulte dicha información, mayor valor probatorio tendrá el análisis realizado.[4] 2 1.2. JUSTIFICACIÓN. Con el crecimiento de las redes de cómputo para proporcionar servicios cada vez más indispensables en la vida cotidiana, se ha hecho evidente la necesidad de contar con personal capacitado para implementar los mecanismos indispensables (procedimientos y técnicas) que garanticen la seguridad de la información que se transmite a través de éstas redes y que permitan proporcionar información y servicios confiables dentro de cada organización. Sin duda, dentro de las organizaciones, a medida en que el uso de las redes de cómputo se fue generalizando, también se fue multiplicando el número de personas que ingresan ilegalmente a ellas; muchas de las violaciones a la seguridad de la información provienen del interior de las organizaciones. La inseguridad en la transmisión de datos por la red, se debe a la falta de cultura en seguridad informática de las organizaciones y de las personas que la administran.[11] Actualmente, las redes de cómputo se han convertido en el medio para cometer diferentes delitos incluyendo fraude, extorsión, robo de información, venganza o simplemente el desafío de penetrar un sistema. Esto puede ser realizado por empleados que abusan de sus permisos de acceso, o por atacantes que acceden remotamente o interceptan el tráfico de la red. Los administradores de las redes de cómputo, cuentan con herramientas para monitorear los procesos normales o si hay movimientos no habituales. Todos los movimientos de la red generan registros que pueden ser almacenados. Con ayuda de la informática forense aplicada a redes de computo, se puede mejorar, no solo la detección, sino también prevenir las intrusiones a la red. La informática forense es la aplicación legal de protocolos y técnicas para obtener y preservar evidencia digital relevante en torno a los ataques que pueden sufrir 3 los sistemas de cómputo, arrojando resultados de cómo mejorar la seguridad del sistema, encontrando los posibles errores y ayudando a encontrar posibles atacantes. El trabajo de un investigador forense en redes de computo es ofrecer un punto de partida para obtener el origen de los ataques, así, como en el mejor de los casos aportar pruebas para un juicio legal en contra del o los posibles culpables de cometer un delito informático. 1.3. PLANTEAMIENTO DEL PROBLEMA. Actualmente las organizaciones no cuentan con personal especializado en el análisis forense en redes de computo. Por lo cual surge el siguiente planteamiento: ¿Es posible contar en una organización, con una metodología de análisis Forense en Redes de computo y con tecnología que permita investigar y detectar el origen de un incidente informático, así, como su prevención? 1.4. OBJETIVOS. Objetivo General. Generar recomendaciones para realizar un análisis forense en redes de computo. 4 Objetivos Particulares. • Describir la infraestructura genérica de hardware y software de una red de computo, dentro de una organización que sirva para identificar posibles fuentes de evidencia. • Revisión de las diferentes herramientas que son utilizadas en el análisis forense en redes de computo. • Identificar y presentar las recomendaciones propuestas para hacer un análisis forense en redes de computo. 5 CAPÍTULO II. PRINCIPIOS DE LA INFORMÁTICA FORENSE. 2.1 . INFORMÁTICA FORENSE. El objetivo de un análisis forense informático es realizar un proceso de búsquedas detalladas que permitan reconstruir eventos a través del análisis de los medios, para determinar los acontecimientos que tuvieron lugar desde el momento en el que el sistema estuvo en su estado íntegro hasta el momento de detección de alguna intrusión. Según el FBI (Federal Bureau of Investigation), la informática forense es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional. En este sentido, la inseguridad se puede materializar en: eliminación de información, alteraciones de los datos, inadecuadas prácticas de disposición de medios, entre otras. La informática forense permite a las organizaciones comprender las revisiones requeridas en medios tecnológicos para valorar lo que sucedió, y de manera científica, explicar lo que pudo ocurrir, siempre basado en hechos y evidencia verificable.[8] Hoy en día, es difícil comprobar el origen de los ataques y aún más llegar a juzgar al atacante ya que, las pruebas obtenidas son poco confiables o no implican a una persona como autora del crimen. 6 La informática forense tiene 3 objetivos a saber: 1. La compensación de los daños causados por los criminales o intrusos. 2. La persecución y procesamiento judicial de los criminales. 3. La creación y aplicación de medidas para prevenir casos similares. Estos objetivos son logrados de varias formas, pero la principal es la recolección y análisis de la evidencia digital. 2.1.1. EVIDENCIA DIGITAL. Una evidencia digital es toda aquella información que podría ser capturada en medios de almacenamiento digital y posteriormente analizada para interpretar de la forma más exacta posible el incidente de seguridad: en qué ha consistido, qué daños ha provocado, cuáles son sus consecuencias y quién pudo ser el responsable. Una evidencia digital es un tipo de evidencia física, aunque es menos tangible, esta “construida por campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con herramientas y técnicas especiales” por ejemplo claves públicas, registros de eventos (logs) y otros.[3] Hay que tener en cuenta que las evidencias digitales son fáciles de manipular ya que poseen la característica fundamental de ser volátil y además se pueden copiar fácilmente, lo cual permite el robo de información. Por ello es de vital importancia buscar un mecanismo que brinde la confianza y proporcione la autenticidad necesaria para que dichas evidencias puedan ser llevadas a un tribunal y puedan cumplir con un papel importante dentro de la investigación y el proceso judicial de los cibercriminales. 7 El diseño y producción de los registros electrónicos es de vital importancia en el manejo de evidencia digital, de estos pasos depende que la evidencia digital exista de forma coherente y luego pueda ser recolectada y utilizada como prueba incriminatoria de un delito informático. 2.1.2. DELITO INFORMÁTICO. Los delitos informáticos, en general, son todos aquellos actos delictivos que son realizados con el uso de computadoras o medios electrónicos y que en estos delitos se dañe a los equipos, redes de computo o la información contenida en ellas, vulnerando, así, bienes jurídicos protegidos.[2] Con el término delito informático se conjuntan los hechos que, basándose en técnicas o mecanismos informáticos, pudieren ser tipificados como delito en el CódigoPenal Federal, tales como: delito de estafa, delito contra la propiedad intelectual e industrial. Debido a los avances tecnológicos y a los nuevos mecanismos para delinquir se ha hecho necesario introducir y modificar determinados artículos que permitan incluir éstos. En México los delitos de revelación de secretos y acceso ilícito a sistemas y equipos de computo ya sea que estén protegidos por algún mecanismo de seguridad, que se consideren propiedad del Estado o de las instituciones que integran el sistema financiero, son hechos sancionables por el Código Penal Federal en el titulo noveno capítulo I y II. El artículo 167 fracc. VI, sanciona con prisión y multa al que dolosamente o con fines de lucro, interrumpa o interfiera comunicaciones alámbricas, inalámbricas o de fibra óptica, sean telegráficas, telefónicas o satelitales, por medio de las cuales se transmitan señales de audio, video o datos.[12] 8 La reproducción no autorizada de programas informáticos o piratería está regulada en la Ley Federal de Derecho de Autor en el artículo 11. También existen leyes locales en el Código Penal del Distrito Federal y el Código Penal del estado de Sinaloa. En los Estados Unidos de América, el CSI (Instituto de Seguridad en Cómputo), realiza un estudio anual sobre la seguridad informática y los crímenes cometidos a través de los equipos de computo. El 13/o estudio fue denominado "Estudio de Seguridad y Delitos Informáticos" y se realizó a un total de 522 instituciones, principalmente grandes corporaciones y agencias del gobierno. En este estudio de seguridad y delitos informáticos participo el FBI de San Francisco, división de delitos informáticos, el objetivo de este esfuerzo es elevar el nivel de conocimiento de seguridad, así, como ayudar a determinar el alcance de los delitos informáticos en los Estados Unidos de Norteamérica. Entre lo más destacable del estudio de seguridad y delitos informáticos en el año 2008 se muestra que el 90% de los encuestados reportaron violaciones de seguridad. Esto se muestra en la figura 2.1. Figura 2.1. Violaciones de seguridad informática. 9 Por tercer año consecutivo, la mayoría de los encuestados (59%) mencionó que su conexión de Internet es un punto frecuente de ataque, el 38% reporto que esos ataques provenían de sus redes internas. En la figura 2.2, se muestra una grafica donde el 3% de los encuestados descubrieron accesos no-autorizados por personas dentro de la empresa. Figura 2.2. Frecuencias de ataques informáticos. Las tendencias que el estudio de CSI/FBI ha resaltado por años son alarmantes. Los "Cyber crímenes" y otros delitos de seguridad de información se han extendido y diversificado. El 90% de los encuestados reportaron ataques. Además, tales incidentes pueden producir serios daños. Las 273 organizaciones que pudieron cuantificar sus pérdidas, informaron un total de 265,589,940 dólares, claramente, la mayoría de estas detecciones fueron en condiciones que se apegan a prácticas legítimas, con un despliegue de tecnologías sofisticadas, y lo más importante, por personal adecuado y entrenado, tanto en el sector privado, como en el gobierno.[19] 10 2.2. METODOLOGÍA DE ANÁLISIS FORENSE INFORMÁTICO. El análisis forense informático constantemente a experimentando avances desde sus inicios hasta nuestros días, todo va dependiendo de la modernización de las herramientas que son utilizadas para llevar el análisis forense de una forma integra para dar los resultados esperados. Una investigación forense se conforma por diversas etapas en las cuales se describen procedimientos a seguir, aspectos tecnológicos y legales, por lo que es de vital importancia la existencia de una Metodología de Análisis Forense Integral que cubra las necesidades de cada organización. 2.2.1. DEPARTAMENTO DE JUSTICIA DE E.U.A. El Laboratorio de Cibercrimen en la Sección de Propiedad Intelectual y Crimen Computacional (Computer Crime and Intellectually Property Section) desarrolló un diagrama de flujo en el cual se describe la Metodología de Análisis Forense Digital que cubre sus necesidades de operación, después de consultar con numerosos analistas forenses de varias agencias federales, el departamento de justicia identifica 6 fases que se muestran a continuación: • El empleo de métodos científicos. • Recolección y Preservación. • Validación. • Identificación. • Análisis e Interpretación. • Documentación y Presentación. En la Figura 2.3 se ilustra una vista general del proceso, las tres etapas, Preparación/Extracción, Identificación y Análisis están resaltadas en verde debido a que conforman el núcleo del análisis forense. 11 Figura 2.3. Proceso de Análisis Forense DOJ. El núcleo de la metodología forense, se explican partiendo de que los analistas ya han obtenido previamente la imagen de los datos, así, como los recursos necesarios para el análisis y concluye antes de la elaboración del reporte y el análisis del nivel del caso.[18] 2.2.2. METODOLOGÍA NIST. Esta metodología es enfocada al análisis forense de evidencia digital, la meta principal del análisis forense es el obtener una mejor comprensión del caso a investigar, encontrando y analizando los hechos relacionados a este caso. El análisis forense puede ser necesario en diferentes situaciones, tales como la recopilación de evidencia para los procedimientos judiciales y medidas disciplinarias internas, ayudando en el manejo de incidentes relacionados con código malicioso (malware) y problemas operativos. Independientemente de las necesidades, el proceso de análisis forense de acuerdo al NIST debe realizarse en cuatro etapas, los detalles precisos de estas etapas, pueden variar en relación al requerimiento del análisis forense; las políticas organizacionales, directivas y procedimientos, indicando así, las variaciones de cada etapa. 12 Figura 2.4. Proceso Forense del NIST. Como se observa en la Figura 2.4, el proceso forense transforma los medios en evidencia, donde la evidencia es necesaria para las autoridades o para uso interno de las organizaciones. La primera transformación ocurre cuando se examinan los datos recolectados y se convierten a un formato que es compatible con las herramientas forenses, después los datos se transforman en información a través del análisis y finalmente la transformación de la información en evidencia se da en forma análoga a la acción de transferir el conocimiento, usando la información producida por el análisis en una o más formas durante la etapa de reporte.[6] 2.2.3. METODOLOGÍA PROPUESTA DE ANÁLISIS FORENSE EN RED. En una publicación especial del NIST, SP 800-86 (Guide to integrating forensic techniques into incident response) se describen las fases principales de una metodología en análisis forense en equipos de cómputo, estas fases principales se retoman para su aplicación dentro del análisis forense en redes de computo, en esta publicación describen las fases de: • Recolección del tráfico de la red. • Examinar y analizar del tráfico de la red. • Recomendaciones. Evidencia Datos Información Resultados 13 Dentro de distintas bibliografías consultadas referentes a la aportación de información en el análisis forense digital se han encontrado puntos en común que se toman como base para plantear las fases de una metodología de análisis forense en redes de computo. Tales fases se muestran en la figura 2.5 y son las siguientes: • Identificación del incidente. • Recolección y Preservación de la evidencia. • Evaluación de los datos. • Análisis de la información. • Reporte de resultados. Figura 2.5. Metodología Propuesta. 2.3. INFORMÁTICA FORENSE EN REDES DE COMPUTO. La forensia en redes decomputo es la captura, grabación y el análisis de los acontecimientos en la red para descubrir la fuente de ataques o cualquier otro incidente. La Forensia en Red o Network Forensics es un escenario complejo, pues es necesario comprender la manera de como los equipos, protocolos, configuraciones e infraestructuras de comunicaciones se conjugan para dar como resultado un momento específico en el tiempo y un comportamiento en 14 particular. Entendiendo el funcionamiento de las redes de cómputo, se puede establecer los rastros, los movimientos y acciones que un intruso ha desarrollado para concluir su acción, siguiendo los protocolos y formación criminalística. A diferencia de la definición de cómputo forense, el contexto de forense en redes de computo exige capacidad de correlación de eventos, muchas veces separados y aleatorios, que en equipos particulares se presenta con poca frecuencia.[1] 2.3.1. FASES DE UN ATAQUE INFORMÁTICO. Los ataques contra redes y sistemas informáticos tiene distintas fases o etapas, algunas de ellas se presentan continuación: • Descubrimiento y explotación del sistema informático. • Búsqueda e identificación de vulnerabilidades en el sistema. • Explotación de las vulnerabilidades detectadas (para ello, se utilizan herramientas específicamente construidas para tal fin, por ejemplo exploits). • Compromiso del sistema: Es la modificación de programas y archivos del sistema para dejar instaladas determinadas puertas traseras o troyanos; creación de nuevas cuentas con privilegios administrativos que faciliten el posterior acceso del ataque al sistema afectado. • Eliminación de las pruebas que pueden revelar el ataque y el nivel de compromiso del sistema: Se basa en la eliminación o modificación de los registros de actividad del equipo “logs”; modificación de los programas que se encargan del monitoreo de la actividad del sistema. 15 2.3.2. HERRAMIENTAS DE ATAQUES EN REDES DE COMPUTO. En cuanto a los medios y herramientas disponibles en la actualidad para realizar ataques en redes de cómputo existen las siguientes: • Scaneo de puertos: que permiten detectar los servicios instalados y puertos abiertos en un determinado sistema informático. • Sniffers: dispositivos que capturan los paquetes de datos que circulan por una red. • Exploits: herramienta que busca y explota vulnerabilidades conocidas. • Backdoors kits: programas que permiten explorar y abrir puertas traseras en los sistemas. • Rootkits: programa utilizado para ocultar puertas traseras en los propios archivos ejecutables y servicios del sistema, que son modificados para facilitar el acceso y posteriormente controlar el sistema. • Auto-rooters: herramientas capaces de automatizar totalmente un ataque, escanear sus posibles vulnerabilidades, explotarlas y obtener acceso al sistema comprometido. • Password crackers: aplicaciones que permiten averiguar las contraseñas de los usuarios de sistemas comprometidos. • Analizador de vulnerabilidades: herramienta que analiza al equipo en búsqueda de fallos de seguridad. • Técnicas de spoofing: Facilitan la ocultación y la suplantación de direcciones IP, dificultando en este modo la identificación del atacante. 2.3.3. RECOLECCIÓN DE INFORMACIÓN DE LA RED. Generalmente el primer paso es saber de qué forma se debe recolectar la información y qué tipo de información será necesaria. La meta es recolectar la información acerca de los servidores residentes y construir 16 una base de datos que contenga la estructura de red de la organización. De los protocolos y herramientas para la recolección de información de la red se pueden mencionar las siguientes: • El programa TraceRoute puede revelar el número de redes intermedias y los ruteadores en torno a un servidor específico. • El comando Whois se basa en el uso del Protocolo TCP (Protocolo de Control de Transmisión) basado en petición/repuesta que se utiliza para efectuar consultas en una base de datos que permite determinar el propietario de un nombre de dominio o una dirección IP en Internet. • El Programa Nslookup realiza consultas al DNS (Servidor de Nombres de Dominio) para obtener una lista de las direcciones IP y sus correspondientes nombres. • El protocolo Finger puede revelar información detallada acerca de los usuarios (nombres de Login, números telefónicos, fecha y hora de última sesión, etc.) de un equipo en específico. • El protocolo SNMP (Protocolo Simple de Administración de Red) se utiliza para examinar la tabla de ruteo de un dispositivo, esto es útil para conocer los detalles de la topología de red perteneciente a una organización. • El protocolo ICMP (Protocolo de Control de Mensajes de Internet) se emplea para localizar un equipo en particular y determinar si se puede alcanzar desde un segmento de red. Este protocolo es usado por el comando ping que realiza un escaneo por medio de llamadas a 17 la dirección de un servidor haciendo posible construir una lista de los servidores que actualmente pertenecen a la red. 2.3.4. ESCANEO DEL VULNERABILIDADES. Un escaneo de vulnerabilidades se utiliza para probar el nivel de seguridad en un equipo determinado dentro de una red; un administrador de redes hábil puede usar estas herramientas en su red privada para descubrir los puntos potenciales donde es vulnerable su seguridad y así, determina que equipos necesitan ser actualizados, pero los atacantes utilizan los resultados obtenidos para intentar un acceso no autorizado. A continuación se presentan algunos usos de las herramientas que funcionan de manera automática y que son utilizadas con mayor frecuencia por los atacantes para explorar individualmente los servicios proporcionados por una red de computo: Varias herramientas son de dominio público, tal es el caso de ISS (Internet Security Scanner) o la herramienta de Análisis de Seguridad para Auditoria de Redes (SATAN), la cual puede rastrear una subred o un dominio y ver las posibles fugas de seguridad. Estos programas determinan la debilidad de cada uno de los sistemas Una vez obtenida una lista de las vulnerabilidades de los servicios en la red, se puede escribir un pequeño programa que intente conectarse a un puerto especificando el tipo de servicio que esta asignado al servidor en cuestión. La aplicación del programa presenta una lista de los servidores que soportan servicio de Internet y están expuestos al ataque. 18 Después de lograr el acceso a un sistema protegido, se presentan una infinidad de opciones con las cuales el atacante podrá causa daño, estas opciones pueden ser las siguientes: • Se puede atentar destruyendo toda evidencia del ataque y además seguir teniendo acceso sin que el ataque original sea descubierto. • Pueden instalar paquetes que incluyan códigos binarios conocidos como "caballos de Troya" protegiendo su actividad haciéndola transparente. Los paquetes recolectan las cuentas y contraseñas para los servicios de Telnet y FTP (Protocolo de transferencia de archivos) permitiendo expandir su ataque a otras máquinas. • Se puede obtener acceso privilegiado a un sistema compartido. 19 CAPÍTULO III. INFRAESTRUCTURA DE RED. 3.1. ARQUITECTURA GENERAL DE LA RED. Dentro de una red de cómputo existen varios tipos de elementos que la integran, estos elementos ya sea finales o intermedios, sirven de fuente de información útil para la realización de un análisis forense. Antes de utilizar cualquier herramienta de monitoreo o análisis de red, se debe entender la arquitectura general de una red de cómputo. El primer punto para los administradores de la red es saber dónde está el tráfico de interés. A continuación se describenlos elementos que integran una red de cómputo como lo son firewalls, routers, IDS´s (Sistemas de Detección de Intrusos), etc. que se muestran en la figura 3.1, con la finalidad de saber qué tipo de información y en que dispositivos de red se pueden encontrar elementos necesarios que ayuden a realizar un análisis forense en redes de computo. 20 Figura 3.1. Infraestructura de red. El modelo TCP/IP se encuentra dividido en cuatro capas que están jerarquizadas como se indican en la figura 3.2, en cada una de ellas, sus servicios y funciones son variables para cada tipo de red. Sin embargo, en cualquier red, la misión de cada capa es proveer servicios a las capas superiores haciendo transparente el modo en que los servicios se llevan a cabo. De esta manera, cada capa debe ocuparse exclusivamente de su nivel inmediatamente inferior, a quien solicita servicios, y del nivel inmediatamente superior, a quien devuelve resultados. Cada una de las cuatro capas del protocolo TCP/IP contiene información importante. La capa de acceso al medio proporciona información acerca de componentes físicos, mientras que otras 21 capas describen los aspectos lógicos. Para identificar los eventos dentro de una red, un analista puede relacionar una dirección IP con la dirección MAC; la combinación del protocolo IP y los números de puertos pueden decirle a un analista qué aplicación se esta utilizando; esto puede ser verificado mediante el análisis de los datos de la capa de aplicación.[10] Capas. Descripción. Protocolos. Dispositivo de red. Aplicación. • Posibilita las distintas aplicaciones de usuario. • Aplicaciones y procesos que usa la red. HTTP, FTP, DNS, TELNET, SMTP/POP, DHCP. Firewall (Filtrado de tráfico HTTP) Transporte. • Intercambio de datos de forma segura. • Los datos llegan al destino en el mismo orden en que fueron enviados. • Servicio de entrega de datos entre nodos. TCP, UDP Firewall (Filtrado de puertos) Internet. • Encaminamiento a través de varias redes. • Define el datagrama y determina el enrutamiento. Ethernet, Token Ring, PPP, Frame Relay, ATM, IEEE 802.11. Firewall (Filtrado de paquetes IP) Router (direcciones IP) Acceso al medio. • Interfaz física entre el dispositivo de transmisión de datos y el medio de transmisión o red. • Especificación de las características del medio de transmisión. • La naturaleza de las señales. • La velocidad de los datos. • Intercambio de datos entre el sistema final y la red. Medio físico y técnicas de codificación. Switch (Direcciones MAC) Firewall (Filtrado de direcciones MAC) Figura 3.2. Características del Modelo TCP/IP. 22 Cuando los analistas comienzan a examinar los datos, es típico que inicien por la dirección IP de interés y tal vez el protocolo y la información del puerto. Esta información es suficiente para apoyar la búsqueda de fuentes de datos para obtener más información. En la mayoría de los casos, la capa de aplicación contiene la actividad de interés, muchos de los atacantes encuentran las vulnerabilidades en las aplicaciones (incluidos los servicios). Los analistas tienen la necesidad de examinar las direcciones IP a fin de identificar a los usuarios que puedan haber participado en la actividad. En la actualidad los administradores de redes se basan en los registros del IDS (Sistema de Detección de Intrusos) y del firewall para realizar un análisis forense. Pero por ejemplo en un IDS no se puede utilizar para encontrar las víctimas de una rápida propagación de un virus. Esto se debe a que la propagación del virus es más rápida de lo que se podrían actualizar las firmas del IDS. Los atacantes de las redes de cómputo a menudo ocultan su identidad y lugar, pero forman una cadena de conexión, acceden a un conjunto de sistemas o comprometen su identidad antes de atacar un objetivo. Un método para detectar atacantes consiste en analizar huellas de los paquetes contenidos en las conexiones que se utilizan, pudiendo ser comparadas para determinar si dos conexiones contienen el mismo texto y, por tanto, puede ser parte de la misma cadena de conexión. El método, sin embargo, falla cuando las conexiones están codificadas. Existen herramientas de captura de paquetes que se centran en capturar el tráfico de la red en bruto de una LAN (Red de Área Local) y almacenarla durante días. 23 3.2. HARDWARE DENTRO DE LA RED. 3.2.1. FIREWALL. Un Firewall como se describe en el RFC 2979, “Es un agente que vigila el tráfico de una red y que basado en reglas bloquea el tráfico que se considera inadecuado, peligroso o ambos”. Un Firewall simplemente es un filtro que controla todas las comunicaciones que pasan de una red a otra y está en función de permitir o negar todo a su paso basado en un conjunto de normas dictadas por el administrador de la red. Funciona a nivel de enlace de datos como filtro con la dirección MAC, a nivel de red permite filtrados de paquetes IP (dirección origen, dirección destino), o a nivel de transporte con los puertos origen y destino. Un firewall básicamente es utilizado para realizar las siguientes funciones generales[9]: • Filtrado de paquetes y protocolos. • Inspección del estado de las conexiones. • Realizar la función de Proxy sobre aplicaciones seleccionadas. • Realizar NAT (Traducción de Direcciones de Red). • Registrar el tráfico denegado. El firewall es capaz de realizar el filtrado de paquetes basándose en las siguientes características: • Protocolos (IP, ICMP, etc.). • Direcciones IP (origen y destino). • Puertos origen y destino (identificando la aplicación en uso). • Definir las políticas internas del firewall para el paquete entrante. 24 3.2.2. ROUTER. Un router es un dispositivo de hardware que se utiliza para la interconexión de redes de cómputo, opera en la capa tres (nivel de red). Este dispositivo permite asegurar el tráfico de paquetes entre redes, es capaz de asignar diferentes preferencias a los mensajes que fluyen por la red y seleccionar los caminos más cortos que otros, así como, de buscar soluciones alternativas cuando un camino está saturado. 3.2.3. SWITCHES. Un switch es un dispositivo de interconexión de redes de cómputo que opera en la capa 2 (nivel de enlace de datos) del modelo OSI. Su función es interconectar dos o más segmentos de red, de manera similar a los puentes (bridges), pasando datos de un segmento a otro de acuerdo con la dirección MAC de destino de las tramas en la red, se utilizan cuando se desea conectar múltiples redes, fusionándolas en una sola. Los switches poseen la capacidad de aprender y almacenar las direcciones de red de nivel 2 (direcciones MAC) de los dispositivos alcanzables a través de cada uno de sus puertos. Por ejemplo, un equipo conectado directamente a un puerto de un switch provoca que se almacene su dirección MAC, esto permite que la información dirigida a un dispositivo vaya desde el puerto de origen al puerto de destino, por lo tanto en el puerto de interconexión se almacenan las MAC de los dispositivos. Proxy es un programa o dispositivo que sirve para permitir el acceso a Internet a todos los equipos de una organización cuando sólo se puede disponer de un único equipo conectado, esto es, una única dirección IP. Los Firewalls y routers suelen ser configurados para registrar la mayor información, dicha información registrada normalmente incluye la fecha y 25 la hora en que fue procesado el paquete, el origen y el destino de las direcciones IP, el protocolo de capa de transporte (por ejemplo, TCP, UDP, ICMP), y la información básica de protocolo (TCP o UDP, números de puerto, tipo y código ICMP). El contenido de los paquetes por lo general no se registran.[14]Basados en la traducción de direcciones de red (NAT) que realizan los firewall y routers se pueden encontrar valiosos datos adicionales en relación con el tráfico de la red. NAT es el proceso de ligar una dirección de red con otra o con otras, normalmente se relacionan una o más direcciones privadas de una red interna con una direcciones públicas en una red que está conectada a Internet. Algunos firewalls también actúan como proxys. Cuando un servidor proxy se encuentra en función, realiza dos conexiones: una entre el cliente y el servidor proxy, y otro entre el servidor proxy y el verdadero destino. Los servidores proxy pueden registrar la información básica acerca de cada conexión. Además de proporcionar NAT y servicios. 3.3. SOFTWARE DENTRO DE LA RED. 3.3.1 SNIFFERS. Un sniffer está diseñado para monitoreo y captura de paquetes del tráfico de la red ya sea por cable o en redes inalámbricas. Normalmente, una tarjeta acepta sólo paquetes que están destinados específicamente a ella, pero cuando una tarjeta se coloca en modo promiscuo, acepta todos los paquetes independientemente de su destino. El usuario configura el sniffer para capturar sólo aquellos paquetes con características particulares (ejem: determinados puertos TCP, direcciones IP de origen o de destino). Los sniffer son comúnmente utilizados para capturar un tipo 26 especifico de tráfico. Por ejemplo, si las alertas de un IDS indican una inusual actividad de la red entre dos hosts, un sniffer puede grabar todos los paquetes que viajan entre ellos para poder proporcionar información adicional para los analistas. La mayoría de los sniffer son también analizadores de protocolos. Un analizador de protocolos es una herramienta que sirve para depurar protocolos y aplicaciones de red. Permite capturar diversas tramas de red para analizarlas, ya sea en tiempo real o después de haberlas capturado. Por analizar se entiende que el programa puede reconocer que la trama capturada pertenece a un protocolo concreto (TCP, ICMP) y muestra al usuario la información decodificada. Los analizadores de protocolos son muy valiosos ya que pueden mostrar los paquetes de datos en un formato comprensible. 3.3.2. SISTEMA DE DETECCIÓN DE INTRUSOS (IDS). La detección de intrusos es el proceso de dar seguimiento y análisis a los acontecimientos que ocurren en un sistema o en una red en busca de signos de posibles incidentes, amenazas o violación de las políticas de seguridad. Un IDS es un software que automatiza el proceso de detección de intrusos. Un IDPS (Sistema de Detección y Prevención de Intrusos) es un software que tiene todas las capacidades de un sistema de detección de intrusos y también puede emitir acciones en el momento de un incidente.[6] Para cada evento sospechoso, un IDS registra en general la fecha y la hora, las direcciones IP de origen y de destino, las características básicas de los protocolos utilizados, así, como las aplicaciones específicas de información como lo son: el nombre de usuario y el nombre del archivo. Algunos IDSs pueden ser configurados para capturar los paquetes relacionados con la actividad sospechosa, esto puede ir 27 desde la grabación de sólo el paquete que provocó la actividad inusual, a la grabación del resto de sesiones durante un breve período de tiempo, de modo que si algo sospechoso se detecta en la actividad anterior, el período puede ser almacenado en el IDS logs. Los componentes típicos de los IDS´s son los siguientes: Sensor o Agente: Los Sensores se encargan de vigilar y analizar la actividad dentro de una red, el término sensor se suele utilizar en los IDPSs basados en red y en las conexiones inalámbricas, y el término agente se suele utilizar para IDPSs basados en hosts. Management Server: Es un servidor que se centra en la administración de la información, realiza la identificación y análisis de los eventos que envían los sensores o agentes. Relaciona la información de los eventos, tales como la búsqueda de acontecimientos generados por alguna dirección IP. En algunos casos, hay dos niveles de servidores de administración: • Servidor de base de datos. Un servidor de base de datos es un repositorio de información de eventos registrados por los sensores, los agentes, y / o de gestión de servidores. • Consola. Una consola es un programa que proporciona una interfaz para los administradores de los IDPSs, algunas consolas se utilizan sólo para realizar la configuración de los sensores o agentes, así, como la aplicación de las actualizaciones del software, mientras que otras consolas se utilizan estrictamente para el seguimiento y análisis. 28 3.4. SOFTWARE DE ANÁLISIS. Las herramientas de análisis forense en redes de computo suelen ofrecer la misma funcionalidad, con relación a la captura de información que el software y hardware descrito en los puntos anteriores como un sniffer, un analizador de protocolos, etc. pero todo en un mismo producto. Una herramienta forense en redes de computo se centra principalmente en la búsqueda, recolección y análisis del tráfico de la red. A continuación se describen las características con las que deben de ofrecen las herramientas forense, tales como las siguientes[9]: • La reconstrucción de eventos, que van desde una sesión individual (por ejemplo, la mensajería instantánea entre dos usuarios) hasta todos los períodos de sesiones durante un tiempo determinado. • Visualización del flujo de tráfico y las relaciones entre los hosts. Algunas herramientas pueden incluso relacionar direcciones IP, nombres de dominio u otro tipo de datos a ubicaciones físicas. • Creación de perfiles para la actividad típica y la identificación de posibles desviaciones significativas. • Aplicación de búsqueda de contenidos por palabras clave (por ejemplo, confidencial, urgente, etc.). El éxito de las herramientas aplicables al análisis de redes de computo es que debe ser capaz de capturar y almacenar el tráfico de una red totalmente saturada para su posterior análisis. La mayoría de las organizaciones utilizan servicios que se pueden utilizar como fuentes de captura de información de tráfico de la red, que pueden ser de utilidad para el análisis forense, entre los servicios están los siguientes: 29 • Servidores DHCP (Dynamic Host Configuration Protocol): El servicio DHCP asigna direcciones IP a las máquinas de una red, según sea necesario. Algunos hosts puede tener direcciones IP estáticas, lo que significa que siempre reciben la misma asignación de dirección IP, sin embargo, la mayoría de hosts dinámicos suelen recibir asignaciones de dirección, esto significa que los hosts dinámicos están obligados a renovar su dirección IP frecuentemente. Los servidores DHCP puede contener registros de la sesión que incluyen la dirección IP asignada a la dirección MAC, y el momento en que la sesión se produjo.[17] • Software de monitoreo de Red: Este Software está diseñado para observar el tráfico de la red y recopilar estadísticas. Por ejemplo, puede grabar la información acerca de los flujos de tráfico para un determinado segmento de red, tales como la cantidad de ancho de banda normalmente consumidos por diversos protocolos, también recoge información más detallada sobre la actividad de la red, tales como el tamaño y la carga útil de las direcciones IP del origen y destino y puertos para cada paquete. • ISP (Proveedor de servicios de Internet): Los ISPs como parte normal de sus operaciones podrán recolectar los datos del tráfico de la red e investigar la actividad inusual, como lo son los altos volúmenes de tráfico o de una actividad inusual. Los registros en un ISP habitualmente son almacenados sólo por unos días u horas. En la actualidad se discute las consideracionesjurídicas que participan en la recolección y almacenamiento de datos, ya que no existe un tiempo de almacenamiento obligatorio.[13] • Aplicaciones cliente/servidor: La utilización de algunas de estas aplicaciones pueden registrar información sobre el éxito y no de los 30 intentos de conexión, que podría incluir datos relacionados con los clientes, dirección IP y el puerto. Los datos registrados varían ampliamente según la aplicación utilizada. • Software de correlación de eventos: Este software es capaz de recopilar la información de sucesos de seguridad de diversas fuentes de datos (por ejemplo, registros IDS, registros del firewall, switches, routers, antivuris, etc.) y de correlacionarlos entre sí. De manera general, efectúa la normalización de los registros en un formato estándar e identifica eventos relacionados con las direcciones IP, timestamps, y otras características (ver figura 3.3). Estos productos no suelen generar datos del evento original, sino que generan metadatos basados en la información importada de otros elementos. Los correlacionadores no sólo pueden identificar actividad maliciosa, tal como los ataques y virus, también puede detectar el uso indebido e inadecuado de los sistemas y redes. Hace la información accesible a través de una única interfaz. Figura 3.3. Correlación de Eventos. 31 Dentro del software para la correlación de eventos se encuentra el siguiente: 3.4.1 OSSIM (Open Source Security Information Management). Es una solución de SIEM (Security Information & Event Management) basada en código abierto con clientes en todo el mundo que proporciona todos los niveles tecnológicos necesarios para cubrir el ciclo completo de la gestión de seguridad y crear centros remotos de supervisión de seguridad (SOC). Esta característica lo hace un sistema complejo pero muy potente ya que añade las características de programas de seguridad y monitores de red muy consolidados. Conjuntamente estas herramientas hacen posible un mejor control sobre grandes redes, distribuyendo sensores de bajo costo y controlando la información desde un punto central. El propósito de OSSIM no es solo recolectar la información detallada que ofrecen los IDS y monitores pasivos, sino también implementar un proceso sencillo en el cual millones de eventos se convierten en unas docenas de alarmas de alto nivel mucho mas entendibles, una parte principal de la abstracción está sobre todo producida por el motor de correlación, que permite al administrador crear directivas de correlación o patrones para relacionar diferentes eventos, generando conclusiones de mas alto nivel. El riesgo se calcula y se almacena para cada uno de los eventos recolectados, en el proceso de gestión de seguridad se utiliza esta valoración; se desencadenan respuestas automáticas, se generan informes de alarmas y se toman medidas de la situación de riesgo de las redes. La administración, el ajuste y los procedimientos forenses deben ser guiados por estas medidas.[24] 32 El proceso de correlación se realiza en tres formas: • Correlación de diferentes eventos (correlación lógica). • Correlación de eventos y vulnerabilidades (correlación cruzada). • Correlación de eventos, sistemas operativos y servicios (correlación de inventario). Al realizar la correlación, se disminuye el número de eventos que pueden ser reportados de millones al día a solo docenas de eventos, esto se logra mediante la comprobación de cada uno de ellos antes de ser reportados. La finalidad del motor de correlación lógica de OSSIM es realizar la comprobación de cada evento, buscando evidencias o síntomas que prueben la veracidad de un ataque o descartar la alarma si se trata de un falso positivo.[23] 3.5. MONITOREO Y CAPTURA DE TRÁFICO. Un monitor de red es una herramienta de diagnóstico que supervisa las redes de área local y proporciona una representación gráfica de las estadísticas de la red. Los administradores de red pueden utilizar estas estadísticas para realizar tareas rutinarias de solución de problemas, como lo es encontrar un servidor que no funciona o que está recibiendo un número exagerado de solicitudes de trabajo. Mientras se recopila la información de la secuencia de los datos de la red, el monitor de red muestra los tipos siguientes de información: • La dirección IP origen del equipo que envía una trama a la red. • La dirección IP destino del equipo que recibió la trama. • Los protocolos utilizados para enviar la trama. • Los datos o una parte del mensaje que se envía. 33 El proceso que realiza un monitor de red para recopilar información se denomina captura. De forma predeterminada, el monitor de red recopila en un búfer de captura las estadísticas de todas las tramas que circulan en la red, este búfer es un área de almacenamiento reservado en la memoria. Para capturar estadísticas sólo de un subconjunto concreto de tramas, se puede realizar un filtro de captura, cuando haya terminado de capturar información, se puede diseñar un filtro de presentación para especificar qué cantidad de la información que ha capturado se mostrará en la ventana del visor de tramas del monitor de red. Para poder utilizar un monitor de red, el equipo debe tener una tarjeta de red que admita el modo promiscuo. Si está utilizando el monitor de red en un equipo remoto la estación de trabajo local no necesita una tarjeta de red promiscua, pero el equipo remoto sí la necesita. Para realizar capturar entre redes, o para conservar los recursos locales, se utiliza un agente de monitor de red para capturar información mediante un equipo remoto. Cuando realiza capturas de forma remota, el agente monitor de red recopila estadísticas de un equipo remoto y las envía a su equipo local, donde se muestran en una ventana local de monitor de red. Una vez capturados los datos de manera local o remota, se pueden guardar en un archivo de texto o de captura, y se pueden abrir y examinar más adelante.[25] El software más populares para la recolección de paquetes actualmente es tcpdump (www.tcpdump.org/tcpdump_man.html); ésta es un herramienta en línea de comandos cuya función es analizar el tráfico que circula por la red. Permite al usuario capturar y mostrar en tiempo real los paquetes transmitidos y recibidos en la red; tcpdump puede presentar en pantalla la información de los paquetes o almacenarlos en archivos sin ningún de análisis.[7] 34 3.6. ESCANEO DE RED. Un escaneo de la red implica realizar una búsqueda de los puertos para identificar las máquinas conectadas a esa red, el servicio de red que opera en cada máquina, como FTP (Protocolo de Transferencia de Archivos) y HTTP (Protocolo de Transferencia de Hipertexto) y la aplicación especifica que ejecuta cada servicio identificado, como IIS (Internet Information Server) y Apache para el servidor http. El resultado del escaneo es una lista comprensible de todos los hosts activos, sus servicios, impresoras, switches, y routers que operan en el rango de direccionamiento escaneado, es decir, cualquier dispositivo que tenga una dirección de red o que es accesible a cualquier otro dispositivo.[5] La información recopilada de dichos escaneos puede identificar el sistema operativo, por ejemplo si un host tiene el puerto TCP 135 y 139 abiertos, lo mas probable es que se trate de un equipo con Windows NT o 2000. Si un escaneo identifica que en una máquina a menudo tiene el puerto 80 abierto lo más seguro es que se trate de un servidor web. Lo anterior no es totalmente confiable, ya que un administrador de seguridad consciente puede modificar las banderas de transmisión. El escaneo de puertos identifica hosts activos, servicios, aplicaciones y sistemas operativos, pero no identifica vulnerabilidades, lasvulnerabilidades las debe de identificar el administrador interpretando el resultado del escaneo. Algunas organizaciones realizan el escaneo de red para: • Checar que host está conectado sin autorización a la red de la organización. • Identificar vulnerabilidades en los servicios. • Ayuda para la configuración de IDS. • Recolección de evidencia para el análisis forense. 35 3.7. ANÁLISIS DE REGISTROS. Varios sistemas de logs se usan para identificar desviaciones de seguridad dentro de una organización, Esencialmente, los registros de auditoría puede utilizarse para validar que el sistema está operando de acuerdo a las políticas. Por ejemplo, si un sensor IDS se encuentra detrás del firewall, sus registros pueden ser usados para examinar las solicitudes de servicio y las comunicaciones que sean aceptadas en la red por el firewall. Si este sensor registra actividad no autorizada y que el firewall no la detectó, indica que el firewall no cuenta con una buena configuración de seguridad y tiene una puerta trasera en la red. La revisión de Registro se debe realizarse con frecuencia en los grandes servidores y firewalls; si un sistema está configurado de acuerdo a las políticas se pueden tomar las siguientes acciones: • Se reducen las vulnerabilidades si se eliminan los servicios que no son necesarios. • Reconfigurar el sistema cuando sea necesario para reducir las posibilidades de compromiso. • Cambio de política de seguridad del firewall para limitar los accesos de la subred que es la fuente de compromiso. 36 CAPÍTULO IV. HERRAMIENTAS DE ANÁLISIS FORENSE EN REDES DE COMPUTO. 4.1. HERRAMIENTAS DE SERVICIOS DE RED. Cuando se emite una alarma de que un sistema ha sufrido un incidente de seguridad, el analista forense debe estar preparado para responder con la mayor velocidad posible. El sistema afectado puede estar tan dañado que no podrá arrancar y en otros casos el sistemas seguirá funcionando, pero por políticas internas algunas organizaciones no permitirán que el equipo se desconecte de la red para realizar el análisis del incidente, se exigirá que el equipo permanezca conectado. En estos casos, el analista forense tiene que estar preparado para ocuparse de ello. Como ejemplo práctico, se tiene que un servidor Web ha sufrido un incidente y el sistema no arranca, el servidor debe de estar listo lo más pronto posible, una opción sería utilizar un CD de respuesta de Windows pero en el proceso, se borraría cualquier rastro de evidencia que haya causado el incidente. Lo principal es hacer una copia del disco duro y de la memoria, para poder usar herramientas de análisis forense y examinar el estado actual del equipo. Existe un pequeño conjunto de herramientas de análisis forense que arrancan desde un CD y se ejecutan completamente en memoria para evitar modificar la información del equipo. 37 A continuación se hará mención de un conjunto de herramientas dedicadas al análisis forense en redes de computo. Fport. Es una herramienta gratuita, distribuida por Foundstone, Inc. Esta herramienta relaciona a cada puerto abierto ya sea TCP y UDP a un proceso del sistema, es útil para localizar diferentes tipos de puertas traseras, que podrían permitir a un atacante entrar fácilmente al sistema. Fport se utiliza para identificar rápidamente los puertos abiertos desconocidos y sus aplicaciones.[20] Como se muestra en la pantalla de la figura 4.1, el uso de fport en línea de comandos es: C:/> fport Fport devuelve información similar a la siguiente: Figura 4.1. Ejecución de Fport. Examinando los datos arrojados por fport, se observa una lista con notación de Pid (identificador del proceso), el proceso, así como, el puerto, protocolo y path de los procesos en ejecución. 38 Pstools. Son un conjunto de herramientas que simplifican la administración de equipos remotos. Está formado por varias utilidades de línea de comando que ayudan a la administración de grandes redes, así, como a la recolección de registros y a la visualización de usuarios activos. Las herramientas incluidas en la Suite PsTools, se pueden descargar como un sólo paquete en el cual se incluyen las siguientes herramientas[22]: • PsExec.- Ejecuta procesos de forma remota. • PsFile.- Muestra los archivos usados a distancia. • PsInfo.- Lista información acerca de un sistema. • PsKill.- Termina los procesos por nombre o ID de proceso. • PsList.- Lista información detallada sobre los procesos. • PsLoggedOn.- Ve quién tiene una sesión abierta. • PsLogList.- Muestra contenido del registro de eventos. • PsPasswd.- Cambios de contraseñas en cuentas. • PsService.- Ver y controlar los servicios. • PsShutdown.- Se apaga y se reinicia un equipo de manera opcional. • PsSuspend.- Se suspenden los procesos. El paquete de PsTools incluye un archivo de ayuda en HTML (Lenguaje de Marcas de Hipertexto) con toda la información del uso de las herramientas. A continuación se describirán algunas de ellas. PsFile. Muestra los archivos que están siendo usados vía remota. Es útil para depurar el uso de archivos compartidos y para la localización de accesos no autorizados al sistema. También permite cerrar los archivos abiertos, ya sea utilizando el nombre o por un identificador de archivo.[21] 39 Figura 4.2. Ejecución de PsFile. Como se muestra en la figura 4.2, la ejecución de PsFile proporciona los archivos que están en uso vía remota, la ruta de acceso, el usuario y el tipo de acceso al archivo. PsService. Ésta sólida herramienta permite ver y manipular servicios de forma remota, PsService devuelve una lista de cada servicio instalado en el sistema. La información que muestra esta herramienta básicamente es la información del servicio, independientemente de si el servicio se está ejecutando, indica los programas de seguridad instalados y posiblemente, su importancia relativa a una red. Los comandos para manipular un servicio con PsService son los siguientes: Opción Descripción query Consulta el estado de un servicio. config Consulta la configuración. setconfig Establece la configuración. Start Inicia un servicio. Stop Detiene un servicio. restart Detiene un servicio y luego lo reinicia. pause Pone un servicio en pause. cont Reinicia un servicio pausado. depend Muestra los servicios que depende del especificado. find Busca una ejecución de un servicio en la red. 40 En al figura 4.3, la ejecución de PsService muestra el nombre y la funcionalidad de servicio, así como, el grupo, tipo y estado en el que se encuentra dicho servicio. Figura 4.3. Ejecución de PsService. Netstat. Muestra información de todas las conexiones en un host, dicha información ayuda a identificar actividades sospechosas y puertas traseras en un equipo. En la Figura 4.4, se muestra la ejecución del comando, se obtiene las direcciones IP conectadas y la información de todos los puertos abiertos en el sistema comprometido. D:/> netstat –an El modificador –a muestra toda la información de red y –n ejecuta la búsqueda inversa en el DNS (Sistema de Nombres de Dominio) de las direcciones IP externas. 41 Figura 4.4. Ejecución del Comando Netstat. Con esta información, se puede saber el estado en que se encuentran los puertos TCP, UDP y las dirección IP que está conectada en ese momento al puerto determinado. A diferencia de fport, netstat indica que puertos hay abiertos y no los procesos que los están usando. En algunas ocasiones solo se necesita información de los puertos, en cuyo caso netstat es una solución rápida y sencilla, ya que esta instalado por defecto en todos los sistemas Windows. Sin embargo, si netstat muestra un puerto abierto del que nose tiene conocimiento, se puede usar fport para asociar ese puerto a un proceso en ejecución. Nbtstat. Es una herramienta NetBIOS que esta instalada en el sistema operativo Windows. Entre las funciones que realiza es mostrar la caché de nombres de NetBIOS en el equipo, esta caché proporcionará una lista de equipos que han estado conectados mediante el protocolo NetBIOS (mediante impresoras y archivos de Microsoft Windows), en un espacio de tiempo inferior a 10 minutos. Como se puede ver en la figura 4.5, Nbstat se puede ejecuta con distintas opciones para mostrar todos los nombres de NetBIOS que se encuentran en ese momento en la caché de la víctima. 42 Figura 4.5. Ejecución de nbtstat. ARP. La tabla de ARP (Protocolo de Resolución de Direcciones) relaciona las direcciones del equipo físico (dirección MAC) de las tarjetas Ethernet con las direcciones IP asociadas en la subred. Usando el comando ARP ayuda a la búsqueda de un usuario. Esta herramienta se encuentra instalada en los sistemas operativos Windows. En la siguiente Figura 4.6, se muestran los resultados de este comando Figura 4.6. Comando ARP. Si se trata de buscar una dirección IP en una red interna, se puede rastrear el equipo cuya dirección MAC sea la buscada. 43 Arpwatch. En realidad, arpwatch NG es un paquete formado por arpwatch y arpsnmp, dos utilidades de gran ayuda para el monitoreo del tráfico de red y para generar una base de datos de direcciones Ethernet/IP, reportando de esta forma los cambios ocurridos en todo momento. Permite monitorizar direcciones MAC en una red, y escribirlas en tablas que guarda en un archivo, incluye el registro timestamp y un sistema de notificación de cambios. Es ideal para comprobar las correspondencias entre pares IP/Mac de una red, ya que en caso de que se produzca un cambio en un par, se recibirá una notificación por correo electrónico del suceso a la cuenta de administrador del sistema. De la misma forma, sirve también para monitorizar nuevas direcciones MAC en la red. TCPview. Distribuida por Sysinternals, TCPView es un programa que muestra información detallada de los protocolos TCP y UDP del sistema, incluyendo las direcciones locales y remotas y el estado de las conexiones TCP. En Windows NT, 2000 y XP TCPView muestra el nombre del proceso que realiza la conexión, TCPView muestra más información que Netstat, que viene incluido en Windows, cuando se ejecuta TCPView muestra una lista con todas las conexiones TCP y UDP activas, resolviendo todas las direcciones IP y mostrando el nombre de dominio, por defecto TCPView se actualiza cada segundo pero se puede cambiar la frecuencia de actualización. También cuenta con una opción para cerrar conexiones TCP/IP establecidas (las que están etiquetadas con ESTABLISHED). Además de guardar la salida resultante en un archivo de texto. Es una excelente herramienta de monitoreo de conexiones de red. 44 Figura 4.7. Interfaz de TCPView. Como se muestra en la figura 4.7, en la interfaz de TCPView se especifica por columnas el nombre del proceso, protocolo, dirección local, dirección remota y el estado de la conexión. ShareEnum. Permite bloquear los archivos compartidos en la red, se utiliza para escanear todos los equipos en los dominios de acceso en que se encuentra, ShareEnum es más efectivo cuando se ejecuta desde una cuenta como administrador. La interfaz de ShereEnum que se muestra en la figura 4.8, se visualiza el path tanto de red como local de la ubicación del documento. Figura 4.8. Interfaz de ShereEnum. 45 4.2. HERRAMIENTAS DE RECONSTRUCCIÓN DE ACTIVIDAD EN INTERNET. Con frecuencia se pide a los investigadores forenses que reconstruyan las actividades en Internet de un sospechoso que esta siendo investigado. Las actividades en Internet se pueden resumir en dos categorías: correo electrónico y hábitos de navegación por Internet. Ambas son utilizadas en un alarmante número de casos para realizar u organizar actividades ilegales. El correo electrónico es uno de los métodos de comunicación cada vez mas utilizado entre personas, empresas y bandas internacionales. De la misma forma, cada vez el Internet es mas accesible lo que significa que mas personas están utilizando la red para organizar sus asuntos, legales o no. A continuación se mencionan un conjunto de herramientas que son de utilidad para el analista forense en redes de computo para la reconstrucción de actividad sospechosa en Internet. Mail PassView. Permite visualizar información detallada sobre cada una de las cuentas de correo electrónico que estén configuradas en el sistema. Esta información incluye detalles como nombre de cuenta, nombre y tipo de servidor de e-mail, aplicación que usa, nombre de usuario y contraseña. La información se puede guardar en un archivo de texto o copiarla al portapapeles. El programa soporta los clientes de correo electrónico más populares, como Outlook Express, Microsoft Outlook 2000 y 2002, IncrediMail, Eudora y Group Mail Free. La interfaz de Mail Pass View se muestra en la figura 4.9, donde se puede ver 46 el nombre del usuario, la aplicación y la dirección de correo, así como, el servidor, tipo de protocolo utilizado y el password. Figura 4.9. Interfaz Mail PassView. IE Cookies View. Es un administrador de Cookies para el navegador Web Internet Explorer. El programa es muy completo y permite realizar muchas funciones para administrarlas, entre las opciones se encuentran : • Visualizar los hits de cada Cookie. • Datos de la fecha: último acceso, modificación y creación. • El nombre de usuario al que pertenece. • El estado: Si se encuentra activa o ha expirado. • Opción AD: permite ver si es de publicidad. • El dominio al que pertenece. • Abrir el sitio web al que pertenece la Cookie. • Guardarlas en un archivo de texto. • Buscar y filtrar por dominio. • Hacer sonar una alarma cuando se modifiquen. • Permite bloquearlas y eliminarlas. Es una utilidad portátil y no requiere de instalación y archivos dependientes para poder funcionar. 47 Figura 4.10. Ejecución de IE Cookies View. En al figura 4.10, se muestra la información proporcionada por esta herramienta, se pueden observar la fechas y hora en que se creo cada Cookies. Mozilla Cookies View. Es una alternativa mucho más avanzada y un potente administrador de cookies convencional (´Cookie Manager´) exclusiva para los navegadores Mozilla Firefox. Se trata de una herramienta que muestra todos los detalles y datos valiosos de las cookies del navegador, que se encuentran almacenadas en el archivo de texto ´cookies.txt´. El programa también permite guardar la lista de cookies en formato de texto, HTML o XML (Leguaje de Marcas Extensible), y llevar a cabo operaciones como borrar cookies no deseadas, hacer copias de seguridad o restaurar el archivo de cookies. Mozilla Cookies View funciona en todas las versiones de Windows, y es capaz de leer los archivos de cookies creados por cualquier versión de cualquier navegador Mozilla o Netscape. Mozilla Cookies View es una aplicación totalmente gratuita y que no ocupa una cantidad de espacio en disco significativa. En la figura 4.11, se muestra la interfaz de Mozilla Cookies View. 48 Figura 4.11. Ejecución de Mozilla Cookies View. IE History View. Comúnmente en cada acceso a Internet Explorer y al escribir una dirección URL en la barra de direcciones, ésta se añade automáticamente en un historial, cuando se accede a este navegador, al escribir de nuevo la secuencia de caracteres, Internet Explorer sugiere a modo de lista, todas las URL's visitadas que comienzan igual, pero no permite verlas y editar toda la lista que almacena dentro de su historial.Para este caso, esta diseñado IE History View. Esta aplicación, lee toda la información del historial del navegador y la muestra para ver todos los sitios Web visitados en los últimos días. A parte de esta función principal, se puede seleccionar las direcciones que se quieran eliminar de forma definitiva o comprobar las páginas Web a las que han accedido los demás usuarios de la máquina, o bien desde otra, siempre que se tenga acceso remoto a la carpeta historial de IE. IE History View presenta una interfaz muy sencilla como se muestra en la figura 4.12, en ella se observa la URL visitada, el título de esa página Web, el número de veces que se ha accedido y la fecha de la última visita. Además, da la opción de crear varios perfiles para poder almacenar la información en distintas carpetas dependiendo de quién sea el usuario que accede a Internet en cada momento. 49 Figura 4.12. Interfaz de IE History View. IE Pass View. IE PassView es una pequeña aplicación capaz de mostrar contraseñas almacenadas en el navegador Web de Internet Explorer. El programa soporta tanto las últimas versiones de Internet Explorer, como las versiones anteriores de 4.0 a 7.0. Esta herramienta, IE PassView, se ejecuta de forma independiente, no requiere proceso de instalación ni depende de librerías adicionales. Para utilizarla, se debe copiar el archivo ejecutable (iepv.exe) en cualquier carpeta y ejecutarlo. Entonces IE PassView comenzará a escanear y analizar de forma exhaustiva todas las contraseñas de Internet Explorer almacenadas en el sistema y mostrarlas en la ventana principal de la interfaz del programa. El uso de IE PassView está recomendado solamente para recordar contraseñas importantes que se hayan perdido. En la figura 4.13, en la interfaz de IE PassView entre otras cosas se muestra las contraseñas almacenadas en navegador Web de Internet Explorer. 50 Figura 4.13. Ejecución de IE PassView. My Last Search. Esta herramienta sirve para dar un vistazo a todas las búsquedas Web recientes. Para ello, My Last Search es capaz de rastrear los historiales de navegación, tanto de Mozilla Firefox como de Internet Explorer, devolviéndole al usuario un informe presentable con todas las búsquedas y consultas Web que se han realizado en los sitios Google, Yahoo y MSN. Como se puede ver en la figura 4.14, el informe es bastante detallado e incluye datos como la hora de la búsqueda, el término consultado, el navegador utilizado y más. También es posible exportarlo a HTML. Figura 4.14. Interfaz de My Last Search. 51 Como se muestra en la figura 4.14, la interfaz de esta herramienta se compone por una columna con el texto, motor de búsqueda, el tipo, fecha y hora de la búsqueda realizada, así mismo, el tipo de Web Browser y la URL consultada. MessenPass. MessenPass es un programa ligero, en español y gratuito, con el cual se puede recuperar contraseñas perdidas de las principales aplicaciones de mensajería: MSN Messenger, Windows Messenger, Yahoo Messenger, Google Talk, etc. Su funcionamiento es simple y una vez instalado en el sistema, detectará todos los clientes instalados y mostrará el nombre del usuario y la contraseña, pudiendo exportar los resultados en HTML. Como se muestra en la figura 4.15, el programa detecta automáticamente el nombre de usuario de la sesión iniciada asociada al cliente de mensajería en cuestión, y devuelve su contraseña. Solamente funciona para recuperar contraseñas de usuario actualmente en uso en el equipo. Figura 4.15. Ejecución de MessenPass. 52 4.3. HERRAMIENTAS PARA ANÁLISIS DE REDES DE COMPUTO. Los sniffer son herramientas que pueden escuchar y registrar cualquier dato que pase a través de una interfaz de red física (hardware). Funcionan a un nivel muy bajo, para que puedan comunicarse directamente con la interfaz de red en un idioma que entienda. Los sniffer normalmente funciona en la capa de enlace del modelo OSI, de modo que no tiene que seguir las reglas de los protocolos de nivel superior. Libra los mecanismos de filtrado y toma todo el trafico que puede y almacena las tramas Ethernet para analizarlas. A continuación se presentan varias herramientas sniffer. NMAP. Nmap (Analizador de Red) es de utilidad para la exploración de la red o de auditoría de seguridad, es útil para tareas como inventario de la red, gestión de horarios de servicio de actualización, monitoreo y tiempo de actividad. Nmap usa los paquetes IP para determinar qué hosts están disponibles en la red, qué servicios (nombre de la aplicación y versión), ofrecen los hosts, qué tipo y versiones del sistema operativo se están ejecutando, qué tipo de filtros de paquetes están en uso, entre otras características, Nmap se ejecuta en todos los principales sistemas operativos y cuenta con modo consola y modo gráfico. El escaneo de puertos como nmap en primer lugar identifica las máquinas activas en el rango de direccionamiento seleccionado por el usuario usando el protocolo TCP/IP, ICMP y los paquetes ICMP ECHO, ECHO_REPLY. Una vez identificados las máquinas activas, mediante los puertos TCP y UDP abiertos se identifican los servicios de red que operan en cada máquina.[15] 53 SNORT. Se trata de un sistema de detección de intrusos, capaz de ejecutar en tiempo real el análisis del tráfico de paquetes en las redes; Snort puede realizar análisis de protocolos, la búsqueda de contenido y puede ser utilizado para detectar una variedad de ataques y problemas, tales como desbordamientos de búfer, escaneo no autorizado de puertos. Snort tiene la capacidad de emitir una alerta en tiempo real, cuenta con mecanismos de alerta para syslog; Snort tiene tres usos primarios. 1. Se puede utilizar directamente como un sniffer de paquetes como lo hace tcpdump. 2. Como un registro de paquetes (útil para depurar el tráfico de la red). 3. Como un completo sistema de detección de intrusos de red. Snort es un sniffer de paquetes y un detector de intrusos basado en red. Es un software muy flexible que ofrece capacidades de almacenamiento tanto en archivos de texto como en bases de datos abiertas como lo es MySQL. Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida. Así mismo, existen herramientas para mostrar informes en tiempo real (ACID) o para convertirlo en un IDPS. Este IDS implementa un lenguaje de creación de reglas flexible, potente y sencillo. Durante su instalación ya provee de cientos de filtros o reglas para backdoor, DDoS, finger, FTP, ataques web, CGI, Nmap. Puede funcionar como sniffer (se puede ver en consola y en tiempo real qué ocurre en la red), registro de paquetes (permite guardar en un archivo los logs para su posterior análisis, un análisis offline) o como un IDS normal (en este caso NIDS). Cuando un paquete coincide con algún patrón establecido en las reglas de configuración, se logea, así, se sabe cuándo, de dónde y cómo se produjo el ataque.[16] 54 Figura 4.16. Ejecución de Snot. En la figura 4.16, se observa la ejecución de Snort en la cual muestra el flujo de datos transmitidos por la red, así como, un resumen de los paquetes analizados, haciendo un desglose por tipo de protocolo. Dsniff. Dsniff es una colección de herramientas de auditoria y pruebas de penetración en redes. Dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf, y webspy son herramientas pasivas que monitorean los datos importantes en las red (contraseñas, correo electrónico, archivos, etc.). ARPSpoof, dnsspoof, y macof facilitar la interceptación del tráfico de la red. Dsniff es de costo libre y trabaja sobre sistemas Linux/Unix. Ethereal. Ethereal es un analizador
Compartir