Instituto Politécnico Nacional: "Análisis Forense Sobre Enrutador Cisco"

INSTITUTO POLITÉCNICO NACIONAL
ESCUELA SUPERIOR DE INGENIERÍA
MECÁNICA Y ELÉCTRICA
UNIDAD CULHUACAN
SEMINARIO DE TITULACIÓN
“SEGURIDAD DE LA INFORMACIÓN”
“ANÁLISIS FORENSE SOBRE ENRUTADOR CISCO”
TESINA
QUE PRESENTAN PARA OBTENER EL TÍTULO DE INGENIERO EN
COMUNICACIONES Y ELECTRÓNICA
MUÑOZ GÓMEZ FRANCISCO SALVADOR
SÁNCHEZ CANALES EDUARDO
ASESORES:
DR. GABRIEL SÁNCHEZ PÉREZ
DR. ANTONIO CASTAÑEDA SOLÍS
VIGENCIA: DES/ESIME-CUL-2008/23/1/09
México, D. F., Abril del 2010

Índice General
Objetivo General................................................................................................................................... I
Objetivos Específicos ........................................................................................................................... I
Planteamiento del Problema ............................................................................................................... II
Justificación ........................................................................................................................................ III
Capítulo I Marco Teorico ..................................................................................................................... 1
1.1 La seguridad informática y sus rezagos. ....................................................................................... 2
1.2 Análisis forense de sistemas. ....................................................................................................... 3
1.2.1 Evidencia digital ..................................................................................................................... 4
1.2.2 Tipo de herramientas ............................................................................................................. 7
1.2.3 Tipos de copia del sistema .................................................................................................... 7
1.3 Utilizando los datos de los sistemas operativos............................................................................ 8
1.3.1 Datos no volátiles .................................................................................................................. 9
1.3.2 Datos volátiles ...................................................................................................................... 13
1.4 Definición de denegación de servicios dos ................................................................................. 16
Capítulo II Procedimientos en el análisis forense ............................................................................. 18
2.1 Las fases del análisis forense digital. .......................................................................................... 19
2.1.1 Recolección.......................................................................................................................... 20
2.1.2 Examinación......................................................................................................................... 24
2.1.3 Análisis ................................................................................................................................. 25
2.1.4 Documentación .................................................................................................................... 25
2.2 Router .......................................................................................................................................... 26
2.2.1 Cisco IOS ............................................................................................................................ 28

2.2.2 Modos de configuración ....................................................................................................... 29
2.2.3 Componentes router. ........................................................................................................... 31
2.4 Obtención de información de routers .......................................................................................... 33
Capítulo III Desarrollo e implementación .......................................................................................... 36
3.1 Conectarse a un router cisco ...................................................................................................... 37
3.2 Procedimientos de obtención de datos no volátiles del router .................................................... 39
3.2.1 Comandos a ejecutar sobre el router .................................................................................. 41
3.3 Procedimientos en la recopilación de datos volátiles ................................................................. 45
3.3.1 El uso de tftp (trivial file transfer protocol ) ......................................................................... 46
3.3.2 Los archivos de configuración y sus estados ..................................................................... 46
3.3.3 Creación de un conjunto de scripts .................................................................................... 46
3.3.4 Comandos para ejecutar en el router para la recopilación de datos volátiles. .................... 46
Capítulo IV: Pruebas y resultados ..................................................................................................... 51
4.1 Esquema de funcionamiento ....................................................................................................... 52
4.2 Limitaciones en la recopilación de datos. ................................................................................... 54
4.3 Examinación de los datos recolectados ...................................................................................... 57
4.3.1 Equipo objetivo de análisis ................................................................................................. 59
4.4 Análisis de los datos recolectados .............................................................................................. 62
Conclusiones ..................................................................................................................................... 69
Referencias Bibliográficas ................................................................................................................. 71
Glosario ............................................................................................................................................. 72
Índice de Figuras
Figura Página
Figura 2.1 Fases del análisis forense digital................................................................19
Figura 2.2 Requerimientos de los datos......................................................................21
Figura 2.3 Modos de configuración.............................................................................29
Figura 2.4 Componentes del router.............................................................................33
Figura 3.1 Hyperterminal en la lista de programas......................................................38
Figura 3.2 Ejecutar hyperterminal................................................................................38
Figura 4.1. Esquema de funcionamiento para el análisis……………………................52
Figura 4.2. Gráfica donde se muestra una pérdida de conexión………......................53
Figura 4.3 fotografia de router cisco 1841…………………………………..…..............61
Figura 4.4 Tiempo de la pérdida de conexión………………………………..…............64
Figura 4.5 Estadísticas sobre el uso del procesador en
(a) segundos, (b) minutos (c) por horas…………………………………….….............67

Índice de Tablas
Tabla Página
Tabla 3.1 Comandos para la obtención de información no volátil.........................40
Tabla 3.2 Comandos para autenticar datos no volátiles........................................42
Tabla 3.3 Comandos para la obtención de información volátil...............................48
Tabla 4.1 Comando utilizados……………………………………….…………….......54

OBJETIVO GENERAL
Comprobar si la información guardada en un router (Cisco) es la necesaria para

comprometer su seguridad y la de la red que se encarga, y si puede implicar a
otros routers, considerando la posibilidad de un ataque que modifique su
configuración y afecte a los equipos conectados a ellos y sus usuarios.
OBJETIVOS ESPECÍFICOS
 Obtener la información contenida en un router.
 Analizar la información obtenida.
 Encontrar las vulnerabilidades o servicios por los que se ha podido
comprometer la seguridad del router.
I
PLANTEAMIENTO DEL PROBLEMA
Los ataques a la seguridad de los routers para provocar acciones indebidas en

el mismo o en los que están comunicados con él, cada vez son más comunes
ante la posibilidad de ser ataques que no pueden ser detectados con facilidad
desde un equipo de cómputo por un usuario común, y tampoco por algún
antivirus.
Los ataques se realizan más comúnmente con aplicaciones que no son

descargadas al equipo de cómputo, y tratan de configurar al router para
provocar acciones no deseadas pero que benefician al atacante, como el
entregarle información personal de los usuarios.
Además es necesario conocer si la información guardada por el router sobre la

estructura de la red a la que atiende, puede comprometer la seguridad de los
equipos y permitir al atacante permisos para entrar a la red pasando encima de
los demás dispositivos encargados de la seguridad y provocar la pérdida de
información o la extracción de información de carácter confidencial.
II
JUSTIFICACIÓN
Los casos encontrados en México provocan el estudio de las vulnerabilidades en
los routers, además de las deficiencias que pudieran presentarse en la red o las
redes en que se encuentren conectados.
Dichas vulnerabilidades han permitido que se presenten ataques de denegación
de servicios (DoS) desviar firewalls de red, IDS u otros servicios, lo cual puede
afectar directamente a los usuarios de cada equipo y la información de cada uno
de ellos y poder ser usada para realizar actos no deseados.
III
SEGURIDAD DE LA INFORMACIÓN.
CAPÍTULO I
MARCO TEÓRICO
1
ANALISIS FORSENSE SOBRE ENRUTADOR CISCO
1.1 La seguridad informática y sus rezagos.
En los últimos años la seguridad cibernética ha comenzado a cobrar relevancia en

todo el mundo. Esto se debe a la aparición y auge de los delincuentes
informáticos, quienes son conocidos por usar su conocimiento con fines
maliciosos, antimorales e incluso bélicos, y por introducirse ilegalmente a redes, a
sistemas gubernamentales y robar información, entre otros ilícitos [1].
Este asunto de la seguridad informática preocupa a cualquier empresa financiera,

de energía y electricidad, seguidas de las organizaciones no lucrativas,
telecomunicaciones y de alta tecnología, quienes son el blanco de numerosos
ataques de virus y fraudes cibernéticos, que cada año les generan pérdidas
millonarias.
Entre los delitos más comunes están:
 El robo de bases de datos.

 La obtención de códigos personales e información confidencial.
 El fraude financiero.
 El espionaje corporativo e industrial.
 El hurto de números de cuentas bancarias.
En cuanto a la situación penal, los crímenes cibernéticos ya están tipificados como

delitos federales en 50 entidades de Estados Unidos. Y lo que se hace para
asegurar la información de los usuarios en varias uniones de crédito, es que los
directivos de las instituciones financieras, firmen cada año un documento legal
2
donde garantizan que su empresa cuenta con los sistemas de seguridad

informática para cuidar su capital y el de sus clientes.
En México, el código penal incluye un artículo que castiga, entre otros delitos, la
copia de software ilegal, el ataque a las comunicaciones, el robo de bases de
datos, obtención de códigos personales e información confidencial y el fraude
financiero.
1.2 Análisis Forense de Sistemas.
El Análisis Forense de Sistemas comprende el proceso de recolección,

examinación, análisis y reporte de las evidencias digitales de forma que sean
legalmente aceptadas en cualquier proceso legal (por ejemplo: un juicio) [2].
Las técnicas y principios que facilitan la investigación del delito y su metodología

básica consiste en:
 Adquirir las evidencias sin alterar ni dañar el original: La forma ideal de

examinar un sistema consiste en detenerlo y examinar una copia de los
datos originales, es importante tener en cuenta que no se puede examinar
un sistema presuntamente comprometido utilizando las herramientas que
se encuentran en dicho sistema pues estas pueden estar afectadas. La
Cadena de Custodia documenta el proceso completo de las evidencias
durante la vida del caso, quién la recogió y donde, quien y como la
almacenó, quién la procesó etc.
3
Cada evidencia deberá ser identificada y etiquetada a ser posible en

presencia de testigos, con el número del caso, una breve descripción, la
firma y la fecha en que fue recogida.
 Comprobar (Autenticar): que las evidencias recogidas y que van a ser la

base de la investigación, son idénticas a las abandonadas por el
delincuente en la escena del crimen. Las técnicas y herramientas de control
de integridad, que mediante la utilización de la función hash constituyen una
ayuda básica generando una huella electrónica digital de un fichero o un
disco completo.
 Analizar los datos sin modificarlos: En este punto es crucial, es proteger las
evidencias físicas originales trabajando con copias idénticas de forma que
en caso de error se pueda recuperar la imagen original y continuar con el
análisis de forma correcta. Estas copias deben ser clones realizados bit a
bit del dispositivo original. Es básico realizar siempre un control de
integridad de la copia realizada antes de comenzar ningún análisis.
1.2.1 Evidencia digital
Uno de los pasos a tener en cuenta en toda investigación consiste en

la captura de las evidencias. La evidencia es toda información que se
puede procesar en un análisis. Al final del análisis de las evidencias
lo único es saber con la mayor exactitud qué fue lo que ocurrió [3].
Como evidencia tenemos lo siguiente:
 El último acceso a un fichero o aplicación (unidad de tiempo).

4
 Un Log en un archivo.
 Una cookie en un disco duro.
 El tiempo de encendido de un sistema (uptime).
 Un fichero en disco.
 Un proceso en ejecución.
 Archivos temporales.
 Restos de instalación.
 Medios de Almacenamiento (Un disco duro, pen-drive, etc.)
Las buenas prácticas en la toma y análisis de los datos es el primer

paso de cualquier análisis forense. Deben explicar con la mayor
exactitud posible qué ha ocurrido, qué se llevaron o intentaron llevar
y cuándo ocurrió.
También se tiene que recoger información sobre la organización,

casa, etc. Se debe obtener información sobre la topología de red, el
tipo de escenario y los sistemas afectados, y de gente directa o
indirectamente implicada.
La cuestión sobre apagar el equipo al tomar la evidencia es tal que

podemos presentarnos con dos casos. El primero es el de no apagar
el equipo, ya que se podrán ver todos los procesos en ejecución, los
consumos de memoria, las conexiones de red, los puertos abiertos,
los servicios que corren en el sistema, por mencionar algunos.
Pero se corre el riesgo de comprometer a toda la red. Si no se apaga

el sistema tendremos que controlar este aspecto de la seguridad, y
5
aislarlo completamente de la red, lo cual llega a ser prácticamente

imposible en determinados escenarios.
También se presenta el problema de apagar el equipo, donde se

perderá información volátil que puede ser esencial para el curso de la
investigación. La parte mala de esta situación es que el sistema, al
poder estar contaminado, éste puede ocultar la información.
Las evidencias digitales presentan una serie de ventajas sobre otros

conjuntos de evidencias físicas.
Estas ventajas son:
 Pueden ser duplicadas de forma exacta, de esta forma puede

examinarse la copia como si fuera el original. Si alguien
intenta destruir las evidencias, se pueden tener copias
igualmente válidas lejos del alcance del criminal.
 Con la utilización de herramientas adecuadas es fácil

determinar si la evidencia ha sido modificada o falsificada
comparándola con la original.
 Es relativamente difícil destruir una evidencia digital. Incluso

borrándola puede ser recuperada del disco.
6
1.2.2 Tipo de Herramientas
Una de las cosas más importantes a la hora de realizar un análisis

forense es la de no alterar el escenario a analizar. Esta es una tarea
prácticamente imposible, porque como mínimo, se altera la memoria
del sistema al utilizar cualquier herramienta.
Las herramientas que se utilizan deben de ser lo menos intrusivas en

el sistema, de ahí que no se usen comúnmente las herramientas
gráficas, las que requieren instalación, las que escriben en el
registro, etc. Lo normal y lógico sería utilizar herramientas ajenas al
sistema comprometido, ya sean herramientas guardadas en
cualquier soporte (CD-ROM, USB, como otras).
Esto se hace para no tener que utilizar las herramientas del sistema,
ya que pueden estar manipuladas y arrojar falsos positivos, lecturas
erróneas, entre otras.
1.2.3 Tipos de Copia del Sistema
En el caso de que se pueda realizar, lo ideal sería hacer más de una

copia de seguridad. Una de ellas se podría guardar herméticamente
junto con algún sistema de fechado digital.
7
Otra copia la podría guardar algún responsable de la compañía

afectada, y una copia se destinaría a trabajar sobre ella. En el caso
que sea posible, la imagen obtenida se podría montar sobre
hardware similar al de la máquina afectada. Se destacan los
siguientes aspectos:
 La copia que se realice debería ser lo más exacta posible.

 Si es posible, crear varias copias de seguridad.
 Una de ellas se guardará herméticamente, para aislarla de
todo tipo de agente exterior.
 De ser posible se fecharán digitalmente y sobre el papel.
 En el caso que sea posible, la imagen obtenida se montara
sobre hardware similar.
1.3 Utilizando los datos de los sistemas operativos.
Un sistema operativo (OS) es un programa que se ejecuta en un ordenador y

proporciona una plataforma de software en el que otros programas puedan
ejecutarse. Además, un sistema operativo es responsable de procesar los
comandos de entrada de un usuario, el envío de salida a una pantalla, interactuar
con los dispositivos de almacenamiento para recuperar y almacenar datos, y
controlar dispositivos periféricos tales como impresoras y módems.
Algunos sistemas operativos comunes para estaciones de trabajo o servidores

incluyen varias versiones de Windows, Linux, UNIX y Mac OS. Algunos
dispositivos de red, tales como routers, tienen sus propios sistemas operativos por
8
ejemplo, IOS de Cisco (Internetwork Operating System). PDAs a menudo corren

sistemas operativos especializados, entre ellos PalmOS y Windows CE. Muchos
sistemas integrados, como en teléfonos celulares, cámaras digitales y
reproductoras de audio.
Los datos del OS existe en ambos estados volátiles y no volátiles. Los datos no
volátiles se refieren a los datos que persisten incluso después de que un equipo se
apaga, como un sistema de ficheros almacenados en un disco duro.
Los datos volátiles se refieren a los datos en un sistema vivo que se pierden
después de que un ordenador es apagado, como las conexiones de red actuales y
del sistema. Muchos tipos de datos no volátiles y volátiles pueden ser de interés
desde la perspectiva forense.
1.3.1 Datos no volátiles
La principal fuente de datos no volátiles en un sistema operativo, es

el sistema de archivos (filesystem). El sistema de archivos suele ser
también la más grande y rica fuente de datos en el sistema operativo,
que contiene la mayor parte de la información recuperada durante un
evento típico forense.
Se puede tener una gran variedad de archivos dentro del filesystem,

además de importantes los datos residuales se pueden recuperar
desde el espacio del sistema de archivos no utilizado. Existen varios
tipos de datos que se encuentran comúnmente en sistemas de
archivos, mencionados como sigue:
9
Los archivos de configuración: El sistema operativo puede almacenar

archivos de configuración del sistema. Por ejemplo, los archivos de
configuración podrían enumerar los servicios que se inicia
automáticamente después de cargar el sistema. Incluso los usuarios
podrían generar modificaciones a las configuraciones de la
aplicación.
 Usuarios y grupos: El sistema operativo mantiene un registro

de las cuentas de usuarios y grupos. La información de la
cuenta puede incluir: nombre, descripción, permisos, estado
de cuenta (por ejemplo: usuarios activos, personas con
discapacidad).
 Contraseña de archivos: El sistema operativo puede
almacenar hashes de contraseñas. Diversas utilidades se
pueden utilizar para convertir un hash de la contraseña a su
equivalente en texto claro.
 Los trabajos programados: El sistema operativo mantiene una
lista de tareas programadas que se realizarán de forma
automática a una hora determinada.
Registros: Los archivos de registro contienen información sobre

diversos eventos, incluso encontramos log´s de eventos de
aplicaciones específicas. Los tipos de información que se encuentran
típicamente en los registros de sistema operativo son los siguientes:
10
 Eventos del sistema: Los sucesos del sistema son las

acciones operativas realizadas por los componentes del
sistema operativo, como apagar el sistema o iniciar un
servicio.
 Los registros de auditoría: Contienen información de eventos
de seguridad tales como los intentos de autenticación con
éxito y fracaso en los cambios de política y de seguridad.
 Eventos de aplicación: Son importantes las acciones
operativas realizadas por aplicaciones, como el inicio y su
finalización, errores de aplicación, y los cambios de
configuración.
 Historial de comandos: Algunos sistemas operativos tienen los
archivos de registro por separado (por lo general para cada
usuario) que contienen un historial de los comandos de
sistema operativo realizados por cada usuario.
 Archivos accedidos recientemente: Un sistema operativo
podría registrar los accesos más recientes a los archivos
creando una lista de los accesos.
Archivos de aplicación: Las solicitudes pueden estar compuestas de
muchos tipos de archivos, incluyendo los ejecutables, scripts,
documentación, archivos de configuración, archivos de registro,
archivos de historial, gráficos, sonidos e iconos.
Datos de los Archivos (Data File); Los datos de los archivos guardan
información para las aplicaciones. Ejemplos comunes de archivos de
datos son archivos de texto, documentos de procesamiento de
textos, entre otros. Además, cuando los datos se imprimen, la
11
mayoría de sistemas operativos crea uno o más archivos temporales

de impresión que contienen la versión lista para imprimir.
Archivos de volcado (Dump files): Algunos sistemas operativos tienen

la capacidad de almacenar el contenido de la memoria de forma
automática durante una condición de error para ayudar en la solución
de problemas posteriores. El archivo que contiene el contenido de la
memoria almacenada es conocido como un archivo de volcado.
Archivos de hibernación: Un archivo de hibernación se creó para

preservar el estado actual de un sistema (normalmente un portátil)
mediante el registro de la memoria y los archivos abiertos antes de
apagar el sistema. Cuando el sistema está próximo encendido, se
restaura el estado del sistema.
Archivos temporales: Durante la instalación de una aplicación de

sistema operativo, o actualizaciones de aplicaciones, se crean a
menudo los archivos temporales. A pesar de estos archivos se
suelen borrar al final del proceso de instalación, esto no siempre
ocurre.
Además, se crean archivos temporales cuando se ejecutan múltiples

aplicaciones, de nuevo, estos archivos son eliminados cuando se
termina la aplicación, pero esto no siempre sucede. Los archivos
temporales podrían incluir copias de otros archivos en el sistema, los
datos de aplicación, u otra información.
12
1.3.2 Datos volátiles
Slack space: El espacio residual de memoria es mucho menos

determinado que el espacio residual de archivos. Por ejemplo, un
sistema operativo en general, administra la memoria en unidades
conocidas como páginas o bloques, y los asigna al tener solicitudes.
A veces, aunque la solicitud no puede pedir una unidad completa, se
da una de todos modos.
Los datos residuales, podría residir en la unidad de memoria

asignada a una aplicación, aunque puede que no sea accesible por
la aplicación. Para obtener un rendimiento y eficiencia, algunos
sistemas operativos pueden variar el tamaño de las unidades
asignadas, esto tiende a dar lugar a espacios de menor capacidad de
espacio residual.
Espacio Libre: Páginas de memoria son asignadas y se cancela la

asignación muy similar a grupos de archivos. Cuando no están
asignados, las páginas de memoria se han recogido en un fondo
común del proceso de paginas disponibles esto se refiere a menudo
como la recolección de basura.
No es raro que los datos residuales residan en estas páginas de

memoria reutilizables, que son análogas a las agrupaciones de
archivo no asignado.
13
Dentro de un sistema operativo existen diferentes tipos de datos

volátiles, estos son:
 Configuración de red: Las redes son de carácter dinámico. Por

ejemplo, a muchos hosts se les asignan el Protocolo de
Internet (IP) de forma dinámica por otro host, lo que significa
que sus direcciones IP no son parte de una configuración
almacenada. Muchos ordenadores también tienen múltiples
interfaces de red definidos, tales como cableado, servicio
inalámbrico, red privada virtual (VPN), la configuración de la
red actual indica que las interfaces están actualmente en uso.
Los usuarios también pueden modificar las configuraciones de
interfaz de red, tales como cambiar manualmente las
direcciones IP. En consecuencia, los analistas deben utilizar la
configuración de red actual, no la configuración almacenada,
siempre que sea posible.
 Conexiones de red: El sistema operativo facilita conexiones

entre el sistema y otros sistemas. La mayoría de sistemas
operativos puede proporcionar una lista de las actuales
conexiones de red entrante y saliente, y algunos sistemas
operativos pueden listar las conexiones recientes. La mayoría
de los sistemas operativos también puede proporcionar una
lista de los puertos y las direcciones IP en la que el sistema
está a la escucha para las conexiones.
 Procesos en ejecución: Los procesos son los programas que

se están ejecutando actualmente en un equipo. Los procesos
14
incluyen los servicios ofrecidos por el sistema operativo y las

aplicaciones se ejecutan por los administradores y usuarios.
La mayoría de los sistemas operativos ofrecen maneras de ver
una lista de los procesos actualmente en ejecución. Identificar
los procesos en ejecución también es útil para saber qué
programas deben estar en ejecución, pero se han desactivado
o eliminado, como el software antivirus y cortafuegos.
 Archivos abiertos: Los sistemas operativos pueden mantener

una lista de archivos abiertos, que normalmente incluye el
usuario o proceso para abrir cada archivo.
 Nombre de Sesiones: Sistemas operativos suelen mantener

información de los registros sobre los usuarios firmados (y el
tiempo de inicio y la duración de cada período de sesiones),
previo inicio de sesión de éxito y fracaso, el uso privilegiado e
impersonal (máximos privilegios). Sin embargo, la información
de sesión de acceso podría estar disponible sólo si el equipo
se ha configurado para auditar los intentos de inicio de sesión.
Los registros de inicio de sesión puede ayudar a determinar
los hábitos de uso del usuario sobre el equipo y confirmar si
una cuenta de usuario se activa y cuando se produjo un
acontecimiento determinado.
 Tiempos del Sistema Operativo: El sistema operativo mantiene

la hora actual y guarda los horarios de verano y zona horaria.
Esta información puede ser útil en la construcción de una línea
15
de tiempo de los hechos o la correlación de eventos entre los

diferentes sistemas.
1.4 Definición de Denegación de Servicios DoS
La definición es tomada de la publicación 800-61 del NIST [4]. Una denegación de

servicio (DoS) es una acción que impida o perjudique el uso autorizado de las
redes, sistemas o aplicaciones por agotamiento de los recursos, como las
unidades de procesamiento central (CPU), memoria, ancho de banda y espacio en
disco. Exitosamente se llevaron a cabo ataques DoS contra conocidos sitios Web,
lo que hizo que no estuviera disponibles para los usuarios, han recibido amplia
atención de los medios desde finales de 1990. Otros ejemplos de ataques DoS se
incluye:
 Uso de todo el ancho de banda de red disponible mediante la generación

inusual de grandes volúmenes de tráfico.
 Envió de paquetes TCP/IP malformados a un servidor para que su sistema
operativo falle.
 Envío de peticiones ilegales a una aplicación para bloquearla.
 Hacer muchas peticiones de manera repetitiva para que los recursos de
procesamiento del servidor sean totalmente consumidos (por ejemplo, las
solicitudes que requieren que el servidor cifre cada respuesta).
 Establecimiento de muchos inicios de sesión simultáneo a un servidor para
que otros usuarios no puedan iniciar sesiones.
 El consumo de todo el espacio disponible en disco mediante la creación de
muchos archivos de gran tamaño.
16
Precursores de denegación de servicios. Los ataques DoS son a menudo

precedidos por la actividad de reconocimiento (por lo general, un bajo volumen de
tráfico que serán utilizados en el ataque real) para determinar que los ataques
pueden ser efectivos. En respuesta a esto. Si se detecta cualquier actividad
inusual que parece ser la preparación para un ataque de denegación, la
organización puede ser capaz de bloquear el ataque modificando rápidamente su
postura de seguridad, por ejemplo, conjuntos de reglas de cortafuegos para
impedir la alteración de un protocolo particular que se utilice o proteger a un
huésped vulnerable.
17
CAPÍTULO II
PROCEDIMIENTOS EN EL ANÁLISIS FORENSE
18
2.1 Las fases del análisis forense digital.
El proceso de análisis forense digital se puede dividir en 4 fases principales como

se observa en la Figura 2.1, recolección, examinación, análisis y reporte. Las
cuales pueden ser llamadas de diferente manera o ser más de las que se
mencionan, pero que se establecerán como la base para el desarrollo del análisis
forense informático en la presente investigación. De manera que son tomadas del
Instituto Nacional de Estándares y Tecnología (National Institute of Standards and
Technology), llamada Guía para la integración de técnicas forenses en la
respuesta de incidentes [5] en su publicación especial 800-68, y de la publicación
de Cisco Systems, Cisco Router and Switch Forensics [6].
Figura 2.1. Fases del Análisis Forense Digital
19
2.1.1 Recolección
El hacer una copia total de los datos en un medio de

almacenamiento, es la práctica más usual en el análisis forense
digital, se trata de realizar una copia bit por bit, es decir una copia
exacta de los datos.
Los datos que son copiados no deben ser alterados, ya que

normalmente se trabaja con dicha copia y no directamente sobre el
medio de almacenamiento, lo cual sugiere realizar varias copias de
los datos obtenidos, y así poder tener una copia que sería tratada
como la original, y que puede ser analizada. En caso de que exista
alguna modificación en la copia por el análisis, se tenga siempre
disponible una copia con todos los datos en un estado inalterado.
Una manera de comprobar que no se ha alterado la copia de los

datos, es usando algoritmos hash, los cuales nos darán una pieza
pequeña de información sobre la integridad de la copia, es decir, al
usar el algoritmo en una copia de los datos, y el mismo algoritmo en
los datos originales, y el resultado coincide, se considerara que no se
ha alterado la copia, o que en el proceso de realizar la copia no se
modifico alguna parte de la misma.
20
Figura 2.2. Requerimientos de los datos.
Cuando se trata de la recolección de la evidencia digital se deben

considerar los siguientes requerimientos, como se muestra en la
Figura 2.2. para la identificación de posibles fuentes de datos. El uso
cada vez más generalizado de la tecnología digital tanto para fines
profesionales y personales ha dado lugar a una abundante fuente de
datos. Las fuentes más evidente y común de los datos son las
computadoras de escritorio, servidores, dispositivos de
almacenamiento de red y las computadoras portátiles y las posibles
fuentes de datos ubicadas en otros lugares. Por ejemplo hay muchas
fuentes de información dentro de una organización respecto a la
actividad de la red y en el uso de las aplicaciones.
21
Después de identificar posibles fuentes de datos, se necesita adquirir

la información mediante un proceso de tres pasos: el desarrollo de un
plan para adquirir los datos, la adquisición de los datos, y verificar la
integridad de los datos adquiridos.
1. Desarrollar un plan para adquirir los datos. Es un paso

importante en la mayoría de los casos, porque hay varias posibles
fuentes de datos. Debe existir un plan que de prioridad a las fuentes,
estableciendo un orden en el que los datos deben ser
adquiridos. Entre los factores importantes para establecer prioridades
son las siguientes:
 Probable valor. Con base en la comprensión de la situación y

la experiencia previa en situaciones similares, se debe estimar
el valor probable de cada fuente potencial de datos.
 La volatilidad. En muchos casos, la adquisición de datos

volátiles debe tener prioridad sobre los datos no volátiles. Sin
embargo, los datos no volátiles también pueden ser algo
dinámico (por ejemplo, archivos de registro que se
sobrescriben por los nuevos sucesos que ocurren).
 Cantidad de esfuerzo requerido. El esfuerzo necesario para

adquirir datos de diferentes fuentes puede variar
ampliamente. El esfuerzo implica no sólo el tiempo dedicado,
sino también el costo de los equipos y servicios (por ejemplo,
el apoyo de los expertos).
22
2. Adquirir los datos. El proceso general de adquisición de datos

implica el uso de herramientas forenses para recoger los datos
volátiles, no volátiles, la duplicación de las fuentes de datos para
recoger sus datos, y asegurar las fuentes originales. La adquisición
de datos se puede realizar de forma local o por red. Aunque en
general es preferible la adquisición de datos a nivel local porque
hay mayor control sobre el sistema y los datos.
3. La adquisición de datos en una red. Para la adquisición de los

datos deben de tomarse decisiones en relación con el tipo de datos
que deban recogerse y la cantidad de esfuerzo para su uso. Por
ejemplo, podría ser necesario adquirir los datos de varios sistemas
a través de diferentes conexiones de red, o podría ser suficiente
copiar un volumen lógico de un solo sistema o fuente.
4. Verificar la integridad de los datos. Después de que los datos

han sido adquiridos, su integridad debe ser verificada. Es
particularmente importante demostrar que los datos no han sido
alterados, por razones legales. La verificación de la integridad de
los datos normalmente consiste en utilizar las herramientas para
calcular el resumen del mensaje de los datos originales y las
copias, y después, comparar los resúmenes para asegurarse de
que son los mismos.
23
2.1.2 Examinación
Consiste en la examinación o evaluación de los datos, metadatos,

imágenes, contenido de documentos, o de cualquier otro tipo de
datos. Casi siempre se usan los mismos pasos en la examinación
como la búsqueda de palabras usando el teclado, obteniendo
historiales web, búsqueda en espacio no usado, etc.
Simplemente es clasificar la información que ha sido copiada de la

fuente original, y determinar si los datos que se separan contienen lo
necesario para poder ser usados en el análisis del problema.
Además se pueden usar nuevamente los algoritmos hash para
comprobar que en la examinación los datos usados y posiblemente
copiados para el análisis, no han sido alterados para analizarlos.
Buscar dentro de la copia la información que sea relevante para el

análisis forense. Separar la información encontrada y clasificarla
según su contenido, para ser analizada posteriormente. Asegurar
que la información usada para el análisis no pueda ser alterada.
24
2.1.3 Análisis
Durante la fase de análisis los datos de sistemas o de las diferentes

fuentes se analizan juntos para crear un estudio muy completo y así
poder generar la reconstrucción de los eventos como sea posible. Un
elemento de prueba no puede ser suficientemente fuerte como para
valerse por sí misma, pero puede ser el elemento que proporciona el
liderazgo en los datos que le siguen.
Otro factor difícil es que el análisis de grandes cantidades de datos

toma su tiempo. En una gran investigación de alto perfil, es a
menudo difícil de manejar las expectativas de la gestión. Se puede
tomar grandes cantidades de tiempo para importar registros en varias
aplicaciones, y para mover y copiar datos entre sistemas de
almacenamiento.
2.1.4 Documentación
Siempre se debe mantener un registro de todos los comandos que se

han ejecutado, realizar capturas de pantalla y, cuando sea posible, la
secuencia de comandos que emitirá en el dispositivo y el registro de
salida de estos comandos.
25
2.2 Router
Los routers operan en la capa de red, registrando, grabando las diferentes redes y
eligiendo la mejor ruta para las mismas. Los routers colocan esta información en
una tabla de enrutamiento, que incluye los siguientes elementos:
 Dirección de red: La dirección de red es específica del protocolo. Si un

router soporta varios protocolos, tendrá una tabla por cada uno de ellos.
 Interfaz: Se refiere a la interfaz usada por el router para llegar a una red
dada. Ésta es la interfaz que será usada para enviar los paquetes de red
hacia un destino.
 Métrica: Se refiere al coste o distancia para llegar a la red de destino. Se

trata de un valor que facilita al router la elección de la mejor ruta para
alcanzar una red dada. Esta métrica cambia en función de la forma en que
el router elige las rutas.
Debido a que los routers funcionan en la capa de red del modelo OSI, se utilizan
para separar segmentos en dominios de colisión y de difusión únicos. Cada
segmento se conoce como una red y debe estar identificado por una dirección de
red para que pueda ser alcanzado por un puesto final.
Además de identificar cada segmento como una red, cada puesto de la red debe
ser identificado también de forma unívoca mediante direcciones lógicas. Esta
26
estructura de direccionamiento permite una configuración jerárquica de la red, ya

que está definida por la red en la que se encuentra, así como por un identificador
de host.
Para que los routers puedan operar en una red, es necesario que cada tarjeta esté
configurada en una red única a la que ésta representa. El router debe tener
también una dirección de host en esa red.
El router utiliza la información de configuración de la tarjeta para determinar la

parte de la dirección correspondiente a la red, a fin de construir una tabla de
enrutamiento. Además de identificar redes y proporcionar conectividad, los router
deben proporcionar estas otras funciones:
 Los routers intentan determinar la ruta más óptima a través de una red
enrutada basándose en algoritmos de enrutamiento.
 Los routers separan las tramas de Capa 2 y envían paquetes basados en
direcciones de destino Capa 3.
 Los routers asignan una dirección lógica de Capa 3 individual a cada
dispositivo de red; por tanto, los routers pueden limitar o asegurar el tráfico
de la red basándose en atributos identificables con cada paquete. Estas
opciones, controladas por medio de listas de acceso, pueden ser aplicadas
para incluir o sacar paquetes.
 Los routers pueden ser configurados para realizar funciones tanto de
puenteado como de enrutamiento.
 Los routers proporcionan conectividad entre diferentes LAN virtuales
(VLAN) en entornos conmutados.
27
 Los routers pueden ser usados para desplegar parámetros de calidad de

servicio para tipos específicos de tráfico de red.
Además de las ventajas que aporta su uso, los routers pueden utilizarse también
para conectar ubicaciones remotas con la oficina principal por medio de servicios
WAN. Los routers soportan una gran variedad de estándares de conectividad al
nivel de la capa física, lo cual ofrece la posibilidad de construir una WAN. Además,
pueden proporcionar controles de acceso y seguridad, que son elementos
necesarios cuando se conectan ubicaciones remotas.
2.2.1 Cisco IOS
El Sistema Operativo de Interconexión de Redes de Cisco IOS

(Internetwork Operating System), es el software usado sobre la gran
mayoría de los routers de Cisco Systems. IOS es un paquete de
funciones bien integradas con un sistema operativo de multitareas
para el ruteo, conmutaciones, trabajo de internet y
telecomunicaciones.
Cisco IOS tiene como característica una Interface de Línea de

Comandos llamada CLI (Command Line Interface), esto provee un
set fijo de múltiples comandos, se puede mover el cursor por la línea
de comandos y añadir, borrar, e insertar caracteres, dicho set de
comandos tiene cierta disponibilidad que es determinada por el modo
de acceso, ya sea en modo usuario o en modo privilegiado [10].
28
Para utilizar la CLI, la terminal (PC) debe estar conectada al router a

través del puerto de consola (el nombre del puerto sobre el router
CON en la parte frontal del router o en la espalda de la cubierta) o en
una de las líneas VTY. Por defecto, la terminal es una configuración
básica que debería funcionar para la mayoría de las sesiones de
terminal, pero se puede personalizar como se desee.
2.2.2 Modos de configuración
Existe una variedad de modos de configuración en el router, como

muestra la Figura 2.3.
Figura 2.3.- Modos de configuración.
29
Mirando rápidamente el estado actual del sistema del router, se

puede determinar el nivel de privilegio actual. En el fragmento de
código siguiente se muestran los modos principales de
funcionamiento de un dispositivo Cisco:
Non-privileged mode router>

Privileged mode router#
Global configuration mode router (config) #
Interface configuration mode router (config-if) #
ACL configuration mode router (config-ext-nacl) #
Boot loader mode router (boot)
VTY/AUX Line config mode router (config-line) #
La diferencia entre estos modos de operación está vinculada a lo que

el router permita. Por ejemplo, en modo no privilegiado se ve la
configuración elegida, pero puede ser modificada. Los routers Cisco
permiten configurar numerosos valores basados en los niveles de
privilegios.
El prompt cambia según el modo que se está utilizando o el modo en

el que el router está funcionando. Varios modos de configuración
están disponibles: modo usuario, modo privilegiado, el modo de
configuración, sub-modos de configuración, y el modo de monitor
ROM. De usuario, privilegiado, la configuración y sub-modos de
configuración son modos de comando IOS. Estos son los modos que
se mueven a través de la configuración.
30
El modo de usuario es lo que solía llamarse el modo EXEC. El modo

privilegiado es lo que solía llamarse EXEC privilegiado.
De manera sencilla, se describen los modos de configuración que

serán utilizados principalmente, ya que se necesita solamente
acceder al router para ejecutar comandos en modo usuario y modo
privilegiado.
 Modo Usuario: Para tareas comunes como verificar el estado

del equipo. En este modo no se puede cambiar la
configuración del equipo.
 Modo Privilegiado: Tareas comunes que pueden cambiar la
configuración del equipo.
2.2.3 Componentes Router.
La arquitectura interna del router Cisco soporta componentes que

cumplen un papel fundamental en el proceso de inicio, como se
indica en la Figura 2.4. Los componentes internos son los siguientes:
 RAM/DRAM: La memoria RAM / DRAM contiene información

volátil, como la copia en ejecución de la IOS cargada de la
memoria flash, una copia de la configuración en ejecución es
cargada desde la NVRAM, con la expedición de tablas,
estadísticas, registros locales, y el buffer de paquetes.
Almacena las tablas de enrutamiento, el caché ARP, el caché
31
de conmutación rápida, el buffering de paquetes (RAM

compartida) y las colas de espera de paquetes. La RAM
también proporciona memoria temporal y/o de trabajo para el
archivo de configuración de un router mientras el router está
encendido.
 NVRAM: La memoria no volátil (NVRAM) contiene una copia

de la configuración del router que se carga en la memoria
RAM / DRAM durante el arranque. El contenido de la
NVRAM se conserva durante un corte de energía o si se
reinicia el equipo.
 Flash: ROM que puede ser borrada y reprogramada que

retiene la imagen y el micro código del sistema operativo. La
memoria Flash activa las actualizaciones del software sin
eliminar ni reemplazar los chips del procesador. El contenido
de la Flash se conserva durante los cortes de energía o
reinicio. La memoria Flash puede almacenar múltiples
versiones del software IOS.
 ROM: Memoria de sólo lectura (ROM) contiene un

subconjunto de la IOS, y se utiliza para arrancar el router con
una parte mínima de la copia entera, donde la copia
completa de IOS pueden ser cargada automáticamente
desde la memoria
 Flash. En algunos router Cisco la copia entera de la IOS se

encuentra en la ROM.
32
 Interfaces: Conexiones de red, en la motherboard o en

módulos de interfaz separados, a través de las cuales los
paquetes entran y salen de un equipo.
Figura 2.4. Componentes del Router
2.4 Obtención de información de routers
El análisis forense de un router Cisco (y para marcas con configuraciones

similares) difiere significativamente de los procesos utilizados para analizar un
disco duro debido a la naturaleza de la información almacenada en el dispositivo.
La mayor parte de la capacidad de almacenamiento de un router se compone de
una combinación de memoria RAM dinámica o sincrónica y de memoria flash.
En general, la memoria flash se usa para mantener el sistema operativo y los

archivos de arranque, así como cualquier otro archivo de apoyo que necesite el
router; esta es la información menos volátil en el router.
33
Cuando se inicia un router, por lo general se cargan los archivos de inicio de

configuración de la memoria RAM no volátil. Esto no significa que el archivo de
inicio, es el archivo de configuración del router que se esté utilizando; la
configuración en uso en un router Cisco se puede guardar en la memoria volátil.
Significa que la configuración de arranque y la configuración en funcionamiento

pueden variar. En tal situación, al reiniciar el router se carga la configuración
guardada y todos los rastros de la configuración ejecutada anteriormente se
perderán.
Los registros del router se pueden mantener, tanto de forma remota en un servidor
de registro (por ejemplo, utilizando syslog) y en la memoria volátil RAM en el
dispositivo. La mayoría de los registros del router de Cisco se envían a la RAM, y
si se pierde la energía la información crítica se pierde también.
Un router está diseñado para transmitir paquetes entre redes diferentes. Además
de esto, puede actuar como un punto de control, filtrado de protocolos no
deseados, redes, y otros problemas de seguridad. Los routers también actúan
como una puerta de enlace entre las redes de área local (LAN) y redes de área
amplia (WAN). Por otra parte, los routers se utilizan a menudo como un eje para
los ataques de red.
Hay que mencionar que el acceso privilegiado a un router puede ser utilizado para
volver a configurar el router o provocar un ataque DoS. El control interactivo de los
inicios de sesión al router ayuda a prevenir estas y otras condiciones, también se
debe tener en cuenta porque motivos se ataca un router [11]. Los principales
motivos son los siguientes:
34
 Realizar un ataque de denegación de servicios (DoS) al router y a la red a

la que pertenece.
 Comprometer otros routers a través de él.
 Desviar firewalls de red, IDS u otros servicios.
 Monitorizar y grabar el tráfico entrante o saliente de la red.
 Redirigir el tráfico de la red a otro punto.
Para iniciar un análisis se tiene que tener en cuenta, basándose en los datos
relativos a la filosofía de trabajo del router, una metodología concreta, que
consiste en:
 No apagar ni reiniciar el router, evidentemente se perderán todos los datos

almacenados en la RAM. Que son todos los datos que importan para el
análisis, sin estos datos, el análisis no tiene sentido.
 Aislar el router de la red, sobre todo si el ataque ya se ha realizado.
Siempre con el cuidado de no desconectar la alimentación. En algunas
casos se puede realizar sin aislar pero después de recoger información,
para monitorizar si la actividad continua.
 Conectarse para realizar el análisis forense a través del puerto consola del
router y no a través de la red, porque se corrompería la escena.
 Grabar la sesión completa de análisis de la consola en un archivo de log.
 Ejecutar comandos que muestran configuraciones, pero nunca ejecutar
comandos de configuración del router.
 Una vez extraída la información volátil, se pueden analizar las
vulnerabilidades del router y escanear sus servicios a través de la red.
35
CAPÍTULO III
DESARROLLO E IMPLEMENTACIÓN
36
3.1 Conectarse a un Router Cisco
Puede conectarse a un router Cisco para recoger sus datos no volátiles a través
de la consola o el puerto AUX y en la red usando telnet, Secure Shell (SSH),
Hypertext Transfer Protocol (HTTP), o Hypertext Transfer Protocol sobre Secure
Sockets Layer (HTTPS).
Los router Cisco incluyen un puerto de consola serie asíncrono RJ-45 EIA/TIA-
232. Para conectar una PC y ejecutar un software de emulación de terminal
(HyperTerminal para Windows, GtkTerm para Linux) al puerto de consola, se
utiliza un cable totalmente cruzado (rollover) RJ-45 a RJ-45 con un adaptador
hembra RJ-45 a DB-9.
Los parámetros predeterminados para el puerto de consola son:
 9600 baudios
 8 bits de datos
 Sin paridad
 1 bit de parada
 Sin control de flujo
Para el caso de Windows XP, se puede utilizar HyperTerminal, el que se puede

ejecutar desde la lista de programas como muestra la Figura 2.5 , una vez abierto
el programa se deben dejar los valores predeterminados ver la Figura 2.6.
37
Figura 3.1. HyperTerminal en la lista de programas.
Figura 3.2. Ejecutar HyperTerminal
38
3.2 Procedimientos de obtención de datos no volátiles del router
Los routers Cisco utilizar los siguientes tipos de memoria, y esto puede ayudar en
la clasificación de los datos volátiles y no a los efectos de un análisis forense [7]:
Memoria de sólo lectura (ROM): contiene un subconjunto de la IOS, y se utiliza

para arrancar el router con una parte mínima de la copia entera.
La memoria Flash: contiene una copia completa de la IOS.
La memoria no volátil (NVRAM): contiene una copia de la configuración del router.
La memoria RAM / DRAM: contiene información volátil, como la copia en ejecución

de la IOS cargada de la memoria flash, una copia de la configuración en ejecución
cargada desde la NVRAM, la expedición tablas, estadísticas, registros locales, y el
buffer de paquetes.
Se define que los datos no volátiles son los que se almacenan en la memoria flash
y en la NVRAM. Por lo tanto, en un examen de los datos no volátiles en un router
Cisco, se estará interesado principalmente en la obtención de la copia de la IOS
de la memoria flash y una copia de la configuración almacenada de NVRAM. Sin
embargo, en la recopilación y análisis de los datos volátiles del router, hay algunos
datos volátiles que también deben ser recogidos que ayudan en la autenticación
de los datos no volátiles que se toman del router.
39
En la tabla 3.1 se describen algunos de los comandos útiles básicos para modos
usuario y privilegiado que se utilizan para verificar, copiar y eliminar la
configuración del router.
Tabla 3.1 Comandos para la obtención de información no volátil
Show versión Para ver el estado del hardware y software del router.
Para ver los archivos y directorios residentes en la

Show flash
memoria flash del router.
Para ver el estado de la configuración en ejecución en la

Show running-config
memoria RAM.
Para ver el estado de la configuración guardada en la

Show startup-config
NVRAM.
Para ver la información detallada sobre todas la

Show interfaces
interfaces del router.
Para ver la información detallada sobre configuración IP

Show ip interfaces
de todas las interfaces.
Para ver la información detallada sobre una interface

Show interfaces serial0
específica del router.
Para ver una breve información sobre la configuración IP

Show ip interface brief
de todas las interfaces del router.
Para ver una breve información sobre todas las líneas de

Show line
acceso al router.
Show ip route
Para ver la tabla de enrutamiento IP del router.
Para ver algunos detalles sobre los usuarios que están

Show user
conectados actualmente al router.
40
Para ver los protocolos de enrutamiento IP que están

Show ip protocols
ejecutándose actualmente en el router.
Para ver los últimos 10 comandos que han sido

Show history
ejecutados en el router.
Para ver tipo de interfaces (DTE o DCE) y la frecuencia

Show controllers s0
del reloj sobre la línea serial.
Copy running-config Para copiar el contenido de la memoria RAM en la

startup-config memoria NVRAM del router.
Para copiar la configuración guardada en la NVRAM al

Copy startup-config tftp
servidor TFTP, para propósitos de respaldo.
Para copiar la imagen del IOS de la memoria flash al

Copy flash tftp
servidor TFTP, para propósitos de respaldo.
Copy tftp startup- Para restaurar una copia de la configuración guardada en

config el servidor TFTP en la memoria NVRAM.
Para restaurar una copia de la imagen del IOS guardada

Copy tftp flash
en el servidor TFTP en la memoria flash.
3.2.1 Comandos a ejecutar sobre el router
Los datos no volátiles es algo limitado a los datos almacenados en la

memoria flash, como la imagen del IOS, una copia de seguridad de la
configuración, y la NVRAM, tales como la configuración de inicio,
estos datos se pueden obtener con los comandos de la tabla 3.2.
Otros archivos, como los que soportan el CRWS (The Cisco Router
Web Setup tool) o el más reciente SDM (Security Device Manager)
también se pueden copiar. Sin embargo, para autenticar los datos no
41
volátiles, hay unos pocos comandos que se deben ejecutar también

en una extracción de datos volátiles:
Tabla 3.2. Comandos para autenticar datos no volátiles
show clock detail

Para leer el reloj del router.
show versión
Para ver la versión del IOS.
Para ver el estado de la configuración en ejecución en

Show running-config
la memoria RAM.
Para ver el estado de la configuración guardada en la

Show startup-config
NVRAM.
Para ver el archivo del IOS y el espacio de la memoria

show flash
flash.
Dir Para ver el directorio de la memoria flash.
Para ver los archivos guardados en el primer disco

dir slot 0
flash.
Para ver los archivos guardados en el segundo disco

dir slot 1
flash.
Para ver la información sobre el sistema de archivos del

show file system
router.
show file information Para ver la información de un archivo especifico.
Cd Para cambiar el directorio.
Pwd Para ver el directorio en el que se trabaja.
42
Una vez que se han establecido los datos y la estructura de archivos

del sistema, se puede empezar a copiar la configuración de inicio
junto con las configuraciones de seguridad y una copia del IOS al
servidor de Protocolo de transferencia de archivos trivial (TFTP) o al
servidor de Protocolo de Transferencia de Archivos (FTP).
A medida que crean copias de los archivos del router, se debe

registrar también el hash MD5 de cada archivo, tal como existen en
el router. Las versiones más recientes del IOS admiten la posibilidad
de calcular un hash MD5 para los archivos y mostrar el hash en la
ventana de la terminal.
El comando en un router para verificar el hash MD5 de un archivo es

el siguiente:
verify /md5 [filename]
Se muestra un ejemplo de un procedimiento para le obtención de los

datos no volátiles, el cual se usara como una guía en la recuperación
de los datos no volátiles:
Procedimiento para la obtención de datos no volátiles en routers.

Iniciar Hyperterminal y comprobar los parámetros de conexión para
conectarse al router de Cisco.
1. Habilitar el registro. Mediante la selección de Transferencia

Captura de texto y cuando el cuadro de diálogo aparezca introducir
una ruta a un archivo para el almacenamiento de toda la información
durante el período de sesiones en Hyperterminal.
43
2. Entrar al router. Pulsar Enter para obtener el prompt del sistema

cuando se conecta al puerto de consola. El primer prompt se verá
así, Routername>, el signo mayor que es el indicador de que está en
modo de usuario.
3. Entrar al modo EXEC privilegiado. Escribir enable en

Routername> en la pantalla y se escribe la contraseña si es
solicitada. El prompt cambia a Routername #. Este modo soporta
comandos de prueba, comandos de depuración, y los comandos
para administrar los archivos de configuración del router.
Para volver al modo de usuario se escribe en Routername# disable.
Para salir completamente del equipo se escribe logout ó exit en el
prompt del sistema.
4. Comienza la obtención de datos. Se utilizan los comandos show

clock para verificar la fecha y la hora y CONFIG_FILE para obtener
información como el nombre del archivo de imagen que este en
ejecución, la versión del software del sistema, y otros, para facilitar la
copia de los datos.
5. Utilizar el comando copy flash para copiar el contenido de la

memoria flash como el IOS y el contenido de la NVRAM como el
archivo de imagen del sistema, se recomienda el uso de TFTP, File
Transfer Protocol (FTP), o RPC (RPC) a los respectivos servidores.
Se utiliza el comando verify / MD5 para autenticar la imagen de
software copiado.
44
3.3 Procedimientos en la recopilación de datos volátiles.
Hay una serie de puntos clave que se deben recordar en la recolección de

pruebas volátiles de un router o switch, como se indica en las siguientes listas.
Dependiendo de la situación, puede ser necesario desconectar las interfaces o los

dispositivos conectados, pero siempre reducir al mínimo los cambios en el
dispositivo.
Recomendaciones de que hacer:
 Se debe acceder al dispositivo a través de la consola siempre que sea

posible.
 Se registra toda la sesión de consola, comenzando antes de conectar el
dispositivo.
 Se ejecutan los comandos desde un script.
 Se registra la hora exacta y la hora del router; se toman capturas de
pantalla.
Recomendaciones de que no hacer:
 Se anotar la información volátil.

 No se reinicia el router.
 Se accede a través de la red a menos que el router este aislado.
 Confiar solo en la información persistente.
45
3.3.1 El uso de TFTP (Trivial File Transfer Protocol).
Los routers Cisco se poyan en el uso de File Transfer Protocol (FTP)

o TFTP para copiar archivos desde y hacia un router.
TFTP se utiliza para almacenar y recargar los archivos de
configuración. Se basa en UDP y no tiene seguridad integrada. Una
manera para copiar la configuración, estando en modo privilegiado,
de un router a un servidor TFTP es la siguiente:
Routername # copy running-config tftp:

Address or name of remote host [ ]? 111.222.33.44
Destination filename [Router]? Router_Save_file!!
3.3.2 Los archivos de configuración y sus estados.
Es importante comprender una serie de archivos de configuración y

sus estados. Cuando se enciende el router, se carga la configuración
de inicio. Esta es la configuración inicial que controla el sistema por
defecto.
La configuración que se carga en tiempo de arranque no puede ser la

misma que la política y la configuración que se ejecutan realmente y
son utilizadas por el router. Por consiguiente, es esencial nunca
confiar en la política y la configuración por defecto. Para comprobar
esto, es necesario ver tanto la configuración en funcionamiento y la
configuración de inicio.
46
La configuración en funcionamiento puede ser o no la misma que la

configuración de inicio, sin embargo, todos los cambios realizados a
la configuración del router mientras se está ejecutando se hacen a la
configuración de ejecución. Esto puede ser útil como los cambios no
se escribirán en el inicio de configuración por defecto. Como
resultado de ello, si el administrador crea una mala política y se
encierra fuera del router, un simple reinicio lo llevará de nuevo a la
configuración anterior.
Para ver la configuración que se carga en el arranque, el comando

siguiente:
Router# show startup-config
El router debe estar en modo privilegiado. Router es el nombre de

host del equipo que se ha establecido. Para ver la configuración
actual del router, se aplica este comando:
Router# show running-config
Es importante comprobar si el inicio y las configuraciones de

funcionamiento son las mismas. Hay una variedad de métodos para
hacer esto, y puede ser bastante simple en configuraciones
pequeñas para hacerlo manualmente. En configuraciones más
complejas, ejecutar un comando como este puede ser útil para
señalar las diferencias en las configuraciones.
47
3.3.3 Creación de un conjunto de scripts.
La creación de un script se hará una secuencia de comandos que se

van a ejecutar en el router. Esto permite crear un proceso repetible y
para minimizar los errores. Esto puede ser tan simple como una lista
de comandos show o puede ser tan complejo como una pantalla
interactiva. Lo más importante es que se pruebe antes de ser
ejecutado.
3.3.4 Comandos para ejecutar en el router para la recopilación de

datos volátiles.
Se puede obtener la mayoría de la información que se

necesita del router mediante el uso de ciertos comandos. La
Tabla 3.3 nos muestra los comandos principales que se
necesitan para la recopilación de los datos:
Tabla 3.3. Comandos para la obtención de información volátil.
Muestra el reloj del sistema indicando la fuente de

show clock detail tiempo (NTP, VINES, etc.) y el actual ajuste de horario
de verano.
El Router Security Audit Logs permite crear pistas de

show audit auditoría. Si está configurado, se puede utilizar para
controlar los cambios que se han hecho a un router.
48
show versión
Para ver el estado del hardware y software del router.
Para ver la configuración actual, muestra la

show running-config
configuración que está en ejecución.
Muestra el contenido de todas las listas de acceso (o

show access-lists
una lista de acceso especificada) en el router.
Muestra la configuración que se ha guardado en la

show startup-config
NVRAM
show reload
Muestra el estado de reinicio en el router.
show ip route
Muestra la tabla de enrutamiento que utiliza el router.
Para ver una breve información sobre todas las líneas

Show line
de acceso al router.
show ip arp Muestra las estadísticas ARP asociadas con las

show arp interfaces del router.
Muestra los usuarios o una lista de qué usuarios están

Show user
conectados a un router.
Muestra los parámetros de estado y globales asociados

show ip interface
con una interfaz.
show interfaces
Muestra estadísticas para la/las interfaces indicadas
show logging
Muestra los logs generados y almacenados en memoria.
show ip sockets show

Mostrar el tráfico que pasa por el router, para mostrar
udp show tcp
las estadísticas relativas a los protocolos, y ver en qué
brief all show ip nat
puertos del router está escuchando.
translations verbose
49
show ip cache flow

Muestra un resumen de las estadísticas de NetFlow.
Muestra un resumen de las entradas en la tabla

show ip cef
Forwarding Information Base (FIB).
Muestra la información de de cada Simple Network

show snmp user Management Protocol username de la tabla group
username.
Muestra los nombres de los grupos en el router y el

show snmp group
modelo de seguridad, el estado de las diferentes visitas,
y el tipo de almacenamiento de cada grupo snmp.
Controla el uso de la pila de procesos y rutinas de

show stacks interrupción y muestra la causa del último reinicio del
sistema.
Este comando es la salida de la misma información que

se obtendría si ejecutó todos los comandos siguientes:
show version
show running-config
show tech-support5 show stacks
show interface
show controller
show process cpu
show process memory
show buffers
50
CAPÍTULO IV
PRUEBAS Y RESULTADOS
51
4.1 Esquema de Funcionamiento
Para el análisis de los datos obtenidos del router, primero se establece un

esquema de funcionamiento, el cual se muestra en la Figura 4.1, se trata de un
esquema de funcionamiento sencillo en el cual tenemos una conexión de una PC
a un switch, y este a un router, considerando que los equipos que se conecten al
switch pueden ser más que solo una PC.
Figura 4.1. Esquema de funcionamiento para el análisis
Tomando en cuenta el esquema mostrado, es posible suponer la forma en que se

puede trabajar utilizado el esquema, siendo esto que se pueden transmitir datos
52
de una PC a otra, a través del switch, el router y la red WAN (Red de Área
Amplia).
El esquema de funcionamiento está basado en una empresa la cual tiene

comunicación con sucursales de bancos, por esta razón los dos lados del
esquema son lugares diferentes, y que por ello solo es posible analizar el router de
la empresa, una ventaja ante esto, es que se puede acceder al router de manera
física, y es posible obtener los datos necesarios para el análisis.
Así pues el problema se centra en que existe una desconexión aparentemente sin
causa, y que provoca que un router tenga que reiniciarse. En la siguiente Figura
4.2 se muestra una gráfica del comportamiento del tráfico donde se ve claramente
una pérdida de conexión.
Figura 4.2. Gráfica donde se muestra una pérdida de conexión.
53
4.2 Limitaciones en la recopilación de datos.
El análisis forense se centra en el análisis de los datos que son guardados en los
router siendo esto de tipo no volátil y de tipo volátil, sin embargo, dependiendo de
la configuración de los router se puede limitar la cantidad de comandos que se
puedan usar, y además de las políticas que se tengan dentro de una empresa.
También se debe considerar que tan posible es obtener los datos del router, si no
es posible acceder a ellos de manera física por el puerto consola.
Ante todas estas consideraciones, el análisis forense sobre routers se verá dirigido
a una problemática presentada en una empresa, dado que existen perdidas de
conexión en determinados horarios y por determinados tiempos. Es decir, por un
tiempo se genera una denegación de servicios, y por dicho problema se necesita
analizar los datos del router que genera la denegación de servicio, obteniendo así
la información que revela que existió una pérdida de conexión. En la siguiente
Tabla 4.1 se muestran que comandos pudieron ser utilizados para el análisis
forense:
Tabla 4.1. Comando utilizados
Para ver la configuración actual, muestra la

show running-config
configuración que está en ejecución.
copy running-config
Para copiar la configuración actual a un servidor tftp
tftp
show version Para ver el estado del hardware y software del router.
54
Para ver los archivos y directorios residentes en la

show flash
memoria flash del router.

show interface
con una interfaz.

show interface s0/0/0
con una interfaz.
Para ver una breve información sobre la configuración

show ip interface brief
IP de todas las interfaces del router.
Para ver una breve información sobre todas las líneas

show line
del router.
show ip route Muestra la tabla de enrutamiento que utiliza el router.
Muestra los usuarios o una lista de qué usuarios están

show user
conectados a un router.
Para ver los protocolos de enrutamiento IP que están

show ip protocols
ejecutándose actualmente en el router.
Para ver los últimos 10 comandos que han sido

show history
ejecutados en el router.
show controllers Para ver DTE o DCE y la frecuencia de reloj sobre la

s0/0/0 línea serial.
show logging Muestra los logs generados y almacenados en memoria.
verify /md5 c1700-y-

Genera un numero hash de la configuración del router.
mz.122-8.T10.bin
Muestra el reloj del sistema indicando la fuente de

show clock detail tiempo (NTP, VINES, etc.) y el actual ajuste de horario
de verano.
55
Muestra el contenido de todas las listas de acceso (o

show access-lists
una lista de acceso especificada) en el router.
Muestra las estadísticas ARP asociadas con las

show ip arp
interfaces del router.
show ip sockets Mostrar el tráfico que pasa por el router, para mostrar
las estadísticas relativas a los protocolos, y ver en qué
show tcp brief all puertos del router está escuchando.
show ip cache flow

Muestra un resumen de las estadísticas de NetFlow.
Muestra los nombres de los grupos en el router y el

show snmp group
modelo de seguridad, el estado de las diferentes visitas,
y el tipo de almacenamiento de cada grupo snmp.
Controla el uso de la pila de procesos y rutinas de

show stacks interrupción y muestra la causa del último reinicio del
sistema.
Proporciona mucha información se que será examinada

show tech-support
posteriormente.
La razón por la que no se pudieron utilizar todos los comandos es porque la

configuración del router no lo permite, es decir, no se pueden ejecutar todos los
comandos que se mencionan en el capitulo tres, pero la información que
proporcionan si nos muestra un comportamiento anómalo del router, dado que se
muestra que existe una desconexión del router, y por supuesto una re-conexión.
En la tabla anterior se mencionan los comandos que se ejecutaron y su utilidad

para tener en cuenta que tipo de información nos puede facilitar el trabajo, como
es el caso del comando Router# show logging por el cual podemos ver el registro
del log sobre el router.
56
4.3 Examinación de los datos recolectados
Dentro de las fases del análisis forense, Recolección, Examinación, Análisis y

Reporte, existen una sería de recomendaciones que se deben tomar en cuenta,
dado que existen publicaciones que ayudan a realizar un correcto análisis forense,
es necesario tomar en cuenta todas esas recomendaciones, si bien en el capitulo
dos se mencionan las cuatro fases de manera detallada, la recolección de los
datos de un router se llevo a cabo según todo lo mencionado en el capitulo dos, es
decir, se intento asegurar que los datos que se recolectaron no fueran modificados
durante este proceso de recolección, aun mas tomando en cuenta los datos
volátiles.
Los comandos se vieron limitados por la configuración del router, sin embargo la
información que se obtuvo puede ser la necesaria para conocer el comportamiento
del router en el instante mostrado en la gráfica de la figura 4.2, donde se muestra
en tiempo una pérdida de conexión. Dado que no todos los datos obtenidos son
necesarios para analizar lo ocurrido, se debe realizar una examinación, para poder
minimizar el trabajo en el análisis de dichos datos, es decir, revisar la información
que nos otorgan los comandos ejecutados, y poder conocer si estos nos
proporcionan la información necesaria para saber que ocurrió.
Por ello se colocan los comandos que proporcionaron la información necesaria

para el análisis, ya que se contempla que los comandos especificados son los
requeridos para generar la información para el análisis, tomando en cuenta que no
57
todos los comandos que se muestran puedan ser al final del análisis, totalmente
necesario.
Ya que se debe tener un control sobre el tiempo en que se realiza el análisis, es

necesario conocer la hora y la fecha en que se accedió al router para la
recolección, esto es proporcionado por el comando show clock, en cuanto a la
configuración del router se utiliza el comando show running-config, con el cual
podemos conocer la configuración del router, y el comando show version nos
muestra la versiones del sistema operativo sobre el router que se está utilizando.
En cuanto a lo sucedido después del reinicio del router, se utiliza el comando show
logging, si bien información del router se perdió por que este se reinicio, esto
provoca que no sea posible determinar exactamente qué es lo que se registro
momentos antes al reinicio. Pero no deja de ser útil el poder relacionar en qué
momento existe la pérdida de conexión.
El comando show interface, permite darse cuenta de las interfaces que están en
uso y su descripción y por ello es posible determinar la utilidad de la comunicación
entre diferentes ubicaciones. Y junto a esto se puede obtener información sobre
los protocolos que se están utilizando, esto con el comando show ip protocols.
En cuanto a la información que puede ser útil en el análisis considerando que
existe algún tipo de ataque que genere la desconexión es la proporcionada por el
comando show ip sockets, esto es porque nos indica las conexiones establecidas
con puntos remotos y puntos locales sugiriendo así la existencia de alguna
conexión establecida posterior al reinicio.
En el caso del tráfico generado este puede ser visualizado con el comando show
ip cache flow, esto nos permite suponer si es que existe un ataque y si está aun
activo, es decir, que a pesar de que existe una pérdida de conexión, cabe la
58
posibilidad de que exista o se genere rápidamente tráfico. Y anterior al reinicio del

router el tráfico puede ser el factor que provocara la denegación de servicio. Con
la posibilidad que se repitan las acciones antes del reinicio del router, provocando
que el problema se vuelva recurrente.
El comando show stacks que es usado comúnmente para saber la causa del
reinicio del router, sin embargo la información que este comando proporciona se
puede perder, es decir, que la información puede ser considerada como volátil y
que aunque es de utilidad para conocer la causa del último reinicio del router, no
se tiene certeza que la información esté disponible.
Al utilizar el comando show tech-support proporciona información muy útil, sobre

todo porque muestra información de: procesamiento, memoria, cpu, etc. que otros
comandos se ejecutan uno a uno. Además nos da una idea sobre el
funcionamiento del router, como es de interés conocer la causa del reinicio del
router, es posible ver el uso del procesador, que es una causa por la cual el router
se puede reiniciar.
Una forma sencilla de conocer si los datos guardados en el router han sido
dañados, es observando show data-corruption que es parte de la información que
el comando show tech-support5 proporciona.
4.3.1 Equipo objetivo de análisis
Se debe considerar el equipo que se está utilizando, es decir, qué

equipo está siendo objeto de análisis, esto aunque no revele
59
información aparentemente útil podría revelar si de esto depende el

análisis. Aunque al final solo resulte ser útil para el reporte. La
información sobre el router es la proporcionada por el comando show
version. Las especificaciones del router son las siguientes:
Información sobre el hardware (tipo de procesador, tamaño de la

memoria, los controladores ya existentes) y el valor de la
configuración del registro en formato hexadecimal:
 Cisco 1841 (revision 7.0) with 115712K/15360K

bytes of memory.
 Processor board ID FTX1245Y1TC
 2 FastEthernet interfaces
 4 Serial(sync/async) interfaces
 DRAM configuration is 64 bits wide with parity
disabled.
 191K bytes of NVRAM.
 62720K bytes of ATA CompactFlash (Read/Write)
 Configuration register is 0x2102
El número de versión de IOS y su nombre interno:
Cisco IOS Software, 1841 Software (C1841-ENTSERVICESK9-

M), Version 12.4(25), RELEASE SOFTWARE (fc2)
Copyright (c) 1986-2009 by Cisco Systems, Inc.
Compiled Tue 21-Apr-09 09:59 by prod_rel_team
Se muestran software bootstrap y las versiones de la imagen

RXBOOT.
60
ROM: System Bootstrap, Version 12.4(13r)T, RELEASE

SOFTWARE.
Se puede ver la disponibilidad del sistema, como el sistema

reiniciado por última vez, y el nombre del archivo de imagen y donde
se cargan.
Router uptime is 22 hours, 37 minutes

System returned to ROM by error - a Software forced
crash, PC 0x6051799C at 02:00:50 MX Sat Jan 30 2010
System image file is "flash:c1841-entservicesk9-mz.124-

25.bin"
Host configuration file is “tftp://140.240.13.10/Router"
Figura 4.3 Fotografía de router Cisco 1841 [8]
61
4.4 Análisis de los datos recolectados
Un control sobre el proceso del análisis forense es el tiempo, por ello se utilizo el
comando show clock, con el cual conocemos la hora y la fecha de cuando
comenzó la recolección de los datos.
Router show clock detail

*22:18:59.175 MX Sun Jan 30 2010
Time source is NTP
Summer time starts 02:00:00 MX Sun Mar 14 2010
Summer time ends 02:00:00 MX Sun Nov 7 2010
Observando las diferencias de tiempo entre que se comenzó la recolección de

datos, y la hora en que ocurrió el incidente. De la grafica de la Figura 4.4 podemos
observar el tiempo, la hora y la fecha en que existe un corte en las transmisión y
recepción, teniendo que aproximadamente 2 horas después del incidente
comenzó la recolección de datos. La información en un router puede cambiar
rápidamente por ser un dispositivo que maneja los datos de manera dinámica.
Se encontró, utilizando el comando show running-config la siguiente información:
ip domain name prof.com.mx prof.com.mx es el nombre del dominio,

lo que corresponde al nombre de la
empresa dueña del router.
62
ip host SPR_BRGO_A Nombre del host y la ip del mismo con

10.253.0.153 el que se establece la comunicación.
interface Loopback0 Interface Loopback utilizada para

description Monitoreo. monitoreo según su descripción.
ip address 10.253.0.149
255.255.255.252
interface FastEthernet0/0 Interface, Fast Ethernet, principal según

description Principal. su descripción.
ip address 192.168.100.7
255.255.255.192
interface Serial0/0/0 Interface serial para la conexión con

description Enlace Telmex servicio Telmex según su descripción
Se4/1:27)
bandwidth 256
ip address 10.252.0.214
255.255.255.252
Router eigrp 1 El protocolo con que trabaja el router es

passive-interface el protocolo eigrp con una red
FastEthernet0/0 192.168.100.0
network 192.168.100.0
63
De la grafica donde se muestra la perdida de conexión y de los registros en el

router proporcionados por el comando show logging, podemos determinar el
tiempo que no hubo servicio. Al observar la Figura 4.4 se sabe que el tiempo que
duro la desconexión es aproximadamente de poco menos de 30 minutos.
Figura 4.4. Tiempo de la pérdida de conexión
Al ser utilizado el comando show logging, se conoce la hora en que se restablece

la conexión.
64
*Jan 30 07:58:38.151: %LINK-3-UPDOWN: Interface Serial0/0/0,

changed state to up
changed state to up
changed state to up
En este caso se muestra la información sobre la interfaz serial. Aunque es posible

mostrar la información sobre las demás interfaces, son muchas líneas de texto las
que se deberían colocar, lo importante es mostrar que existe un cambio de
horario, esto es:
*Jan 30 01:58:40: %SYS-6-CLOCKUPDATE: System clock has been

updated from 07:58:40 UTC Sat Jan 30 2010 to 01:58:40 MX Sat
Jan 30 2010, configured from console by console.
Y que posterior esta la información sobre las demás interfaces, por ejemplo:
*Jan 30 01:58:43: %LINK-3-UPDOWN: Interface FastEthernet0/1,

changed state to up
Esta información revela la hora y la fecha en que fueron restauradas la recepción y

transmisión de datos a través de estas interfaces. El comando show ip sockets,
muestra las conexiones realizadas después del reinicio, sin embargo se observa
que existen varias líneas con --listen--, esto indica según el funcionamiento
del comando que la ip remota es considerada como ilegal, esto da lugar a pensar
65
que existen intentos de conexión no autorizados o en mal estado, pero que

pueden indicar que el ataque sigue en curso, si de eso se tratara.
Proto Remote Port Local Port In Out Stat TTY

OutputIF
17 255.255.255.255 0 10.253.0.149 2067 0 0 100001 0
17 --listen-- 10.253.0.149 1985 0 0 1 0
88 --listen-- 10.253.0.149 1 0 0 0 0
17 140.240.10.10 38493 10.253.0.149 161 0 0 1001 0
17 --listen-- 10.253.0.149 162 0 0 1011 0
17 --listen-- 10.253.0.149 56885 0 0 1011 0
17(v6) --listen-- UNKNOWN 161 0 0 20001 0
17(v6) --listen-- UNKNOWN 162 0 0 20011 0
17(v6) --listen-- UNKNOWN 60815 0 0 20011 0
17 --listen-- 10.253.0.149 123 0 0 1 0
17 140.240.10.10 514 10.253.0.149 58828 0 0 200 0
17 140.240.10.8 514 10.253.0.149 61685 0 0 200 0
En cuanto al uso del comando show tech-support, la información que revela es

importante para el análisis, aunque cierta cantidad de información que proporciono
el comando show tech-support, ya ha sido abordada, existe información y un poco
más tangible que la ya mencionada, además de ser sencillo el comprenderla. Si
bien el comando show tech-support, es una fuente de información, la mostrada a
continuación es la que más útil nos puede resultar.
Gracias a las posibilidades del comando se obtuvo las estadísticas del uso del
procesador del router, esto se muestra en la siguiente figura 4.5:
66
SPR_BRGO_A 22:18:16 AM SAT JAN 30 2010 MX

233333333332222233333333333333333333333333333333333222222222
100 s
90
80
70
60
50 *
40 *
30 *
20 *
10 *
0....5....1....1....2....2....3....3....4....4....5....5....6
0 5 0 5 0 5 0 5 0 5
(A) CPU% per second (last 60 seconds)
334333435333336333333543333533333363333363333353333353433363
100
90
80
70
60
50
40
30
20
10 * * * * * * * * *
0....5....1....1....2....2....3....3....4....4....5....5....6
0 5 0 5 0 5 0 5 0 5 0
(B) * = maximum CPU% # = average CPU% CPU% per minute (last 60 minutes)
4 7 9
6666666666666666666667666666666666563666666666657666669
100 *
90 *
80 * *
70 * *
60 * *
50 * *
40 * * *
30 * * *
20 * * *
10 *******************************************************
0....5....1....1....2....2....3....3....4....4....5....5....6....6....7..
0 5 0 5 0 5 0 5 0 5 0 5 0
(C) CPU% per hour (last 72 hours)* = maximum CPU% # = average CPU%
Figura 4.5 Estadísticas sobre el uso del procesador en

(A) segundos, (B) minutos (C) por horas.
67
Las estadísticas proporcionadas son las que reflejan el uso del procesador del
router, es decir, cuando es que hubo un uso excesivo y un uso estable del
procesador, es importante conocer esto ya que se puede saber en qué intervalo
de tiempo ocurrió un máximo uso del procesador, esto es porque así se puede
determinar qué fue lo que ocasionó la perdida de conexión, y si es que fue un
ataque o solamente una saturación de la capacidad del router.
En el inciso A y B de la figura 4.5 se observa un estado estable en el uso del

procesador del router, aunque puede no ser muy revelador ya que el intervalo de
tiempo es por el último minuto y la ultima hora, respectivamente, y el incidente
ocurrió por lo menos 2 horas antes de la hora en que se ejecuto el comando, pero
en el inciso C se muestra el uso del procesador de las últimas 72 horas, y se nota
un incremento del cien por ciento en el uso del procesador, y anterior a este
incremento uno del ochenta y del cuarenta por ciento, esto indicando que el
incremento en el uso del procesador fue paulatino.
No resulta difícil determinar que el reinicio fue causado por el exceso de uso del
procesador, algo que ya se había planteado desde antes, pero que se comprueba
con las estadísticas del uso de procesador.
68
CONCLUSIONES
Con la información analizada que fue obtenida del router es posible concluir que la
perdida de conexión fue causada por un uso excesivo del procesador del router,
es decir, que por alguna razón se saturo el mismo y causo una pérdida de
conexión.
Pero ligado a esto tenemos también que agregar las políticas que tiene la empresa
en cuanto a cómo se debe actuar respecto a este tipo de problemáticas, y si bien
esto es un aspecto importante por el tiempo que duro la falta de transmisión y
recepción de datos.
Aunque no fue posible observar la cantidad de solicitudes que el router debe

atender, y tomando en cuenta el servicio que la empresa otorga, es posible
determinar que son muchas las peticiones, y por ello el uso del procesador debe
estar limitado a la atención de las solicitudes que lleguen a él.
En cuanto al comportamiento dentro de la empresa y lo que se necesita cumplir,

se tuvo conocimiento sobre que a determinados horarios existe una gran cantidad
de tráfico, es decir, una gran cantidad de peticiones que el router deber procesar,
y que además durante este periodo la empresa realiza respaldos de archivos del
tipo que la empresa solo puede conocer, aunque el tamaño de estos archivos no
son grandes afectan en el funcionamiento del router, y por ello existe la saturación
del procesador, ya que se suma el tráfico normal de la red, y el uso del router para
transmitir datos que no están contemplados dentro de la capacidad de
procesamiento del router, aunque no debería verse afectado.
69
Una solución rápida es establecer horarios para la transmisión de los archivos, de

esta manera es posible evitar que se sumen el trafico y el uso del router con
peticiones no contempladas. Otra solución es considerar una reconfiguración en el
router para que este pueda transmitir los archivos sin que se reinicie.
70
Referencias Bibliográficas
[1] Universidad IberoAmericana, Comunicado UIA, 2006,

http://www.uia.mx/actividades/comunicados/2006/febrero/08022006.html
[Consulta: 17 Octubre 2009 ]
[2] Análisis Forense de Sistemas, 2009, http://kernelerror.net/infosec/analisis-

forense-de-sistemas-computer-forensics/ [Consulta: 17 Octubre 2009 ]
[3] Análisis Forense, 2006, https://www.underground.org.mx/index.php ?action

=dlattach; topic=15729.0;attach=631.[Consulta: 26 Octubre 2009]
[4] National Institute of Standards and Technology, Computer Security Incident

Handling Guide, publicación especial 800-61, Enero 2004. [Paginas consultadas:
4-1 a 4-12].
[5 ] National Institute of Standards and Technology, Guide to Integrating Forensic

Techniques into Incident Response, publicación especial 800-86, Agosto 2006.
[Páginas consultadas:3-1 a 3-7].
[6] Cisco Systems, Cisco Router and Switch Forensics: Investigating and
Analyzing Malicious Network Activity, 2009. [Páginas consultadas:15 a 38].
[7] Cisco Systems, Cisco Router and Switch Forensics: Investigating and
Analyzing Malicious Network Activity, 2009. [Paginas consultadas:262 a 303].
[8] https://www.cisco.com/en/US/products/ps5875/prod_view_selector.html
71
GLOSARIO
Prompt: Se llama al carácter o conjunto de caracteres que se muestran en

una línea de comandos para indicar que está a la espera de órdenes.
Memoria de almacenamiento temporal de información: Suele tratarse de una

memoria intermedia entre un dispositivo y otro, por ejemplo, la computadora y la
impresora, o la computadora y el disco duro, etc.
Buffering o buffer: Se utiliza para mejorar el rendimiento o también para

compensar la diferencia de tiempos y velocidades que manejan los distintos
dispositivos.
Cache: Conjunto de datos duplicados de otros originales. La duplicación se basa

en que los datos originales son más costosos de acceder en tiempo con respecto
a la copia en memoria caché.
Memoria caché: Pequeña porción de memoria que sirve para almacenar algunos
datos temporalmente.
Motherboard: Conocida también como tarjeta madre. Es la tarjeta central de

circuitos integrados para la interconexión entre el microprocesador, las ranuras o
slots para conectar tarjeta de expansión, memorias RAM, la ROM, dispositivos
de almacenamiento y cableados.
CRWS (The Cisco Router Web Setup tool): Proporciona una interfaz gráfica de
usuario (GUI) para la configuración de la serie Cisco SOHO y router de la serie
8OO, permitiendo a los usuarios configurar sus routers de forma rápida y sencilla.
72
SMD(Security Device Manager): Es una herramienta mediante la cual vamos a

poder remplazar el CLI (línea de comandos) de cisco por una interfaz gráfica
mediante HTTP más amigable y sencilla.
Script: En informática, un script es un guión o conjunto de instrucciones. Permiten

la automatización de tareas, creando pequeñas utilidades.
Phishing: Es un término informático que denomina un tipo de delito encuadrado

dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de
un tipo de ingeniería social caracterizado por intentar adquirir información
confidencial de forma fraudulenta (como puede ser una contraseña o información
detallada sobre tarjetas de crédito u otra información bancaria).
Phar-ming: Es la explotación de una vulnerabilidad en el software de los

servidores DNS (Domain Name System) o en el de los equipos de los propios
usuarios, que permite a un atacante redirigir un nombre de dominio (domain name)
a otra máquina distinta.
Spyware: Un programa espía, traducción del inglés spyware, es un software,

dentro de la categoría malware, que se instala furtivamente en una computadora
para recopilar información sobre las actividades realizadas en ella.
Hackers: En informática, un hacker es una persona apasionada por la seguridad

informática. Esto concierne principalmente a entradas remotas no autorizadas por
medio de redes de comunicación como Internet. Pero también incluye a aquellos
que depuran y arreglan errores en los sistemas y a los de moral ambigua.
73
Spam: Se llama spam, correo basura a los mensajes no solicitados, habitualmente

de tipo publicitario, enviados en grandes cantidades (incluso masivas) que
perjudican de alguna o varias maneras al receptor.
XSRF: El CSRF (del inglés Cross-site request forgery o falsificación de petición en

sitios cruzados) es un tipo de exploit malicioso de un sitio web en el que comandos
no autorizados son transmitidos por un usuario en el cual el sitio web confía. Esta
vulnerabilidad es conocida también por otros nombres como XSRF, enlace hostil,
ataque de un click, cabalgamiento de sesión, y ataque automático.
Hosts: El archivo hosts de un ordenador es usado por el sistema operativo para

guardar la correspondencia entre dominios de Internet y direcciones IP. Este es
uno de los diferentes métodos que usa el sistema operativo para resolver nombres
de dominios. En muchos sistemas operativos este método es usado
preferentemente respecto a otros como el DNS. En la actualidad también es usado
para bloquear contenidos de Internet como la publicidad web.
Autenticación: Es el acto de establecimiento o confirmación de algo (o alguien)

como auténtico, la confirmación de su procedencia, mientras que la autenticación
de una persona a menudo consiste en verificar su identidad. La autenticación
Filesystem: Es un sistema de archivos utilizado por los sistemas operativos, cuyo

propósito es controlar los archivos de dispositivos, que se hallan almacenados en
el directorio de la estructura de archivos convencional.
74

Instituto Politécnico Nacional: "Análisis Forense Sobre Enrutador Cisco"

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Instituto Politécnico Nacional: "Análisis Forense Sobre Enrutador Cisco"

Загружено:

Авторское право:

Доступные форматы

INSTITUTO POLITÉCNICO NACIONAL

ESCUELA SUPERIOR DE INGENIERÍA

“ANÁLISIS FORENSE SOBRE ENRUTADOR CISCO”

MUÑOZ GÓMEZ FRANCISCO SALVADOR

SÁNCHEZ CANALES EDUARDO

DR. GABRIEL SÁNCHEZ PÉREZ

DR. ANTONIO CASTAÑEDA SOLÍS

México, D. F., Abril del 2010

Objetivos Específicos ........................................................................................................................... I

Planteamiento del Problema ............................................................................................................... II

Justificación ........................................................................................................................................ III

Capítulo I Marco Teorico ..................................................................................................................... 1

1.1 La seguridad informática y sus rezagos. ....................................................................................... 2

1.2 Análisis forense de sistemas. ....................................................................................................... 3

1.2.1 Evidencia digital ..................................................................................................................... 4

1.2.2 Tipo de herramientas ............................................................................................................. 7

1.2.3 Tipos de copia del sistema .................................................................................................... 7

1.3 Utilizando los datos de los sistemas operativos............................................................................ 8

1.3.1 Datos no volátiles .................................................................................................................. 9

1.3.2 Datos volátiles ...................................................................................................................... 13

1.4 Definición de denegación de servicios dos ................................................................................. 16

Capítulo II Procedimientos en el análisis forense ............................................................................. 18

2.1 Las fases del análisis forense digital. .......................................................................................... 19

2.1.3 Análisis ................................................................................................................................. 25

2.1.4 Documentación .................................................................................................................... 25

2.2 Router .......................................................................................................................................... 26

2.2.1 Cisco IOS ............................................................................................................................ 28

2.2.3 Componentes router. ........................................................................................................... 31

2.4 Obtención de información de routers .......................................................................................... 33

Capítulo III Desarrollo e implementación .......................................................................................... 36

3.1 Conectarse a un router cisco ...................................................................................................... 37

3.2 Procedimientos de obtención de datos no volátiles del router .................................................... 39

3.2.1 Comandos a ejecutar sobre el router .................................................................................. 41

3.3 Procedimientos en la recopilación de datos volátiles ................................................................. 45

3.3.1 El uso de tftp (trivial file transfer protocol ) ......................................................................... 46

3.3.2 Los archivos de configuración y sus estados ..................................................................... 46

3.3.3 Creación de un conjunto de scripts .................................................................................... 46

Capítulo IV: Pruebas y resultados ..................................................................................................... 51

4.1 Esquema de funcionamiento ....................................................................................................... 52

4.2 Limitaciones en la recopilación de datos. ................................................................................... 54

4.3 Examinación de los datos recolectados ...................................................................................... 57

4.3.1 Equipo objetivo de análisis ................................................................................................. 59

4.4 Análisis de los datos recolectados .............................................................................................. 62

Referencias Bibliográficas ................................................................................................................. 71

Figura 2.1 Fases del análisis forense digital................................................................19

Figura 2.2 Requerimientos de los datos......................................................................21

Figura 2.3 Modos de configuración.............................................................................29

Figura 2.4 Componentes del router.............................................................................33

Figura 3.1 Hyperterminal en la lista de programas......................................................38

Figura 3.2 Ejecutar hyperterminal................................................................................38

Figura 4.1. Esquema de funcionamiento para el análisis……………………................52

Figura 4.2. Gráfica donde se muestra una pérdida de conexión………......................53

Figura 4.3 fotografia de router cisco 1841…………………………………..…..............61

Figura 4.4 Tiempo de la pérdida de conexión………………………………..…............64

Figura 4.5 Estadísticas sobre el uso del procesador en

(a) segundos, (b) minutos (c) por horas…………………………………….….............67

Tabla 3.1 Comandos para la obtención de información no volátil.........................40

Tabla 3.2 Comandos para autenticar datos no volátiles........................................42

Tabla 3.3 Comandos para la obtención de información volátil...............................48

Tabla 4.1 Comando utilizados……………………………………….…………….......54

Comprobar si la información guardada en un router (Cisco) es la necesaria para

 Obtener la información contenida en un router.

 Analizar la información obtenida.