Está en la página 1de 17

Recolección de

evidencia en la red
Juan Manuel Madrid Molina
Universidad Icesi
Evidencia capturada en la red
(ECR)
n  Complemento a la evidencia basada en
host
¨ Respuesta en vivo
¨ Medios de almacenamiento

n  Puede suministrar detalles clave

(C) Juan Manuel Madrid 2


Tipos de ECR
n  Datos completos
n  Datos de sesión
n  Datos de alertas
n  Datos estadísticos

(C) Juan Manuel Madrid 3


Datos completos
n  ¡Grabarlo todo!
n  Ventajas
¨ Mayores posibilidades para interpretación
¨ Contenido y flags de los paquetes

n  Desventaja
¨ Almacenamiento requerido

(C) Juan Manuel Madrid 4


Datos de sesión
n  Similitud
con los registros de la compañía
de teléfonos
¨ Entes involucrados
¨ Hora y duración de la llamada

05 May 06 13:50:06 tcp 192.168.130.50:1024 -> 192.168.130.32:80 SYN

(C) Juan Manuel Madrid 5


Datos de sesión
n  Ventajas
¨ Permitereconocer patrones de
comportamiento
¨ Funciona aún si los datos están cifrados

n  Desventajas
¨ ¿Cómo se hace para saber cuáles
conversaciones son las de interés?

(C) Juan Manuel Madrid 6


Datos de alertas
n  Creados por los sistemas de detección de
intrusos (IDS)
n  Programados para reconocer secuencias
especiales
¨ Tráficoproblemático
¨ Por ejemplo: Intento de ataque Unicode
double-decode sobre un servidor Web

(C) Juan Manuel Madrid 7


Datos de alertas
n  Los eventos especiales se reportan
¨ A una base de datos
¨ A una consola
¨ Por e-mail

n  Ventajas
¨ Muestra eventos que pueden ser
potencialmente peligrosos

(C) Juan Manuel Madrid 8


Datos de alertas
n  Problemas
¨ Falsos positivos
n  Mala configuración
¨ Datos demasiado granulares
n  Puedeser útil tener una mirada “a vuelo de
pájaro” de lo que es el tráfico en la red

(C) Juan Manuel Madrid 9


Datos estadísticos
n  “Top talkers”
n  Distribución del tráfico por protocolos

(C) Juan Manuel Madrid 10


Uso de la ECR
n  Uso proactivo
¨ Detección
de las intrusiones cuando ocurren,
o poco después
n  Uso reactivo o de emergencia
¨ Enmomentos de crisis, para complementar
las prácticas estándares de monitoreo

(C) Juan Manuel Madrid 11


Utilidad de cada uno de los tipos de
ECR
n  Sospechamos
que uno de nuestros
servidores Web ha sido atacado
¨ ¿Elservidor resultó efectivamente
comprometido?
¨ ¿Qué datos nos robaron?
¨ ¿A qué otros sitios fue el intruso?
¨ ¿Volvió el intruso en algún momento?

(C) Juan Manuel Madrid 12


Recolección de los datos
n  Captura y almacenamiento de paquetes
¨ Hubs
¨ Taps (Test Access Ports)
¨ Dispositivos en línea
¨ Puerto SPAN de los switches
n  Switched Port ANalyzer

(C) Juan Manuel Madrid 13


Herramientas para análisis de
datos completos
n  Tcpdump
n  Windump, Winpcap
n  Wireshark
n  Ngrep
n  Flowgrep
n  Hd, hexdump, FRHED

(C) Juan Manuel Madrid 14


Herramientas para análisis de
datos de sesión
n  Argus
¨ Procesa en vivo, o a partir de capturas
n  Tcptrace
¨ Procesa a partir de capturas
n  Tcpflow
¨ Trabajacon datos completos, y puede
reconstruir los datos de sesiones específicas

(C) Juan Manuel Madrid 15


Herramientas para análisis de
datos de alertas
n  Snort
n  BASE
n  OSSIM

(C) Juan Manuel Madrid 16


Herramientas para análisis de
datos estadísticos
n  Tcpdstat
n  Tcpstat
n  Ntop

(C) Juan Manuel Madrid 17