1 / 45

Preparación Forense de Redes R.E.D.A.R Un modelo de análisis

Preparación Forense de Redes R.E.D.A.R Un modelo de análisis. Jeimy J. Cano, M.Sc., Ph.D Universidad de los Andes jcano@uniandes.edu.co. Agenda. Introducción Definiciones básicas Presentación del Modelo - R.E.D.A.R Arquitectura de Análisis Red de perímetro Linea de Defensa

sherry
Download Presentation

Preparación Forense de Redes R.E.D.A.R Un modelo de análisis

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Preparación Forense de RedesR.E.D.A.RUn modelo de análisis Jeimy J. Cano, M.Sc., Ph.D Universidad de los Andesjcano@uniandes.edu.co

  2. Agenda • Introducción • Definiciones básicas • Presentación del Modelo - R.E.D.A.R • Arquitectura de Análisis • Red de perímetro • Linea de Defensa • Zona Controlada • Red de perímetro - Routers • Línea de defensa - Firewalls • Zona Controlada - Servidores y conexiones • Preparación Forense de Redes en Contexto • Conclusiones • Referencias

  3. Introducción • Las estadísticas del CERT en el año 2001, muestran aumento de más del 150% en incidentes de seguridad reportados. • De acuerdo con la investigación adelantada por KPMG en el 2001, “2001 Global e-Fr@ud Survey” : • Cuando ocurre un incidente de seguridad • No se adelantan acciones legales • Inadecuado uso de los recursos legales • Falta de evidencia • El 50% de los encuestados identificó a los Hackers y la pobre implementación de políticas de seguridad como los factores fundamentales de los incidentes de seguridad. • Los ejecutivos se encuentran desinformados acerca del estado actual de las vulnerabilidades de la su red. • Bajo o pobre entrenamiento de los administradores de sistemas • Mientras que un ataque de un sitio puede tomar dos (2) horas, el análisis forense completo puede alcanzar las treinta (30) horas! (Forensic Challenge Project)

  4. Definiciones básicas • Conceptos • Sistemas de detección de intrusos. • Orientado a Host • Orientado a Red • Orientado a Firmas • Estadísticas • Honeypot • Configuración de una máquina con servicios activos, atractivos y aislados, como una estrategia para seguir y capturar intrusos dentro de sistemas de computación. • Honeynet • Configuración de una red con servicios activos, atractivos y aislados, como una estrategia para analizar y aprender de los intrusos y sus acciones. • Red de perímetro • Es una red agregada a fin de proporcionar una capa adicional de seguridad. Generalmente se le conoce como red desmilitarizada (DMZ)

  5. Definiciones básicas • Conceptos • Firewall • Componente o conjunto de componentes (Hw y Sw) que restringen el acceso entre una red protegida e internet, o entre otros conjuntos de redes. • Tradicionales • Stealth • Evidencia digital • Es un tipo de evidencia física. Esta construida de campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con herramientas y técnicas especiales.(Casey 2000, pág.4) • Computación forense • Es la aplicación legal de métodos, protocolos y técnicas para obtener, analizar y preservar evidencia digital relevante a una situación en investigación. (Kovacich 2000, pag.243)

  6. Presentación del Modelo R.E.D.A.R • Justificación • Es necesario desarrollar una estrategia formal para atender incidentes de seguridad y su posterior documentación y análisis • Se cuentan con diversas estrategias de registro de eventos, pero no se posee la cultura de análisis de las pistas. • La mayoría de los administradores de sistemas actualmente no son conscientes de la necesidad de contar con evidencia digital. • La seguridad informática y la administración de sistemas de observan como actividades diferentes, cuando en realidad son complementarias • R.E.D.A.R - Vocablo que significa: “Echar las redes” • RE gistro • Establecimiento de los diferentes métodos y herramientas para mantener el adecuado registro de eventos relevantes en las redes. • D ectección de intrusos • Desarrollo de alertas y análisis de las posibles fallas de seguridad aprovechadas por los atacantes. • A uditoRia • Evaluación, seguimiento y análisis de los mecanismos y herramientas actuales de seguridad, que conduzcan al afinamiento permanente de la seguridad de la red.

  7. REGISTRO SINCRONIZACIÓN SINCRONIZACIÓN AFINAMIENTO CORRELACIÓN PREPARACIÓN FORENSE DE REDES SIMULACIÓN Y PRUEBAS DETECCIÓN INTRUSOS CONTROL DE EVIDENCIA AUDITORÍA R.E.D.A.R

  8. Arquitectura de análisis Internet Exterior RED PERÍMETRO LÍNEA DE DEFENSA ZONA CONTROLADA

  9. Red de Perímetro • Generalmente compuesta por enrutadores • La seguridad y control de este segmento de la red, en la mayoría de los casos, se basa en: • Listas de control de acceso • Filtro de paquetes 10.16.1.0 192.168.1.0 200.16.2.3 172.16.1.0

  10. Red de Perímetro • Lista de Control de Acceso • Lista de control de acceso Standard • Definida por un rango numérico entre 1-99 • Sólo verifica el IP ORIGEN, luege se hace el filtro de manera rápida. • Lista de control de acceso Extendida • Definida por un rango numérico entre 100-199 • Verfica ORIGEN, DESTINO, PROTOCOLO, Puertos UDP/TCP, Tipos ICMP en secuencia. • El filtro de paquetes se torna más lento • Lista de Control de Acceso Reflexiva • Utiliza listas de control de acceso dinámica, semejantes a la tabla de estados de un FW, para mantener las conexiones aseguradas. • Mecanismo nuevo en CISCO.

  11. Red de Perímetro • Formato de una Lista de Control de Acceso Estandard • access-list number action source [Wild Card]  any • Number: 0-99 para listas de control de acceso estándard • Action: Permit o Deny - Permitir o Negar • Source: Dirección IP para comparar • Wild Card: • Determina que parte de la dirección IP será comparada y cual no. • Any: Cualquier dirección • EJEMPLO: • access-list 20 permit 192.168.1.0 0.0.0.255

  12. Red de Perímetro • Filtro de paquetes • Mecanismo de seguridad cuya función es establecer qué información puede fluir de y hacia una red. • El filtro de paquete permite controlar (permitir o negar) la transferencia de paquetes con base en: • Dirección origen de la información • Dirección destino de la información • Protocolos como IP, UDP, TCP e ICMP • Servicios UDP/TCP como Telnet, SMTP, SNMP, NNTP, FTP, entre otros • ICMP - echo request, echo replay, port unreachable • Type of Service (Performance), banderas o flags en los paquetes de información.

  13. Red de Perímetro • Creando un Packet Filter • Para efectuar esta acción es necesario utilizar la directiva • ip access-group number [InOut] • Number: Valor definido para una lista de control de acceso • InOut: En qué dirección el filtro se aplicará para los paquetes entrantes o salientes. • EJEMPLO • interface serial 0 ip address 172.16.1.1 255.255.255.0 ip access-group 11 in access-list 11 permit host 192.168.1.100 access-list 11 deny 192.168.1.0 0.0.0.255 access-list permit any

  14. Red de Perímetro • Creando un Packet Filter • EJEMPLO de lista de control de acceso EXTENDIDO • interface serial 0 ip access-group 100 in access-list 100 permit tcp any any gt 1023 access-list 100 permit tcp any any eq 23 • access-list 100 permit tcp any any gt 1023: • Permite todo paquete TCP a puertos mayores de 1023 • access-list 100 permit tcp any any eq 23: • Permite paquetes telnet al puerto 23. Tráfico de otros protocolos al puerto 23 será bloqueado.

  15. REGISTRO SINCRONIZACIÓN SINCRONIZACIÓN AFINAMIENTO CORRELACIÓN PREPARACIÓN FORENSE DE REDES SIMULACIÓN Y PRUEBAS DETECCIÓN INTRUSOS CONTROL DE EVIDENCIA AUDITORÍA R.E.D.A.R en el Perímetro

  16. Red de Perímetro • Aplicando R.E.D.A.R - Aspectos básicos a considerar • RE gistro • Algunos eventos que deben ser analizados en el perímetro • Violaciones de las listas de control de acceso • Violaciones de los filtros de paquetes configurados • Sobrecargas de tráfico en la red • D ectección de Intrusos • Algunos eventos de interés • Cambios en la configuración de las listas de control de acceso y filtros de paquetes • Actualización del Sistema operacional del router • Cambios en la configuración del router • AuditoRía • Algunos eventos de interés • Advertencias de seguridad en routers • Parches de seguridad

  17. Red de Perímetro • Aplicando R.E.D.A.R - Algunas Estrategias • RE gistro • Registro de la actividades del Router • Utilizando SYSLOG • Exportar eventos de interés a servidor remoto • D ectección de Intrusos • Alertas de Cambios • Utilizar protocolo SNMP (actualizado a la última versión) para reporte acciones sobre el dispositivo. • Alineado con estrategia de registro remoto. • AuditoRía • Pruebas de penetración • Ataques simulados a vulnerabilidades conocidas • Pruebas de stress y resistencia de tráfico.

  18. R.E.D.A.R enRed de Perímetro • Listas de control de acceso - CISCO 1. Mar 31 13:55:07 rt1 3319: 21:36:44 : %SEC-6-IPACESSLOGP: list 102 denied UDP 209.67.78.202 (3408) external.primary.dns (33434), 1 packet. Rt1 - Hostname 3319 - No de secuencia 21:36:44 - Estampilla de tiempo %SEC-6-IPACESSLOGP Mnemónico que identifican de manera única el mensaje. list 102 No. lista de control de acceso contiene la regla evaluada. Denied Acción tomada por el router UDP Protocolo detectado 209.67.78.202 (3408) Dirección y puerto Origen external.primary.dns (33434) - Dirección y puerto Destino

  19. Línea de Defensa • Generalmente compuesta por Sistemas de Detección de Intrusos y Firewalls. TCP ICMP UDP Echo request ACK SYN URG PSH IDS IDS FW

  20. Línea de Defensa • Algunas generalidades sobre los FW • Qué puede hacer actualmente? • Restringe el acceso a un punto cuidadosamente controlado. • Restringe a las personas para que salgan en un punto cuidadosamente controlado. • Evita que los posibles atacantes se acerquen más a sus demás defensas. • Qué NO puede hacer? • Protegerlo contra atacantes internos • Resguardarlo contra conexiones que no pasan por él • Nuevas amenazas de seguridad: bug’s, configuraciones recientes de enrutadores, etc. • Resguardarlo contra virus. • Protegerlo contra ejecuciones de applets maliciosos de java. • Control de paquetes fragmentados.

  21. Línea de Defensa • Intrusion Detection Systems • Herramientas de administración de seguridad que: • Recolectan información de una variedad de fuentes en un sistema • Analiza esta información contra patrones de uso indebido o actividad inusual • En algunos casos, responde automáticamente a la actividad detectada • Reporta el resultado del proceso de detección Tomado de: Bace, R. (2000) An introduction to Intrusion Detection Assessment. ICSA.

  22. Línea de Defensa • Intrusion Detection Systems • Dentro de las funciones que pueden desarrollar están: • Monitorear y analizar las actividades del usuario y del sistema. • Auditar la configuración del sistema y sus vulnerabilidades • Evaluación de la integridad de los sistemas críticos y los archivos de datos • Reconocimiento de patrones de actividad que reflejen ataques • Análisis estadístico de patrones de actividad anormal • Auditoría de la administración del S.O, con reconocimiento de actividades relativas a la violación de políticas. Tomado de: Bace, R. (2000) An introduction to Intrusion Detection Assessment. ICSA.

  23. Internet Línea de Defensa en detalle Monitoreo de tráfico - Conexiones a servicios y puertos específicos * WEB, DNS * MAIL * Puertos menores a 1023 Anfitrión Bastión Enrutador Externo Enrutador Interno Firewall Monitoreo de tráfico - Conexiones * Aplicaciones internas * Niñeras * Traducción de direcciones Red Interna Adaptado de: Chapman y Zwicky. 1995

  24. REGISTRO SINCRONIZACIÓN SINCRONIZACIÓN AFINAMIENTO CORRELACIÓN PREPARACIÓN FORENSE DE REDES SIMULACIÓN Y PRUEBAS DETECCIÓN INTRUSOS CONTROL DE EVIDENCIA AUDITORÍA R.E.D.A.R en Defensa

  25. Línea de Defensa • Aplicando R.E.D.A.R - Aspectos básicos a considerar • RE gistro • Algunos eventos que deben ser analizados en la Defensa • Violaciones de las reglas del FW • Tráfico Fuera de lo Normal • Patrones de Bypass de IDS • D ectección de Intrusos • Algunos eventos de interés • Alertas de posibles ataques conocidos • Tráfico anormal y manipulación de protocolos • violación de permisos e integridad en la máquina FW e IDS • AuditoRía • Algunos eventos de interés • Configuración de la máquina FW y sus protocolos • Parches de seguridad

  26. Línea de Defensa • Aplicando R.E.D.A.R - Algunas Estrategias • RE gistro • Algunos aspectos a considerar en la Defensa • Exportar y analizar registros del FW • Exportar y analizar registros del IDS • D ectección de Intrusos • Alertas de Cambios • Reglas en el FW y en el IDS • Control de permisos en las máquinas - Integridad del software y reglas • AuditoRía • Pruebas de penetración • Reglas y tráfico de red malicioso • Simulación de ataques e incidentes.

  27. LOG FIREWALL - Checkpoint FW-1 Características del log 14;2Feb2001;11:30:02;FW;log;accept;;qfe1;inbound;tcp;comp1;200.0.241.42;http;4689;48;70;comp_X;200.0.241.42;46556;http;;;;;;;;;;;;;;;; Otros campos: resource;icmp-type;icmp-code;reason:;agent;orig_from;orig_to;reason;srckeyid;dstkeyid;user;scheme:;methods:;from;to;sys_msgs Análisis detallado del log num - 14 src - comp1 date - 2Feb2001 dst - 200.0.241.42 time - 11:30:02 service - http orig - FW s_port - 4689 type - Log len - 48 action - accept rule - 70 alert - “Vacio” xlatesrc - comp_X i/f_name - qfe1 xlatedst - 200.0.241.42 i/f_dir - inbound xlatesport - 46 proto - tcp xlatedport - 556 R.E.D.A.R enLínea de Defensa

  28. Zona Controlada • Denominada en general como la zona protegida o militarizada. Lugar donde se encuentra los recursos más críticos asociados con la organización. IDS FW

  29. Zona Controlada • Consideraciones en la zona controlada • Sólo debe fluir el tráfico autorizado por el FW tanto desde el interior como desde el exterior de la organización • Los servicios y datos residentes en esta zona requieren mecanimos de autenticación fuertes • Las acciones “de actualización de datos o configuraciones” requiere registro y análisis formal • Si existe un cambio en el direccionamiento hacia la zona controlada en la línea de defensa, debe ajutarse y revisarse TODOS los mecanimos de autenticación, registro y control de la zona controlada. • El manejo de excepciones de acceso a la zona, tanto de tráfico como de actualización de datos deben estar claramente monitoreados. de enrutadores, etc.

  30. REGISTRO SINCRONIZACIÓN SINCRONIZACIÓN AFINAMIENTO CORRELACIÓN PREPARACIÓN FORENSE DE REDES SIMULACIÓN Y PRUEBAS DETECCIÓN INTRUSOS CONTROL DE EVIDENCIA AUDITORÍA R.E.D.A.R en Zona Controlada

  31. Zona Controlada • Aplicando R.E.D.A.R - Aspectos básicos a considerar • RE gistro • Algunos eventos que deben ser analizados en la Zona Controlada • Registro de autenticación y control de acceso • Protocolos y servicios permitidos • Tráfico de red sobre servicios ofrecidos • D ectección de Intrusos • Algunos eventos de interés • Alertas de posibles ataques conocidos • Tráfico anormal y manipulación de protocolos • violación de permisos e integridad de las máquinas • AuditoRía • Algunos eventos de interés • Vulnerabilidades de segiuridad de los servicios ofrecidos • Fallas en los mecanismos de seguridad utilizados • Fallas procedimentales y de uso.

  32. Zona Controlada • Aplicando R.E.D.A.R - Algunas Estrategias • RE gistro • Algunos aspectos a considerar en la Defensa • Registrar y analizar acciones de autenticación • Estadísticas de tráfico en función protocolos y servicios • D ectección de Intrusos • Alertas de Cambios • Reglas de monitoreo de puertos y servicios en el IDS • Control de permisos en las máquinas - Integridad del software y reglas • AuditoRía • Pruebas de penetración • Reglas y tráfico de red malicioso • Simulación de ataques e incidentes.

  33. LOG IDS - SNORT [**] BETA - Anon FTP [**] 12/14-12:02:25.335000 209.88.62.192:63307 -> 161.69.2.23:21 TCP TTL:127 TOS:0x0 ID:1203 DF *****PA* Seq: 0xE4A4E8 Ack: 0xFB8D3B8F Win: 0x2206 [**] IDS3 - MISC-Traceroute TCP [**] 12/14-12:03:53.817805 209.185.131.251:80 -> 209.88.62.192:63295 TCP TTL:1 TOS:0x0 ID:29731 DF ****R*** Seq: 0x8E81AA48 Ack: 0x8E81AA48 Win: 0x2238 [**] PING-ICMP Time Exceeded [**] 12/14-12:03:53.817846 209.88.62.192 -> 209.185.131.251 ICMP TTL:255 TOS:0xC0 ID:10334 TTL EXCEEDED R.E.D.A.R enZona controlada

  34. 4. Si usted encuentra dentro de su LOG de WEBServer el siguiente registro, cuál sería su diagnóstico? .157.253.4.13 - - [14/Sep/2001:19:50:56 -0500] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0" 404 283. Ejercicios CODE RED!!!

  35. R.E.D.A.R en Contexto Reglas de Control de Acceso Reglas de Monitoreo Listas de Control de Acceso Filtro de paquetes Reglas de Monitoreo Registro de Acceso C O R R E L A C I Ó N C O N T R O L D E E V I D E N C I A Internet S I N C R O N I Z A C I Ó N A F I N A M I E N T O S I M U L A C I Ó N Y P R U E B A S ZONA CONTROLADA RED PERÍMETRO LÍNEA DE DEFENSA EXTERIOR

  36. R.E.D.A.R. En resumen • Es requisito para la preparación forense de redes: • Establecer mecanismos de sincronización de tiempo entre la zona de perímetro, la línea de defensa y la zona controlada. • Desarrollar guías de análisis y control de evidencia, para cada uno de los segmentos: zona de perímetro, la línea de defensa y la zona controlada, que permitan correlacionar la evidencia identificada. • Capacitar y entrenar a los administradores y encargados de la arquitectura para adelantar acciones de recuperación y control de evidencia. • Son actividades que alimentan y cuestionan la preparación forense de redes • Simulación y Pruebas • Pruebas de penetración • Ataques basados en manipulación de tráfico • Atentados contra la integridad de máquinas y configuraciones de sistemas de seguridad • Afinamiento de la arquitectura

  37. R.E.D.A.R. Hacia el futuro... • Algunas directrices de investigación hacia el futuro • Especificar guías prácticas de preparación forense para cada uno de los segmentos en una arquitectura • Preparación forense redes de perímetro • Preparación forense líneas de defensa • Preparación forense de zonas controladas • Afinamiento y balanceo del registro remoto • Análisis de vulnerabilidades y performance • Criterios para establecer qué registro es necesario • Extensiones y aporte de HONEYNETS • Análisis Forenses detallados • Desarrollo de estrategias de correlación de evidencia • Registro de tráfico normal de aplicaciones y servicios • Incorporación de experiencias y alianzas con proyectos como el HONEYNET PROJECT.

  38. R.E.D.A.R. Conclusiones • La preparación forense de redes, no es una opción para los administradores de redes y responsables de arquitecturas computacionales. • Las estrategias de análisis forenses deben ser actividades conjuntas que se realicen entre las funciones de seguridad y los expertos técnicos del área de telecomunicaciones. • No es opcional recoger evidencia, el ordenamiento legal está detrás de nuevas formas de perseguir la delincuencia electrónica • Ante un incidente de seguridad, la respuesta y el aseguramiento de la eviencia son factores críticos para su control. • Los procedimientos forense deben ajustarse con los cambios y simular su efectividad a través de las pruebas de penetración de la arquitectura.

  39. R.E.D.A.R. Breve Checklist ante Incidente • Sincronización de tiempo • La hora de los enrutadores coincide con la hora del FW? • Existen diferencias de tiempo entre la hora reportada del ataque y las máquinas involucradas? • Los registros de actividad y violaciones de las listas de control de acceso y filtros exportadas están alineadas con la hora del incidente? • El protocolo NTP - Network Time Protocol estaba en su última versión? Realmente confiable? • Cuando fue la última sincronización de tiempo que se efectuó en la arquitectura? • Control de Evidencia • Los registros identificados, se encuentran completos y asegurados? • Existen vacíos o saltos en los registros identificados en la arquitectura atacada? • Se cuenta con guías de recolección y control de evidencia? • Se tiene identificada la evidencia a recoger en cada uno de los segmentos de la arquitectura: zona de perímetro, la línea de defensa y la zona controlada • Existe personal entrenado en análisis de evidencia digital? Correlación de eventos?

  40. Qué tan preparado está su ambiente de Red? Si no está seguro, usted no esta preparado!Adaptado de:John Tan, Reseach Scientist. @Stake, Inc.

  41. Referencias • DAVID, J. (2001) The Ins and Outs of Intrusion Detection. Computer Fraud and Security. Nov. • PARA-SOFT (2001) Absolute state of the hack. Presentación en Powerpoint. Http://para-protect.com • KIRBY, A. (2001) Honeynet Phase Two: Knowing your enemy more. Computer Fraud and Security. Dic. • SANS (2001) CISCO Security Checklist. Http://www.sans.org/SCORE/checklist/ • LASSER, J. (2001) Implementing SNORT in a production environment. ;LOGIN. The magazine of USENIX. Nov. Vol.26. No.7 • COUNTERPANE. (2001) Logging Techniques. Presentación en Powerpoint. Http://www.counterpane.com • BECK, D. (2001) A review of Cybersecurity risk factors. Information Security Reading Room. Sans. Http://www.sans.org/infosecFAQ/securitybasis/risk.htm • RICHARDS, K. (1999) Network Based Intrusion Detection: A review of technologies. Computers & Security. Vol.18 • KPMG (2001) 2001 Global e-Fraud Survey. Http://www.kpmg.co.uk/kpmg/uk/direct/forensic/pubs/EFRAUD.cfm • HOLEWA, B. (2001) Intrusion detection systems forensics. Http://www.8wire.com/articles/print_article.asp?printAID=2248 • UPCHURCH, J. (2001) Combating computer crime. Information Security Reading Room. Sans. Http://www.sans.org/infosecFAQ/incident/combat.htm

  42. Referencias • FARMER, D. y VENEMA, W. (2001) Being prepared for intrusion. Dr. Dobb’s. Abril. Http://www.ddj.com/print/documentID=11878 • TAN, J. (2001) Forensic Preparation. Planning and policies are keys to successful forensic analysis. Secure Business Quarterly. Http://www.sbq.com • SCHNEIER, B. (2001) Managed Security Monitoring: Network Security for the 21st. Century. Computers & Security. Vol.20. • MAHADEVAN, C. (2001) Intrusion, attack, penetration - some issues. Information Systems Control Journal. Vol.6 • BURNETTE, M. y GOMEZ, C. (2001) When Code red attacks: Addressing vulnerabilities behind virus hysteria. Information Systems Control Journal. Vol.6 • ALTUNERGIL, O. (2001) Undertanding rootkits. O’really Networks. Http://linux.oreillynet.com/lpt/a//linux/2001/12/14/rootkit.html • MCHUGH, J., CHRISTIE, A. y ALLEN, J. (2001) Intrusion detection: Implementation and operational issues. CERT. Http://www.stsc.hill.af.mil/crosstalk/2001/jan/mchugh.asp • FREDERICK, K. (2001) Studying Normal Traffic, Part Two: Studying FTP traffic. Http://www.securityfocus.com/focus/ids/articles/normaltraf2.html • FREDERICK, K. (2001) Studying Normal Traffic, Part Three: TCP Headers. Http://www.securityfocus.com/focus/ids/articles/normaltraf3.html • SPITZNER, L. (2000) Serie Know your Enemy. Http://www.enteract.com/ /~lspitz/papers.html

  43. Referencias • NORTHCUTT, S. et al (2001) Intrusion Signatures and Analysis. SANS Giac. New Riders. • NORTHCUTT, S y NOVAK, J. (2001) Detección de intrusos. Guia avanzada. 2da. Edición. Prentice Hall. • CHAPPELL, L. (2000) Advanced Network analysis techniques. Podbooks.com. • STEVENS, R. (1994) TCP/IP Illustrated. Volume I: The protocols. Addison Wesley. • GURLEY, R. (2000) Intrusion Detection. Macmillan Technical Publishing. • ANOMINO. (2000) Linux Máxima Seguridad. Prentice Hall. • NORTHCUTT, S. (1999) Network intrusion detection. An analyst’s handbook. New Riders. • GOLLMAN, D. (1999) Computer security. John Wiley & Son. • FEIT, S. (1998) TCP/IP. McGraw Hill. • CHAPMAN, D. y Zwicky, E. (1997) Construya firewalls para internet. McGraw Hill. O’Really. • PFLEEGER, C. (1997) Security in computing. Englewood Cliffs, NJ: Prentice Hall. Segunda Edición. • MANDIA, K. y PROSISE, C. (2001) Incident Response. Investigation Computer Crime. McGraw Hill • CASEY, E. (2000) Digital evidence and computer crime. Academic Press. • CASEY, E. (Editor) (2002) Handbook of computer crime investigation. Academic Press. • SCHULTZ, E. y SHUMWAY, R. (2002) Incident Response. A strategic guide to handling systems and network security breaches. New Riders.

  44. Preguntas?? Algún expediente X?? Gerentes pensativos?? Administradores Agobiados?? Profesores Preocupados?? Intrusos?? Travesuras Informáticas?? Estudiantes Disgustados??

  45. Preparación Forense de RedesR.E.D.A.RUn modelo de análisis Jeimy J. Cano, M.Sc., Ph.D Universidad de los Andesjcano@uniandes.edu.co

More Related