INFORMATICA FORENSE I

TEMA:

DETECTANDO CONEXIONES
WINDOWS

REALIZADO POR:
EDWUAR ALBERTO MASSO PEREZ
CINDY REQUENE ZAMBRANO
JAIME EDUARDO CAYCEDO

TUTOR:

CAMILO AUGUSTO CARDONA

FUNDACIÓN UNIVERSITARIA DEL

ÁREA ANDINA INGENIERÍA DE
SISTEMAS VIRTUAL
MARZO 2022
 CONTENIDO

Contenido
OBJETIVOS .................................................................................................................................... 3

INTRODUCCIÓN ........................................................................................................................... 4

DESARROLLO DE LA ACTIVIDAD ............................................................................................ 5

CONCLUSIONES......................................................................................................................... 12

REFERENCIAS ............................................................................................................................ 13
 OBJETIVOS

• Aplicar los conocimientos adquiridos durante la materia en el eje 2 respecto a la

conexión telnet y cómo identificar los diferentes tipos de conexiones que se
emplean.
• Identificar los conceptos de cadena de custodia y cómo ésta debe preservarse
para garantizar la integridad de la información recolectada con el fin de darle uso
ante un juicio.
• Reconocer por medio de la actividad del eje 2, como hacer análisis de posibles
modificaciones en aplicaciones de un equipo o modificaciones dentro de
conexiones entrantes o salientes.
• Establecer conexión entre los conceptos de cadena de custodia, evidencia,
material probatorio y pruebas de recolección.
 INTRODUCCIÓN

Durante el desarrollo de esta actividad estaremos realizando un análisis por medio de

una máquina virtual, ingresando a diferentes sesiones con finalidades diferentes,
tengamos presente que debemos establecer la conexión entre esos usuarios,
estaríamos identificando desde un usuario administrador el cual va a ser usado como
referencia para hacer estudio de los otros usuarios, su comportamiento y actividades
realizadas, con el fin de lograr estudiar los logs del equipo y entender qué tipo de
conexiones fueron realizadas, procesos abiertos y ejecutados.

Este procedimiento nos ayudará a reforzar cada uno de nuestros conceptos

adquiridos durante el eje, ya que estos son parte del proceso de recolección de datos
que componen una evidencia. Como parte de la seguridad y del proceso de
recolección debemos tener en cuenta que uno de los procesos más importantes es la
recolección de los logs de un equipo, ya que allí se registran todos los eventos
realizados en la máquina segmentados por; como, donde, cuando, y desde. Para
clarificar este proceso básicamente es identificar cuando se comete el delito; en los
logs se almacena desde donde fue cometido, como fue cometido, cuando fue
cometido y desde que app fue cometido.
 DESARROLLO DE LA ACTIVIDAD

¿QUÉ PROCESO IDENTIFICA LA CONEXIÓN ESTABLECIDA USANDO EL SERVICIO

TELNET?
Activación de telnet Windows 7
Por defecto, Telnet no viene instalado en Windows 7, tendremos que activarlo y lo
haremos siguiendo estos pasos:

• Menú de inicio.
• Panel de control,
• Activar o desactivar las características de Windows Busca la entrada “Cliente
Telnet”.
• Clic en la casilla junto a “Cliente Telnet” y haz clic en OK.
PROCESO ‘CONEXIÓN TCP/IP:

Consiste en establecer la conexión TCP/IP a partir de la apertura de un socket

que deberá posteriormente asociarse y conectarse al socket del servidor, este
estará bloqueado esperando la conexión del cliente generamos una aplicación en
modo orientado a conexión También se arrancará un temporizador en la máquina
del cliente para establecer un plazo máximo de retardo en la conexión; en caso de
expirar, se intentará una vez más (el control del número de conexiones intentadas

Se llevará a cabo mediante una variable de programa llamada NUM CONEXIÓN

y en caso de volver a fallar, se asumirá que existe un problema con la conexión o
con el servidor, y se finalizará la ejecución del programa sacando un mensaje de
error por el terminal del cliente. En caso de no haber problemas, eso significa que
el establecimiento de la conexión TCP/IP ha sido satisfactorio, y por tanto
habremos finalizado con éxito este proceso. Lo habitual es realizar la conexión a
través del puerto 23 del servidor, para ello será necesario establecer el par
Dirección IP-Puerto de la manera adecuada.
PROCESO ‘NEGOCIACIÓN DE OPCIONES:

En este proceso, el cliente y el servidor llevarán a cabo la negociación de opciones previa

a la sesión Telnet. Esta negociación engloba opciones tales como la velocidad de terminal,
el tipo de terminal que tiene el cliente para su posterior mapeo en el NVT, una vez
finalizada la negociación, el modo de funcionamiento. Es importante destacar que, en este
proceso, tanto el cliente como el servidor pueden iniciar la negociación de la mayoría de
las opciones de forma simétrica, aun a pesar de limitar ciertas opciones a uno solo de los
dos terminales (por ejemplo, el servidor trabaja por defecto en modo carácter, y no pedirá
nunca el cambio a otro modo de funcionamiento; será el cliente el único que pueda iniciar
la negociación de esta opción

PROCESO ‘AUTENTICACIÓN EN EL SERVIDOR:

Este proceso se encarga de esperar a que, una vez finalizada la negociación de opciones
por parte de ambos extremos, el servidor le envíe el prompt para iniciar la sesión Telnet.
Como por defecto, para que la sesión se admita en el servidor, el cliente ha de
identificarse con un nombre de usuario y una clave (ambas recogidas en un fichero o una
base de datos en el servidor), el servidor enviará una petición de nombre de usuario y
contraseña después de que el cliente intente iniciar la sesión.
Dado que, además, en Telnet toda la información se envía en claro, para que el envío de
la contraseña de identificación no suponga un problema de seguridad para el cliente ni
para el servidor, se llevará a cabo un proceso de cifrado de la contraseña mediante DES,
de forma transparente al usuario. En caso de introducir un par usuario-contraseña válido
(es decir, reconocido por el servidor), se dará paso a la sesión Telnet.

PROCESO ‘SESIÓN: REALIZAR OPERACIONES:

En este proceso se llevará a cabo la sesión Telnet propiamente dicha. Esta sesión
depende de la aplicación y del tipo de servidor que tengamos; podría tratarse, por
ejemplo, de un Router que se quisiera configurar de forma remota a partir de la conexión
a éste desde un cliente Telnet, o bien un servidor de compartición de archivos que
permitiera subir y/o descargar documentos en/desde el servidor. Para que el cliente sepa
por dónde empezar a la hora de buscar las opciones necesarias, se le enviará un mensaje
desde el servidor indicándole que teclee ‘help’ para conocer todos los comandos del
sistema que puede ejecutar.
PROCESO ‘LIBERAR CONEXIÓN TCP/IP:

Este proceso se encarga de, una vez que el cliente cierra la sesión Telnet, cerrar
también la conexión TCP/IP liberándola. Para ello debe liberar el socket primitivo ‘close'
(id_socket) donde id_socket es el descriptor del socket de la conexión TCP/IP). Este
proceso es, por tanto, muy sencillo.

PROCESO ‘FINALIZAR PROGRAMA:

Este proceso es simplemente una manera de indicar en el flujograma que finaliza la

ejecución de la aplicación cliente, mediante una primitiva exit(código)’ que, en función
del código de retorno que devuelva, nos indicará si todo ha ido bien o si ha habido algún
incidente durante la ejecución. Los valores de retorno que puede devolver el proceso
son:

• 0: el proceso terminó normalmente, tras la liberación de la conexión TCP/IP

posterior al fin de la sesión Telnet.

• -1: se produjo algún fallo durante el establecimiento de la conexión TCP/IP durante

el proceso de conexión.

• -2: el cliente agotó los 3 intentos de autenticación de usuario y contraseña antes de

iniciar la sesión Telnet En los procesos anteriormente descritos podrían
opcionalmente introducirse mecanismos de control de errores de conexión, por
ejemplo, mediante temporizadores, para evitar la pérdida de datos. Hay que tener
en cuenta que, a menos que el servidor acepte lo contrario, el método de trabajo
por defecto es el modo carácter, por lo que se sobrecarga la red de tráfico y por
tanto pueden existir frecuentes retrasos y colisiones
IDENTIFICAR IP FUENTE, PUERTO ORIGEN, IP DESTINO, PUERTA DESTINO.
VERIFICAR CÓMO EL SISTEMA DETECTÓ LA CONEXIÓN Y COMO LO ALMACENA
EN LOS LOGS DEL SISTEMA

Inicialmente el sistema operativo detecta la conexión realizada mediante el visor de

eventos (Panel de control-Herramientas administrativas-Visor de eventos), en este caso
le haremos seguimiento al apartado de Registros de Windows-seguridad. Aquí podremos
visualizar nuestros eventos referentes a cambios que se hayan realizado en materia de
seguridad del sistema operativo.

Inicialmente por buenas prácticas es necesario obtener una copia de los registros, esta
se realiza de la siguiente manera:

Después de guardar en una unidad extraíble los eventos los podemos abrir con el fin de
ver cuales son los eventos que nos interesa ver; en este caso el evento 4799.
Ingresamos al evento con doble click y nos aparece lo siguiente:

Esto prueba que hemos podido realizar una conexión mediante el comando Telnet.
CONCLUSIONES

• Se identificó la importancia de hacer uso de las herramientas de recolección con

el fin de establecer la cadena de custodia, evidencias y material probatorio.
• Se comprendieron conceptos como Análisis de datos, técnicas y procedimientos
de análisis forense, preservación de la evidencia digital como elemento probatorio
y también cómo se debe realizar la correcta recolección de datos.
• Se logró comprender cómo se debe realizar la conexión telnet para identificar los
tipos de conexiones y puertos que se usan al momento de realizar conexión.
• Se logró establecer la conexión que existe entre los conceptos de cadena de
custodia, evidencia, material probatorio y pruebas de recolección y que finalidad
tiene cada una dentro de una investigación forense.
REFERENCIAS

• https://es.wikipedia.org/wiki/TelneT
• https://areandina.instructure.com/courses/25465
• Brezinski, D. y Killalea, T. (2002). RFC 3227: Guidelines for Evidence
Collection and Archiving. Network Working Group. February.
Recuperado de http://www.rfceditor.org/rfc/rfc3227.txt
• Brezinski, D., y Killalea, T. (2002). RFC3227 Guía para preservación de evidencia
digital. Recuperado de https://www.ietf.org/rfc/rfc3227.txt
• Fiscalía General de la Nación. (s.f.). Cadena de custodia. Recuperado de
https://www.fiscalia.gov.co/colombia/wpcontent/uploads/2012/01/manualcadena2.
pdf
• Telnet-Ecured. (2017). Recuperdo de https://www.ecured.cu/Telnet
• Herramientas web para la enseñanza de protocolos de comunicación.
El protocolo TELNET, (2014). Recuperado
de https://neo.lcc.uma.es/evirtual/cdd/tutorial/aplicacion/telnet.htm l
• Protocolo de control de transmisión. Wikipedia. (2020) Recuperado de:
https://es.wikipedia.org/wiki/Protocolo_de_control_de_transmisi
%C3%B3n