Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Informática Forense
Ing. Fausto Pérez
Diplomado Básico de
Seguridad Informática 2017
2
Cualli
tonaltin!
Soy Fausto Pérez
Me encanta la Informática
Diplomado Básico de
Seguridad Informática 2017 Forense.
Conceptos básicos
Diplomado Básico de
Seguridad Informática 2017
4
¿Qué es la Informática Forense?
Diplomado Básico de
Seguridad Informática 2017
5
Otros nombres para la Informática Forense
• Cómputo forense
• Forensia digital
• Computo Forense Informático
• Análisis forense Computacional
Diplomado Básico de
Seguridad Informática 2017
6
¿Para que sirve la Informática Forense?
Diplomado Básico de
Seguridad Informática 2017
7
¿Quiénes intervienen?
Diplomado Básico de
Seguridad Informática 2017
8
¿Quiénes intervienen?
Diplomado Básico de
Seguridad Informática 2017
9
Analista de tráfico malicioso
Diplomado Básico de
Seguridad Informática 2017
10
Examinador/Analista Forense
Diplomado Básico de
Seguridad Informática 2017
11
Examinador/Analista Forense
Diplomado Básico de
Seguridad Informática 2017
12
Analista de código malicioso
Diplomado Básico de
Seguridad Informática 2017
13
¿Quiénes intervienen?
Diplomado Básico de
Seguridad Informática 2017
14
¿Quiénes intervienen?
Diplomado Básico de
Seguridad Informática 2017
15
Guía para el investigador
El objetivo es responder:
▹¿Qué ocurrió?
▹¿Cuando ocurrió?
▹¿Como ocurrió?
▹¿Quién lo hizo?
▹¿Por que lo hizo?
▹¿Desde donde lo hizo?
Diplomado Básico de
Seguridad Informática 2017
16
Evidencia Digital
Diplomado Básico de
Seguridad Informática 2017
17
Principio de intercambio de Locard
Diplomado Básico de
Seguridad Informática 2017
18
Evidencia Digital
Puede ser:
• Archivos de ofimática
• Correos electrónicos
• Archivos ejecutables
• Bitácoras
• Metadatos
• Configuraciones
• Hardware
Diplomado Básico de
Seguridad Informática 2017
19
Evidencia Digital
Reconstrucción Búsqueda de
de eventos evidencia
Diplomado Básico de
Seguridad Informática 2017
21
Metodología en 8 pasos
A. Identificación
• ¿Cuál fue el incidente?
• Validación.
• ¿Qué equipos están involucrados?
• ¿Quién es el responsable?
• Recolección de información.
Diplomado Básico de
Seguridad Informática 2017
23
Metodología en 4 pasos
B. Adquisición
• Establecer cadena de custodia.
• Generar imágenes forenses.
• Preservar el estado de la escena del
crimen.
• Tomar en cuenta los requerimientos
legales, operacionales o de negocio.
Diplomado Básico de
Seguridad Informática 2017
24
Metodología en 4 pasos
Diplomado Básico de
Seguridad Informática 2017
25
Metodología en 4 pasos
C. Análisis
Utilizar herramientas especializadas, aplicar conocimientos,
documentar procesos.
Diplomado Básico de
Seguridad Informática 2017
26
Metodología en 4 pasos
D. Presentación
Diplomado Básico de
Seguridad Informática 2017
Cadena de
custodia
Diplomado Básico de
Seguridad Informática 2017
28
Cadena de custodia
Diplomado Básico de
Seguridad Informática 2017
29
Cadena de custodia
Diplomado Básico de
Seguridad Informática 2017
30
Cadena de custodia
Diplomado Básico de
Seguridad Informática 2017
31
Elementos básicos de la cadena de custodia
Diplomado Básico de
Seguridad Informática 2017
33
Elementos básicos de la cadena de custodia
Diplomado Básico de
Seguridad Informática 2017
34
Cadena de custodia
https://www.sans.org/media/score/incident-
forms/ChainOfCustody.pdf
Diplomado Básico de
Seguridad Informática 2017
35
Cadena de custodia
Diplomado Básico de
Seguridad Informática 2017
36
Consideraciones para la documentación
Diplomado Básico de
Seguridad Informática 2017
37
Consideraciones para la documentación
Diplomado Básico de
Seguridad Informática 2017
38
Recolección de la evidencia
Diplomado Básico de
Seguridad Informática 2017
39
Recolección de la evidencia
• Memoria
Diplomado Básico de
Seguridad Informática 2017
41
Adquisición de evidencia volátil
▸ Equipo Linux
• LiMe
▸ Equipo Windows
• Dumpit
• RedLine
• Memdump
Diplomado Básico de
Seguridad Informática 2017
42
DumpIt
Diplomado Básico de
Seguridad Informática 2017
43
Redline
Diplomado Básico de
Seguridad Informática 2017
44
Ejecución de RedLine
Diplomado Básico de
Seguridad Informática 2017
45
Redline
Diplomado Básico de
Seguridad Informática 2017
46
Redline
Diplomado Básico de
Seguridad Informática 2017
47
RedLine
Diplomado Básico de
Seguridad Informática 2017
48
Recolección de evidencia
• Unidades de almacenamiento
Equipo apagado • Sistema de archivos
(Evidencia no volátil)
• Bitácoras
• Artefactos del sistema
operativo
Diplomado Básico de
Seguridad Informática 2017
49
Adquisición de evidencia no volátil
Diplomado Básico de
Seguridad Informática 2017
51
Generación de imágenes Forenses
Software
• Dcfldd (línea de comandos)
• FTK Imager (Interfaz grafica)
Diplomado Básico de
Seguridad Informática 2017
52
Dcfldd
Comando:
dcfldd.exe if=<Unidad> of=<Salida> [Opciones]
Opciones:
• -bs: bytes
• -count: Número de bloques
• -noerror: Continuar aun con errores
• -sync: Mantener el tamaño de la imagen
Diplomado Básico de
Seguridad Informática 2017
53
Nomenclatura de unidades de almacenamiento
Linux
• /dev/sd(a,b,c)(1,2,3,*)
Windows
• \\.PHYSICALDRIVE(0,1,2,3,*)
Diplomado Básico de
Seguridad Informática 2017
54
FTK Imager
Diplomado Básico de
Seguridad Informática 2017
55
Generación de imagen forense
Diplomado Básico de
Seguridad Informática 2017
56
Hardware para la generación de imágenes Forenses
Clonador
Diplomado Básico de
Seguridad Informática 2017
57
Hardware para la generación de imágenes Forenses
Bloqueador de escritura
Diplomado Básico de
Seguridad Informática 2017
58
Formatos de imágenes forenses
Diplomado Básico de
Seguridad Informática 2017
59
Integridad de las imágenes forenses
Diplomado Básico de
Seguridad Informática 2017
60
Algoritmos de digestión
Diplomado Básico de
Seguridad Informática 2017
61
Algoritmos de digestión
Diplomado Básico de
Seguridad Informática 2017
62
Algoritmos de digestión
Diplomado Básico de
Seguridad Informática 2017
Ámbitos de
aplicación
64
Ámbitos de aplicación
Diplomado Básico de
Seguridad Informática 2017
65
Ámbitos de aplicación
Diplomado Básico de
Seguridad Informática 2017
66
Ámbito personal
Diplomado Básico de
Seguridad Informática 2017
67
Ámbito personal
Diplomado Básico de
Seguridad Informática 2017
68
Ámbito personal
Diplomado Básico de
Seguridad Informática 2017
69
Ámbito personal
Diplomado Básico de
Seguridad Informática 2017
70
Ámbito organizacional
Diplomado Básico de
Seguridad Informática 2017
71
Ámbito organizacional
Diplomado Básico de
Seguridad Informática 2017
72
Amenazas internas
• Empleados
▪ Fraudes
▪ Robo de información
▪ Sabotaje
▪ Abuso de confianza
• Errores humanos
▪ Destrucción de información
• Robo de información
• Malware
Diplomado Básico de
Seguridad Informática 2017
73
Amenazas externas
• Ataques dirigidos
▪ DDoS
▪ Malware
▪ Intrusiones
▪ Competidores u otras naciones
Diplomado Básico de
Seguridad Informática 2017
74
Amenazas externas
• Hacktivistas
▪ Defacements
• Phishing
Diplomado Básico de
Seguridad Informática 2017
75
Amenazas internas y externas
Diplomado Básico de
Seguridad Informática 2017
76
Cyber Kill Chain
Diplomado Básico de
Seguridad Informática 2017
77
Cyber Kill Chain
Diplomado Básico de
Seguridad Informática 2017
78
Ámbito Judicial
Diplomado Básico de
Seguridad Informática 2017
79
Ámbito Judicial
Algunos casos en los que puede apoyar
la Informática Forense:
• Localización de personas
▪ Utilizando ubicación de torres celulares
▪ Mediante los metadatos de archivos
▪ Mediante extracción de información en
Smartphone
• Extorsión
Diplomado Básico de
Seguridad Informática 2017
80
Ámbito Judicial
Diplomado Básico de
Seguridad Informática 2017
81
Ámbito judicial
Diplomado Básico de
Seguridad Informática 2017
82
Ámbito judicial
Diplomado Básico de
Seguridad Informática 2017
83
Ámbito judicial
Diplomado Básico de
Seguridad Informática 2017
Recuperación de
información
85
Dispositivos de
almacenamiento
Informática Forense
Diplomado Básico de
Seguridad Informática 2017
86
Sistemas de archivos
Los sistemas de archivos estructuran la información
guardada en una unidad de almacenamiento.
Diplomado Básico de
Seguridad Informática 2017
87
Sistemas de archivos
Diplomado Básico de
Seguridad Informática 2017
88
File Allocation Table (FAT)
• FAT 16
▪ No implementa seguridad
▪ Tamaño máximo de archivos 2 GB
▪ MS-DOS y Windows 95
▪ Sistema de 16 bits
• FAT 32
▪ Tamaño máximo de archivos 4 GB
▪ Particiones no mayores a 32 GB
▪ Windows 95/98/2000
▪ Sistemas de 32 bits
Diplomado Básico de
Seguridad Informática 2017
89
Sistemas de archivos
Diplomado Básico de
Seguridad Informática 2017
90
Master File Table
Diplomado Básico de
Seguridad Informática 2017
91
Master File Table
Diplomado Básico de
Seguridad Informática 2017
92
Archivos almacenados
Diplomado Básico de
Seguridad Informática 2017
94
Archivos eliminados
Diplomado Básico de
Seguridad Informática 2017
95
Carving
Diplomado Básico de
Seguridad Informática 2017
96
Carving
Diplomado Básico de
Seguridad Informática 2017
97
Carving
\xFF\xD8 ÿØ
Diplomado Básico de
Seguridad Informática 2017
98
Herramientas para recuperación
• FTK Imager
• R-Studio
• Recuva
• PhotoRec
Diplomado Básico de
Seguridad Informática 2017
99
FTK Imager
Diplomado Básico de
Seguridad Informática 2017
100
R-Studio
Diplomado Básico de
Seguridad Informática 2017
101
R-Studio
Diplomado Básico de
Seguridad Informática 2017
102
R-Studio
Diplomado Básico de
Seguridad Informática 2017
103
Alternate Data Streams (ADS)
Diplomado Básico de
Seguridad Informática 2017
104
Creación de ADS
Diplomado Básico de
Seguridad Informática 2017
105
Visualización de ADS
Diplomado Básico de
Seguridad Informática 2017
106
Visualización de ADS
Diplomado Básico de
Seguridad Informática 2017
107
Archivos thumb
Diplomado Básico de
Seguridad Informática 2017
110
Thumbs en Windows 7
▸ “ Thumbcache_32.db”
▸ “Thumbcache_96.db”
▸ “Thumbcache_256.db”
▸ “Thumbcache_1024.db”
Diplomado Básico de
Seguridad Informática 2017
111
Thumbs en Windows 7
Diplomado Básico de
Seguridad Informática 2017
112
Línea de tiempo
Diplomado Básico de
Seguridad Informática 2017
113
Línea de tiempo
• Los sistemas Ext2, Ext3 y Ext4 también tienen la marca de tiempo dtime
Diplomado Básico de
Seguridad Informática 2017
114
Consideraciones de la línea de tiempo
Diplomado Básico de
Seguridad Informática 2017
116
mmls
Diplomado Básico de
Seguridad Informática 2017
117
Creación de línea de tiempo
Diplomado Básico de
Seguridad Informática 2017
120
mactime
Diplomado Básico de
Seguridad Informática 2017
122
Análisis de línea de tiempo
• En función de un archivo
• Eventos en particular
• Paciencia
Diplomado Básico de
Seguridad Informática 2017
123
Línea de tiempo
Diplomado Básico de
Seguridad Informática 2017
124
Recuperación de
información en
Smartphones
Informática Forense
Diplomado Básico de
Seguridad Informática 2017
125
Recuperación de información en Smartphones
• Los dispositivos móviles se han convertido en computadoras
personales.
• Expanden la funcionalidad.
• Almacenan información personal, social, laboral, etc.
• Cuentan con acceso a Internet
• Permiten la vista y edición de archivos de ofimática
• Permiten la captura de video e imágenes.
Diplomado Básico de
Seguridad Informática 2017
126
Recuperación de información en Smartphones
Diplomado Básico de
Seguridad Informática 2017
127
Recuperación de información en Smartphones
Diplomado Básico de
Seguridad Informática 2017
128
Características
• Chipset
• CPU (32 y 64 bits)
• GPU
• RAM
• Antenas (telefonía, Wi-Fi, Bluetooth)
• Memorias flash para el almacenamiento
interno
• Unidades de almacenamiento para
medios extraíbles (microSD)
Diplomado Básico de
Seguridad Informática 2017
129
Características
Diplomado Básico de
Seguridad Informática 2017
131
Características
• Google • http://pdadb.net/
• http://www.gsmarena.com • www.movilcelular.es
• ww.phonescoop.com
Diplomado Básico de
Seguridad Informática 2017
132
Sistema operativo
Diplomado Básico de
Seguridad Informática 2017
133
Generalidades
▪ Contraseña simple/compleja
▪ Dispositivos biométricos
Diplomado Básico de
Seguridad Informática 2017
134
Aplicaciones
Diplomado Básico de
Seguridad Informática 2017
135
Aplicaciones
Diplomado Básico de
Seguridad Informática 2017
136
Aplicaciones
Diplomado Básico de
Seguridad Informática 2017
137
Almacenamiento
• Almacenamiento interno
• Almacenamiento externo
• La nube
Diplomado Básico de
Seguridad Informática 2017
138
Sistema de archivos
Diplomado Básico de
Seguridad Informática 2017
139
Bases de datos
Diplomado Básico de
Seguridad Informática 2017
140
SQLite
Diplomado Básico de
Seguridad Informática 2017
141
Adquisición
Adquisición manual
Adquisición Lógica
Evidencia
Adquisición de Sistema de
Archivos
Adquisición Física
Diplomado Básico de
Seguridad Informática 2017
142
Tarjeta SIM (Subscriber Identity Module)
Diplomado Básico de
Seguridad Informática 2017
143
Tarjetas USIM
Diplomado Básico de
Seguridad Informática 2017
144
Código PIN (Personal Identification Number)
Diplomado Básico de
Seguridad Informática 2017
145
Código PUK
• Impreso en la documentación de la
tarjeta SIM.
Diplomado Básico de
Seguridad Informática 2017
146
Tipos de tarjetas SIM
Tipo Altura Ancho Profundidad Vista Estándar Dispositivo
Tamaño 85.6 mm 53.98 mm 0.76 mm ISO/IEC Tarjetas
completo 7810:2003 bancarias
, ID-1
Diplomado Básico de
Seguridad Informática 2017
147
Tipos de tarjetas SIM
Tipo Altura Ancho Profundidad Vista Estándar Dispositivo
Micro SIM 15 mm 12 mm 0.76 mm ETSI TS iPhone 4
102 221 HTC One,
V9.0.0, One X, One
Mini-UI SV, 8X
Nokia N9,
Lumia
720/820,
entre otros
Nano SIM 12.3 8.8 0.67 mm ETSI TS Apple
mm mm 102 221 iPhone 5,
V11.0.0 5c,
5s y iPad
Mini en
adelante
Diplomado Básico de
Seguridad Informática 2017
148
Adquisición de tarjetas SIM
Diplomado Básico de
Seguridad Informática 2017
149
Adquisición de tarjetas SIM
• Es posible que se requiera contar con una tarjeta SIM
para que el aparato pueda operar
• Master File: MF
• Dedicated Files: DF MF
• Elementary Files: EF
DF
EF DF GSM
DSC1800
EF EF EF
Diplomado Básico de
Seguridad Informática 2017
151
Sistema de archivos SIM
Diplomado Básico de
Seguridad Informática 2017
152
Identificador del subscriptor
• IMSI
EFIMSI|7F20:6F07
• ICC-ID
EFICC-ID| 2FE2
Diplomado Básico de
Seguridad Informática 2017
153
Información en tarjeta SIM
• Números marcados:
EFMSISDN|7F10:6F40
Diplomado Básico de
Seguridad Informática 2017
154
Ubicación del dispositivo
Diplomado Básico de
Seguridad Informática 2017
155
Sistema de archivos SIM
• SMS
EFSMS
Diplomado Básico de
Seguridad Informática 2017
156
International Mobile Subscriber Identity (IMSI)
Diplomado Básico de
Seguridad Informática 2017
157
ICC-ID Integrated Circuit Card ID
▸ID internacional
▸Impreso o almacenado en la SIM
▸Se compone de 19 o 20 números
Diplomado Básico de
Seguridad Informática 2017
158
Operadores en México
334 03 Movistar
Diplomado Básico de
Seguridad Informática 2017
159
Recuperación de Mensajes Eliminados
Diplomado Básico de
Seguridad Informática 2017
160
Software para la adquisición de tarjetas SIM
▹.XRY
▹Cellebrite
▹CPA SIM Analayzer
▹Simcon
▹USIM Detective
▹Lectora SIM
Diplomado Básico de
Seguridad Informática 2017
161
Adquisición de smartphones
Diplomado Básico de
Seguridad Informática 2017
162
Consideraciones para la adquisición
Diplomado Básico de
Seguridad Informática 2017
163
Consideraciones para la adquisición
Diplomado Básico de
Seguridad Informática 2017
164
Consideraciones para la adquisición
• No intentar adivinar contraseñas, podría eliminar el contenido del
dispositivo.
• Sólo se debe introducir una tarjeta SIM segura cuando sea requerido.
Diplomado Básico de
Seguridad Informática 2017
165
Consideraciones para la adquisición
Diplomado Básico de
Seguridad Informática 2017
166
International Mobile Equipment Identity (IMEI)
• Código: *#06*
Diplomado Básico de
Seguridad Informática 2017
167
Adquisición manual
Diplomado Básico de
Seguridad Informática 2017
168
Adquisición manual
Diplomado Básico de
Seguridad Informática 2017
169
Extracción manual
Diplomado Básico de
Seguridad Informática 2017
170
Extracción manual
Diplomado Básico de
Seguridad Informática 2017
171
Adquisición manual
Opcional:
• Registro de llamadas • Multimedia
• Contactos • Notas
• Chats • Correo
• Redes sociales
Diplomado Básico de
Seguridad Informática 2017
172
Adquisición lógica
• Puede obtener:
o Registro de llamadas o Eventos del calendario
o SMS o Multimedia
o Contactos o Notas
Diplomado Básico de
Seguridad Informática 2017
173
Adquisición Lógica
• Se realiza mediante la
instalación de un cliente en el
dispositivo.
• En el caso de dispositivos
Android se utiliza adb.
• Se modifican las
configuraciones del equipo.
Diplomado Básico de
Seguridad Informática 2017
174
Adquisición Lógica, adb
Diplomado Básico de
Seguridad Informática 2017
175
Android Backup Extractor
https://sourceforge.net/projects/adbextractor/
Diplomado Básico de
Seguridad Informática 2017
176
Adquisición Lógica, adb
Diplomado Básico de
Seguridad Informática 2017
177
Dispositivos iOS
• Adquisición complicada
• Gran capacidad de
almacenamiento
• Borrado seguro
Diplomado Básico de
Seguridad Informática 2017
178
Adquisición lógica, iOS
• La mejor herramienta
para la adquisición:
iTUNES
Diplomado Básico de
Seguridad Informática 2017
179
Adquisición lógica, iOS
Diplomado Básico de
Seguridad Informática 2017
180
Adquisición lógica, iOS
Diplomado Básico de
Seguridad Informática 2017
181
Ubicación de respaldos
• Mac:
▪ ~/Library/Application Support/MobileSync/Backup/
*Nota: "~" Ruta del home del usuario.
• Windows XP:
▪ C:\documents and settings\USERNAME\application data\apple
computer\mobilesync\backup
• Windows 7/8/10:
▪ C:\Users\USER\AppData\Roaming\Apple Computer\MobileSync\Backup
Diplomado Básico de
Seguridad Informática 2017
182
iPhone Backup Analyzer
Diplomado Básico de
Seguridad Informática 2017
183
iPhone Backup Analyzer
Diplomado Básico de
Seguridad Informática 2017
184
iPhone Backup Analyzer
Diplomado Básico de
Seguridad Informática 2017
185
iPhone Backup Analyzer
Diplomado Básico de
Seguridad Informática 2017
186
Otras herramientas
Diplomado Básico de
Seguridad Informática 2017
187
ibackupbot
Diplomado Básico de
Seguridad Informática 2017
188
Adquisición Física
• La adquisición ideal
Diplomado Básico de
Seguridad Informática 2017
189
Adquisición Física
Diplomado Básico de
Seguridad Informática 2017
191
Adquisición Física
• Al adquirir la totalidad de
almacenamiento del
dispositivo se puede realizar
carving para identificar
elementos eliminados.
Diplomado Básico de
Seguridad Informática 2017
193
Adquisición Física
Diplomado Básico de
Seguridad Informática 2017
194
Adquisición Física
Diplomado Básico de
Seguridad Informática 2017
195
Magnet Acquire
Diplomado Básico de
Seguridad Informática 2017
196
Magnet Acquire
Diplomado Básico de
Seguridad Informática 2017
197
Magnet Axiom
Diplomado Básico de
Seguridad Informática 2017
198
JTAG
Diplomado Básico de
Seguridad Informática 2017
200
Recuperación de
información en memoria
Informática Forense
Diplomado Básico de
Seguridad Informática 2017
201
Volatility
https://digital-forensics.sans.org/media/memory-forensics-cheat-sheet.pdf
Diplomado Básico de
Seguridad Informática 2017
202
Volatility
Permite obtener:
• Información sobre procesos en ejecución.
• Información sobre conexiones de red
• Identificación de malware
• Consultar el registro del sistema, eventos
Diplomado Básico de
Seguridad Informática 2017
203
Volatility
Diplomado Básico de
Seguridad Informática 2017
204
Volatility
Mostrar ayuda:
C:\> vol.exe [plugin] --help
Cargar plugins de un directorio adicional:
C:\> vol.exe --plugins=[ruta] [plugin]
Especificar un archivo de salida:
C:\> vol.exe --output-file= [archivo]
Diplomado Básico de
Seguridad Informática 2017
205
Comandos en Volatility
Diplomado Básico de
Seguridad Informática 2017
206
Comandos en Volatility
Diplomado Básico de
Seguridad Informática 2017
207
Volatility pslist
Diplomado Básico de
Seguridad Informática 2017
208
Volatility pstree
Diplomado Básico de
Seguridad Informática 2017
209
Volatility psscan
Diplomado Básico de
Seguridad Informática 2017
210
Volatility netscan
Diplomado Básico de
Seguridad Informática 2017
211
Volatility hivelist
Diplomado Básico de
Seguridad Informática 2017
212
Volatility hashdump
Diplomado Básico de
Seguridad Informática 2017
213
Volatility mftparser
Diplomado Básico de
Seguridad Informática 2017
214
Búsqueda de cadenas
Diplomado Básico de
Seguridad Informática 2017
215
Búsqueda de URL
Diplomado Básico de
Seguridad Informática 2017
216
Búsqueda de cadenas
Ejemplo:
▪ Se identifica el PID del proceso relacionado a la actividad
▪ Se extrae el proceso
Diplomado Básico de
Seguridad Informática 2017
217
Búsqueda de URL
Diplomado Básico de
Seguridad Informática 2017
218
Redline
Diplomado Básico de
Seguridad Informática 2017
219
Redline
Diplomado Básico de
Seguridad Informática 2017
220
Redline
Diplomado Básico de
Seguridad Informática 2017
221
Redline
Al seleccionar un proceso
se puede obtener mas
detalles.
Diplomado Básico de
Seguridad Informática 2017
222
Redline
Análisis de evidencia obtenida desde colector
Diplomado Básico de
Seguridad Informática 2017
Análisis de trafico
224
Captura de tráfico
de red
Informática Forense
Diplomado Básico de
Seguridad Informática 2017
225
Captura de tráfico de red
Diplomado Básico de
Seguridad Informática 2017
226
Captura de tráfico de red
• Bitácoras
• TAP
• Laboratorio portátil de red (puerto span)
• IDS
Diplomado Básico de
Seguridad Informática 2017
227
Bitácora ADSL
Diplomado Básico de
Seguridad Informática 2017
228
TAP de red
• Dispositivo pasivo/activo
• Transparente
• Portátil
Diplomado Básico de
Seguridad Informática 2017
229
TAP de red
Diplomado Básico de
Seguridad Informática 2017
230
Laboratorio portátil
Diplomado Básico de
Seguridad Informática 2017
231
Captura de tráfico de red
Diplomado Básico de
Seguridad Informática 2017
232
Laboratorio portátil
Diplomado Básico de
Seguridad Informática 2017
233
Sistema de Detección de Intrusos (IDS)
Diplomado Básico de
Seguridad Informática 2017
234
Security onion
https://securityonion.net/#services
Diplomado Básico de
Seguridad Informática 2017
235
Security onion
Diplomado Básico de
Seguridad Informática 2017
236
Security onion
Diplomado Básico de
Seguridad Informática 2017
237
Limitantes
Diplomado Básico de
Seguridad Informática 2017
238
Captura de tráfico de red
Diplomado Básico de
Seguridad Informática 2017
239
Netstat Windows
Diplomado Básico de
Seguridad Informática 2017
240
Netstat Linux
Diplomado Básico de
Seguridad Informática 2017
241
TCPdump
Diplomado Básico de
Seguridad Informática 2017
242
Windump
Diplomado Básico de
Seguridad Informática 2017
243
TCPView
Diplomado Básico de
Seguridad Informática 2017
244
TCPView
Diplomado Básico de
Seguridad Informática 2017
245
Captura de tráfico de red
Diplomado Básico de
Seguridad Informática 2017
246
Tcpvcon
Diplomado Básico de
Seguridad Informática 2017
247
Wireshark
Permite
• Captura de tráfico de red
• Análisis y estadística de paquetes de red
• En sistemas Windows requiere windpcap
Diplomado Básico de
Seguridad Informática 2017
Interpretación de
tráfico de red
Informática forense
249
Interpretación de tráfico de red
Diplomado Básico de
Seguridad Informática 2017
250
Interpretación de tráfico de red
La información que se requiere:
Diplomado Básico de
Seguridad Informática 2017
251
Descarga de malware
Diplomado Básico de
Seguridad Informática 2017
252
Bot
Diplomado Básico de
Seguridad Informática 2017
253
Escaneos
Diplomado Básico de
Seguridad Informática 2017
254
Brute Force
Diplomado Básico de
Seguridad Informática 2017
255
DDos
Diplomado Básico de
Seguridad Informática 2017
256
Interpretación de actividad de red en bitácoras
Diplomado Básico de
Seguridad Informática 2017
257
Interpretación de actividad de red en bitácoras
Diplomado Básico de
Seguridad Informática 2017
258
Interpretación de actividad de red en bitácoras
Diplomado Básico de
Seguridad Informática 2017
259
Interpretación de actividad de red en bitácoras
Diplomado Básico de
Seguridad Informática 2017
260
NetworkMiner
Diplomado Básico de
Seguridad Informática 2017
261
NetworkMiner
Diplomado Básico de
Seguridad Informática 2017
262
NetworkMiner
Diplomado Básico de
Seguridad Informática 2017
263
Wireshark
Diplomado Básico de
Seguridad Informática 2017
264
Identificación de flujos tcp
Diplomado Básico de
Seguridad Informática 2017
265
Identificación de flujos tcp
Diplomado Básico de
Seguridad Informática 2017
266
Filtros en Wireshark
Ip.addr
Diplomado Básico de
Seguridad Informática 2017
267
Filtros en Wireshark
Tpc.port
Diplomado Básico de
Seguridad Informática 2017
268
Filtros en Wireshark
Tcp.request
Diplomado Básico de
Seguridad Informática 2017
269
Filtros en Wireshark
ftp
Diplomado Básico de
Seguridad Informática 2017
270
Filtros en Wireshark
Diplomado Básico de
Seguridad Informática 2017
271
Filtros en Wireshark
Diplomado Básico de
Seguridad Informática 2017
272
Filtros en Wireshark
Diplomado Básico de
Seguridad Informática 2017
273
Filtros en Wireshark
Diplomado Básico de
Seguridad Informática 2017
274
Pcap analyzer
http://www.cs.bham.ac.uk/~tpc/PCAP/
Diplomado Básico de
Seguridad Informática 2017
275
Pcap analyzer
276
Pcap analyzer
Diplomado Básico de
Seguridad Informática 2017
277
Gracias
Ing. Fausto Pérez
fausto@comunidad.unam.mx
Diplomado Básico de
Seguridad Informática 2017
278
Bibliografía
Brian, Carrier.
File System Forensic Analysis.
Pearson Education, 2005.
Ben, Clark.
Red Team Field Manual
Don, Murdoch.
Blue team Handbook: Incident Response Edition.
Don Murdoch, 2014.
Diplomado Básico de
Seguridad Informática 2017