Preparación Forense de Redes
R.E.D.A.R
Un modelo de análisis
Jeimy J. Cano, M.Sc., Ph.D
Universidad de los Andes
[email protected]
Agenda
• Introducción
• Definiciones básicas
• Presentación del Modelo - R.E.D.A.R
• Arquitectura de Análisis
 Red
de perímetro
 Linea
de Defensa
 Zona
Controlada
• Red de perímetro - Routers
• Línea de defensa - Firewalls
• Zona Controlada - Servidores y conexiones
• Preparación Forense de Redes en Contexto
• Conclusiones
• Referencias
JCM-02 All rights reserved.
2
Introducción
• Las estadísticas del CERT en el año 2001, muestran
aumento de más del 150% en incidentes de seguridad
reportados.
• De acuerdo con la investigación adelantada por KPMG en
el 2001, “2001 Global [email protected] Survey” :
 Cuando
ocurre un incidente de seguridad
* No se adelantan acciones legales
 El
– Inadecuado uso de los recursos legales
– Falta de evidencia
50% de los encuestados identificó a los Hackers y la pobre
implementación de políticas de seguridad como los factores
fundamentales de los incidentes de seguridad.
 Los ejecutivos se encuentran desinformados acerca del
estado actual de las vulnerabilidades de la su red.
 Bajo o pobre entrenamiento de los administradores de
sistemas
• Mientras que un ataque de un sitio puede tomar dos (2)
horas, el análisis forense completo puede alcanzar las
treinta (30) horas! (Forensic Challenge Project)
JCM-02 All rights reserved.
3
Definiciones básicas
• Conceptos
 Sistemas
de detección de intrusos.
* Orientado a Host
* Orientado a Red
* Orientado a Firmas
* Estadísticas
 Honeypot
* Configuración de una máquina con servicios activos,
atractivos y aislados, como una estrategia para seguir y
capturar intrusos dentro de sistemas de computación.
 Honeynet
* Configuración de una red con servicios activos, atractivos y
aislados, como una estrategia para analizar y aprender de
los intrusos y sus acciones.
 Red de perímetro
* Es una red agregada a fin de proporcionar una capa adicional
de seguridad. Generalmente se le conoce como red
desmilitarizada (DMZ)
JCM-02 All rights reserved.
4
Definiciones básicas
• Conceptos
 Firewall
* Componente o conjunto de componentes (Hw y Sw) que
restringen el acceso entre una red protegida e internet, o
entre otros conjuntos de redes.
– Tradicionales
– Stealth
 Evidencia
digital
* Es un tipo de evidencia física. Esta construida de campos
magnéticos y pulsos electrónicos que pueden ser recolectados
y analizados con herramientas y técnicas especiales.(Casey
2000, pág.4)
 Computación forense
* Es la aplicación legal de métodos, protocolos y técnicas para
obtener, analizar y preservar evidencia digital relevante a una
situación en investigación. (Kovacich 2000, pag.243)
JCM-02 All rights reserved.
5
Presentación del Modelo R.E.D.A.R
• Justificación
 Es
necesario desarrollar una estrategia formal para atender
incidentes de seguridad y su posterior documentación y análisis
 Se cuentan con diversas estrategias de registro de eventos, pero
no se posee la cultura de análisis de las pistas.
 La mayoría de los administradores de sistemas actualmente no son
conscientes de la necesidad de contar con evidencia digital.
 La seguridad informática y la administración de sistemas de
observan como actividades diferentes, cuando en realidad son
complementarias
• R.E.D.A.R - Vocablo que significa: “Echar las redes”
 RE
gistro
* Establecimiento de los diferentes métodos y herramientas para
mantener el adecuado registro de eventos relevantes en las
redes.
 D ectección de intrusos
* Desarrollo de alertas y análisis de las posibles fallas de
seguridad aprovechadas por los atacantes.
 A uditoRia
* Evaluación, seguimiento y análisis de los mecanismos y
herramientas actuales de seguridad, que conduzcan al
afinamiento permanente de la seguridad de la red.
JCM-02 All rights reserved.
6
R.E.D.A.R
REGISTRO
PREPARACIÓN
FORENSE DE
REDES
SIMULACIÓN Y PRUEBAS
DETECCIÓN
INTRUSOS
JCM-02 All rights reserved.
CONTROL DE EVIDENCIA
AUDITORÍA
7
Arquitectura de análisis
Internet
Exterior
JCM-02 All rights reserved.
RED
LÍNEA DE
PERÍMETRO DEFENSA
ZONA CONTROLADA
8
Red de Perímetro
• Generalmente compuesta por enrutadores
 La
seguridad y control de este segmento de la red, en la mayoría
de los casos, se basa en:
* Listas de control de acceso
* Filtro de paquetes
10.16.1.0
200.16.2.3
JCM-02 All rights reserved.
192.168.1.0
172.16.1.0
9
Red de Perímetro
• Lista de Control de Acceso
 Lista
de control de acceso Standard
* Definida por un rango numérico entre 1-99
* Sólo verifica el IP ORIGEN, luege se hace el filtro de manera
rápida.
 Lista
de control de acceso Extendida
* Definida por un rango numérico entre 100-199
* Verfica ORIGEN, DESTINO, PROTOCOLO, Puertos UDP/TCP,
Tipos ICMP en secuencia.
* El filtro de paquetes se torna más lento
 Lista
de Control de Acceso Reflexiva
* Utiliza listas de control de acceso dinámica, semejantes a la
tabla de estados de un FW, para mantener las conexiones
aseguradas.
* Mecanismo nuevo en CISCO.
JCM-02 All rights reserved.
10
Red de Perímetro
• Formato de una Lista de Control de Acceso Estandard
 access-list
number action source [Wild Card]  any
* Number: 0-99 para listas de control de acceso estándard
* Action: Permit o Deny - Permitir o Negar
* Source: Dirección IP para comparar
* Wild Card:
– Determina que parte de la dirección IP será comparada y cual
no.
* Any: Cualquier dirección
 EJEMPLO:
* access-list 20 permit 192.168.1.0 0.0.0.255
JCM-02 All rights reserved.
11
Red de Perímetro
• Filtro de paquetes
 Mecanismo
de seguridad cuya función es establecer qué
información puede fluir de y hacia una red.
 El
filtro de paquete permite controlar (permitir o negar) la
transferencia de paquetes con base en:
* Dirección origen de la información
* Dirección destino de la información
* Protocolos como IP, UDP, TCP e ICMP
* Servicios UDP/TCP como Telnet, SMTP, SNMP, NNTP, FTP,
entre otros
* ICMP - echo request, echo replay, port unreachable
* Type of Service (Performance), banderas o flags en los
paquetes de información.
JCM-02 All rights reserved.
12
Red de Perímetro
• Creando un Packet Filter
 Para
efectuar esta acción es necesario utilizar la directiva
* ip access-group number [InOut]
* Number: Valor definido para una lista de control de acceso
* InOut: En qué dirección el filtro se aplicará para los
paquetes entrantes o salientes.
 EJEMPLO
* interface serial 0
ip address 172.16.1.1 255.255.255.0
ip access-group 11 in
access-list 11 permit host 192.168.1.100
access-list 11 deny 192.168.1.0 0.0.0.255
access-list permit any
JCM-02 All rights reserved.
13
Red de Perímetro
• Creando un Packet Filter
 EJEMPLO
de lista de control de acceso EXTENDIDO
* interface serial 0
ip access-group 100 in
access-list 100 permit tcp any any gt 1023
access-list 100 permit tcp any any eq 23
 access-list
100 permit tcp any any gt 1023:
* Permite todo paquete TCP a puertos mayores de 1023
 access-list
100 permit tcp any any eq 23:
* Permite paquetes telnet al puerto 23. Tráfico de otros
protocolos al puerto 23 será bloqueado.
JCM-02 All rights reserved.
14
R.E.D.A.R en el Perímetro
REGISTRO
PREPARACIÓN
FORENSE DE
REDES
SIMULACIÓN Y PRUEBAS
DETECCIÓN
INTRUSOS
JCM-02 All rights reserved.
CONTROL DE EVIDENCIA
AUDITORÍA
15
Red de Perímetro
• Aplicando R.E.D.A.R - Aspectos básicos a considerar
 RE
gistro
* Algunos eventos que deben ser analizados en el perímetro
– Violaciones de las listas de control de acceso
– Violaciones de los filtros de paquetes configurados
– Sobrecargas de tráfico en la red
D
ectección de Intrusos
* Algunos eventos de interés
– Cambios en la configuración de las listas de control de acceso y
filtros de paquetes
– Actualización del Sistema operacional del router
– Cambios en la configuración del router
 AuditoRía
* Algunos eventos de interés
– Advertencias de seguridad en routers
– Parches de seguridad
JCM-02 All rights reserved.
16
Red de Perímetro
• Aplicando R.E.D.A.R - Algunas Estrategias
 RE
gistro
* Registro de la actividades del Router
– Utilizando SYSLOG
– Exportar eventos de interés a servidor remoto
D
ectección de Intrusos
* Alertas de Cambios
– Utilizar protocolo SNMP (actualizado a la última versión) para
reporte acciones sobre el dispositivo.
– Alineado con estrategia de registro remoto.
 AuditoRía
* Pruebas de penetración
– Ataques simulados a vulnerabilidades conocidas
– Pruebas de stress y resistencia de tráfico.
JCM-02 All rights reserved.
17
R.E.D.A.R en
Red de Perímetro
•
Listas de control de acceso - CISCO
1. Mar 31 13:55:07 rt1 3319: 21:36:44 : %SEC-6-IPACESSLOGP:
list 102 denied UDP 209.67.78.202 (3408) external.primary.dns (33434), 1
packet.
Rt1
3319
21:36:44
%SEC-6-IPACESSLOGP
Hostname
No de secuencia
Estampilla de tiempo
Mnemónico que identifican de manera única el
mensaje.
list 102
No. lista de control de acceso contiene la regla
evaluada.
Denied
Acción tomada por el router
UDP
Protocolo detectado
209.67.78.202 (3408)
Dirección y puerto Origen
external.primary.dns (33434)
Dirección y puerto Destino
JCM-02 All rights reserved.
18
Línea de Defensa
• Generalmente compuesta por Sistemas de Detección de
Intrusos y Firewalls.
TCP
IDS
JCM-02 All rights reserved.
ICMP
UDP
Echo
ACK
request
SYN
URG
PSH
FW
IDS
19
Línea de Defensa
• Algunas generalidades sobre los FW
* Qué puede hacer actualmente?
– Restringe el acceso a un punto cuidadosamente controlado.
– Restringe a las personas para que salgan en un punto
cuidadosamente controlado.
– Evita que los posibles atacantes se acerquen más a sus demás
defensas.
* Qué NO puede hacer?
– Protegerlo contra atacantes internos
– Resguardarlo contra conexiones que no pasan por él
– Nuevas amenazas de seguridad: bug’s, configuraciones recientes
de enrutadores, etc.
– Resguardarlo contra virus.
– Protegerlo contra ejecuciones de applets maliciosos de java.
– Control de paquetes fragmentados.
JCM-02 All rights reserved.
20
Línea de Defensa
• Intrusion Detection Systems
 Herramientas
*
*
*
*
de administración de seguridad que:
Recolectan información de una variedad de fuentes en un
sistema
Analiza esta información contra patrones de uso indebido o
actividad inusual
En algunos casos, responde automáticamente a la actividad
detectada
Reporta el resultado del proceso de detección
Tomado de: Bace, R. (2000) An introduction to Intrusion Detection Assessment. ICSA.
JCM-02 All rights reserved.
21
Línea de Defensa
• Intrusion Detection Systems
 Dentro
*
*
*
*
*
*
de las funciones que pueden desarrollar están:
Monitorear y analizar las actividades del usuario y del
sistema.
Auditar la configuración del sistema y sus vulnerabilidades
Evaluación de la integridad de los sistemas críticos y los
archivos de datos
Reconocimiento de patrones de actividad que reflejen ataques
Análisis estadístico de patrones de actividad anormal
Auditoría de la administración del S.O, con reconocimiento de
actividades relativas a la violación de políticas.
Tomado de: Bace, R. (2000) An introduction to Intrusion Detection Assessment. ICSA.
JCM-02 All rights reserved.
22
Línea de Defensa en detalle
Internet
Enrutador
Externo
Firewall
Anfitrión
Bastión
Enrutador
Interno
Red Interna
JCM-02 All rights reserved.
Monitoreo de tráfico
- Conexiones a servicios y puertos es
* WEB, DNS
* MAIL
* Puertos menores a 1023
Monitoreo de tráfico
- Conexiones
* Aplicaciones internas
* Niñeras
* Traducción de direcciones
Adaptado de: Chapman y Zwicky. 1995
23
R.E.D.A.R en Defensa
REGISTRO
PREPARACIÓN
FORENSE DE
REDES
SIMULACIÓN Y PRUEBAS
DETECCIÓN
INTRUSOS
JCM-02 All rights reserved.
CONTROL DE EVIDENCIA
AUDITORÍA
24
Línea de Defensa
• Aplicando R.E.D.A.R - Aspectos básicos a considerar
 RE
gistro
* Algunos eventos que deben ser analizados en la Defensa
– Violaciones de las reglas del FW
– Tráfico Fuera de lo Normal
– Patrones de Bypass de IDS
D
ectección de Intrusos
* Algunos eventos de interés
– Alertas de posibles ataques conocidos
– Tráfico anormal y manipulación de protocolos
– violación de permisos e integridad en la máquina FW e IDS
 AuditoRía
* Algunos eventos de interés
– Configuración de la máquina FW y sus protocolos
– Parches de seguridad
JCM-02 All rights reserved.
25
Línea de Defensa
• Aplicando R.E.D.A.R - Algunas Estrategias
 RE
gistro
* Algunos aspectos a considerar en la Defensa
– Exportar y analizar registros del FW
– Exportar y analizar registros del IDS
D
ectección de Intrusos
* Alertas de Cambios
– Reglas en el FW y en el IDS
– Control de permisos en las máquinas - Integridad del software y
reglas
 AuditoRía
* Pruebas de penetración
– Reglas y tráfico de red malicioso
– Simulación de ataques e incidentes.
JCM-02 All rights reserved.
26
R.E.D.A.R en
Línea de Defensa
•
LOG FIREWALL - Checkpoint FW-1
 Características del log
* 14;2Feb2001;11:30:02;FW;log;accept;;qfe1;inbound;tcp;co
mp1;200.0.241.42;http;4689;48;70;comp_X;200.0.241.42;46
556;http;;;;;;;;;;;;;;;;
* Otros campos: resource;icmp-type;icmpcode;reason:;agent;orig_from;orig_to;reason;srckeyid;ds
tkeyid;user;scheme:;methods:;from;to;sys_msgs

Análisis detallado del log
*
*
*
*
*
*
*
*
*
*
num - 14
date - 2Feb2001
time - 11:30:02
orig - FW
type - Log
action - accept
alert - “Vacio”
i/f_name - qfe1
i/f_dir - inbound
proto - tcp
JCM-02 All rights reserved.
src - comp1
dst - 200.0.241.42
service - http
s_port - 4689
len - 48
rule - 70
xlatesrc - comp_X
xlatedst - 200.0.241.42
xlatesport - 46
xlatedport - 556
27
Zona Controlada
• Denominada en general como la zona protegida o
militarizada. Lugar donde se encuentra los recursos más
críticos asociados con la organización.
IDS
FW
JCM-02 All rights reserved.
28
Zona Controlada
• Consideraciones en la zona controlada
* Sólo debe fluir el tráfico autorizado por el FW tanto desde el
interior como desde el exterior de la organización
* Los servicios y datos residentes en esta zona requieren
mecanimos de autenticación fuertes
* Las acciones “de actualización de datos o configuraciones”
requiere registro y análisis formal
* Si existe un cambio en el direccionamiento hacia la zona
controlada en la línea de defensa, debe ajutarse y revisarse
TODOS los mecanimos de autenticación, registro y control de la
zona controlada.
* El manejo de excepciones de acceso a la zona, tanto de tráfico
como de actualización de datos deben estar claramente
monitoreados. de enrutadores, etc.
JCM-02 All rights reserved.
29
R.E.D.A.R en Zona Controlada
REGISTRO
PREPARACIÓN
FORENSE DE
REDES
SIMULACIÓN Y PRUEBAS
DETECCIÓN
INTRUSOS
JCM-02 All rights reserved.
CONTROL DE EVIDENCIA
AUDITORÍA
30
Zona Controlada
• Aplicando R.E.D.A.R - Aspectos básicos a considerar
 RE
gistro
* Algunos eventos que deben ser analizados en la Zona
Controlada
– Registro de autenticación y control de acceso
– Protocolos y servicios permitidos
– Tráfico de red sobre servicios ofrecidos
D
ectección de Intrusos
* Algunos eventos de interés
– Alertas de posibles ataques conocidos
– Tráfico anormal y manipulación de protocolos
– violación de permisos e integridad de las máquinas
 AuditoRía
* Algunos eventos de interés
– Vulnerabilidades de segiuridad de los servicios ofrecidos
– Fallas en los mecanismos de seguridad utilizados
– Fallas procedimentales y de uso.
JCM-02 All rights reserved.
31
Zona Controlada
• Aplicando R.E.D.A.R - Algunas Estrategias
 RE
gistro
* Algunos aspectos a considerar en la Defensa
– Registrar y analizar acciones de autenticación
– Estadísticas de tráfico en función protocolos y servicios
D
ectección de Intrusos
* Alertas de Cambios
– Reglas de monitoreo de puertos y servicios en el IDS
– Control de permisos en las máquinas - Integridad del software y
reglas
 AuditoRía
* Pruebas de penetración
– Reglas y tráfico de red malicioso
– Simulación de ataques e incidentes.
JCM-02 All rights reserved.
32
R.E.D.A.R en
Zona controlada
•
LOG IDS - SNORT
• [**] BETA - Anon FTP [**]
• 12/14-12:02:25.335000 209.88.62.192:63307 ->
161.69.2.23:21
• TCP TTL:127 TOS:0x0 ID:1203 DF
• *****PA* Seq: 0xE4A4E8
Ack: 0xFB8D3B8F
Win: 0x2206
• [**] IDS3 - MISC-Traceroute TCP [**]
• 12/14-12:03:53.817805 209.185.131.251:80 ->
209.88.62.192:63295
• TCP TTL:1 TOS:0x0 ID:29731 DF
• ****R*** Seq: 0x8E81AA48
Ack: 0x8E81AA48
0x2238
•
•
•
•
Win:
[**] PING-ICMP Time Exceeded [**]
12/14-12:03:53.817846 209.88.62.192 -> 209.185.131.251
ICMP TTL:255 TOS:0xC0 ID:10334
TTL EXCEEDED
JCM-02 All rights reserved.
33
Ejercicios
4. Si usted encuentra dentro de su LOG de WEBServer el siguiente
registro, cuál sería su diagnóstico?
.
157.253.4.13
[14/Sep/2001:19:50:56
-0500]
"GET
/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucb
d3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u
00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.
0" 404 283.
CODE RED!!!
JCM-02 All rights reserved.
34
R.E.D.A.R en Contexto
Listas de Control de Acceso
Filtro de paquetes
Reglas de Control de Acceso
Reglas de Monitoreo
Reglas de Monitoreo
Registro de Acceso
CORRELACIÓN
CONTROL DE EVIDENCIA
Internet
SINCRONIZACIÓN
AFINAMIENTO
SIMULACIÓN Y PRUEBAS
EXTERIOR
JCM-02 All rights reserved.
RED
LÍNEA DE
PERÍMETRO DEFENSA
ZONA CONTROLADA
35
R.E.D.A.R.
En resumen
• Es requisito para la preparación forense de redes:
 Establecer
mecanismos de sincronización de tiempo entre la
zona de perímetro, la línea de defensa y la zona controlada.
 Desarrollar
guías de análisis y control de evidencia, para cada
uno de los segmentos: zona de perímetro, la línea de defensa y la
zona controlada, que permitan correlacionar la evidencia
identificada.
 Capacitar
y entrenar a los administradores y encargados de la
arquitectura para adelantar acciones de recuperación y control
de evidencia.
• Son actividades que alimentan y cuestionan la preparación
forense de redes
 Simulación
y Pruebas
* Pruebas de penetración
* Ataques basados en manipulación de tráfico
* Atentados contra la integridad de máquinas y configuraciones
de sistemas de seguridad
 Afinamiento de la arquitectura
JCM-02 All rights reserved.
36
R.E.D.A.R.
Hacia el futuro...
• Algunas directrices de investigación hacia el futuro
 Especificar
guías prácticas de preparación forense para cada uno de
los segmentos en una arquitectura
* Preparación forense redes de perímetro
* Preparación forense líneas de defensa
* Preparación forense de zonas controladas
 Afinamiento
y balanceo del registro remoto
* Análisis de vulnerabilidades y performance
* Criterios para establecer qué registro es necesario
* Extensiones y aporte de HONEYNETS
 Análisis
Forenses detallados
* Desarrollo de estrategias de correlación de evidencia
* Registro de tráfico normal de aplicaciones y servicios
* Incorporación de experiencias y alianzas con proyectos como el
HONEYNET PROJECT.
JCM-02 All rights reserved.
37
R.E.D.A.R.
Conclusiones
• La preparación forense de redes, no es una opción para los
administradores de redes y responsables de arquitecturas
computacionales.
• Las estrategias de análisis forenses deben ser actividades
conjuntas que se realicen entre las funciones de seguridad
y los expertos técnicos del área de telecomunicaciones.
• No es opcional recoger evidencia, el ordenamiento legal
está detrás de nuevas formas de perseguir la delincuencia
electrónica
• Ante un incidente de seguridad, la respuesta y el
aseguramiento de la eviencia son factores críticos para su
control.
• Los procedimientos forense deben ajustarse con los
cambios y simular su efectividad a través de las pruebas de
penetración de la arquitectura.
JCM-02 All rights reserved.
38
R.E.D.A.R.
Breve Checklist ante Incidente
• Sincronización de tiempo
 La hora de los enrutadores coincide con la hora del FW?
 Existen diferencias de tiempo entre la hora reportada del
ataque y
las máquinas involucradas?
 Los registros de actividad y violaciones de las listas de control de
acceso y filtros exportadas están alineadas con la hora del
incidente?
 El protocolo NTP - Network Time Protocol estaba en su última
versión? Realmente confiable?
 Cuando fue la última sincronización de tiempo que se efectuó en la
arquitectura?
• Control de Evidencia
 Los registros identificados, se encuentran completos y asegurados?
 Existen vacíos o saltos en los registros identificados en la
arquitectura atacada?
 Se cuenta con guías de recolección y control de evidencia?
 Se tiene identificada la evidencia a recoger en cada uno de los
segmentos de la arquitectura: zona de perímetro, la línea de
defensa y la zona controlada
 Existe personal entrenado en análisis de evidencia digital?
Correlación de eventos?
JCM-02 All rights reserved.
39
Qué tan preparado está su ambiente
de Red?
Si no está seguro, usted no esta
preparado!
Adaptado de: John Tan, Reseach Scientist. @Stake, Inc.
JCM-02 All rights reserved.
40
Referencias
• DAVID, J. (2001) The Ins and Outs of Intrusion Detection. Computer
Fraud and Security. Nov.
• PARA-SOFT (2001) Absolute state of the hack. Presentación en
Powerpoint. Http://para-protect.com
• KIRBY, A. (2001) Honeynet Phase Two: Knowing your enemy more.
Computer Fraud and Security. Dic.
• SANS (2001) CISCO Security Checklist.
Http://www.sans.org/SCORE/checklist/
• LASSER, J. (2001) Implementing SNORT in a production environment.
;LOGIN. The magazine of USENIX. Nov. Vol.26. No.7
• COUNTERPANE. (2001) Logging Techniques. Presentación en Powerpoint.
Http://www.counterpane.com
• BECK, D. (2001) A review of Cybersecurity risk factors. Information
Security Reading Room. Sans.
Http://www.sans.org/infosecFAQ/securitybasis/risk.htm
• RICHARDS, K. (1999) Network Based Intrusion Detection: A review of
technologies. Computers & Security. Vol.18
• KPMG (2001) 2001 Global e-Fraud Survey.
Http://www.kpmg.co.uk/kpmg/uk/direct/forensic/pubs/EFRAUD.cfm
• HOLEWA, B. (2001) Intrusion detection systems forensics.
Http://www.8wire.com/articles/print_article.asp?printAID=2248
• UPCHURCH, J. (2001) Combating computer crime. Information Security
Reading Room. Sans.
Http://www.sans.org/infosecFAQ/incident/combat.htm
JCM-02 All rights reserved.
41
Referencias
• FARMER, D. y VENEMA, W. (2001) Being prepared for intrusion. Dr.
Dobb’s. Abril. Http://www.ddj.com/print/documentID=11878
• TAN, J. (2001) Forensic Preparation. Planning and policies are keys to
successful forensic analysis. Secure Business Quarterly.
Http://www.sbq.com
• SCHNEIER, B. (2001) Managed Security Monitoring: Network Security for
the 21st. Century. Computers & Security. Vol.20.
• MAHADEVAN, C. (2001) Intrusion, attack, penetration - some issues.
Information Systems Control Journal. Vol.6
• BURNETTE, M. y GOMEZ, C. (2001) When Code red attacks: Addressing
vulnerabilities behind virus hysteria. Information Systems Control Journal.
Vol.6
• ALTUNERGIL, O. (2001) Undertanding rootkits. O’really Networks.
Http://linux.oreillynet.com/lpt/a//linux/2001/12/14/rootkit.html
• MCHUGH, J., CHRISTIE, A. y ALLEN, J. (2001) Intrusion detection:
Implementation and operational issues. CERT.
Http://www.stsc.hill.af.mil/crosstalk/2001/jan/mchugh.asp
• FREDERICK, K. (2001) Studying Normal Traffic, Part Two: Studying FTP
traffic. Http://www.securityfocus.com/focus/ids/articles/normaltraf2.html
• FREDERICK, K. (2001) Studying Normal Traffic, Part Three: TCP Headers.
Http://www.securityfocus.com/focus/ids/articles/normaltraf3.html
• SPITZNER, L. (2000) Serie Know your Enemy. Http://www.enteract.com/
/~lspitz/papers.html
JCM-02 All rights reserved.
42
Referencias
• NORTHCUTT, S. et al (2001) Intrusion Signatures and Analysis. SANS Giac.
New Riders.
• NORTHCUTT, S y NOVAK, J. (2001) Detección de intrusos. Guia avanzada.
2da. Edición. Prentice Hall.
• CHAPPELL, L. (2000) Advanced Network analysis techniques. Podbooks.com.
• STEVENS, R. (1994) TCP/IP Illustrated. Volume I: The protocols. Addison
Wesley.
• GURLEY, R. (2000) Intrusion Detection. Macmillan Technical Publishing.
• ANOMINO. (2000) Linux Máxima Seguridad. Prentice Hall.
• NORTHCUTT, S. (1999) Network intrusion detection. An analyst’s handbook.
New Riders.
• GOLLMAN, D. (1999) Computer security. John Wiley & Son.
• FEIT, S. (1998) TCP/IP. McGraw Hill.
• CHAPMAN, D. y Zwicky, E. (1997) Construya firewalls para internet. McGraw
Hill. O’Really.
• PFLEEGER, C. (1997) Security in computing. Englewood Cliffs, NJ: Prentice
Hall. Segunda Edición.
• MANDIA, K. y PROSISE, C. (2001) Incident Response. Investigation Computer
Crime. McGraw Hill
• CASEY, E. (2000) Digital evidence and computer crime. Academic Press.
• CASEY, E. (Editor) (2002) Handbook of computer crime investigation.
Academic Press.
• SCHULTZ, E. y SHUMWAY, R. (2002) Incident Response. A strategic guide to
handling systems and network security breaches. New Riders.
JCM-02 All rights reserved.
43
Preguntas??
Gerentes pensativos??
Algún expediente X??
Administradores Agobiados??
Intrusos??
Profesores Preocupados??
Travesuras Informáticas?? Estudiantes Disgustados??
JCM-02 All rights reserved.
44
Preparación Forense de Redes
R.E.D.A.R
Un modelo de análisis
Jeimy J. Cano, M.Sc., Ph.D
Universidad de los Andes
[email protected]
Descargar

Preparación Forense de Redes. Un modelo de análisis