Академический Документы
Профессиональный Документы
Культура Документы
MECÁNICA Y ELÉCTRICA
UNIDAD CULHUACAN
SEMINARIO DE TITULACIÓN
“SEGURIDAD DE LA INFORMACIÓN”
TESINA
QUE PRESENTAN PARA OBTENER EL TÍTULO DE INGENIERO EN
COMUNICACIONES Y ELECTRÓNICA
ASESORES:
VIGENCIA: DES/ESIME-CUL-2008/23/1/09
2.1.1 Recolección.......................................................................................................................... 20
2.1.2 Examinación......................................................................................................................... 24
3.3.4 Comandos para ejecutar en el router para la recopilación de datos volátiles. .................... 46
Conclusiones ..................................................................................................................................... 69
Glosario ............................................................................................................................................. 72
Índice de Figuras
Figura Página
Tabla Página
OBJETIVOS ESPECÍFICOS
I
PLANTEAMIENTO DEL PROBLEMA
II
JUSTIFICACIÓN
los routers, además de las deficiencias que pudieran presentarse en la red o las
de servicios (DoS) desviar firewalls de red, IDS u otros servicios, lo cual puede
III
SEGURIDAD DE LA INFORMACIÓN.
CAPÍTULO I
MARCO TEÓRICO
1
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
2
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
En México, el código penal incluye un artículo que castiga, entre otros delitos, la
copia de software ilegal, el ataque a las comunicaciones, el robo de bases de
datos, obtención de códigos personales e información confidencial y el fraude
financiero.
3
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
Analizar los datos sin modificarlos: En este punto es crucial, es proteger las
evidencias físicas originales trabajando con copias idénticas de forma que
en caso de error se pueda recuperar la imagen original y continuar con el
análisis de forma correcta. Estas copias deben ser clones realizados bit a
bit del dispositivo original. Es básico realizar siempre un control de
integridad de la copia realizada antes de comenzar ningún análisis.
Un Log en un archivo.
Una cookie en un disco duro.
El tiempo de encendido de un sistema (uptime).
Un fichero en disco.
Un proceso en ejecución.
Archivos temporales.
Restos de instalación.
Medios de Almacenamiento (Un disco duro, pen-drive, etc.)
5
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
6
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
Esto se hace para no tener que utilizar las herramientas del sistema,
ya que pueden estar manipuladas y arrojar falsos positivos, lecturas
erróneas, entre otras.
7
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
8
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
Los datos del OS existe en ambos estados volátiles y no volátiles. Los datos no
volátiles se refieren a los datos que persisten incluso después de que un equipo se
apaga, como un sistema de ficheros almacenados en un disco duro.
Los datos volátiles se refieren a los datos en un sistema vivo que se pierden
después de que un ordenador es apagado, como las conexiones de red actuales y
del sistema. Muchos tipos de datos no volátiles y volátiles pueden ser de interés
desde la perspectiva forense.
9
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
10
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
Datos de los Archivos (Data File); Los datos de los archivos guardan
información para las aplicaciones. Ejemplos comunes de archivos de
datos son archivos de texto, documentos de procesamiento de
textos, entre otros. Además, cuando los datos se imprimen, la
11
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
12
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
13
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
15
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
16
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
17
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
CAPÍTULO II
18
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
19
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
2.1.1 Recolección
20
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
21
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
23
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
2.1.2 Examinación
24
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
2.1.3 Análisis
2.1.4 Documentación
25
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
2.2 Router
Los routers operan en la capa de red, registrando, grabando las diferentes redes y
eligiendo la mejor ruta para las mismas. Los routers colocan esta información en
una tabla de enrutamiento, que incluye los siguientes elementos:
Interfaz: Se refiere a la interfaz usada por el router para llegar a una red
dada. Ésta es la interfaz que será usada para enviar los paquetes de red
hacia un destino.
Debido a que los routers funcionan en la capa de red del modelo OSI, se utilizan
para separar segmentos en dominios de colisión y de difusión únicos. Cada
segmento se conoce como una red y debe estar identificado por una dirección de
red para que pueda ser alcanzado por un puesto final.
Además de identificar cada segmento como una red, cada puesto de la red debe
ser identificado también de forma unívoca mediante direcciones lógicas. Esta
26
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
Para que los routers puedan operar en una red, es necesario que cada tarjeta esté
configurada en una red única a la que ésta representa. El router debe tener
también una dirección de host en esa red.
Los routers intentan determinar la ruta más óptima a través de una red
enrutada basándose en algoritmos de enrutamiento.
Los routers separan las tramas de Capa 2 y envían paquetes basados en
direcciones de destino Capa 3.
Los routers asignan una dirección lógica de Capa 3 individual a cada
dispositivo de red; por tanto, los routers pueden limitar o asegurar el tráfico
de la red basándose en atributos identificables con cada paquete. Estas
opciones, controladas por medio de listas de acceso, pueden ser aplicadas
para incluir o sacar paquetes.
Los routers pueden ser configurados para realizar funciones tanto de
puenteado como de enrutamiento.
Los routers proporcionan conectividad entre diferentes LAN virtuales
(VLAN) en entornos conmutados.
27
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
Además de las ventajas que aporta su uso, los routers pueden utilizarse también
para conectar ubicaciones remotas con la oficina principal por medio de servicios
WAN. Los routers soportan una gran variedad de estándares de conectividad al
nivel de la capa física, lo cual ofrece la posibilidad de construir una WAN. Además,
pueden proporcionar controles de acceso y seguridad, que son elementos
necesarios cuando se conectan ubicaciones remotas.
28
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
29
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
30
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
32
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
33
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
Los registros del router se pueden mantener, tanto de forma remota en un servidor
de registro (por ejemplo, utilizando syslog) y en la memoria volátil RAM en el
dispositivo. La mayoría de los registros del router de Cisco se envían a la RAM, y
si se pierde la energía la información crítica se pierde también.
Un router está diseñado para transmitir paquetes entre redes diferentes. Además
de esto, puede actuar como un punto de control, filtrado de protocolos no
deseados, redes, y otros problemas de seguridad. Los routers también actúan
como una puerta de enlace entre las redes de área local (LAN) y redes de área
amplia (WAN). Por otra parte, los routers se utilizan a menudo como un eje para
los ataques de red.
Hay que mencionar que el acceso privilegiado a un router puede ser utilizado para
volver a configurar el router o provocar un ataque DoS. El control interactivo de los
inicios de sesión al router ayuda a prevenir estas y otras condiciones, también se
debe tener en cuenta porque motivos se ataca un router [11]. Los principales
motivos son los siguientes:
34
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
Para iniciar un análisis se tiene que tener en cuenta, basándose en los datos
relativos a la filosofía de trabajo del router, una metodología concreta, que
consiste en:
35
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
CAPÍTULO III
DESARROLLO E IMPLEMENTACIÓN
36
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
Puede conectarse a un router Cisco para recoger sus datos no volátiles a través
de la consola o el puerto AUX y en la red usando telnet, Secure Shell (SSH),
Hypertext Transfer Protocol (HTTP), o Hypertext Transfer Protocol sobre Secure
Sockets Layer (HTTPS).
Los router Cisco incluyen un puerto de consola serie asíncrono RJ-45 EIA/TIA-
232. Para conectar una PC y ejecutar un software de emulación de terminal
(HyperTerminal para Windows, GtkTerm para Linux) al puerto de consola, se
utiliza un cable totalmente cruzado (rollover) RJ-45 a RJ-45 con un adaptador
hembra RJ-45 a DB-9.
9600 baudios
8 bits de datos
Sin paridad
1 bit de parada
Sin control de flujo
37
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
38
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
Los routers Cisco utilizar los siguientes tipos de memoria, y esto puede ayudar en
la clasificación de los datos volátiles y no a los efectos de un análisis forense [7]:
Se define que los datos no volátiles son los que se almacenan en la memoria flash
y en la NVRAM. Por lo tanto, en un examen de los datos no volátiles en un router
Cisco, se estará interesado principalmente en la obtención de la copia de la IOS
de la memoria flash y una copia de la configuración almacenada de NVRAM. Sin
embargo, en la recopilación y análisis de los datos volátiles del router, hay algunos
datos volátiles que también deben ser recogidos que ayudan en la autenticación
de los datos no volátiles que se toman del router.
39
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
En la tabla 3.1 se describen algunos de los comandos útiles básicos para modos
usuario y privilegiado que se utilizan para verificar, copiar y eliminar la
configuración del router.
Show versión Para ver el estado del hardware y software del router.
Show ip route
Para ver la tabla de enrutamiento IP del router.
40
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
Otros archivos, como los que soportan el CRWS (The Cisco Router
Web Setup tool) o el más reciente SDM (Security Device Manager)
también se pueden copiar. Sin embargo, para autenticar los datos no
41
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
show versión
Para ver la versión del IOS.
42
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
43
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
44
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
45
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
46
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
47
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
48
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
show versión
Para ver el estado del hardware y software del router.
show reload
Muestra el estado de reinicio en el router.
show ip route
Muestra la tabla de enrutamiento que utiliza el router.
show interfaces
Muestra estadísticas para la/las interfaces indicadas
show logging
Muestra los logs generados y almacenados en memoria.
49
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
50
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
CAPÍTULO IV
PRUEBAS Y RESULTADOS
51
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
52
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
de una PC a otra, a través del switch, el router y la red WAN (Red de Área
Amplia).
Así pues el problema se centra en que existe una desconexión aparentemente sin
causa, y que provoca que un router tenga que reiniciarse. En la siguiente Figura
4.2 se muestra una gráfica del comportamiento del tráfico donde se ve claramente
una pérdida de conexión.
53
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
El análisis forense se centra en el análisis de los datos que son guardados en los
router siendo esto de tipo no volátil y de tipo volátil, sin embargo, dependiendo de
la configuración de los router se puede limitar la cantidad de comandos que se
puedan usar, y además de las políticas que se tengan dentro de una empresa.
También se debe considerar que tan posible es obtener los datos del router, si no
es posible acceder a ellos de manera física por el puerto consola.
Ante todas estas consideraciones, el análisis forense sobre routers se verá dirigido
a una problemática presentada en una empresa, dado que existen perdidas de
conexión en determinados horarios y por determinados tiempos. Es decir, por un
tiempo se genera una denegación de servicios, y por dicho problema se necesita
analizar los datos del router que genera la denegación de servicio, obteniendo así
la información que revela que existió una pérdida de conexión. En la siguiente
Tabla 4.1 se muestran que comandos pudieron ser utilizados para el análisis
forense:
copy running-config
Para copiar la configuración actual a un servidor tftp
tftp
show version Para ver el estado del hardware y software del router.
54
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
55
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
show ip sockets Mostrar el tráfico que pasa por el router, para mostrar
las estadísticas relativas a los protocolos, y ver en qué
show tcp brief all puertos del router está escuchando.
56
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
Los comandos se vieron limitados por la configuración del router, sin embargo la
información que se obtuvo puede ser la necesaria para conocer el comportamiento
del router en el instante mostrado en la gráfica de la figura 4.2, donde se muestra
en tiempo una pérdida de conexión. Dado que no todos los datos obtenidos son
necesarios para analizar lo ocurrido, se debe realizar una examinación, para poder
minimizar el trabajo en el análisis de dichos datos, es decir, revisar la información
que nos otorgan los comandos ejecutados, y poder conocer si estos nos
proporcionan la información necesaria para saber que ocurrió.
57
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
todos los comandos que se muestran puedan ser al final del análisis, totalmente
necesario.
El comando show interface, permite darse cuenta de las interfaces que están en
uso y su descripción y por ello es posible determinar la utilidad de la comunicación
entre diferentes ubicaciones. Y junto a esto se puede obtener información sobre
los protocolos que se están utilizando, esto con el comando show ip protocols.
En cuanto a la información que puede ser útil en el análisis considerando que
existe algún tipo de ataque que genere la desconexión es la proporcionada por el
comando show ip sockets, esto es porque nos indica las conexiones establecidas
con puntos remotos y puntos locales sugiriendo así la existencia de alguna
conexión establecida posterior al reinicio.
En el caso del tráfico generado este puede ser visualizado con el comando show
ip cache flow, esto nos permite suponer si es que existe un ataque y si está aun
activo, es decir, que a pesar de que existe una pérdida de conexión, cabe la
58
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
El comando show stacks que es usado comúnmente para saber la causa del
reinicio del router, sin embargo la información que este comando proporciona se
puede perder, es decir, que la información puede ser considerada como volátil y
que aunque es de utilidad para conocer la causa del último reinicio del router, no
se tiene certeza que la información esté disponible.
Una forma sencilla de conocer si los datos guardados en el router han sido
dañados, es observando show data-corruption que es parte de la información que
el comando show tech-support5 proporciona.
60
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
61
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
Un control sobre el proceso del análisis forense es el tiempo, por ello se utilizo el
comando show clock, con el cual conocemos la hora y la fecha de cuando
comenzó la recolección de los datos.
62
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
63
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
64
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
Y que posterior esta la información sobre las demás interfaces, por ejemplo:
65
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
Gracias a las posibilidades del comando se obtuvo las estadísticas del uso del
procesador del router, esto se muestra en la siguiente figura 4.5:
66
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
334333435333336333333543333533333363333363333353333353433363
100
90
80
70
60
50
40
30
20
10 * * * * * * * * *
0....5....1....1....2....2....3....3....4....4....5....5....6
0 5 0 5 0 5 0 5 0 5 0
(B) * = maximum CPU% # = average CPU% CPU% per minute (last 60 minutes)
4 7 9
6666666666666666666667666666666666563666666666657666669
100 *
90 *
80 * *
70 * *
60 * *
50 * *
40 * * *
30 * * *
20 * * *
10 *******************************************************
0....5....1....1....2....2....3....3....4....4....5....5....6....6....7..
0 5 0 5 0 5 0 5 0 5 0 5 0
(C) CPU% per hour (last 72 hours)* = maximum CPU% # = average CPU%
67
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
Las estadísticas proporcionadas son las que reflejan el uso del procesador del
router, es decir, cuando es que hubo un uso excesivo y un uso estable del
procesador, es importante conocer esto ya que se puede saber en qué intervalo
de tiempo ocurrió un máximo uso del procesador, esto es porque así se puede
determinar qué fue lo que ocasionó la perdida de conexión, y si es que fue un
ataque o solamente una saturación de la capacidad del router.
No resulta difícil determinar que el reinicio fue causado por el exceso de uso del
procesador, algo que ya se había planteado desde antes, pero que se comprueba
con las estadísticas del uso de procesador.
68
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
CONCLUSIONES
Con la información analizada que fue obtenida del router es posible concluir que la
perdida de conexión fue causada por un uso excesivo del procesador del router,
es decir, que por alguna razón se saturo el mismo y causo una pérdida de
conexión.
Pero ligado a esto tenemos también que agregar las políticas que tiene la empresa
en cuanto a cómo se debe actuar respecto a este tipo de problemáticas, y si bien
esto es un aspecto importante por el tiempo que duro la falta de transmisión y
recepción de datos.
69
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
70
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
Referencias Bibliográficas
[6] Cisco Systems, Cisco Router and Switch Forensics: Investigating and
Analyzing Malicious Network Activity, 2009. [Páginas consultadas:15 a 38].
[7] Cisco Systems, Cisco Router and Switch Forensics: Investigating and
Analyzing Malicious Network Activity, 2009. [Paginas consultadas:262 a 303].
[8] https://www.cisco.com/en/US/products/ps5875/prod_view_selector.html
71
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
GLOSARIO
Memoria caché: Pequeña porción de memoria que sirve para almacenar algunos
datos temporalmente.
CRWS (The Cisco Router Web Setup tool): Proporciona una interfaz gráfica de
usuario (GUI) para la configuración de la serie Cisco SOHO y router de la serie
8OO, permitiendo a los usuarios configurar sus routers de forma rápida y sencilla.
72
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
73
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
SEGURIDAD DE LA INFORMACIÓN.
74
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO