PDF de programación - HADES: Seguridad en la red y análisis forense

Universidad de Murcia



Proyecto Fin de Carrera

HADES:



Y

SEGURIDAD EN LA RED

ANÁLISIS FORENSE

Tutores

D. Antonio F. Gómez Skarmeta
D. Francisco J. Monserrat Coll



Facultad de Informática

Septiembre, 2001

Índice General



ABSTRACT ....................................................................................................................................... 5

INTRODUCCIÓN Y REFERENCIAS HISTÓRICAS ................................................................. 6
1.1 ANTECEDENTES......................................................................................................................... 6
1.2 CONTEXTUALIZACIÓN DEL PROBLEMA DE LA SEGURIDAD ....................................................... 7
1.3 MECANISMOS DE SEGURIDAD ................................................................................................... 9
1.4 DIFICULTAD DEL ANÁLISIS FORENSE DE SISTEMAS INFORMÁTICOS.......................................... 9
1.5 EXPERIENCIA PILOTO DE REDIRIS......................................................................................... 10
ANÁLISIS DE OBJETIVOS Y METODOLOGÍA ..................................................................... 11
2.1 OBJETIVOS DEL PROYECTO...................................................................................................... 11
2.2 METODOLOGÍA UTILIZADA..................................................................................................... 12
2.2.1 Estructuración del proyecto ............................................................................................ 12
2.2.2. Herramientas utilizadas .................................................................................................. 13
2.2.2.1. Hardware empleado.................................................................................................. 13
2.2.2.2. Software necesario ................................................................................................... 14
DISEÑO Y RESOLUCIÓN DEL TRABAJO REALIZADO ..................................................... 21
3.1. INTRODUCCIÓN....................................................................................................................... 21
3.2. IMPLEMENTACIÓN DE LA ARQUITECTURA.............................................................................. 22
3.2.1. Topología ........................................................................................................................ 22
3.2.2. Preparación del equipo de control.................................................................................. 23
3.2.2.1 Instalación del sistema operativo............................................................................... 24
3.2.2.2 Funcionamiento en modo bridge............................................................................... 25
3.2.2.3 Activación de las iptables.......................................................................................... 26
3.2.2.6 Funcionamiento en modo bridge+firewall................................................................ 27
3.2.2.5 Monitorización de los equipos .................................................................................. 28
3.2.3. Preparación de los equipos trampa ................................................................................ 29
3.3. ANÁLISIS DE ATAQUES ........................................................................................................... 31
3.3.1. Ideas generales................................................................................................................ 31
3.3.3. Estrategias de Respuesta................................................................................................. 32
3.3.4. Principios para la recogida de evidencias...................................................................... 33
3.3.4.1 Principios generales para la recogida de evidencias.................................................. 33
3.3.4.1.1 Orden de Volatilidad .......................................................................................... 34
3.3.4.1.2 Cosas que Evitar................................................................................................ 34
3.3.4.1.3 Consideraciones de Privacidad.......................................................................... 35
3.3.4.1.4 Consideraciones de Legales .............................................................................. 35
3.3.4.2 Procedimientos de Recogida de Evidencias .............................................................. 36
3.3.4.2.1 Transparencia ..................................................................................................... 36
3.3.4.2.2 Pasos para la recogida de evidencias.................................................................. 36
3.3.4.3 Procedimiento de Almacenamiento........................................................................... 36
3.3.4.3.1 Custodia.............................................................................................................. 37
3.3.4.3.2 Dónde y cómo almacenar las pruebas ................................................................ 37
3.3.4.4 Herramientas necesarias ............................................................................................ 37

3.3.5. Caso de Estudio: Análisis de una intrusión .................................................................... 38
CONCLUSIONES Y VÍAS FUTURAS......................................................................................... 68
4.1. CONCLUSIONES....................................................................................................................... 68
4.2. POSIBLES AMPLIACIONES ....................................................................................................... 69
BIBLIOGRAFÍA............................................................................................................................. 72
5.1 REFERENCIAS .......................................................................................................................... 72
5.2 RECURSOS EN INTERNET ......................................................................................................... 74
5.2.1. Direcciones generales:.................................................................................................... 74
5.2.2 Publicaciones periódicas: ................................................................................................ 76
5.2.3 Grupos Underground ....................................................................................................... 76
5.2.4 Exploits y vulnerabilidades .............................................................................................. 77
GLOSARIO DE TÉRMINOS ........................................................................................................ 78

APÉNDICE A: CONFIGURACIÓN FIREWALL+BRIDGE...................................................... 80

APÉNDICE B: ESTADÍSTICAS DE LA RED ACADÉMICA .................................................. 81

2





Índice de Figuras



FIGURA 1 – CRECIMIENTO DE LOS INCIDENTES DE SEGURIDAD............................... 8

FIGURA 2 – TOPOLOGÍA DEL SISTEMA ............................................................................... 24

FIGURA 3 – ESTADÍSTICAS DE LA RED ACADÉMICA ..................................................... 82



Índice de Tablas

TABLA 1 - DATOS DEL SISTEMA ATACADO........................................................................................39

TABLA 2- MONTAJE DE LAS PARTICIONES........................................................................................40

TABLA 3 – COMANDOS PARA OBTENCIÓN DE LOS TIEMPOS MAC DE LOS FICHEROS.......40

TABLA 4 – VERIFICACIÓN DE LOS PAQUETES DEL SISTEMA......................................................42

TABLA 5 – SALIDA DE LA VERIFICACIÓN DE LOS PAQUETES DEL SISTEMA........................42

TABLA 6 – SALIDA DEL COMANDO STRINGS SOBRE NETSTAT..................................................44

TABLA 7 – CONTENIDO DEL FICHERO /DEV/XDTA..........................................................................45

TABLA 8 – SALIDA DE NSLOOKUP.........................................................................................................45

TABLA 9 – SALIDA DEL COMANDO STRINGS SOBRE PS................................................................46

TABLA 10 – CONTENIDO DEL FICHERO /DEV/XMX..........................................................................47

TABLA 11 – USO DEL COMANDO ICAT PARA LA RECUPERACIÓN DE FICHEROS
BORRADOS....................................................................................................................................................48

TABLA 12 – SALIDA DEL COMANDO FILE PARA CADA UNO DE LOS FICHEROS
RECUPERADOS. ...........................................................................................................................................49

TABLA 13 – CONTENIDO DEL FICHERO FICH-12216 .......................................................................50

TABLA 14 – LISTADO DEL CONTENIDO DEL FICHERO FICH-2404 .............................................51

TABLA 15 – CONTENIDO DEL FICHERO INTALL .............................................................................55

TABLA 16 – VISTA PARCIAL DEL FICHERO DE TIEMPOS MAC QUE MUESTRA UN ACCESO
FTP...................................................................................................................................................................57

TABLA 17 – FICHERO DE LOGS COMPLETO RECUPERADO DEL SISTEMA.............................58

TABLA 18 – CONEXIÓN FTP DESDE E