Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SEMINARIO DE TITULACIÓN
“SEGURIDAD DE LA INFORMACIÓN”
TESINA
“ESQUEMA DE FORENSIA EN RED”
Asesores:
DR. GABRIEL SANCHEZ PÉREZ
M. EN C. MARCOS ARTURO ROSALES GARCÍA
VIGENCIA: DES/ESIME-CUL/23/08
Por ser la institución que por cortos pero valiosos años nos mostró cómo
la ética, moral, y el profesionalismo son virtudes invaluables, y que se
demuestran día con día.
ÍNDICE GENERAL
PRELIMINARES Pág.
INTRODUCCIÓN I
OBJETIVO II
ALCANCE III
ESQUEMA IV
CONCLUSIONES 69
REFERENCIAS BIBLIOGRÁFICAS 70
GLOSARIO 71
ÍNDICE DE FIGURAS
I
OBJETIVO
II
ALCANCE
III
ESQUEMA
Un esquema de forensia en red es una serie de elementos teóricos que pretende dar
una visión de lo que puede ser puesto a prueba en la realidad, en el presente
documento se muestran los fundamentos teóricos de una red LAN y cómo funcionan
en un caso práctico.
IV
CAPÍTULO I. ATAQUES EN LA RED
Para las empresas o instituciones que ofrecen servicios, los mas importante es la
calidad del mismo, si los servicios que ofrecen son de calidad, difícilmente un cliente
va requerir nuevamente de sus servicios. ¿Qué pasa si la competencia evita que la
empresa ofrezca un servicio de calidad, o en el extremo, evita que la empresa
ofrezca el servicio?, con seguridad la empresa perderá gran cantidad de clientes;
¿quién gana?: la competencia.
Un ataque en la red se puede definir como una parte de una serie de pasos
intencionados para intentar obtener un resultado no autorizado [1].
Pero para llevar a cabo un ataque en la red es necesario que exista una
vulnerabilidad, es decir, una debilidad en la red que puede ser explotada. Por lo tanto
se puede definir un ataque en la red como:
1
“El intento intencionado de obtener un resultado no autorizado en la red
aprovechando una vulnerabilidad existente”.
Existen diversos autores que clasifican a los ataque en la red de diversas maneras
de acuerdo a la perspectiva que tiene cada uno de dichos ataques.
2
Esta clasificación es una mejora respecto a la lista de términos, por que
presenta una estructura, pero presenta los mismos problemas que la lista de
términos.
Russell y Gangemi [3] utilizan una clasificación que agrupa la lista de términos
en categorías que describen el resultado del ataque:
Neumann y Parker [4] clasifican los ataques de acuerdo a los datos empíricos
que se han obtenido de los mismos.
3
Interrupción: La información no está disponible o es destruida antes de
llegar a su destino.
Intercepción: La información es tomada por una entidad no autorizada y
evita que llegue a su destino.
Modificación: La información es alterada.
Fabricación: La información es creada por una entidad no autorizada y es
insertada en el sistema.
1.2.1 Eventos
Acción: Una acción se define como una serie de pasos para obtener un
resultado.
4
1.2.2 Acciones.
5
Existen dos formas de realizar una autentificación no autorizada: la primera
consiste en obtener credenciales validas para la autentificación, es decir, utilizar
herramientas para obtener el nombre usuario y contraseña de algún usuario y
autentificarte con sus credenciales. La segunda es aprovechar vulnerabilidades
en el proceso de autentificación para con ello saltarla, esto es, no autentificarte
si no saltar el proceso de autentificación. A esta acción se le llama en ingles
bypass (salto).
1.2.3 Objetivos
Los objetivos se pueden clasificar en siete categorías, las tres primeras lógicas
(cuentas, procesos y datos) y las cuatro restantes físicas (componentes,
computadoras, redes e intranet).
Objetivos Lógicos:
Objetivos Físicos:
6
1.2.4 Ataques
7
1.2.5 Herramientas
1.2.6 Vulnerabilidad
8
1.2.7 Resultado No Autorizado
1.2.8 Incidentes
Un incidente está formado de tres partes principales, los atacantes, los ataques
y los objetivos, como se muestra en la figura 1.3.
9
1.2.9 Los Atacantes Y Sus Propositos
Atacantes: Individuo o grupo de individuos que intenta uno o más ataques con
un propósito determinado. De acuerdo al propósito que persiguen los atacantes
se pueden clasificar en 6 categorías.
Como se puede ver la taxonomía de los incidentes permite tener detalle del ataque.
Las clasificaciones anteriores no son específicas y un ataque puede caer en más de
una clasificación.
La taxonomía del incidente no solo se centra en el ataque si no que vas mucho más
atrás para poder clasificarlo iniciando por el atacante, ¿quién es?, y finalizando por
¿Cuál es su objetivo? Para clasificar el ataque con la taxonomía del incidente se
debe de conocer quién es el atacante, qué herramienta utilizo, cual es la
vulnerabilidad que exploto y que acción realizo, cual fue el blanco de su ataque, que
resultado pretendía obtener u obtuvo y con qué objetivo.
Es por ello que para clasificar un ataque se recomienda utiliza la taxonomía del
incidente, la desventaja es que requiere mucho mas recolección de información, no
solo basta saber que ocurrió un ataque y cuál fue el blanco.
10
CAPÍTULO II. INFORMÁTICA FORENSE
La informática forense está adquiriendo una gran importancia dentro del área de la
información electrónica, esto debido al aumento del valor de la información y/o al uso
que se le da a ésta, al desarrollo de nuevos espacios donde es usada un ejemplo es
el Internet, y al extenso uso de computadores por parte de las compañías de
negocios tradicionales como los bancos. Es por esto que cuando se realiza un
crimen, muchas veces la información queda almacenada en forma digital. Sin
embargo, existe un gran problema, debido a que las computadoras guardan la
información de información forma tal que no puede ser recolectada o usada como
prueba utilizando medios comunes, se deben utilizar mecanismos diferentes a los
tradicionales. Es de aquí que surge el estudio de la informática forense como una
ciencia relativamente nueva la cual aplicando procedimientos estrictos y rigurosos
puede ayudar a resolver grandes crímenes apoyándose en el método científico,
aplicado a la recolección, análisis y validación de todo tipo de pruebas digitales.
Sin embargo, la facilidad de acceso a Internet y el desarrollo del mercado que está
relacionado con los dispositivos que permiten acceder a las nuevas comunicaciones
han cambiado no solo la forma en la que se pasa el tiempo libre y la forma en la que
se llevan a cabo los negocios sino también la forma en la que los delincuentes
comenten sus crímenes.
Estas computadoras y redes suelen ser las herramientas para cometer un crimen,
ser las víctimas del crimen o ser utilizadas para propósitos incidentales relacionados
con el crimen. El Análisis Forense comprende el proceso de extracción,
11
conservación, identificación, documentación, interpretación y presentación de las
evidencias digitales de forma que sean legalmente aceptadas en cualquier proceso
legal, proporcionando las técnicas y principios que facilitan la investigación del delito.
Disciplina de las ciencias forenses, que considerando las tareas propias asociadas
con la evidencia, procura descubrir e interpretar la información en los medios
informáticos para establecer los hechos y formular las hipótesis relacionadas con el
caso. [7]
Del análisis anterior y tratando de encontrar una definición clara para el lector la
informática forense se define como: Es el proceso de investigación que consiste en
una identificación, preservación, análisis y presentación de evidencias digitales en
una forma que sea legalmente aceptable en cualquier proceso judicial o
administrativo.
El objetivo de una investigación forense tras un ataque son en general las siguientes:
12
¿Cómo puede analizarse lo desconocido?
13
2.2.2 Forensia Basada en Red
Para poder hacer forensia en la red de una manera efectiva es necesario tener
un registro completo del tráfico en la red, entre mas trafico se tenga registrado
el análisis forense será más efectivo.
14
documenta el proceso completo de las evidencias durante la vida del caso,
quién la recogió y donde, quien y como la almacenó, quién la procesó… etc.
Cada evidencia deberá ser identificada y etiquetada a ser posible en presencia
de testigos, con el número del caso, una breve descripción, la firma y la fecha
en que fue recogida.
2. Comprobar (Autenticar) que las evidencias recogidas y que van a ser la base de
la investigación son idénticas a las abandonadas por el delincuente en la
escena del crimen. Las técnicas y herramientas de control de integridad que
mediante la utilización de una función hash generan una huella electrónica
digital de un fichero o un disco completo constituyen una ayuda básica.
3. Analizar los datos sin modificarlos. En este punto, es crucial proteger las
evidencias físicas originales trabajando con copias idénticas de forma que en
caso de error se pueda recuperar la imagen original y continuar con el análisis
de forma correcta. Se recomienda la realización de dos copias de los discos
originales. Estas copias deben ser clones realizados bit a bit del dispositivo
original, los backups normales no copian ficheros que han sido borrados ni
determinadas partes de los discos que pueden contener pistas importantes para
el desarrollo de la investigación.
Debe tenerse en cuenta que los datos digitales adquiridos de copias no se deben
alterar de los originales, porque esto invalidaría la evidencia; por esto los
investigadores deben revisar con frecuencia que sus copias sean exactas a las del
dispositivo del sospechoso, para esto se utilizan varias tecnologías, como por
ejemplo checksums o hash MD5 solo por citar algunas. Las características propias
de la evidencia digital son las siguientes:
La evidencia de Digital puede ser duplicada de forma exacta y se puede sacar una
copia para ser examinada como si fuera la original. Esto se hace comúnmente para
no manejar los originales y evitar el riesgo de dañarlos.
15
La evidencia de Digital es muy difícil de eliminar. Aún cuando un registro es borrado
del disco duro de la computadora, y éste ha sido formateado, es posible recuperarlo.
16
A diferencia de los medios no digitales, en los digitales se presenta gran
volatilidad y alta capacidad de manipulación. Por esta razón es importante
aclarar que es indispensable verificar la autenticidad de las pruebas
presentadas en medios digitales contrarios a los no digitales.
Apogeo y respeto por las leyes y reglas del poder judicial: Este criterio
se refiere a que la evidencia digital debe cumplir con los códigos de
procedimientos y disposiciones legales del ordenamiento del país.
17
2. La esterilidad de los medios es una condición fundamental para el inicio de
cualquier procedimiento forense en informática.
7. Generalmente existen dos tipos de informes, los técnicos con los detalles de la
inspección realizada y el ejecutivo para la gerencia y sus dependencias.
Cumplir con todo esto suena difícil; sin embargo, los encargados de seguridad tienen
a su disposición para enfrentar dichas demandas las mejores prácticas que se
sugieren en el desarrollo de la informática forense.
19
2.6.1 RFC 3227
Otra guía del DoJ EEUU, es “Examen Forense de Evidencia Digital” (Forensic
Examination of Digital Evidence: A Guide for Law Enforcement). Esta guía está
pensada para ser usada en el momento de examinar la evidencia digital.
21
Figura 2.1 Cuadro comparativo de documentos de Inforática Forense
22
Figura 2.1 Cuadro comparativo de documentos de Informática Forense
23
La metodología de análisis forense varía ligeramente si se aplicara forensia en host o
en red, ya que el análisis en red requiere de mayor conocimiento de los protocolos y
un esquema de monitoreo que filtre gran parte del tráfico; de esta parte se desprende
que la mayor cantidad de evidencia útil para una investigación en red dependerá de
la robustez del esquema de monitoreo que se adopte y de la habilidad, conocimiento
y experiencia del analista, existen dos enfoques dentro de la forensia uno de los
cuales se enfoca a encontrar al atacante y el otro se enfoca a los hechos y
circunstancias que dieron lugar al ataque, este último parece ser el más acertado
cuando se trabaja con evidencia digital y sobretodo en un ambiente tan complejo
como lo es una red, dada la gran cantidad de posibles atacantes que existen .
Las metodologías propuestas pueden variar ya que todas las escenas del crimen son
únicas pero siempre aplicará el mismo procedimiento forense.
24
CAPÍTULO III. PROTOCOLOS DE RED Y SU
MONITOREO
Los pasos del protocolo se tienen que llevar a cabo en un orden apropiado y que sea
el mismo en cada una de los equipos de la red. En el equipo origen, estos pasos se
tienen que llevar a cabo de arriba hacia abajo. En el equipo de destino, estos pasos
se tienen que llevar a cabo de abajo hacia arriba.
El equipo Origen
25
El equipo de Destino
Protocolos Encaminables
Hasta mediados de los ochenta, la mayoría de las redes de área local (LAN)
estaban aisladas. Una LAN servía a un departamento o a una compañía y rara vez
se conectaba a entornos más grandes. Sin embargo, a medida que maduraba la
tecnología LAN, y la comunicación de los datos necesitaba la expansión de los
negocios, las LAN evolucionaron, haciéndose componentes de redes de
comunicaciones más grandes en las que las LAN podían hablar entre sí.
Los datos se envían de una LAN a otra a lo largo de varios caminos disponibles,
es decir, se encaminan. A los protocolos que permiten la comunicación LAN a LAN
se les conoce como protocolos encaminables. Debido a que los protocolos
encaminables se pueden utilizar para unir varias LAN y crear entornos de red de
área extensa, han tomado gran importancia.
En una red, tienen que trabajar juntos varios protocolos. Al trabajar juntos,
aseguran que los datos se preparan correctamente, se transfieran al destino
correspondiente y se reciban de forma apropiada.
El trabajo de los distintos protocolos tiene que estar coordinado de forma que no
se produzcan conflictos o se realicen tareas incompletas. Los resultados de esta
coordinación se conocen como trabajo en niveles.
26
Jerarquías de Protocolos
Los niveles inferiores en el modelo OSI especifican cómo pueden conectar los
fabricantes sus productos a los productos de otros fabricantes, por ejemplo,
utilizando NIC de varios fabricantes en la misma LAN. Cuando utilicen los mismos
protocolos, pueden enviar y recibir datos entre sí. Los niveles superiores
especifican las reglas para dirigir las sesiones de comunicación (el tiempo en el
que dos equipos mantienen una conexión) y la interpretación de aplicaciones. A
medida que aumenta el nivel de la jerarquía, aumenta la sofisticación de las tareas
asociadas a los protocolos.
El proceso de Ligadura
Jerarquías Estándar
28
Protocolos de red
Los protocolos de red proporcionan lo que se denominan «servicios de
enlace». Estos protocolos gestionan información sobre direccionamiento y
encaminamiento, comprobación de errores y peticiones de retransmisión. Los
protocolos de red también definen reglas para la comunicación en un entorno
de red particular como es Ethernet o Token Ring.
IP: El protocolo de TCP/IP para el encaminamiento de paquetes.
IPX: El protocolo de Novell para el encaminamiento de paquetes.
NWLink: La implementación de Microsoft del protocolo IPX/SPX.
NetBEUI: Un protocolo de transporte que proporciona servicios de transporte
de datos para sesiones y aplicaciones NetBIOS.
DDP (Protocolo de entrega de datagramas): Un protocolo de Apple Talk para
el transporte de datos.
Protocolos de Aplicación
29
NCP (Protocolo básico de NetWare) y clientes o redirectores: Un conjunto de
protocolos de servicio.
AppleTalk y AppleShare: Conjunto de protocolos de red de Apple.
AFP (Protocolo de archivos AppleTalk): Protocolo de Apple para el acceso a
archivos remotos.
DAP (Protocolo de acceso a datos): Un protocolo de DECnet para el acceso
a archivos.
Protocolos de transporte.
Los protocolos de transporte facilitan las sesiones de comunicación entre
equipos y aseguran que los datos se pueden mover con seguridad entre
equipos.
TCP: El protocolo de TCP/IP para la entrega garantizada de datos en forma
de paquetes secuenciados.
SPX: Parte del conjunto de protocolos IPX/SPX de Novell para datos en
forma de paquetes secuenciados.
NWLink: La implementación de Microsoft del protocolo IPX/SPX.
NetBEUI (Interfaz de usuario ampliada NetBIOS): Establece sesiones de
comunicación entre equipos (NetBIOS) y proporciona los servicios de
transporte de datos subyacentes (NetBEUI).
ATP (Protocolo de transacciones Apple Talk) y NBP (Protocolo de asignación
de nombres): Protocolos de Apple de sesión de comunicación y de transporte
de datos.
Estándares de protocolo
El modelo OSI se utiliza para definir los protocolos que se tienen que utilizar
en cada nivel. Los productos de distintos fabricantes que se ajustan a este
modelo se pueden comunicar entre sí.
La ISO, el Instituto de ingenieros eléctricos y electrónicos (IEEE), ANSI
(Instituto de estandarización nacional americano), CCITT (Comité consultivo
internacional de telegrafía y telefonía), ahora llamado ITU (Unión
internacional de telecomunicaciones) y otros organismos de estandarización
han desarrollado protocolos que se correspondan con algunos de los niveles
del modelo OSI.
Los protocolos de IEEE a nivel físico son:
802.3 (Ethernet). Es una red lógica en bus que puede transmitir datos a 10
Mbps. Los datos se transmiten en la red a todos los equipos. Sólo los
equipos que tenían que recibir los datos informan de la transmisión. El
protocolo de acceso de múltiple con detección de portadora con detección de
colisiones (CSMA/CD) regula el tráfico de la red permitiendo la transmisión
sólo cuando la red esté despejada y no haya otro equipo transmitiendo.
30
802.4 (paso de testigo). Es una red en bus que utiliza un esquema de paso
de testigo. Cada equipo recibe todos los datos, pero sólo los equipos en los
que coincida la dirección responderán. Un testigo que viaja por la red
determina quién es el equipo que tiene que informar.
802.5 (Token Ring). Es un anillo lógico que transmite a 4 ó a 16 Mbps.
Aunque se le llama en anillo, está montada como una estrella ya que cada
equipo está conectado a un hub. Realmente, el anillo está dentro del hub. Un
token a través del anillo determina qué equipo puede enviar datos.
Un protocolo MAC determina qué equipo puede utilizar el cable de red cuando varios
equipos intenten utilizarlo simultáneamente. CSMA/CD, el protocolo 802.3, permite a
los equipos transmitir datos cuando no hay otro equipo transmitiendo. Si dos
máquinas transmiten simultáneamente se produce una colisión. El protocolo detecta
la colisión y detiene toda transmisión hasta que se libera el cable. Entonces, cada
equipo puede volver a tratar de transmitir después de esperar un período de tiempo
aleatorio.
TCP/IP no es un único protocolo, sino que es en realidad lo que se conoce con este
nombre es un conjunto de protocolos que cubren los distintos niveles del modelo
OSI. Los dos protocolos más importantes son el TCP (Transmission Control Protocol)
y el IP (Internet Protocol), que son los que dan nombre al conjunto. La arquitectura
del TCP/IP consta de cinco niveles o capas en las que se agrupan los protocolos, y
que se relacionan con los niveles OSI de la siguiente manera y se muestran en la
figura 3.2:
31
Aplicación: Se corresponde con los niveles OSI de aplicación, presentación y
sesión. Aquí se incluyen protocolos destinados a proporcionar servicios, tales
como correo electrónico (SMTP), transferencia de ficheros (FTP), conexión
remota (TELNET) y otros más recientes como el protocolo HTTP (Hypertext
Transfer Protocol).
Transporte: Coincide con el nivel de transporte del modelo OSI. Los
protocolos de este nivel, tales como TCP y UDP, se encargan de manejar los
datos y proporcionar la fiabilidad necesaria en el transporte de los mismos.
Internet: Es el nivel de red del modelo OSI. Incluye al protocolo IP, que se
encarga de enviar los paquetes de información a sus destinos
correspondientes. Es utilizado con esta finalidad por los protocolos del nivel de
transporte.
Físico: Análogo al nivel físico del OSI.
3.2.1 Protocolo IP
32
El campo de pasarela predeterminada: Le permite al protocolo de
Internet saber a qué equipo enviar un datagrama, si el equipo de destino
no se encuentra en la red de área local.
Datagrama
33
Longitud total (16 bits): Indica el tamaño total del datagrama en bytes.
El tamaño de este campo es de 2 bytes, por lo tanto el tamaño total del
datagrama no puede exceder los 65536 bytes. Si se le utiliza junto al
tamaño del encabezado, este campo permite determinar dónde se
encuentran los datos.
Identificación, indicadores y margen del fragmento: son campos
que permiten la fragmentación de datagramas. Esto se explica a
continuación.
TTL o Tiempo de vida (8 bits): Este campo especifica el número
máximo de routers por los que puede pasar un datagrama. Por lo tanto,
este campo disminuye con cada paso por un router y cuando alcanza el
valor crítico de 0, el router destruye el datagrama. Esto evita que la red
se sobrecargue de datagramas perdidos.
Protocolo (8 bits): Este campo, en notación decimal, permite saber de
qué protocolo proviene el datagrama.
o ICMP 1
o IGMP: 2
o TCP: 6
o UDP: 17
Suma de comprobación del encabezado (16 bits): Este campo
contiene un valor codificado en 16 bits que permite controlar la
integridad del encabezado para establecer si se ha modificado durante
la transmisión. La suma de comprobación es la suma de todas las
palabras de 16 bits del encabezado (se excluye el campo suma de
comprobación). Esto se realiza de tal modo que cuando se suman los
campos de encabezado (suma de comprobación inclusive), se obtenga
un número con todos los bits en 1.
Dirección IP de origen (32 bits): Este campo representa la dirección
IP del equipo remitente y permite que el destinatario responda.
Dirección IP de destino (32 bits): dirección IP del destinatario del
mensaje.
Fragmentación de Datagramas de IP
34
pequeños que la MTU de la red, de manera tal que el tamaño del fragmento
sea un múltiplo de 8 bytes.
Campo Margen del fragmento (13 bits): Campo que brinda la posición
del comienzo del fragmento en el datagrama inicial. La unidad de
medida para este campo es 8 bytes (el primer fragmento tiene un valor
cero);
Campo Identificación (16 bits): Número asignado a cada fragmento
para permitir el rearmado;
Campo Longitud total (16 bits): Esto se vuelve a calcular para cada
fragmento;
Campo Indicador (3 bits): Está compuesto de tres bits
El primero no se utiliza.
Enrutamiento IP
35
requiere:
Establecer la conexión
Mantener la conexión
Liberar la conexión
Es necesario que TCP sea orientado a la conexión dado que IP (con el que
trabaja estrechamente) no es un protocolo confiable.
Circuitos virtuales
Administración de I/O de aplicaciones
Administración de I/O de red
Control de flujo
Confiabilidad
36
Métodos de Control de Errores
37
“desplazamiento hasta los datos”, ya que indica cuántos bytes hay entre
el inicio del paquete TCP y el inicio de los datos.
Reservado (4 bits): Bits reservados para uso futuro, deberían ser
puestos a cero.
Bits de control (flags) (8 bits): Son 8 flags o banderas. Cada una
indica “activa” con un 1 o “inactiva” con un 0.
CWR o “Congestion Window Reduced” (1 bit): Este flag se activa (se
pone a 1) por parte del emisor para indicar que ha recibido un paquete
TCP con el flag ECE activado. Se utiliza para el control de la congestión
en la red.
ECE o “ECN-Echo” (1 bit): Indica que el receptor puede realizar
notificaciones ECN. La activación de este flag se realiza durante la
negociación en tres pasos para el establecimiento de la conexión.
URG o “urgent” (1 bit): Si está activo significa que el campo “Urgente”
es significativo, si no, el valor de este campo es ignorado.
ACK o “acknowledge”: 1 bit, Si está activo entonces el campo con el
número de acuse de recibo es válido, si no, es ignorado.
PSH o “push” (1 bit): Activa/desactiva la función que hace que los
datos de ese segmento y los datos que hayan sido almacenados
anteriormente en el buffer del receptor deben ser transferidos a la
aplicación receptora lo antes posible.
RST o “reset” (1 bit): Si llega a 1, termina la conexión sin esperar
respuesta.
SYN o “synchronize” (1 bit): Activa/desactiva la sincronización de los
números de secuencia.
FIN (1 bit): Si se activa es porque no hay más datos a enviar por parte
del emisor, esto es, el paquete que lo lleva activo es el último de una
conexión.
Ventana (16 bits): Es el tamaño de la ventana de recepción, que
especifica el número de bytes que el receptor está actualmente
esperando recibir.
Suma de verificación (checksum) (16 bits): Es una suma de
verificación utilizada para comprobar si hay errores tanto en la cabecera
como en los datos.
Puntero urgente (16 bits): Si el flag URG está activado, entonces este
campo indica el desplazamiento respecto al número de secuencia que
indica el último byte de datos marcados como “urgentes”.
Opciones (número de bits variable): La longitud total del campo de
opciones ha de ser múltiplo de una palabra de 32 bits (si es menor, se
38
ha de rellenar al múltiplo más cercano), y el campo que indica la
longitud de la cabecera ha de estar ajustado de forma adecuada.
Datos (número de bits variable): No forma parte de la cabecera, es la
carga (payload), la parte con los datos del paquete TCP. Pueden ser
datos de cualquier protocolo de nivel superior en el nivel de aplicación;
los protocolos más comunes para los que se usan los datos de un
paquete TCP son HTTP, telnet, SSH, FTP, etcétera.
3.3 SNMP
39
administrado), permitiendo que los agentes transmitan datos estadísticos
(variables) a través de la red a la estación de administración.
Los cinco tipos de mensajes SNMP intercambiados entre los Agentes y los
Administradores, son:
Get Request: Una petición del Administrador al Agente para que envíe los
valores contenidos en el MIB (base de datos).
Get Next Request: Una petición del Administrador al Agente para que envíe los
valores contenidos en el MIB referente al objeto siguiente al especificado
anteriormente.
Get Response: La respuesta del Agente a la petición de información lanzada
por el Administrador.
Set Request: Una petición del Administrador al Agente para que cambie el
valor contenido en el MIB referente a un determinado objeto.
Trap: Un mensaje espontáneo enviado por el Agente al Administrador, al
detectar una condición predeterminada, como es la conexión/desconexión de
una estación o una alarma.
3.3.1 MIB.
40
Los 8 grupos de objetos habitualmente manejados por MIB, que definen un total
de 114 objetos (recientemente, con la introducción de MIB-II se definen hasta
un total de 185 objetos), son:
3.3.2 RMON
41
Matriz de tráfico: Proporciona información de errores y utilización de la red,
en forma de una matriz basada en pares de direcciones, para
correlacionar las conversaciones en los nodos más activos.
Captura de paquetes: Permite definir buffers para la captura de paquetes
que cumplen las condiciones de filtrado.
Sucesos: Registra tres tipos de sucesos basados en los umbrales
definidos por el usuario: ascendente, descendente y acoplamiento de
paquetes, pudiendo generar interrupciones para cada uno de ellos.
Los sistemas de monitoreo de red (NMS por sus siglas en inglés “Network Monitoring
Systems”), son bastante diferentes a los IDS‟s e IPS‟s. Éstos últimos detectan
intrusiones y previenen actividades con dolo de usuarios no autorizados. El
monitoreo de la red puede ser logrado usando distintos tipos de software o un híbrido
de solución que implica una combinación de hardware con software.
En teoría cualquier tipo de red puede ser monitoreada, no importa si es una red
42
inalámbrica o alámbrica, una red de área local corporativa, una red privada virtual o
inclusive una red de área extensa. Se pueden monitorear dispositivos en distintos
sistemas operativos con una variedad enorme de funciones; desde dispositivos
BlackBerry o celulares, hasta servidores, ruteadores o switches y estos sistemas
pueden ayudar a identificar actividades específicas y métricas de rendimiento.
Métricas
La dirección IP
Servicios
Tipos de dispositivos (switches, ruteadores, entre otros)
Direcciones físicas
Así también hay algunos puntos estratégicos que pueden ser monitoreados, y
algunos de los cuales son:
43
preguntas tales como la capacidad de los servidores, los dispositivos remotos que
están siendo usados, los sistemas operativos y las aplicaciones que están
corriendo en cada servidor ( y si son necesarias), entre otras.
Cuando un bridge o switch recibe una trama, utiliza la información del enlace
de datos para procesar dicha trama. En un entorno de bridges transparente,
el bridge procesa la trama determinada si ésta necesita ser copiada en otros
segmentos conectados. Un bridge transparente detecta todas las tramas que
cruzan un segmento y visualiza cada trama y el campo de dirección de
origen para determinar en qué segmento reside el puesto de origen. El bridge
transparente guarda esta información en memoria en lo que se conoce como
tabla de envío. La tabla de envío contiene un listado de todos los puestos
finales (desde los cuales el bridge puede detectar una trama en un periodo
de tiempo determinado) y el segmento en el que éste reside. Cuando un
bridge detecta una trama en la red, examina la dirección de destino y la
compara con la tabla de envío para determinar si ha de filtrar, inundar o
copiar la trama en otro segmento.
45
Las redes punteadas/conmutadas poseen las siguientes características:
Debido a que los routers funcionan en la capa de red del modelo OSI, se
utilizan para separar segmentos en dominios de colisión y de difusión únicos.
Cada segmento se conoce como una red y debe estar identificado por una
dirección de red para que pueda ser alcanzado por un puesto final. Además
46
de identificar cada segmento como una red, cada puesto de la red debe ser
identificado también de forma unívoca mediante direcciones lógicas. Esta
estructura de direccionamiento permite una configuración jerárquica de la
red, ya que está definida por la red en la que se encuentra, así como por un
identificador de host.
Para que los routers puedan operar en una red, es necesario que cada
tarjeta esté configurada en la red única que ésta representa. El router debe
tener también una dirección de host en esa red. El router utiliza la
información de configuración de la tarjeta para determinar la parte de la
dirección correspondiente a la red, a fin de construir una tabla de
enrutamiento.
Además de las ventajas que aporta su uso en un campus, los routers pueden
utilizarse también para conectar ubicaciones remotas con la oficina principal
por medio de servicios WAN.
47
3.4.4 Controles de Seguridad en Red
Firewalls
Los firewalls son dispositivos o sistemas que controlan el flujo del tráfico
entre redes empleando diferentes perfiles de seguridad.
48
paquetes provienen de un red externa, filtrando únicamente protocolos,
puertos origen y destino así como direcciones de red basadas en alguna
relación de confianza, por tanto se necesitan otro tipo de firewalls que hagan
un análisis en capas superiores para atender vulnerabilidades de aplicación.
Abrir todos los puertos para una comunicación interna provoca un gran
riesgo de que un intruso no autorizado utilice varias técnicas de penetración.
Este tipo de firewalls solo es útil con el protocolo TCP/IP.
Firewalls de Aplicación
ID de usuario y contraseña
Un token de autentificación
Autenticación de dirección origen
Biometría
49
Servidores Dedicados
Por otra parte, al utilizar un servidor proxy, las conexiones pueden rastrearse
al crear registros de actividad (logs) para guardar sistemáticamente las
peticiones de los usuarios cuando solicitan conexiones a Internet.
IDPS
Las tecnologías IPS se diferencian de los IDS por una característica, los IPSs
responden a los ataques detectados y usan varias técnicas de respuesta,
que se pueden dividir en los siguientes grupos:
51
o Un log de sistema con un código de status de valor 645 lo cual
indica que el host auditado ha sido deshabilitado.
52
3.5 Monitoreo de una Red TCP/IP
Las principales tareas de un administrador de red son asegurarse que todos los
dispositivos que conforman su red como switches, routers, servidores, etc., estén
funcionando correctamente y de manera óptima, en este objetivo SNMP (Simple
Network Management Protocol) o protocolo de administración de redes, puede ser
muy útil. Éste fue introducido en 1988 por la necesidad de un protocolo para manejar
la cantidad creciente de dispositivos IP. SNMP provee un conjunto de operaciones
sencillas para manejar dispositivos remotamente y frecuentemente; es asociado a la
administración de Routers y puede ser usado para administrar cualquier tipo de
dispositivo que lo soporte como sistemas UNIX, sistemas Windows, impresoras, UPS
hasta aires acondicionados, entre otros.
Administradores y Agentes.
53
agentes. Un administrador es un servidor que ejecuta un programa que realiza
tareas de administración en una red, usualmente se refieren como Estaciones de
Administración de redes (NMS). Por otro lado, un agente es un programa
ejecutado en un dispositivo con soporte SNMP, sea mediante un proceso demonio
o incorporado en el Sistema Operativo, provee información de administración al
NMS sobre varios aspectos operacionales del dispositivo. Un ejemplo de algunos
dispositivos son switches, routers, servidores, UPS, entre otros. El acto de envío
de un mensaje por parte de un NMS a un agente se denomina “polling” que
consiste en consultar al agente algún tipo de información. En este sentido, el
mensaje enviado por un agente a un NMS se denomina “trap”, este consiste en
una interrupción relacionada a algún problema ocurrido en el dispositivo agente,
es decir, es una manera alertar al NMS que algún problema ha ocurrido.
SNMP es protocolo que funciona en la capa de aplicación que usa UDP como
protocolo de transporte para transmitir datos entre agentes y administradores
(NMS), fue elegido sobre TCP ya que no establece conexiones y, el envío y
recepción de paquetes produce poco tráfico y por esto no hay mucha congestión
en la red. La desventaja de usar UDP es que es desconfiable ya que no hay
conocimiento de datagramas perdidos en esta capa, por lo tanto, queda para la
aplicación determinar si se perdieron datagramas y si se proceda a la
retransmisión si es necesario.
Un agente puede implementar muchas MIBs, pero todos los agentes implementan
uno en particular llamado MIB-II (RFC 1213). Este estándar define variables para
cosas como estadísticas de la interfaces así como cuestiones concernientes al
sistema. El objetivo principal de MIB-II es proveer información general a TCP/IP.
Además los distribuidores de dispositivos con soporte SNMP en ocasiones pueden
definir nuevas variables MIB ajustadas al dispositivo en particular. La manera de
representar los objetos que son administrados es a través de tres atributos:
Cada protocolo tiene una función diferente y realiza tareas específicas. Alguno
solo trabajan en cierto niveles de OSI, los protocolos pueden trabajar juntos en
una jerarquía de protocolos.
55
CAPÍTULO IV. CASO PRÁCTICO
A continuación se analizarán dos herramientas que sirven para hacer el monitoreo de
la red: Wireshark (Tshark), y TCPDUMP.
4.1 Wireshark/Tshark
¿Por qué elegir Wireshark?: Una de las principales razones por las cuales la
herramienta fue elegida para la demostración de un esquema de monitoreo, es
debido a que puede ejecutarse sobre el sistema operativo Windows, ya que como se
muestra en la página de Xitimonitor [12], el sistema operativo Windows es el que más
se ha usado, y continúa siendo mucho mayor el número de usuarios que lo utilizan a
comparación de Mac OS o Linux, tal y como se muestra la figura 4.1
56
Los primeros indicios del uso de Windows Vista fueron mostrados en enero de 2007,
y en la figura 4.2 se muestra un comparativo entre las distintas versiones de sistemas
operativos usados con mayor frecuencia en la red con usuarios con necesidades
básicas.
Figura 4.2 Comparativo de los sistemas operativos y su uso en la red según Xitimonitor
Otra de las razones por las cuales Wireshark ha sido elegido es debido a su gran
capacidad de monitorear protocolos, ya que dentro de esta variedad se encuentran
algunos de los más comunes usados por TCP/IP tales como ARP, ICMP (que
posteriormente se usará en el caso práctico de este documento), IP, IPX, STP, TCP,
UDP, HTTP; solo por mencionar a algunos de los más representativos.
57
Este documento se enfocará a demostrar cómo mediante un PING usando dos
máquinas se puede alterar el tráfico en la red, así como el consumo de recursos
(ancho de banda); y por último y no menos importante: demostrar los protocolos
que intervienen en este “ataque” y el momento en el que se disparan al hacerlo.
Este esquema será como el propuesto en la figura 4.3.
Preparando Wireshark
Una vez hecho el inicio de la captura se mostrarán por defecto los protocolos
activos, las direcciones IP de origen y destino, la hora en que el protocolo fue
activado; del estado actual de la red. La interfaz en Windows se muestra
como en la figura 4.4
Haciendo el PING.
59
Ha habido una solicitud de ICMP, lo cual conlleva que se haga una
petición (o request en inglés), y que en base a este se envíen paquetes
de datos mediante el protocolo IP; y que
El tráfico de la red se ha incrementado, debido a que se ha encendido
una bandera del protocolo ICMP.
Si el ping hecho al equipo B es por tiempo indefinido, podrá tener un
histórico del momento en que se inició el incidente, así como si aún
sigue éste activo.
60
dicha imagen se muestra que la fuente 192.168.1.68 ha enviado la petición al
destino 192.168.1.66, la hora en que cada uno de los pings ha sido enviado,
y que para cada una de estas peticiones se ha mandado una respuesta
como se muestra en la figura 4.6. Esto es comprobable haciendo un filtro con
el protocolo ICMP y dando clic en aplicar (apply) como se muestra en la
figura 4.7.
61
que en el modo pasivo se pueden abrir archivos existentes grabados en una
sesión anterior y se puede reconstruir el escenario. Esto se puede demostrar
(como ya se había mencionado con anterioridad), mediante las gráficas que
se manejan en la aplicación y que hacen el monitoreo segundo a segundo o
bien, mostrar un histórico de tráfico en la red.
Para fines de demostrar el ping, se tomarán como muestra las imágenes 4.8
y 4.9. En la primera de ellas se muestra cómo el tráfico en la red se dispara a
partir del ping hecho después del punto de control a las 22:07:24; con todas
las implicaciones que esto conlleva.
Así también en la figura 4.9 se muestra cómo una vez terminado el ping
después del punto de control a las 22:09:04, la red ha vuelvo a su estado de
tráfico normal.
62
Con esto queda comprobado que Wireshark es una herramienta que sirve
para detectar el tráfico en la red, por medio de los protocolos que intervienen
en éste, con la premisa de que se guarda todo el tráfico que viaja por la red.
4.1.2 Tshark.
Tshark es capaz de detectar, leer y escribir los mismos archivos que son
soportados por Wireshark, utiliza la librería libcap que es la que proporciona las
funciones para la captura de a nivel de usuario, se utiliza para monitorear redes
de bajo nivel.
Tshark no cuenta con una interfaz gráfica por lo que se ejecuta desde línea
de comandos. El escenario de este caso es una maquina virtual de VMware
y sobre la cual corre BackTrack. Las tarjetas de red ya se encuentran
configuradas para establecer comunicación entre ellos. De ahora en adelante
al equipo con BackTrack se le llamara Equipo A y al equipo con Windows
Vista se le llamara Equipo B.
63
El Equipo B tiene instalado WireShark, pero Tshark se utiliza desde línea de
comandos, por tanto se debe tener el conocimiento de donde se encuentra el
archivo ejecutable tshark.exe, abrir el interprete de línea de comandos y se
ubica la carpeta donde vive tshark.exe; en este caso C:\Program
Files\WireShark\. Una vez que en esta carpeta se ejecuta Tshark
especificando qué protocolo se desea registrar y en que archivo se va a
guardar el tráfico filtrado.
Se ejecuta el comando
Donde:
64
Figura 4.11 Tshark Capturando y registrando el trafico ICMP
tshark –r icmpTraffic
65
4.2 Tcpdump
El usuario puede aplicar varios filtros para que sea más depurada la salida. Un filtro
es una expresión que va detrás de las opciones y que permite seleccionar los
paquetes que se están buscando. En ausencia de ésta, el tcpdump volcará todo el
tráfico que vea el adaptador de red seleccionado.
Tcpdump es utilizado:
Desde el equipo B se hará una serie de pings por tiempo indefinido y con un
tamaño de 65500 bytes con el objetivo de generar tráfico en la red. Este caso se
centra en un ambiente controlado, donde se tiene acceso a ambos equipos.
66
que el ping utiliza el protocolo ICMP, se filtrará dicho monitoreo para que solo
registre paquetes del protocolo ICMP y que lo guarde en un archivo de nombre
icmpTraffic, para poder posteriormente acceder a él. Para iniciar el monitoreo en la
terminal del Equipo A se introduce el comando:
Donde:
Figura 4.13 Tcpdump escuchando los paquetes icmp a través de la intrefaz eth0
67
Se capturaron 13169 paquetes de los cuales 14130 son del protocolo ICMP, que
son los que interesan. Ya que el tráfico ICMP se guardo en el archivo
/Traffic/icmpTraffic el tráfico se puede visualizar con el comando:
#tcpdump –r /Traffic/icmpTraffic
Como se observo con las tres herramientas que se utilizaron (Wireshark, Tshark y
Tcpdump) se puede capturar y registrar el tráfico de la red pero se elige una
herramienta Tshark por las siguientes razones:
Es libre.
Existen versiones para Windows y para sistemas UNIX.
Permite hacer filtrado de paquetes.
Permite registrar el tráfico de la red en Archivos.
Consume menos memoria ya que no utiliza interfaz gráfica.
Respecto a Tcpdump, la principal diferencia por la que se elije Tshark sobre Tcpdump
es que Tcpdump no se ejecuta sobre sistemas Windows y Tshark sí lo hace.
68
CONCLUSIONES.
Al finalizar esta investigación se puede concluir que se cumplió el objetivo de
proponer herramientas que permiten monitorear una red. Se probaron tres
herramientas de software libre que permiten monitorear y almacenar el tráfico
de una red, y hacerlo tan especifico como los requerimientos del monitoreo lo
necesiten.
69
REFERENCIAS BIBLIOGRAFICAS
[1] Howard John D., Longstaff Thomas A. “A common language for
computer security incidents”. Págs. 6-11, 15-25.
[2] Bill Cheswick, Firewalls and Internet Security. Págs 159-166.
[3] Russell/Gangemi. Computer Security Basics, Págs 9, 10.
[4] Peter G. Neumann y Donn Parker, “A Summary of Computer Misuse
Techniques. Págs. 33-35.
[5] William Stallings. “Cryptography and Network Security”, Tercera Edición.
Pág. 7.
[6] Michael G. Noblett. (2000) Recovering and Examining Computer
Forensic Evidence. Disponible en:
http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm
[7] Cano Martines Jeimy José. Introducción a la informática forense.
Revista ACIS Junio de 2006 Disponible en:
http://www.acis.org.co/fileadmin/Revista_96/dos.pdf
[8] http://www.inteco.es/wikiAction/Seguridad/Observatorio/area_juridica/Es
nciclopedia_Juridica/Articulos_1/inf_forense.
[9] Canelada Oset Juan Manuel. “Curso de Verano 2004: ANÁLISIS
FORENSE DE SISTEMAS LINUX”, Pág. 3.
[10] Encyclopedia online Wikipedia: www.wikipedia.org.
[11] Tanenbaum, Andrew: Computer networks. Prentice Hall, 1996.
[12] Página de referencia,
http://www.xitimonitor.com/en-us/technicals/operating-systems-
february-2007/index-1-2-3-73.html?xtor=11
[13] Enciclopedia en línea Wikipedia, http://es.wikipedia.org/wiki/ICMP
70
GLOSARIO
Arquitectura de red: Es la forma en que una red se define por su topología, el
método de acceso a la red y los protocolos de comunicación de ésta.
Dato: Unidad básica de información, la cual por sí sola no representa utilidad o
sentido sino hasta que es interpretada.
Dirección IP: Un número que identifica de manera lógica a un dispositivo
(usualmente computadoras) dentro de una red que utilice el protocolo IP. Este
número puede ser estático o dinámico.
Evidencia: En su sentido más amplio, la evidencia incluye a cualquier cosa que
es usada para determinar o demostrar la veracidad de una afirmación.
Firewall: Es un elemento de hardware o software que se utiliza en una red de
computadoras para controlar las comunicaciones, permitiéndolas o
prohibiéndolas según las políticas de red que haya definido la organización
responsable de la red.
Forensia: Se refiere a la aplicación de un amplio espectro de diversas ciencias
para responder preguntas de interés usualmente con el fin de ayudar al sistema
legal. Abarca las metodologías teóricas o científicas aceptadas; así como las
normas bajo las cuales los hechos (o resultados) son asociados con un
acontecimiento, artefacto o evidencia mediante una ley existente.
Host (servidor): es una computadora que pertenece a una red; y a su vez
provee de servicios a otros equipos denominados clientes.
IDS. “Intrusion Detection System”: Sistema que trabaja junto con el firewall
para ayudar a eliminar las amenazas de un atacante que trata de conseguir el
acceso a una red. El IDS incluye el uso de logs, así como bloquear y enviar un
mensaje de alerta al administrador de la red en caso de que se detecte tráfico
sospechoso o malicioso.
IPS. “Intrusion Prevention System”: Sistema de prevención de intrusos:
ejerce el control de acceso en una red informática para proteger a los sistemas
computacionales de ataques y abusos (establece políticas de seguridad para
proteger el equipo o la red de un ataque).
IP. Internet Protocol (protocolo de internet): Es un protocolo no orientado a
conexión que usan dispositivos origen y destino para comunicar datos a través
de una red de paquetes. Los datos son enviados por bloques de información
conocidos como paquetes.
Información: Es un conjunto de datos, y que en su conjunto constituye un
mensaje sobre un determinado tema dentro de un contexto.
Informática. Es la disciplina que se encarga del tratamiento automático de la
información mediante métodos, procesos, técnicas, desarrollo; así como su
implementación.
Log: Se refiere al registro de eventos que sucedieron en un tiempo y lugar en
71
específico: es usado para averiguar quién, qué, cuándo, dónde, y por qué
ocurrió un evento.
Memoria Caché: Es un sistema de almacenamiento de alta velocidad, puede
estar incluido en la memoria principal o ser una memoria independiente.
Paquete de red: Segmentos de información que son enviados mediante una
red; son conformados por una cabecera (que va de acuerdo al protocolo de
nivel de red), así como por los datos.
Red: Es un conjunto de computadoras y dispositivos conectados entre sí. La
red les permite a estos elementos la comunicación entre ellos así como
compartir recursos e información
Tráfico de datos: Se refiere al ancho de banda que los usuarios de una red
consumen por el uso de la misma.
IEEE: Corresponde a las siglas de “Institute of Electrical and Electronics
Engineers”, el Instituto de Ingenieros Eléctricos y Electrónicos.
NIC. “Network Interface Card”, Tarjeta de Red: es un dispositivo que permite
compartir recursos entre dos o más equipos.
72