Universidad Nacional de Chimborazo

Facultad de Ingeniera

Proyecto Integrador II
Profesor: M.Sc. Cristhy Jimnez G.
cjimenez@unach.edu.ec

ANALISIS FORENSE EN REDES DE

COMPUTADORES

Las redes y el anlisis forense

2

Antecedentes y definiciones
bsicas

Forencia en Redes

73

Forensia en Redes
Las redes de computadores son vas de
acceso a servicios tanto para usuarios
como para intrusos y atacantes.
La mayora de informticos asume que el
protocolo TCP/IP es slido y confiable.
El protocolo TCP/IP es vulnerable de ser
atacado aprovechando errores de los
usuarios como de los tcnicos.
74

Forensia en Redes
El anlisis forense aplicado a redes de
computadoras se conoce como forensia
en redes.
Busca conocer quin vulnera un sistema,
cmo, cundo, y las consecuencias de
este acto dentro de una red en un perodo
determinado de tiempo, as como el vector
de ataque.
La forensia en redes exige un alto
conocimiento de las redes, protocolos,
servidores y dispositivos de comunicacin75

Forensia en Redes
Cmo Funciona?
Se basa en la certeza de que no existe el
anonimato ni en la navegacin ni en el uso
de internet.
Se basa en utilizar los conocimientos
acerca del funcionamiento del protocolo
TCP/IP y de las herramientas que utilizan
los crackers para atacar un sistema de
cmputo
76

Forensia en Redes
El factor tiempo
El rastreo por completo del trfico y de la
actividad del atacante, debe hacerse
antes de que alguno de los equipos, a lo
largo de la ruta, borre los registros y, por
supuesto,
siempre
que
exista
la
colaboracin de los equipos intermedios.

77

Particularidades de TCP/IP
No existe el anonimato 100% en internet.
La direccin MAC y las caractersticas de un
computador son prcticamente nicas.
El proveedor de internet lleva un registro de
ingreso y tiempos para control de facturacin de
cada uno de sus usuarios
Es posible determinar con precisin toda la
cadena desde el computador de origen hasta el
computador de destino.
Es posible pero no siempre viable!!!
78

Particularidades de TCP/IP
Los usuarios reciben una IP exclusiva o
compartida
La IP para navegar es proporcionada por el
proveedor
La IP asignada puede ser compartida por
decenas o cientos de usuarios.
Se puede identificar a cada usuario que
comparte la IP.
Existen herramientas para averiguar la IP real:
www.ipchicken.com , www.verip.es , ip79
lookup.net ,

80

81

82

Particularidades de TCP/IP
La falta de privacidad ha sido aprovechada por
servicios como proxy servers que ofrecen
navegacin annima.
Estos servidores canalizan la conexin por
servidores geogrficamente distantes.
Pero existen mecanismos para averiguar las
direcciones IP reales.
La IP asignada puede ser compartida por
decenas o cientos de usuarios.

83

Particularidades de TCP/IP
Logs y registros de accesos.
Los administradores de redes deben prevenir
ataques usando tcnicas de deteccin y
prevencin de intrusos.

84

Particularidades de TCP/IP
Logs y registros de accesos.
Existen comandos que permiten obtener un log
real de la actividad ilcita en una red: lastb
Los puertos abiertos de un computador pueden
ser detectados con programas como : nmap y
netstat
Los sniffers como iptraf, ethereal,
winpcap y wireshark permiten olfatear,
mirar y capturar todo el trfico de una red.
85

Particularidades de TCP/IP
Logs y registros de accesos.
Comandos: lastb
Programas: nmap y netstat
Sniffers: iptraf, ethereal, winpcap y wireshark

86

Sitios Web especializados en seguridad

Norton SafeWeb, https://safeweb.norton.com
All Nettools, http://www.all-nettools.com/toolbox/privacy.htm
Anonymous Surfing, http://www.anonymizer.com
CYBERPASS, http://www.cyberpass.net
KIOSKEA, http://es.kioskea.net
TOR Project, http://www.torproject.org
CERT - INSTITUTE CARNEGIE MELLON, www.cert.org
ensina, https://www.enisa.europa.eu/
ESET, http://www.welivesecurity.com/la-es/
87

Sitios Web especializados en seguridad

Actividad:
Analice el documento ESET Security
Report Latinoamrica 2015 y presente un
resumen de las estadsticas de los
principales ataques en 2014 y cmo se
estn protegiendo las empresas
actualmente.

88

Vulnerabilidades en el
protocolo TCP/IP

89

Carencia de Cifrado
La mayora de protocolos TCP/IP NO
son cifrados.
La informacin viaja por la red desde
su origen a su destino sin ningn tipo
de cifrado, hacindola vulnerable de
ser interceptada.

90

Carencia de Cifrado
Generalmente,
la
informacin
que
transmitimos, recibimos o incluso los sitios
que visitamos, son registrados a travs de
logs o cach en diversos computadores.
Aunque existen protocolos de cifrado la
mayora de usuarios no los utiliza.
Cules son estos protocolos?
91

Carencia de Cifrado
Generalmente,
la
informacin
que
transmitimos, recibimos o incluso los sitios
que visitamos, son registrados a travs de
logs o cach en diversos computadores.
Aunque existen protocolos de cifrado la
mayora de usuarios no los utiliza.
Cules son estos protocolos?

https, ftps, pop3s, imaps.

92

Comparticin de ID de red
El diseo de TCP/IP permite que un
computador de la red pueda husmear u
olfatear (sniffing) el trfico circulante.
El propsito del olfateo puede ser
inofensivo o puede ser preparado para
obtener informacin como palabras clave,
contraseas u otros datos importantes.
Para esto, existen tarjetas de red que
permiten activar el llamado Modo
promiscuo
93

Comparticin de ID de red

94

Uso de puerta de enlace

Para
navegar
por
internet,
todo
computador debe incluir una puerta de
enlace o servidor proxy.
El equipo de puerta de enlace puede ser
vulnerable a un ataque, cambiando la
configuracin del enlace.
Esto permite los ataques conocidos como
MitM (Men in the Middle)

95

Necesidad de DNS
El atacante podra lograr alterar el
mecanismo de recuperacin de nombres a
travs de su IP.
Por ejemplo hacer que www.biess.fin.ec
vaya a un sitio fraudulento para obtener
informacin de los usuarios como sus
contraseas.

96

Necesidad de DNS
El troyano DNS Changer aprovech esta
vulnerabilidad e infect miles de
computadores en USA. El atacante podra
lograr
alterar
el
mecanismo
de
recuperacin de nombres a travs de su
IP.
El FBI desconect servidores fraudulentos
y muchos computadores infectados
(500000 aprox.) no pudieron navegar por
internet.
97

Necesidad de direccin MAC

Todo equipo necesita una direccin
MAC.
Las direcciones MAC se pueden
clonar fcilmente y generar trfico
malicioso.
Los equipos pueden ser atacados
creyendo que est comunicndose
con el equipo real y no con el equipo
fantasma.
98

Vulnerabilidades de paquetes
y programas populares

99

Todo software est destinado a participar

en pruebas de integridad y funcionalidad.
Las vulnerabilidades son detectadas por
los desarrolladores, usuarios finales y/o
atacantes.

100

Clasificacin de fallas de seguridad

Desbordamiento de buffer
Error de formato de cadena
Cross Site Scripting XSS
Inyeccion SQL
Inyeccin de Caracteres CRLF
Denegacin de servicio
Inyeccin mltiple HTML
Windows Spoofing
Da cero

101

Actividad
Elabore un paper (4-6 pginas en formato
LNC) respecto a un tipo de falla de
seguridad.
El paper debe contener los siguientes
elementos mnimos:

Resumen
Introduccin
Estado del arte
Ejemplos
Conclusiones
Bibliografa

102

ANALISIS FORENSE EN REDES DE

COMPUTADORES

Metodologa de anlisis forense

103