instituto politécnico · pdf file figura 4.11 tshark capturando y registrando el...

INSTITUTO POLITÉCNICO NACIONAL

ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y

ELÉCTRICA UNIDAD CULHUACAN

SEMINARIO DE TITULACIÓN “SEGURIDAD DE LA INFORMACIÓN”

TESINA “ESQUEMA DE FORENSIA EN RED”

QUE PRESENTAN PARA OBTENER EL TÍTULO DE INGENIERÍO EN INFORMÁTICA

CANIZAL ZÚÑIGA JOSÉ CARLOS

LICENCIADO EN CIENCIAS DE LA INFORMÁTICA

DE LA CRUZ SAMAYOA ALVARO HUMBERTO

DIONICIO NIÑO CARLOS ALEJANDRO ROMERO MARTÍNEZ JUAN ANTONIO

INGENIERO EN COMUNICACIONES Y ELECTRÓNICA

FUENTES JIMENEZ DAVID

Asesores: DR. GABRIEL SANCHEZ PÉREZ

M. EN C. MARCOS ARTURO ROSALES GARCÍA

VIGENCIA: DES/ESIME-CUL/23/08

México, D.F., Junio 2009

AGRADECIMIENTOS A NUESTROS PADRES Y COMPAÑEROS: Por el apoyo que nos proporcionaron en todo momento, desde los mejores hasta nuestros peores momentos ya que, gracias a ustedes hemos tenido la oportunidad de estudiar y llegar a ser profesionistas. AL INSTITUTO POLITÉCNICO NACIONAL: Por ser la institución que por cortos pero valiosos años nos mostró cómo la ética, moral, y el profesionalismo son virtudes invaluables, y que se demuestran día con día.

ÍNDICE GENERAL PRELIMINARES Pág. INTRODUCCIÓN I OBJETIVO II ALCANCE III ESQUEMA IV CAPÍTULO I. ATAQUES EN RED 1

1.1 Clasificación de los ataques en la red 2 1.1.1 Clasificación por Lista de Términos 2 1.1.2 Clasificación por Lista de Categorías 2 1.1.3 Clasificación por Resultado de Categorías 3 1.1.4 Listas Empíricas 3 1.1.5 Clasificación de Ataques Basados en la Acción 3

1.2 Taxonomía de los Incidentes 4 1.2.1 Eventos 4 1.2.2 Acciones 5 1.2.3 Objetivos 6 1.2.4 Ataques 7 1.2.5 Herramientas 8 1.2.6 Vulnerabilidad 8 1.2.7 Resultado No Autorizado 9 1.2.8 Incidentes 9 1.2.9 Los Atacantes y sus Propósitos 10

CAPÍTULO II. INFORMATICA FORENSE 11

2.1 Objetivos de la Forensia 12 2.2 Tipos de Forensia Informática 13

2.2.1 Forensia Basada en Host 13 2.2.2 Forensia Basada en Red 14

2.3 Análisis Forense 14 2.4 Evidencia Digital 15

2.4.1 Clasificación de la Evidencia Digital 16 2.4.2 Criterios de Admisibilidad 16

2.5 Procedimiento Forense Computacional 17 2.6 Documentos de Informática Forense 19

2.6.1 RFC 3227 20 2.6.2 Guía de la IOCE 20 2.6.3 Investigación de la escena del crimen electrónico 20

2.6.4 Exámen forense de evidencia digital 20 2.6.5 Computación Forense: Mejores prácticas 20 2.6.6 Guía de buenas prácticas para evidencia basadas en

computadoras 21

2.6.7 Guía para el manejo de evidencia en IT 21 CAPÍTULO III. PROTOCOLOS DE RED Y SU MONITOREO 25

3.1 Tipos de Protocolos 25 3.2 Protocolo TCP/IP 31

3.2.1 Protocolo IP 32 3.2.2 Protocolo TCP 35

3.3 SMNP 39

3.3.1 MIB 40 3.3.2 RMON 41

3.4 Esquema típico de monitoreo 42 3.4.1 Monitoreo Activo 44 3.4.2 Monitoreo Pasivo 44 3.4.3 Elementos de Interconectividad 44 3.4.4 Controles de Seguridad en Red 48

3.5 Monitoreo de una red TCP/IP 52 CAPÍTULO IV. CASO PRÁCTICO 56

4.1 Wireshark/Tshark 56 4.1.1 Simulando un DoS en Windows 57 4.1.2 Tshark 63

4.2 Tcpdump 66 4.3 Elección de Herramienta 68

CONCLUSIONES 69 REFERENCIAS BIBLIOGRÁFICAS 70 GLOSARIO 71

ÍNDICE DE FIGURAS

Figura Nombre Página

Figura 1.1 Espectro de las actividades en una red 5 Figura 1.2 Ataques basados en la experiencia 7 Figura 1.3 Diagrama general de los incidentes de seguridad 9 Figura 2.1 Cuadro comparativo de documentos de Informática

Forense

22 Figura 3.1 Representación del modelo OSI 27 Figura 3.2 Arquitectura del protocolo TCP/IP 32 Figura 3.3 Datagrama IP 33 Figura 3.4 Segmento TCP 37 Figura 4.1 Uso de Windows según Xitimonitor durante enero

de 2007

56 Figura 4.2 Comparativo de los sistemas operativos y su uso en

la red según Xitimonitor

57 Figura 4.3 Esquema básico de conectividad entre dos equipos 58 Figura 4.4 Elementos por defecto en Wireshark 59 Figura 4.5 Gráfica de entrada/salida 60 Figura 4.6 Un ping por tiempo indefinido 61 Figura 4.7 Demostración de ICMP iniciado por ping 61 Figura 4.8 Tráfico de red cuando inicia el ping 62 Figura 4.9 Tráfico cuando el ping finalizo 62

Figura 4.10 Tshark a la espera de tráfico ICMP 64 Figura 4.11 Tshark Capturando y registrando el trafico ICMP 65 Figura 4.12 Paquetes ICMP capturados por Tshark 65 Figura 4.13 Tcpdump escuchando los paquetes icmp a través

de la interfaz eth0 67

Figura 4.14 Tcpdump resumen de paquetes capturados 67 Figura 4.15 Archivo donde se registro el tráfico del protocolo

icmp 68

I

INTRODUCCIÓN

Hoy día un aspecto clave para el éxito de las empresas es la seguridad de la información que genera, procurando mantener la confidencialidad, disponibilidad e integridad de la misma, de igual manera la necesidad de compartir información a través de la red corporativa hacen que esta deba tener un nivel de seguridad alto ya que los ataques dirigidos a protocolos, sistemas operativos y dispositivos de red están incrementándose a causa de la aparición de nuevas y más complejas herramientas que automatizan los ataques y aprovechan con mayor eficiencia las vulnerabilidades existentes en la organización, por lo cual surge la necesidad de plantear políticas y un esquema de seguridad. A pesar de todas estas medidas muchas veces un mal diseño del esquema de seguridad o imposición de criterios económicos por sobre los de seguridad de la empresa dan lugar a que se susciten ataques, y por ende perdidas para la empresa Lo que sucede actualmente en las pequeñas y medianas empresas (PyMe) nacionales es que no cuentan con un sistema de respuesta a incidentes ni mucho menos con alguno de forensia y, una vez sufrido algún tipo de ataque, éstas empresas se preocupan más por recuperar la información y que no afecte este evento en sus operaciones diarias. La ciencia forense aplicada a la informática se encuentra en pleno auge y actualmente existen diferente metodologías dependiendo el enfoque que se tome, pero básicamente se trata de localizar y/o generar la evidencia a priori (forensia en red) antes de que se presente un ataque para después poder analizar la secuencia de eventos que dieron lugar al ataque aplicando metodologías reproducibles y estandarizadas, de tal manera que tengan validez y puedan ser presentados como pruebas fehacientes. La presente tesina pretende mostrar al lector un esquema de forensia causal, es decir, se centra en conocer los hechos únicamente, utilizando una combinación de las distintas metodologías existentes, además de justificarse en base a datos estadísticos de los distintos ataques en red arrojados por instituciones normativas sobre la forensia y seguridad informática.

II

OBJETIVO Proponer herramientas de monitoreo para obtener evidencia y así tener elementos para aplicar forensia en una red TCP/IP.

III

ALCANCE La presente investigación se centra en establecer los procesos de monitoreo para obtener evidencia digital, y así contar con elementos para aplicar forensia en una red TCP/IP.

IV

ESQUEMA Un esquema de forensia en red es una serie de elementos teóricos que pretende dar una visión de lo que puede ser puesto a prueba en la realidad, en el presente documento se muestran los fundamentos teóricos de una red LAN y cómo funcionan en un caso práctico. Es importante diferenciar tres conceptos básicos modelo, esquema y arquitectura, para conocer por que se presenta un esquema de forensia y no un modelo o una arquitectura.

Modelo: Es el resultado del proceso de generar una representación abstracta,

conceptual, grafica o visual para analizar, describir, explicar, simular y predecir

fenómenos o procesos.

Esquema: Es un sistema de ideas, un conjunto organizado de conceptos

universales que permiten una aproximación a un objeto particular. Se trata de

un paquete teórico abierto que puede ser puesto a prueba en la vida cotidiana.

Arquitectura: La arquitectura es el diseño conceptual y la estructura

operacional fundamental de un sistema.

Como se muestra un modelo pretende simular un fenómeno o proceso, en este documento no se pretende simular procesos de forensia, ni hacer un diseño conceptual como lo indica la Arquitectura. Se muestra una serie de fundamentos teóricos aplicables a casos reales.

1

CAPÍTULO I. ATAQUES EN LA RED

En la actualidad el activo más importante de una empresa, institución pública, o de un individuo es la información. La información que una empresa posee es de vital importancia para llevara a cabo sus operaciones, es lo que le permite tomar decisiones, que hacer, como hacerlo y para qué hacerlo. No se puede imaginar a un banco sin la información de estados financieros, o