“El único sistema verdaderamente seguro es aquel … 6...1 “El único sistema verdaderamente...

1

��

“El único sistema verdaderamente seguro es aquelque está apagado, encerrado en un bloque de hormigón y sellado en una habitación recubierta de plomo con guardias armados…. y aún así tengo mis dudas”

Eugene Spafford, “Computer Recreations of Worms, Virusesand Code War”, Scientific American, marzo1998, p. 110

2

��

�� 1. Introducción a la Seguridad Informática

1. Conceptos básicos de seguridad- Amenazas de seguridad- Ataques pasivos- Ataques activos- Tipos de ataques

2. Obtención de información de un atacante- Identificar los servicios TCP y UDP- Identificar el Sistema Operativo- Identificar las versiones de los servicios- Identificar vulnerabilidades del sistema

��

��

3

��

��

Antes Durante Después

Detección

Análisis ForensePrevención

Recuperación

Seguridad InformSeguridad Informááticatica

•Conceptos básicos de seguridad•Amenazas de Seguridad•Ataques•Tipos de ataques

•Obtención de información de un atacante•Identificar equipos•Identificar servicios•Identificar SO•Identificar vulnerabilidades

4

��

��

��

��

Amenazas de seguridad

Ataques pasivos / activosAtaques pasivos / activos

��

��

��

Ataques pasivos:El atacante no altera la comunicación, sino que únicamente la

escucha o monitoriza la red para obtener información de los datos transmitidos

Ataques activos:Estos ataques implican algún tipo de modificación del flujo de

datos o creación de un falso flujo de datos, pudiendo dividirse en cuatro categorías:

• Suplantación de identidad• Reactuación• Modificación de mensajes• Degradación del servicio

��

5

Ataques pasivos / activosAtaques pasivos / activos

��

��

��

Activos Pasivos

��




6

��

��

��

SniffingSniffingEscuchar los datos que atraviesan la red sin interferir en la conexión.Se usa para descubrir passwords e información confidencial.

Eth1172.26.0.250

Eth1172.26.0.1

Eth2192.168.0.1

ServidorRouter Interno

Eth180.34.31.173

Router Externo

Router Externo

Sniffing

Eth1172.26.0.25/24

Eth2192.168.0.1

Eth180.34.31.173

ServidorRouter Interno

Eth1172.26.0.250

Eth1172.26.0.1

��

��

��

��

SniffingSniffing

Protección: Encriptado de datos (SSH). Servicios de Autentificación y auditoria

��

7

��

��

��

SpoofingSpoofingEl atacante envía paquetes con una dirección fuente incorrecta. Las respuestas se envían a la dirección fuente aparente y no al atacante.

��

��

��

��

SpoofingSpoofingEl atacante envía paquetes con una dirección fuente incorrecta. Las respuestas se envían a la dirección fuente aparente y no al atacante.

��

8

��

��

��

SpoofingSpoofingPuede utilizarse para:* Realizar un ataque de denegación de servicio

(DOS Deney of Service)

��

��

��

��


(DOS Deney of Service)

��

9

��

��

��


(DOS Deny of Service)

Protección: Encriptación de protocolo

��

��

��

��

��

10

��

��

��

��

��

��

��

��

��

��!��

��

��

��

HijackingPermite a un atacante robar una conexión de un usuario que ya ha sido autentificado.Generalmente se realiza en el equipo remoto, aunque algunas veces es posible robar la conexión en la ruta

Protección: Filtrado y encriptación: a nivel IP (IPsec) y a nivel de aplicación (TSL, SSL y SSH)

��

11

��

��

��

Explotar bugs del softwareAprovechar errores en la implementación del software para acceder a recursos sin autorización. P.e. comandos inválidos

Protección: Actualización del software

��

��

��

��

Negación de servicioBloquear un determinado número de servicios para que los usuarios legítimos no los puedan utilizar.Para evitar el spoofing, normalmente los routers eliminan los paquetes con direcciones fuente falsas

Protección:•Seguir funcionando con comandos inválidos•Se debe limitar el uso de recursos por una única entidad:

* Número de conexiones* Tiempo de conexión* Tiempo de respuesta del procesador* Cantidad de memoria utilizada* Cantidad de espacio en disco utilizado

��

12

��

��

��

��

Estimado usuario,

Hemos detectado algunos ataques desde su cuenta de correo, por lo quesu ordenador debe tener algún virus. Para limpiar su ordenador de virus siga las instrucciones del fichero adjunto

Nuestros mejores deseos,El equipo dominio http://www.dominio.com

��

��

��

��

Estimado usuario,

Recientemente hemos detectado que su ordendor realiza actividadesanómalas en la red. Por tal motivo, hemos realizado un escaneado de puertos de su ordenador y hemos determinado que está infectado con el troyano UPWINZUN (ver 9.41). Para mantener su ordenador y la red de la empresa permanezcan seguros, elimne el fichero donde se encuentra el toryano (c:/windows/upwinzun.exe)


13

��

��

��

��

Estimado usuario,

Recientemente hemos detectado que su ordendor realiza actividadesanómalas en la red. Por tal motivo, hemos realizado un escaneado de puertos de su ordenador y hemos determinado que está infectado con el troyano XT93cmt (ver 9.41). Para mantener su ordenador y la red de la empresa limpios de virus, envíenos el fichero (c:/windows/password.list) y una vez que hayamosdesinfectado el fichero se los remitiremos libre de virus.


��

��

��

Ingeniería socialAprovechar la buena voluntad de los usuarios para tomar sus privilegios o para dañar su equipo.

Protección: Autentificación e información

��

14

��

��

��

Phising

Protección: Firma digital, encriptación e información

��

Es una variable de la ingeniería social. A través de mensajes de texto “falsificados” y sitios Web fraudulentos engañan a los usuarios con el fin de que revelen datos financieros, datos personales, contraseñas, etc.

��

��

��

��

x

16

��

��

��

��

17

��

��

��

��

��

��

��

��

Protección: Autentificación y filtrado de paquetes

Confianza transitivaAprovechar la confianza UNIX entre usuarios o hosts para tomar sus privilegios:•Usuarios: mediante .rhosts•Host: mediante .equiv

18

��

��

��

Ataques dirigidos por datosAtaque diferido originado por:•Virus•Gusanos•JavaScript•Caballos de troya

Protección: Antivirus, firma digital e información

��

��

��

��

Enrutamiento fuenteUn atacante que controle un router entre origen y destino es capáz de cambiar un paquete que pase por el router.

Un paquete de ida puede utilizar una ruta diferente a la de vuelta. Si en la idea pasa por un router comprometido, el atacante puede ver los paquetes.

Protección: Filtrado de paquetes y encriptación

��

Protección: Filtrado de paquetes

Mensajes de control de redUtilizar un mensaje ICMP (redirect o destination unreacheable) para hacer pasar los paquetes por un router comprometido

19

��

��

��

ReenvíoUna vez capturado un paquete, el atacante puede causar un daño si envía posteriormente el mismo paquete capturado al receptor.

Exiten dos tipos de reenvio:•Los que identifican partes de información (p.e. password)•Los que simplemente envían un paquete compelto

El reenvío no funciona con paquetes TCP ya que usan un número de secuencia, a no ser que la secuencia sea fácilmente predecible

Protección: Rechazar paquetes duplicados, por ejemplo usando marcas de tiempo o números de secuencia

��

��

��

��

Adivinación de passwordPrueba sistemática de password de un usuario

Protección: Información (cambiar password) y firma digital

��

TempestBarrido de emisión de electrones de los CRTs para observar la información en pantalla de un usuario.

Protección: Paredes de plomo y hormigón

Rubber-HoseUtilizar soborno o tortura para obtener información sobre password y topologías.

Protección: Defensa personal

20




�� !��!��"��"��

� "��

��

� "�#��"��

� "��$

� "�#!��%�!� � ��

� "��

21

�� !��!��"��"��

� "��

��

� "�#��"��

� "��$

� "�#!��%�!� � ��

� "��

?

???

� "��

��

� "�#��"��

� "��$

� "�#!��%�!� � ��

� "��

�� !��!��"��"��

whois

Mensajes ICMP (ping –sP <id_red>

Solución: Filtrar mensajes ICMP

22

� "��

��

� "�#��"��

� "��$

� "�#!��%�!� � ��

� "��

�� !��!��"��"��

Linux (nmap)

Windows (SuperScan)

Solución: Filtrar puetos, cambiar puertos (80 ��8080)

� "��

��

� "�#��"��

� "��$

� "�#!��%�!� � ��

� "��

�� !��!��"��"��

Por tanto, a partir de la detección de esas pequeñas diferenciaspodemos realizar suposiciones razonables del sistema operativoinstalado.

El rastreo de pilas es una técnica extremadamente potente quenos permite averiguar el sistema operativo de un host.

En esencia, existen muchos matices que diferencian laimplementación de pilas IP de los fabricantes.

Cada fabricante interpreta a su manera la normativa RFC.

23

� "��

��

� "�#��"��

� "��$

� "�#!��%�!� � ��

� "��

�� !��!��"��"��

Algunos sondeos que se realizan:Algunos sondeos que se realizan:

•Sondeo Bogus FlagSe introduce una bandera TCP indefinida de un paquete SYN. Algunos SO (p.e. Liinux)responden con esta bandera en el paquete de respuesta

•Muestreo del número de secuencia inicial (ISN)Se busca el patrón en la secuencia inicial (semilla pseudoaleatoria)

•Sondeo FIN.Se envía un paquete FIN a un puerto abierto. La normativa RFC establece que no hayque responder. Sin embargo, muchas implementaciones (p.e. Windows NT) respondecon un paquete FIN/ACK.

•Supervisión del “bit de no fragmentación”Algunos SO desactivan esta opción para mejorar su rendimiento

� "��

��

� "�#��"��

� "��$

� "�#!��%�!� � ��

� "��

�� !��!��"��"��


•Valor ACKLas pilas difieren en el valor de respuesta del paquete ACK. •Mismo valor•Valor +1

•Apagado del mensaje de error ICMPAlgunos sistemas cumplen la normativa RFC 1812 y limitan la velocidad con la quese envían los mensajes de error

•Tamaño de ventana inicialSe analiza el tamaño inicial del la ventana en los paquetes de resupesta. En algunasimplementaciones este tamaño es único.

24

� "��

��

� "�#��"��

� "��$

� "�#!��%�!� � ��

� "��

�� !��!��"��"��


•Integridad del eco de los mensajes de error ICMPAlgunos SO alterar las cabeceras IP cuando devuelven mensajes de error ICMP

•Tipo de servicio (TOS)En los mensajes del tipo “ICMP port unreachable” se pueden examinar el TOS.La mayoría utiliza 0 pero existen otras posibilidades.

•Cita de mensajes ICMPLos SO difieren en la cantidad de información que se cita cuando aparecen mensajesICMP.

� "��

��

� "�#��"��

� "��$

� "�#!��%�!� � ��

� "��

�� !��!��"��"��

Linux (xprobe2)

Linux (nmap)

Solución: Filtrar mensajes ICMP, recompilar el kernel

25

� "��

��

� "�#��"��

� "��$

� "�#!��%�!� � ��

� "��

�� !��!��"��"��

Solución: Cambiar banderas

Linux (amap)

Linux (amap)

� "��

��

� "�#��"��

� "��$

� "�#!��%�!� � ��

� "��

�� !��!��"��"��

Solución: Cambiar banderas

Windows (Metabase Editor)

26

� "��

��

� "�#��"��

� "��$

� "�#!��%�!� � ��

� "��

�� !��!��"��"��

� "��

��

� "�#��"��

� "��$

� "�#!��%�!� � ��

� "��

�� !��!��"��"��

www.thc.org

www.webzcan.com

27

� "��

��

� "�#��"��

� "��$

� "�#!��%�!� � ��

� "��

�� !��!��"��"��

Windows (GFI LANguard )

Solución: Desactivar “Compartir impresoras y archivos”

� "��

��

� "�#��"��

� "��$

� "�#!��%�!� � ��

� "��

�� !��!��"��"��

Solución: Apagar el ordenador

Linux (nessus)

28

PrevenciPrevencióón de los n de los Sistemas InformSistemas Informááticosticos

•Seguridad Física•Seguridad Lógica

•Protección del equipo•Protección de la red

��#��#��

Es recomendable:•Aislar los elementos hardware (puertas de seguridad, aislamientos térmicos, etc..)•Aislar los elementos del cableado para que no puedan ser interrumpidos o interceptados.•No situar los equipos en el suelo para evitar una posible inundación•Ni en altura para que no se caigan•Asegurar las condiciones eléctricas (SAI)•Mantener la temperatura del recinto

Sin duda el hardware de un sistema informático es lo más caro, pero también es lo más fácil de sustituir.

Las principales amenazas son:Las personasIncendios, inundaciones,Los catástrofes naturalesTerremotos, etc.

�� &��

�� '(��

�� (��

29




�� &��

�� '(��

��#��#��

General (ejecutar de forma periódica)

Actualizar las aplicaciones y servidoresUtilice una lista de distribución de seguridad (p.e. www.hispasec.com o consulte la web del fabricante.

Bloquear los ficheros de configuraciónMarque los ficheros de configuración como inalterables (p.e. en linux con el comando chattr)

Comprobar la integridad del sistema de ficherosUtilice aplicaciones que le permitan verificar la integridad de la información almacenada en los ficheros con herramientas (p.e. tripwire). Para detectar cualquier cambio en el sistema de ficheros el programa ejecuta varios checksums de todos los binarios importantes y ficheros de configuraicón, y los compara con una base de datos con valores de referencia aceptados como válidos.

�� !��

30

�� &��

�� '(��

��#��#��

Comprobar la integridad de las contraseñasUtilice programas de fuerza bruta para comprobar la fortaleza de las contraseñas.(p.e. John de Ripper)

Comprobar la seguridad del sistemaUtilice programas que le permitan detectar vulnerabilidades de su sistema(p.e. nessus GFILanGuard)

General (ejecutar de forma periódica)

�� !��

�� &��

�� '(��

��#��#��

Windows

�� !��

31

�� &��

�� '(��

��#��#��

Linux

Servicios de red•/etc/inetd Desactiva los servicios que no utilices y activa los tcp_wrappers para aceptaro denegar las conexiones•Fingered: Desactiva el servicio •Comandos “r”. (p.e. rlogin, rsh, rcp) Evita utilizar los comandos r e indica los equipos que tienen acceso en el fichero /etc/hosts.equiv•/etc/services. Deshabilita los servicios que no utilices•Terminales seguras. El fichero /etc/securetty permite especificar las consolas a lasque tiene acceso el root. Deshabilita las consolas que no necesites.•RPC. Deshabilita el servicio•Trivial FTP. Si utilizas el servicio guarda los datos del servidor en un sistema de ficherosindependiente

�� !��

�� &��

�� '(��

��#��#��

Linux

Red•Filtrado de paquetes. Utiliza el filtrado de paquetes para restringir el tráfico de entraday de salida. Asegúrate de que sólo los equipos del dominio pueden intercambiar tráficocon el exterior.•Ataques DoS. Desactiva la dirección IP de broadcast en la red. Filtra los paquetes queno tenga una correcta dirección IP de origen.•Encriptaicón. Utiliza tecnologías de encriptación para cifrar los datos de la red

Sistema de Ficheros•Usuarios. Enjaula a los usuarios en un sistema de ficheros independiente•Ejecutables por el root. Asegúrese de que todos los ficheros que utiliza el roottenga como propietario al root.•Tiger. Los tiger permiten analizar el sistema de ficheros para encontrar maneras de obtener privilegios de root (rootkits).

�� !��

32

�� &��

�� '(��

��#��#��

Linux

Usuarios•General.

•Deshabilite las cuentas que no necesite.•Modifique el fichero /etc/login.defs para establecer la vigencia de las contraseñas•Compruebe que las contraseñas están en /etc/shadow

•Root•Limita el número de conexiones de la cuenta root•Comprueba regularmente el log del fichero su

Sistema•Arranque y apagado. Deshabilite el comando de apagado a través del teclado modificando el fichero /etc/inittab•Registro del sistema.

•Examine los ficheros de registro•Asegure los ficheros de registros

�� !��




33

�� &��

�� '(��

��

•Seguridad lógicaFundamentos criptográficos

Criptografía (algoritmos simétricos, algoritmos asimétricos, funciones hash,..)

��

��

��!��

��

��

��

•Seguridad lógicaFundamentos criptográficos

Seguridad perimetralCon la interconexión de equipos informáticos en red, la especialización de algunos de ellos en determinados servicios (servidores) y, la conexión a Internet para ofrecerlos haavivado la necesidad de proteger las redes privadas antes posibles intentos de infiltración.

Criptografía (algoritmos simétricos, algoritmos asimétricos, funciones hash,..)

34

��

��

��!��

��

��

��

•Seguridad lógica – Seguridad perimetral - Elementos

NAT: Permite cambiar las direcciones y/o puertos de origen y destino. Y de esta forma permite aislar el tráfico de una red.

Proxy: Actúa como intermediario entre un cliente y un servidor.Al trabajar en la capa de aplicación, permite realizar filtros más inteligentes (p.e.por contenido).

Router: Es el encargado de filtrar o redirigir los paquetes de una red

Switch: Permite reducir las colisiones de la red y evita la utilización de sniffers.

��

��

��!��

��

��

��

•Seguridad lógica – Seguridad perimetral - Topologías

Router de protección:

��

�

��

�

��

�

��

��

��

��

Router

��

�

��

�

��

�

��

��

��

��

RouterRouter

35

��

��

��!��

��

��

��


Host de base dual:

��

�

��

�

��

�

��

��

��

��

��

�

��

�

��

�

��

��

��

��

��

��

��!��

��

��

��


Host bastión seleccionado:

36

��

��

��!��

��

��

��


Zona desmilitarizada o zona neutra:

��

��

��!��

��

��

��


Subredes seleccionadas

37

��

��

��!��

��

��

��


Múltiples subredes seleccionadas

Router Exterior

Dual-homed host

Red Interna

Router Interior

Red de perímetro 1

Red de perímetro 2

Router Exterior

Dual-homed hostDual-homed host

Red Interna

Router Interior

Red Interna

Router Interior

Red InternaRed Interna

Router Interior

Red de perímetro 1

Red de perímetro 2

MEDIDAS DE SEGURIDADMEDIDAS DE SEGURIDADEN LOSEN LOS

SISTEMAS INFORMSISTEMAS INFORMÁÁTICOSTICOS

(DETECCI(DETECCIÓÓN)N)

38

��

��

��!��

��

��

HoneyPot (Tarros de miel)HoneyPot (Tarros de miel)

Simula uno o más sistemas fáciles de atacar con el fin detentar a potenciales intrusos.

Ordenador con cebo

Atacante

Informacióndel atacante

��

��

��

��!��

��

��

¿¿Por quPor quéé son necesarios los IDS?son necesarios los IDS?

Los cortafuegos proporcionan una eficaz primeralínea de defensa, pero pueden dar una falsa seguridad

Mala configuración del cortafuegosErrores en software o hardwarePobre política de seguridad

INSEGURIDAD

��

39

��

��

��!��

��

��

¿¿No basta con un cortafuegos?No basta con un cortafuegos?

Un cortafuegos deja acceder a algún puerto (ej. 80 web)Un cortafuegos normalmente deja salir información

Por ejemplo: Gusano NIMDA

NIMDA se propagó explotando un agujero de IIS, enviando comandos para su ejecución en el servidora través del puerto 80.

NIMDA establecía sesiones TFTP desde dentro haciafuera. ¡Burlando el cortafuegos!

Alrededor del 80% de los ataques se hacen desde dentro

��

��

��

��!��

��

��

Los IDS nos permiten detectar actividad inadecuada oanómala dentro de un sistema informático.

Un buen IDS será capaz de detectar las acciones de atacantes externos así como la actividad anormal deatacantes internos.

¿¿QuQuéé son los IDS?son los IDS?

��

40

��

��

��!��

��

��

¿¿QuQuéé son los IDS?son los IDS?Se considera como intrusión las siguientes actividades:

Reconocimiento:•Barridos de pings•Exploración de puertos•Identificación del SO•Intento de inicio de sesión por ataques de fuerza bruta

Explotación:•Utilizar agujeros de servidores web, aplicaciones, etc•Agujeros de seguridad en los navegadores de los usuarios•Lectura de correo•Enmascaramiento de IP•Ataques DNS,etc.

��

��

��

��!��

��

��

¿¿QuQuéé son los IDS?son los IDS?

Denegación de servicio:•Ping de la muerte•Inundación SYN•WinNuke•Ataques distribuidos, etc

��

41

��

��

��!��

��

��

TTéécnicas de IDScnicas de IDS

Existen dos tipos de técnicas de IDS:•Detección de patrones anómalos•Detección de usos incorrectos (firmas)

��

��

��

��!��

��

��

TTéécnicas de IDS cnicas de IDS –– DetecciDeteccióón de patrones ann de patrones anóómalosmalos

Si un usuario no conecta fuera del horario de oficinaSi conecta a las 2:30 (EXTRAÑO)

Un usuario inicia sesión 2 o 3 veces al día,Entonces 30 inicios de sesión (EXTRAÑO)

Si un usuario no accede a la BD empresarial ni compila código Si compila (EXTRAÑO)

Si hay una sobrecarga de la red � EXTRAÑO

��

42

��

��

��!��

��

��

TTéécnicas de IDS cnicas de IDS –– DetecciDeteccióón de firmasn de firmas

Todas las herramientas de hacking dejan una huellaen el servidor, ya sea en el sistema de archivos, registro,..

Por lo tanto, se trata de buscar la presencia de éstas firmas

PROBLEMA:

¿¿¿Cómo detecto firmas de ataques novedosos???

No se puede, por eso es muy importante tener una BDcon todas las firmas que vayan apareciendo.

��

��

��

��!��

��

��

Tipos de IDSTipos de IDS

IDS basados en host (HIDS)

IDS basados en red (NIDS)

��

43

��

��

��!��

��

��

IDS basados en red (NIDS)IDS basados en red (NIDS)

Ventajas:

•Un solo NIDS puede detectar ataques en todos los equipos de una red.•Resultan independientes de la plataforma•Son capaces de detectar manipulación de cabeceras IPo ataques de denegación de servicio•Son casi invisibles

��

��

��

��!��

��

��

IDS basados en red (NIDS)IDS basados en red (NIDS)

Desventajas:

•Resultan ineficientes con tráfico cifrado•Su funcionamiento se vuelve imprevisible en redesde alta velocidad (GBps)•Si se produce una congestión de la red, el NIDS podríadescartar paquetes.•Debido a que trabajan en sistemas heterogéneos podríanno se capaces de definir la relevancia de un ataque.

��

44

��

��

��!��

��

��

IDS basados en host (HIDS)IDS basados en host (HIDS)

Ventajas:

•Detectan mejor los ataques desde dentro de la red ya que detectan inicios de sesión, cambios en archivos, etc.•Son capaces de asociar usuarios + programas = efectos•Forman parte del propio blanco•No se necesita monitorizar todo el tráfico de la red

��

��

��

��!��

��

��

IDS basados en host (HIDS)IDS basados en host (HIDS)

Desventajas:

Al monitorizar los cambios en el sistema, se descubren los ataques una vez realizados.

•Si el host ha sido atacado � no podemos confiar en sus informes.

•Si el host cae � no envía ningún informe

Tan sólo ve lo que le pasa a él y no ve ningún ataque ensu conjunto.

Difícil implantación (SO diferentes)

��

45

��

��

��!��

��

��

IDS basados en host (HIDS)

IDS basados en red (NIDS)ConclusionesConclusiones

��

��

��

��!��

��

��

ConclusionesConclusiones

��

46

��

��

��!��

��

��

��



(RECUPERACI(RECUPERACIÓÓN)N)

47

��

��

��!��

��

��

��

Puntos a tener en cuenta

¿Qué se debe copiar?

¿Dónde se encuentra?

¿Quién y donde se realizará la copia?

¿Bajo qué condiciones se realizará la copia de seguridad?

Tras la detección de que la copia de seguridad ha sido comprometida, una de las tareas del administrador será recuperarlo.

Los mecanismos preventivos pueden evitar muchos problemas y ataques pero no garantizan estar exentos de riesgo.

��

��

��!��

��

��

��

Completa

Se realiza una copia completa del sistema de archivos

Ventajas:Se copian todos los ficherosFácil recuperación total y parcial del sistema

Desventajas:Consumo del espacio

TiposTipos

48

��

��

��!��

��

��

��

Incremental

Se realiza una copia de los ficheros modificados o creados desde la última copia que se realizó.

Ventajas:Más rápida de realizar que las copias completasRequiere menos espacioPermite la conservación de varias versiones de un mismo fichero

Desventajas:Se pueden copiar ficheros cuyo contenido no ha cambiado.Se necesitan todas las copias incrementales para recuperar un sistema.La restauración de ficheros individuales consume mucho tiempo.

TiposTipos

��

��

��!��

��

��

��

Diferencial

Se realiza una comparación del contenido de los ficheros a la hora dedeterminar qué debe copiarse.

Ventajas:Todas las incrementalesRequiere menos espacio

Desventajas:Todas las incrementalesNo todas las herramientas permiten copias diferenciales

TiposTipos

49

��

��

��!��

��

��

��

Nivel 2

El resto de los días se realiza una copia de seguridad de nivel 2, en cadasemana se toma como referencia la copia de seguridad de nivel 1.

EstrategiasEstrategiasNivel 0

El primer lunes de cada mes se realiza una copia completa

Nivel 1

El resto de los lunes y el primer martes de cada mes se realiza una copiade nivel 1

Buenas costumbresBuenas costumbres

��

��

��!��

��

��

��

Correcta etiquetación de los soportes22

No almacenar las copias en el mismo recinto que los datos44

NO realizar las copias en el mismo dispositivo del cual se están obteniendo los datos.11

Realizar las copias cuando no hay nadie trabajando55

Comprobar el estado de la copia de seguridad33

50

��

��

��!��

��

��

��

Linux

Tar, cpio, restore/dump, amanda

HerramientasHerramientas

Windows

Administrador de copias de seguridad



(AN(ANÁÁLISIS FORENSE)LISIS FORENSE)

51

��

��

��!��

��

��

��

Los objetivos del análisis forense son:•Averiguar qué ha pasado•Cómo se ha realizado la intrusión•Qué consecuencias ha tenido•Quién ha sido

Debido a la creciente importancia de los sistemas de información, no sólopor su repercusión social sino también por la importancia de los datos yoperaciones que se realizan con ellos, los estados han legislado losllamados delitos informáticos.

Y todo ello con procedimientos y herramientas legales.

No hacer RubberHouse para averiguar que ha pasado!!!!!!

��

��

��!��

��

��

��

1.- Recopilación de las evidencias

Si el equipo está encendido hay que conseguir la siguiente información:* Ficheros:

- Ficheros abiertos- Ficheros temporales- Fechas de modificación y acceso

* Red:- Conexiones abiertas (equipos, interfaces de red)- Tablas de erutado- ARP

* Estado del sistema:- Fecha y hora local- Usuarios presentes en el sistema- Contenido del sistema /proc- Copias de los registros y estado del procesador

ProcedimientoProcedimiento

52

��

��

��!��

��

��

��

2.- Análisis e investigación de las evidencias

Hay que estudiar las correlaciones de los datos obtenidos en la faseanterior (logs, ficheros,…)

Además deberemos buscar signos de algún proceso de ocultación de datos

Para poder reproducir mejor los pasos del atacante es bueno poderdisponer de una máquina virtual con el mismo sistema que el equipocomprometido


��

��

��!��

��

��

��

3.- Presentación de la información

En esta última fase, los administradores deben presentar, con un lenguajeclaro y sencillo, sin tecnicismos, los resultados obtenidos en las fasesanteriores y las conclusiones a las que se ha llegado.


“El único sistema verdaderamente seguro es aquel … 6...1 “El único sistema verdaderamente...

Documents

Transcript of “El único sistema verdaderamente seguro es aquel … 6...1 “El único sistema verdaderamente...