Redar

Preparacin Forense de Redes
R.E.D.A.R Un modelo de anlisis

Jeimy J. Cano, M.Sc., Ph.D
Universidad de los Andes COLOMBIA jcano@uniandes.edu.co
Agenda
Introduccin Definiciones bsicas Presentacin del Modelo - R.E.D.A.R
Arquitectura de Anlisis
Red
de permetro de Defensa Controlada
Linea Zona
Red de permetro - Routers Lnea de defensa - Firewalls Zona Controlada - Servidores y conexiones Preparacin Forense de Redes en Contexto Conclusiones Referencias
JCM-02 All rights reserved. 2
Introduccin
Las estadsticas del CERT en el ao 2001, muestran aumento de ms del 150% en incidentes de seguridad reportados. De acuerdo con la investigacin adelantada por KPMG en el 2001, 2001 Global e-Fr@ud Survey :
Cuando
ocurre un incidente de seguridad * No se adelantan acciones legales
El
Mientras que un ataque de un sitio puede tomar dos (2) horas, el anlisis forense completo puede alcanzar las treinta (30) horas! (Forensic Challenge Project)
JCM-02 All rights reserved.
50% de los encuestados identific a los Hackers y la pobre implementacin de polticas de seguridad como los factores fundamentales de los incidentes de seguridad. Los ejecutivos se encuentran desinformados acerca del estado actual de las vulnerabilidades de la su red. Bajo o pobre entrenamiento de los administradores de sistemas
Inadecuado uso de los recursos legales Falta de evidencia
Definiciones bsicas
Conceptos
Sistemas
de deteccin de intrusos. * Orientado a Host * Orientado a Red * Orientado a Firmas * Estadsticas Honeypot * Configuracin de una mquina con servicios activos, atractivos y aislados, como una estrategia para seguir y capturar intrusos dentro de sistemas de computacin. Honeynet * Configuracin de una red con servicios activos, atractivos y aislados, como una estrategia para analizar y aprender de los intrusos y sus acciones. Red de permetro * Es una red agregada a fin de proporcionar una capa adicional de seguridad. Generalmente se le conoce como red desmilitarizada (DMZ)
Definiciones bsicas
Conceptos
Firewall
* Componente o conjunto de componentes (Hw y Sw) que restringen el acceso entre una red protegida e internet, o entre otros conjuntos de redes.
Tradicionales Stealth
Evidencia
digital * Es un tipo de evidencia fsica. Esta construida de campos magnticos y pulsos electrnicos que pueden ser recolectados y analizados con herramientas y tcnicas especiales.(Casey 2000, pg.4) Computacin forense * Es la aplicacin legal de mtodos, protocolos y tcnicas para obtener, analizar y preservar evidencia digital relevante a una situacin en investigacin. (Kovacich 2000, pag.243)
Presentacin del Modelo R.E.D.A.R

Justificacin
Es
necesario desarrollar una estrategia formal para atender incidentes de seguridad y su posterior documentacin y anlisis Se cuentan con diversas estrategias de registro de eventos, pero no se posee la cultura de anlisis de las pistas. La mayora de los administradores de sistemas actualmente no son conscientes de la necesidad de contar con evidencia digital. La seguridad informtica y la administracin de sistemas de observan como actividades diferentes, cuando en realidad son complementarias
RE
R.E.D.A.R - Vocablo que significa: Echar las redes
gistro * Establecimiento de los diferentes mtodos y herramientas para mantener el adecuado registro de eventos relevantes en las redes. D ecteccin de intrusos * Desarrollo de alertas y anlisis de las posibles fallas de seguridad aprovechadas por los atacantes. A uditoRia * Evaluacin, seguimiento y anlisis de los mecanismos y herramientas actuales de seguridad, que conduzcan al afinamiento permanente de la seguridad de la red.
6
R.E.D.A.R
REGISTRO
PREPARACIN FORENSE DE REDES

SIMULACIN Y PRUEBAS
DETECCIN INTRUSOS
CONTROL DE EVIDENCIA
AUDITORA
Arquitectura de anlisis
Internet
Exterior
RED LNEA DE PERMETRO DEFENSA
ZONA CONTROLADA
Red de Permetro
Generalmente compuesta por enrutadores
La
seguridad y control de este segmento de la red, en la mayora de los casos, se basa en: * Listas de control de acceso * Filtro de paquetes
10.16.1.0
200.16.2.3
192.168.1.0
172.16.1.0
Red de Permetro
Lista de Control de Acceso
Lista
de control de acceso Standard * Definida por un rango numrico entre 1-99 * Slo verifica el IP ORIGEN, luege se hace el filtro de manera rpida. de control de acceso Extendida * Definida por un rango numrico entre 100-199 * Verfica ORIGEN, DESTINO, PROTOCOLO, Puertos UDP/TCP, Tipos ICMP en secuencia. * El filtro de paquetes se torna ms lento de Control de Acceso Reflexiva * Utiliza listas de control de acceso dinmica, semejantes a la tabla de estados de un FW, para mantener las conexiones aseguradas. * Mecanismo nuevo en CISCO.
10
Lista
Lista
Red de Permetro
Formato de una Lista de Control de Acceso Estandard
access-list
number action source [Wild Card] any
* Number: 0-99 para listas de control de acceso estndard * Action: Permit o Deny - Permitir o Negar
* Source: Direccin IP para comparar

* Wild Card:
Determina que parte de la direccin IP ser comparada y cual no.
* Any: Cualquier direccin

EJEMPLO:
* access-list 20 permit 192.168.1.0 0.0.0.255

11
Red de Permetro
Filtro de paquetes
Mecanismo El
de seguridad cuya funcin es establecer qu informacin puede fluir de y hacia una red. filtro de paquete permite controlar (permitir o negar) la transferencia de paquetes con base en: * Direccin origen de la informacin * Direccin destino de la informacin * Protocolos como IP, UDP, TCP e ICMP * Servicios UDP/TCP como Telnet, SMTP, SNMP, NNTP, FTP, entre otros * ICMP - echo request, echo replay, port unreachable * Type of Service (Performance), banderas o flags en los paquetes de informacin.
12
Red de Permetro
Creando un Packet Filter
Para
efectuar esta accin es necesario utilizar la directiva
* ip access-group number [InOut] * Number: Valor definido para una lista de control de acceso * InOut: En qu direccin el filtro se aplicar para los paquetes entrantes o salientes.
EJEMPLO
* interface serial 0
ip address 172.16.1.1 255.255.255.0 ip access-group 11 in
access-list 11 permit host 192.168.1.100 access-list 11 deny 192.168.1.0 0.0.0.255 access-list permit any
Red de Permetro
Creando un Packet Filter
EJEMPLO
de lista de control de acceso EXTENDIDO
* interface serial 0
ip access-group 100 in
access-list 100 permit tcp any any gt 1023 access-list 100 permit tcp any any eq 23
access-list
100 permit tcp any any gt 1023:
* Permite todo paquete TCP a puertos mayores de 1023

access-list
100 permit tcp any any eq 23:
* Permite paquetes telnet al puerto 23. Trfico de otros protocolos al puerto 23 ser bloqueado.
R.E.D.A.R en el Permetro
REGISTRO

SIMULACIN Y PRUEBAS
DETECCIN INTRUSOS
AUDITORA
15
Aplicando R.E.D.A.R - Aspectos bsicos a considerar

RE
Red de Permetro
gistro
Violaciones de las listas de control de acceso Violaciones de los filtros de paquetes configurados Sobrecargas de trfico en la red
* Algunos eventos que deben ser analizados en el permetro
ecteccin de Intrusos
Cambios en la configuracin de las listas de control de acceso y filtros de paquetes Actualizacin del Sistema operacional del router Cambios en la configuracin del router
* Algunos eventos de inters
AuditoRa
Advertencias de seguridad en routers Parches de seguridad

16
Aplicando R.E.D.A.R - Algunas Estrategias

RE
Red de Permetro
gistro
Utilizando SYSLOG Exportar eventos de inters a servidor remoto
* Registro de la actividades del Router
Utilizar protocolo SNMP (actualizado a la ltima versin) para reporte acciones sobre el dispositivo. Alineado con estrategia de registro remoto.
* Alertas de Cambios
AuditoRa
* Pruebas de penetracin
Ataques simulados a vulnerabilidades conocidas Pruebas de stress y resistencia de trfico.
17
Red de Permetro
Listas de control de acceso - CISCO 1. Mar 31 13:55:07 rt1 3319: 21:36:44 : %SEC-6-IPACESSLOGP: list 102 denied UDP 209.67.78.202 (3408) external.primary.dns (33434), 1 packet. Rt1 3319 21:36:44 %SEC-6-IPACESSLOGP Hostname No de secuencia Estampilla de tiempo Mnemnico que identifican de manera nica el mensaje. list 102 No. lista de control de acceso contiene la regla evaluada. Denied Accin tomada por el router UDP Protocolo detectado 209.67.78.202 (3408) Direccin y puerto Origen external.primary.dns (33434) Direccin y puerto Destino
R.E.D.A.R en
18
Lnea de Defensa
Generalmente compuesta por Sistemas de Deteccin de Intrusos y Firewalls.
TCP ICMP UDP
IDS
Echo ACK request SYN URG PSH
FW
IDS
19
Lnea de Defensa
Algunas generalidades sobre los FW
* Qu puede hacer actualmente?
Restringe el acceso a un punto cuidadosamente controlado. Restringe a las personas para que salgan en un punto cuidadosamente controlado. Evita que los posibles atacantes se acerquen ms a sus dems defensas.
* Qu NO puede hacer?
Protegerlo contra atacantes internos Resguardarlo contra conexiones que no pasan por l Nuevas amenazas de seguridad: bugs, configuraciones recientes de enrutadores, etc. Resguardarlo contra virus. Protegerlo contra ejecuciones de applets maliciosos de java. Control de paquetes fragmentados.
20
Lnea de Defensa
Intrusion Detection Systems
Herramientas
*
* *
de administracin de seguridad que: Recolectan informacin de una variedad de fuentes en un sistema Analiza esta informacin contra patrones de uso indebido o actividad inusual En algunos casos, responde automticamente a la actividad detectada Reporta el resultado del proceso de deteccin
Tomado de: Bace, R. (2000) An introduction to Intrusion Detection Assessment. ICSA.

Lnea de Defensa
Intrusion Detection Systems
Dentro
*
* * * * *
de las funciones que pueden desarrollar estn: Monitorear y analizar las actividades del usuario y del sistema. Auditar la configuracin del sistema y sus vulnerabilidades Evaluacin de la integridad de los sistemas crticos y los archivos de datos Reconocimiento de patrones de actividad que reflejen ataques Anlisis estadstico de patrones de actividad anormal Auditora de la administracin del S.O, con reconocimiento de actividades relativas a la violacin de polticas.
Tomado de: Bace, R. (2000) An introduction to Intrusion Detection Assessment. ICSA.

Lnea de Defensa en detalle

Internet
Enrutador Externo
Anfitrin Bastin
Firewall
Enrutador Interno
Monitoreo de trfico - Conexiones a servicios y puertos es * WEB, DNS * MAIL * Puertos menores a 1023
Red Interna
Monitoreo de trfico - Conexiones * Aplicaciones internas * Nieras * Traduccin de direcciones

23
Adaptado de: Chapman y Zwicky. 1995
R.E.D.A.R en Defensa
REGISTRO

SIMULACIN Y PRUEBAS
DETECCIN INTRUSOS
AUDITORA
24

RE
Lnea de Defensa
gistro
Violaciones de las reglas del FW Trfico Fuera de lo Normal Patrones de Bypass de IDS
* Algunos eventos que deben ser analizados en la Defensa
Alertas de posibles ataques conocidos Trfico anormal y manipulacin de protocolos violacin de permisos e integridad en la mquina FW e IDS
AuditoRa
Configuracin de la mquina FW y sus protocolos Parches de seguridad

25

RE
Lnea de Defensa
gistro
Exportar y analizar registros del FW Exportar y analizar registros del IDS
* Algunos aspectos a considerar en la Defensa
Reglas en el FW y en el IDS Control de permisos en las mquinas - Integridad del software y reglas
AuditoRa
Reglas y trfico de red malicioso Simulacin de ataques e incidentes.
26
Lnea de Defensa
LOG FIREWALL - Checkpoint FW-1 Caractersticas del log
R.E.D.A.R en
Anlisis detallado del log
* 14;2Feb2001;11:30:02;FW;log;accept;;qfe1;inbound;tcp;co mp1;200.0.241.42;http;4689;48;70;comp_X;200.0.241.42;46 556;http;;;;;;;;;;;;;;;; * Otros campos: resource;icmp-type;icmpcode;reason:;agent;orig_from;orig_to;reason;srckeyid;ds tkeyid;user;scheme:;methods:;from;to;sys_msgs * * * * * * * * * * num - 14 date - 2Feb2001 time - 11:30:02 orig - FW type - Log action - accept alert - Vacio i/f_name - qfe1 i/f_dir - inbound proto - tcp src - comp1 dst - 200.0.241.42 service - http s_port - 4689 len - 48 rule - 70 xlatesrc - comp_X xlatedst - 200.0.241.42 xlatesport - 46 xlatedport - 556
27
Zona Controlada
Denominada en general como la zona protegida o militarizada. Lugar donde se encuentra los recursos ms crticos asociados con la organizacin.
IDS
FW
28
Zona Controlada
Consideraciones en la zona controlada
* Slo debe fluir el trfico autorizado por el FW tanto desde el interior como desde el exterior de la organizacin * Los servicios y datos residentes en esta zona requieren mecanimos de autenticacin fuertes * Las acciones de actualizacin de datos o configuraciones requiere registro y anlisis formal * Si existe un cambio en el direccionamiento hacia la zona controlada en la lnea de defensa, debe ajutarse y revisarse TODOS los mecanimos de autenticacin, registro y control de la zona controlada. * El manejo de excepciones de acceso a la zona, tanto de trfico como de actualizacin de datos deben estar claramente monitoreados. de enrutadores, etc.
29
R.E.D.A.R en Zona Controlada

REGISTRO

SIMULACIN Y PRUEBAS
DETECCIN INTRUSOS
AUDITORA
30

RE
Zona Controlada
gistro
* Algunos eventos que deben ser analizados en la Zona Controlada

Registro de autenticacin y control de acceso Protocolos y servicios permitidos Trfico de red sobre servicios ofrecidos
Alertas de posibles ataques conocidos Trfico anormal y manipulacin de protocolos violacin de permisos e integridad de las mquinas
AuditoRa
Vulnerabilidades de segiuridad de los servicios ofrecidos Fallas en los mecanismos de seguridad utilizados Fallas procedimentales y de uso. JCM-02 All rights reserved.
31

RE
Zona Controlada
gistro
Registrar y analizar acciones de autenticacin Estadsticas de trfico en funcin protocolos y servicios
* Algunos aspectos a considerar en la Defensa
Reglas de monitoreo de puertos y servicios en el IDS Control de permisos en las mquinas - Integridad del software y reglas
AuditoRa
Reglas y trfico de red malicioso Simulacin de ataques e incidentes.
32
Zona controlada
LOG IDS - SNORT
R.E.D.A.R en
[**] BETA - Anon FTP [**] 12/14-12:02:25.335000 209.88.62.192:63307 -> 161.69.2.23:21 TCP TTL:127 TOS:0x0 ID:1203 DF *****PA* Seq: 0xE4A4E8 Ack: 0xFB8D3B8F Win: 0x2206
[**] IDS3 - MISC-Traceroute TCP [**] 12/14-12:03:53.817805 209.185.131.251:80 -> 209.88.62.192:63295 TCP TTL:1 TOS:0x0 ID:29731 DF ****R*** Seq: 0x8E81AA48 Ack: 0x8E81AA48 0x2238

Win:
[**] PING-ICMP Time Exceeded [**] 12/14-12:03:53.817846 209.88.62.192 -> 209.185.131.251 ICMP TTL:255 TOS:0xC0 ID:10334 TTL EXCEEDED
33
Ejercicios
4. Si usted encuentra dentro de su LOG de WEBServer el siguiente registro, cul sera su diagnstico?
157.253.4.13 [14/Sep/2001:19:50:56 -0500] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucb d3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u 00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1. 0" 404 283.
CODE RED!!!
R.E.D.A.R en Contexto
Listas de Control de Acceso Filtro de paquetes Reglas de Control de Acceso Reglas de Monitoreo Reglas de Monitoreo Registro de Acceso CORRELACIN
Internet
SINCRONIZACIN AFINAMIENTO SIMULACIN Y PRUEBAS EXTERIOR

RED LNEA DE PERMETRO DEFENSA
ZONA CONTROLADA
35
Es requisito para la preparacin forense de redes:

Establecer Desarrollar
R.E.D.A.R. En resumen
mecanismos de sincronizacin de tiempo entre la zona de permetro, la lnea de defensa y la zona controlada. guas de anlisis y control de evidencia, para cada uno de los segmentos: zona de permetro, la lnea de defensa y la zona controlada, que permitan correlacionar la evidencia identificada.
Capacitar
arquitectura para adelantar acciones de recuperacin y control de evidencia.
y entrenar a los administradores y encargados de la
Son actividades que alimentan y cuestionan la preparacin forense de redes

Simulacin
y Pruebas * Pruebas de penetracin * Ataques basados en manipulacin de trfico * Atentados contra la integridad de mquinas y configuraciones de sistemas de seguridad Afinamiento de la arquitectura
36
Algunas directrices de investigacin hacia el futuro

Especificar
R.E.D.A.R. Hacia el futuro...
guas prcticas de preparacin forense para cada uno de los segmentos en una arquitectura * Preparacin forense redes de permetro * Preparacin forense lneas de defensa * Preparacin forense de zonas controladas
Afinamiento
y balanceo del registro remoto
* Anlisis de vulnerabilidades y performance * Criterios para establecer qu registro es necesario * Extensiones y aporte de HONEYNETS
Anlisis
Forenses detallados
* Desarrollo de estrategias de correlacin de evidencia * Registro de trfico normal de aplicaciones y servicios * Incorporacin de experiencias y alianzas con proyectos como el HONEYNET PROJECT.
37
R.E.D.A.R. Conclusiones
La preparacin forense de redes, no es una opcin para los administradores de redes y responsables de arquitecturas computacionales.
Las estrategias de anlisis forenses deben ser actividades conjuntas que se realicen entre las funciones de seguridad y los expertos tcnicos del rea de telecomunicaciones.
No es opcional recoger evidencia, el ordenamiento legal est detrs de nuevas formas de perseguir la delincuencia electrnica Ante un incidente de seguridad, la respuesta y el aseguramiento de la eviencia son factores crticos para su control. Los procedimientos forense deben ajustarse con los cambios y simular su efectividad a travs de las pruebas de penetracin de la arquitectura.
Sincronizacin de tiempo
R.E.D.A.R. Breve Checklist ante Incidente

ataque y
La hora de los enrutadores coincide con la hora del FW? Existen diferencias de tiempo entre la hora reportada del
las mquinas involucradas? Los registros de actividad y violaciones de las listas de control de acceso y filtros exportadas estn alineadas con la hora del incidente? El protocolo NTP - Network Time Protocol estaba en su ltima versin? Realmente confiable? Cuando fue la ltima sincronizacin de tiempo que se efectu en la arquitectura?
Control de Evidencia
Los registros identificados, se encuentran completos y asegurados? Existen vacos o saltos en los registros identificados en la
arquitectura atacada? Se cuenta con guas de recoleccin y control de evidencia? Se tiene identificada la evidencia a recoger en cada uno de los segmentos de la arquitectura: zona de permetro, la lnea de defensa y la zona controlada Existe personal entrenado en anlisis de evidencia digital? Correlacin de eventos?
39
Qu tan preparado est su ambiente de Red? Si no est seguro, usted no esta preparado!
Adaptado de: John Tan, Reseach Scientist. @Stake, Inc.
40
Referencias
DAVID, J. (2001) The Ins and Outs of Intrusion Detection. Computer Fraud and Security. Nov. PARA-SOFT (2001) Absolute state of the hack. Presentacin en Powerpoint. Http://para-protect.com KIRBY, A. (2001) Honeynet Phase Two: Knowing your enemy more. Computer Fraud and Security. Dic. SANS (2001) CISCO Security Checklist. Http://www.sans.org/SCORE/checklist/ LASSER, J. (2001) Implementing SNORT in a production environment. ;LOGIN. The magazine of USENIX. Nov. Vol.26. No.7 COUNTERPANE. (2001) Logging Techniques. Presentacin en Powerpoint. Http://www.counterpane.com BECK, D. (2001) A review of Cybersecurity risk factors. Information Security Reading Room. Sans. Http://www.sans.org/infosecFAQ/securitybasis/risk.htm RICHARDS, K. (1999) Network Based Intrusion Detection: A review of technologies. Computers & Security. Vol.18 KPMG (2001) 2001 Global e-Fraud Survey. Http://www.kpmg.co.uk/kpmg/uk/direct/forensic/pubs/EFRAUD.cfm HOLEWA, B. (2001) Intrusion detection systems forensics. Http://www.8wire.com/articles/print_article.asp?printAID=2248 UPCHURCH, J. (2001) Combating computer crime. Information Security Reading Room. Sans. Http://www.sans.org/infosecFAQ/incident/combat.htm
Referencias
FARMER, D. y VENEMA, W. (2001) Being prepared for intrusion. Dr. Dobbs. Abril. Http://www.ddj.com/print/documentID=11878 TAN, J. (2001) Forensic Preparation. Planning and policies are keys to successful forensic analysis. Secure Business Quarterly. Http://www.sbq.com SCHNEIER, B. (2001) Managed Security Monitoring: Network Security for the 21st. Century. Computers & Security. Vol.20. MAHADEVAN, C. (2001) Intrusion, attack, penetration - some issues. Information Systems Control Journal. Vol.6 BURNETTE, M. y GOMEZ, C. (2001) When Code red attacks: Addressing vulnerabilities behind virus hysteria. Information Systems Control Journal. Vol.6 ALTUNERGIL, O. (2001) Undertanding rootkits. Oreally Networks. Http://linux.oreillynet.com/lpt/a//linux/2001/12/14/rootkit.html MCHUGH, J., CHRISTIE, A. y ALLEN, J. (2001) Intrusion detection: Implementation and operational issues. CERT. Http://www.stsc.hill.af.mil/crosstalk/2001/jan/mchugh.asp FREDERICK, K. (2001) Studying Normal Traffic, Part Two: Studying FTP traffic. Http://www.securityfocus.com/focus/ids/articles/normaltraf2.html FREDERICK, K. (2001) Studying Normal Traffic, Part Three: TCP Headers. Http://www.securityfocus.com/focus/ids/articles/normaltraf3.html SPITZNER, L. (2000) Serie Know your Enemy. Http://www.enteract.com/ /~lspitz/papers.html
Referencias
NORTHCUTT, S. et al (2001) Intrusion Signatures and Analysis. SANS Giac. New Riders. NORTHCUTT, S y NOVAK, J. (2001) Deteccin de intrusos. Guia avanzada. 2da. Edicin. Prentice Hall. CHAPPELL, L. (2000) Advanced Network analysis techniques. Podbooks.com. STEVENS, R. (1994) TCP/IP Illustrated. Volume I: The protocols. Addison Wesley. GURLEY, R. (2000) Intrusion Detection. Macmillan Technical Publishing. ANOMINO. (2000) Linux Mxima Seguridad. Prentice Hall. NORTHCUTT, S. (1999) Network intrusion detection. An analysts handbook. New Riders. GOLLMAN, D. (1999) Computer security. John Wiley & Son. FEIT, S. (1998) TCP/IP. McGraw Hill. CHAPMAN, D. y Zwicky, E. (1997) Construya firewalls para internet. McGraw Hill. OReally. PFLEEGER, C. (1997) Security in computing. Englewood Cliffs, NJ: Prentice Hall. Segunda Edicin. MANDIA, K. y PROSISE, C. (2001) Incident Response. Investigation Computer Crime. McGraw Hill CASEY, E. (2000) Digital evidence and computer crime. Academic Press. CASEY, E. (Editor) (2002) Handbook of computer crime investigation. Academic Press. SCHULTZ, E. y SHUMWAY, R. (2002) Incident Response. A strategic guide to handling systems and network security breaches. New Riders.
Preguntas??
Gerentes pensativos?? Algn expediente X??
Administradores Agobiados??
Intrusos?? Profesores Preocupados??
Travesuras Informticas?? Estudiantes Disgustados??
44
Preparacin Forense de Redes
R.E.D.A.R Un modelo de anlisis

Jeimy J. Cano, M.Sc., Ph.D
Universidad de los Andes COLOMBIA jcano@uniandes.edu.co

Redar

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Redar

Hochgeladen von

Copyright:

Verfügbare Formate

Preparacin Forense de Redes

R.E.D.A.R Un modelo de anlisis

de permetro de Defensa Controlada

ocurre un incidente de seguridad * No se adelantan acciones legales

Inadecuado uso de los recursos legales Falta de evidencia

JCM-02 All rights reserved.

JCM-02 All rights reserved.

Presentacin del Modelo R.E.D.A.R

R.E.D.A.R - Vocablo que significa: Echar las redes

JCM-02 All rights reserved.

PREPARACIN FORENSE DE REDES

JCM-02 All rights reserved.

RED LNEA DE PERMETRO DEFENSA

JCM-02 All rights reserved.

JCM-02 All rights reserved.

JCM-02 All rights reserved.

number action source [Wild Card] any

* Source: Direccin IP para comparar

* Any: Cualquier direccin

* access-list 20 permit 192.168.1.0 0.0.0.255

JCM-02 All rights reserved.

JCM-02 All rights reserved.

efectuar esta accin es necesario utilizar la directiva

ip address 172.16.1.1 255.255.255.0 ip access-group 11 in

de lista de control de acceso EXTENDIDO

100 permit tcp any any gt 1023:

* Permite todo paquete TCP a puertos mayores de 1023

100 permit tcp any any eq 23:

PREPARACIN FORENSE DE REDES

JCM-02 All rights reserved.

Aplicando R.E.D.A.R - Aspectos bsicos a considerar

* Algunos eventos que deben ser analizados en el permetro

* Algunos eventos de inters

* Algunos eventos de inters

Advertencias de seguridad en routers Parches de seguridad

JCM-02 All rights reserved.

Aplicando R.E.D.A.R - Algunas Estrategias

* Registro de la actividades del Router

Ataques simulados a vulnerabilidades conocidas Pruebas de stress y resistencia de trfico.

JCM-02 All rights reserved.

JCM-02 All rights reserved.

Echo ACK request SYN URG PSH

JCM-02 All rights reserved.

JCM-02 All rights reserved.

Tomado de: Bace, R. (2000) An introduction to Intrusion Detection Assessment. ICSA.

Tomado de: Bace, R. (2000) An introduction to Intrusion Detection Assessment. ICSA.

Lnea de Defensa en detalle

JCM-02 All rights reserved.

Monitoreo de trfico - Conexiones * Aplicaciones internas * Nieras * Traduccin de direcciones

Adaptado de: Chapman y Zwicky. 1995

PREPARACIN FORENSE DE REDES

JCM-02 All rights reserved.

Aplicando R.E.D.A.R - Aspectos bsicos a considerar

* Algunos eventos que deben ser analizados en la Defensa

* Algunos eventos de inters

* Algunos eventos de inters

Configuracin de la mquina FW y sus protocolos Parches de seguridad

JCM-02 All rights reserved.

Aplicando R.E.D.A.R - Algunas Estrategias

* Algunos aspectos a considerar en la Defensa

Reglas y trfico de red malicioso Simulacin de ataques e incidentes.

JCM-02 All rights reserved.

Anlisis detallado del log