La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Preparación Forense de Redes R.E.D.A.R Un modelo de análisis

Publicada porEusebio Rave Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Preparación Forense de Redes R.E.D.A.R Un modelo de análisis"— Transcripción de la presentación:

1 Preparación Forense de Redes R.E.D.A.R Un modelo de análisis
Jeimy J. Cano, M.Sc., Ph.D Universidad de los Andes

2 Preparación Forense de Redes - R.E.D.A.R
Febrero/2002 Agenda Introducción Definiciones básicas Presentación del Modelo - R.E.D.A.R Arquitectura de Análisis Red de perímetro Linea de Defensa Zona Controlada Red de perímetro - Routers Línea de defensa - Firewalls Zona Controlada - Servidores y conexiones Preparación Forense de Redes en Contexto Conclusiones Referencias JCM-02 All rights reserved. Jeimy J. Cano, M.Sc., Ph.D - Colombia

3 Introducción Las estadísticas del CERT en el año 2001, muestran aumento de más del 150% en incidentes de seguridad reportados. De acuerdo con la investigación adelantada por KPMG en el 2001, “2001 Global Survey” : Cuando ocurre un incidente de seguridad No se adelantan acciones legales Inadecuado uso de los recursos legales Falta de evidencia El 50% de los encuestados identificó a los Hackers y la pobre implementación de políticas de seguridad como los factores fundamentales de los incidentes de seguridad. Los ejecutivos se encuentran desinformados acerca del estado actual de las vulnerabilidades de la su red. Bajo o pobre entrenamiento de los administradores de sistemas Mientras que un ataque de un sitio puede tomar dos (2) horas, el análisis forense completo puede alcanzar las treinta (30) horas! (Forensic Challenge Project) JCM-02 All rights reserved.

4 Definiciones básicas Conceptos Sistemas de detección de intrusos.
Orientado a Host Orientado a Red Orientado a Firmas Estadísticas Honeypot Configuración de una máquina con servicios activos, atractivos y aislados, como una estrategia para seguir y capturar intrusos dentro de sistemas de computación. Honeynet Configuración de una red con servicios activos, atractivos y aislados, como una estrategia para analizar y aprender de los intrusos y sus acciones. Red de perímetro Es una red agregada a fin de proporcionar una capa adicional de seguridad. Generalmente se le conoce como red desmilitarizada (DMZ) JCM-02 All rights reserved.

5 Definiciones básicas Conceptos Firewall
Componente o conjunto de componentes (Hw y Sw) que restringen el acceso entre una red protegida e internet, o entre otros conjuntos de redes. Tradicionales Stealth Evidencia digital Es un tipo de evidencia física. Esta construida de campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con herramientas y técnicas especiales.(Casey 2000, pág.4) Computación forense Es la aplicación legal de métodos, protocolos y técnicas para obtener, analizar y preservar evidencia digital relevante a una situación en investigación. (Kovacich 2000, pag.243) JCM-02 All rights reserved.

6 Presentación del Modelo R.E.D.A.R
Justificación Es necesario desarrollar una estrategia formal para atender incidentes de seguridad y su posterior documentación y análisis Se cuentan con diversas estrategias de registro de eventos, pero no se posee la cultura de análisis de las pistas. La mayoría de los administradores de sistemas actualmente no son conscientes de la necesidad de contar con evidencia digital. La seguridad informática y la administración de sistemas de observan como actividades diferentes, cuando en realidad son complementarias R.E.D.A.R - Vocablo que significa: “Echar las redes” RE gistro Establecimiento de los diferentes métodos y herramientas para mantener el adecuado registro de eventos relevantes en las redes. D ectección de intrusos Desarrollo de alertas y análisis de las posibles fallas de seguridad aprovechadas por los atacantes. A uditoRia Evaluación, seguimiento y análisis de los mecanismos y herramientas actuales de seguridad, que conduzcan al afinamiento permanente de la seguridad de la red. JCM-02 All rights reserved.

7 R.E.D.A.R REGISTRO DETECCIÓN AUDITORÍA INTRUSOS PREPARACIÓN FORENSE DE
REDES SINCRONIZACIÓN CORRELACIÓN AFINAMIENTO SIMULACIÓN Y PRUEBAS CONTROL DE EVIDENCIA JCM-02 All rights reserved.

8 Arquitectura de análisis
Internet Exterior RED PERÍMETRO LÍNEA DE DEFENSA ZONA CONTROLADA JCM-02 All rights reserved.

9 Red de Perímetro Generalmente compuesta por enrutadores La seguridad y control de este segmento de la red, en la mayoría de los casos, se basa en: Listas de control de acceso Filtro de paquetes JCM-02 All rights reserved.

10 Red de Perímetro Lista de Control de Acceso
Lista de control de acceso Standard Definida por un rango numérico entre 1-99 Sólo verifica el IP ORIGEN, luege se hace el filtro de manera rápida. Lista de control de acceso Extendida Definida por un rango numérico entre Verfica ORIGEN, DESTINO, PROTOCOLO, Puertos UDP/TCP, Tipos ICMP en secuencia. El filtro de paquetes se torna más lento Lista de Control de Acceso Reflexiva Utiliza listas de control de acceso dinámica, semejantes a la tabla de estados de un FW, para mantener las conexiones aseguradas. Mecanismo nuevo en CISCO. JCM-02 All rights reserved.

11 Preparación Forense de Redes - R.E.D.A.R
Febrero/2002 Red de Perímetro Formato de una Lista de Control de Acceso Estandard access-list number action source [Wild Card]  any Number: 0-99 para listas de control de acceso estándard Action: Permit o Deny - Permitir o Negar Source: Dirección IP para comparar Wild Card: Determina que parte de la dirección IP será comparada y cual no. Any: Cualquier dirección EJEMPLO: access-list 20 permit WILD CARDS: prueba todos los bits de la dirección IP no prueba ningún bit de la dirección IP Por ejemplo: Prueba los tres primeros octetos - Cualquier host en la red Prueba todos los octetos Coincidencia con todas las máquinas de la red entre 0 y 15. JCM-02 All rights reserved. Jeimy J. Cano, M.Sc., Ph.D - Colombia

12 Red de Perímetro Filtro de paquetes
Mecanismo de seguridad cuya función es establecer qué información puede fluir de y hacia una red. El filtro de paquete permite controlar (permitir o negar) la transferencia de paquetes con base en: Dirección origen de la información Dirección destino de la información Protocolos como IP, UDP, TCP e ICMP Servicios UDP/TCP como Telnet, SMTP, SNMP, NNTP, FTP, entre otros ICMP - echo request, echo replay, port unreachable Type of Service (Performance), banderas o flags en los paquetes de información. JCM-02 All rights reserved.

13 Red de Perímetro Creando un Packet Filter
Para efectuar esta acción es necesario utilizar la directiva ip access-group number [InOut] Number: Valor definido para una lista de control de acceso InOut: En qué dirección el filtro se aplicará para los paquetes entrantes o salientes. EJEMPLO interface serial 0 ip address ip access-group 11 in access-list 11 permit host access-list 11 deny access-list permit any JCM-02 All rights reserved.

14 Red de Perímetro Creando un Packet Filter
EJEMPLO de lista de control de acceso EXTENDIDO interface serial 0 ip access-group 100 in access-list 100 permit tcp any any gt 1023 access-list 100 permit tcp any any eq 23 access-list 100 permit tcp any any gt 1023: Permite todo paquete TCP a puertos mayores de 1023 access-list 100 permit tcp any any eq 23: Permite paquetes telnet al puerto 23. Tráfico de otros protocolos al puerto 23 será bloqueado. JCM-02 All rights reserved.

15 R.E.D.A.R en el Perímetro REGISTRO DETECCIÓN AUDITORÍA INTRUSOS
PREPARACIÓN FORENSE DE REDES SINCRONIZACIÓN CORRELACIÓN AFINAMIENTO SIMULACIÓN Y PRUEBAS CONTROL DE EVIDENCIA JCM-02 All rights reserved.

16 Red de Perímetro Aplicando R.E.D.A.R - Aspectos básicos a considerar
RE gistro Algunos eventos que deben ser analizados en el perímetro Violaciones de las listas de control de acceso Violaciones de los filtros de paquetes configurados Sobrecargas de tráfico en la red D ectección de Intrusos Algunos eventos de interés Cambios en la configuración de las listas de control de acceso y filtros de paquetes Actualización del Sistema operacional del router Cambios en la configuración del router AuditoRía Advertencias de seguridad en routers Parches de seguridad JCM-02 All rights reserved.

17 Red de Perímetro Aplicando R.E.D.A.R - Algunas Estrategias RE gistro
Registro de la actividades del Router Utilizando SYSLOG Exportar eventos de interés a servidor remoto D ectección de Intrusos Alertas de Cambios Utilizar protocolo SNMP (actualizado a la última versión) para reporte acciones sobre el dispositivo. Alineado con estrategia de registro remoto. AuditoRía Pruebas de penetración Ataques simulados a vulnerabilidades conocidas Pruebas de stress y resistencia de tráfico. JCM-02 All rights reserved.

18 R.E.D.A.R en Red de Perímetro
Preparación Forense de Redes - R.E.D.A.R Febrero/2002 R.E.D.A.R en Red de Perímetro Listas de control de acceso - CISCO 1. Mar 31 13:55:07 rt1 3319: 21:36:44 : %SEC-6-IPACESSLOGP: list 102 denied UDP (3408) external.primary.dns (33434), 1 packet. Rt Hostname No de secuencia 21:36: Estampilla de tiempo %SEC-6-IPACESSLOGP Mnemónico que identifican de manera única el mensaje. list No. lista de control de acceso contiene la regla evaluada. Denied Acción tomada por el router UDP Protocolo detectado (3408) Dirección y puerto Origen external.primary.dns (33434) - Dirección y puerto Destino JCM-02 All rights reserved. Jeimy J. Cano, M.Sc., Ph.D - Colombia

19 Línea de Defensa IDS IDS FW
Generalmente compuesta por Sistemas de Detección de Intrusos y Firewalls. TCP ICMP UDP Echo request ACK SYN URG PSH IDS IDS FW JCM-02 All rights reserved.

20 Línea de Defensa Algunas generalidades sobre los FW
Qué puede hacer actualmente? Restringe el acceso a un punto cuidadosamente controlado. Restringe a las personas para que salgan en un punto cuidadosamente controlado. Evita que los posibles atacantes se acerquen más a sus demás defensas. Qué NO puede hacer? Protegerlo contra atacantes internos Resguardarlo contra conexiones que no pasan por él Nuevas amenazas de seguridad: bug’s, configuraciones recientes de enrutadores, etc. Resguardarlo contra virus. Protegerlo contra ejecuciones de applets maliciosos de java. Control de paquetes fragmentados. JCM-02 All rights reserved.

21 Línea de Defensa Intrusion Detection Systems
Herramientas de administración de seguridad que: Recolectan información de una variedad de fuentes en un sistema Analiza esta información contra patrones de uso indebido o actividad inusual En algunos casos, responde automáticamente a la actividad detectada Reporta el resultado del proceso de detección Tomado de: Bace, R. (2000) An introduction to Intrusion Detection Assessment. ICSA. JCM-02 All rights reserved.

22 Línea de Defensa Intrusion Detection Systems
Dentro de las funciones que pueden desarrollar están: Monitorear y analizar las actividades del usuario y del sistema. Auditar la configuración del sistema y sus vulnerabilidades Evaluación de la integridad de los sistemas críticos y los archivos de datos Reconocimiento de patrones de actividad que reflejen ataques Análisis estadístico de patrones de actividad anormal Auditoría de la administración del S.O, con reconocimiento de actividades relativas a la violación de políticas. Tomado de: Bace, R. (2000) An introduction to Intrusion Detection Assessment. ICSA. JCM-02 All rights reserved.

23 Línea de Defensa en detalle
Internet Monitoreo de tráfico - Conexiones a servicios y puertos específicos * WEB, DNS * MAIL * Puertos menores a 1023 Anfitrión Bastión Enrutador Externo Enrutador Interno Firewall Monitoreo de tráfico - Conexiones * Aplicaciones internas * Niñeras * Traducción de direcciones Red Interna JCM-02 All rights reserved. Adaptado de: Chapman y Zwicky. 1995

24 R.E.D.A.R en Defensa REGISTRO DETECCIÓN AUDITORÍA INTRUSOS PREPARACIÓN
FORENSE DE REDES SINCRONIZACIÓN CORRELACIÓN AFINAMIENTO SIMULACIÓN Y PRUEBAS CONTROL DE EVIDENCIA JCM-02 All rights reserved.

25 Línea de Defensa Aplicando R.E.D.A.R - Aspectos básicos a considerar
RE gistro Algunos eventos que deben ser analizados en la Defensa Violaciones de las reglas del FW Tráfico Fuera de lo Normal Patrones de Bypass de IDS D ectección de Intrusos Algunos eventos de interés Alertas de posibles ataques conocidos Tráfico anormal y manipulación de protocolos violación de permisos e integridad en la máquina FW e IDS AuditoRía Configuración de la máquina FW y sus protocolos Parches de seguridad JCM-02 All rights reserved.

26 Línea de Defensa Aplicando R.E.D.A.R - Algunas Estrategias RE gistro
Algunos aspectos a considerar en la Defensa Exportar y analizar registros del FW Exportar y analizar registros del IDS D ectección de Intrusos Alertas de Cambios Reglas en el FW y en el IDS Control de permisos en las máquinas - Integridad del software y reglas AuditoRía Pruebas de penetración Reglas y tráfico de red malicioso Simulación de ataques e incidentes. JCM-02 All rights reserved.

27 R.E.D.A.R en Línea de Defensa
LOG FIREWALL - Checkpoint FW-1 Características del log 14;2Feb2001;11:30:02;FW;log;accept;;qfe1;inbound;tcp;comp1; ;http;4689;48;70;comp_X; ;46556;http;;;;;;;;;;;;;;;; Otros campos: resource;icmp-type;icmp-code;reason:;agent;orig_from;orig_to;reason;srckeyid;dstkeyid;user;scheme:;methods:;from;to;sys_msgs Análisis detallado del log num src - comp1 date - 2Feb dst time - 11:30: service - http orig - FW s_port type - Log len - 48 action - accept rule - 70 alert - “Vacio” xlatesrc - comp_X i/f_name - qfe xlatedst i/f_dir - inbound xlatesport - 46 proto - tcp xlatedport - 556 JCM-02 All rights reserved.

28 Zona Controlada Denominada en general como la zona protegida o militarizada. Lugar donde se encuentra los recursos más críticos asociados con la organización. IDS FW JCM-02 All rights reserved.

29 Zona Controlada Consideraciones en la zona controlada
Sólo debe fluir el tráfico autorizado por el FW tanto desde el interior como desde el exterior de la organización Los servicios y datos residentes en esta zona requieren mecanimos de autenticación fuertes Las acciones “de actualización de datos o configuraciones” requiere registro y análisis formal Si existe un cambio en el direccionamiento hacia la zona controlada en la línea de defensa, debe ajutarse y revisarse TODOS los mecanimos de autenticación, registro y control de la zona controlada. El manejo de excepciones de acceso a la zona, tanto de tráfico como de actualización de datos deben estar claramente monitoreados. de enrutadores, etc. JCM-02 All rights reserved.

30 R.E.D.A.R en Zona Controlada
REGISTRO DETECCIÓN INTRUSOS AUDITORÍA PREPARACIÓN FORENSE DE REDES SINCRONIZACIÓN CORRELACIÓN AFINAMIENTO SIMULACIÓN Y PRUEBAS CONTROL DE EVIDENCIA JCM-02 All rights reserved.

31 Zona Controlada Aplicando R.E.D.A.R - Aspectos básicos a considerar
RE gistro Algunos eventos que deben ser analizados en la Zona Controlada Registro de autenticación y control de acceso Protocolos y servicios permitidos Tráfico de red sobre servicios ofrecidos D ectección de Intrusos Algunos eventos de interés Alertas de posibles ataques conocidos Tráfico anormal y manipulación de protocolos violación de permisos e integridad de las máquinas AuditoRía Vulnerabilidades de segiuridad de los servicios ofrecidos Fallas en los mecanismos de seguridad utilizados Fallas procedimentales y de uso. JCM-02 All rights reserved.

32 Zona Controlada Aplicando R.E.D.A.R - Algunas Estrategias RE gistro
Algunos aspectos a considerar en la Defensa Registrar y analizar acciones de autenticación Estadísticas de tráfico en función protocolos y servicios D ectección de Intrusos Alertas de Cambios Reglas de monitoreo de puertos y servicios en el IDS Control de permisos en las máquinas - Integridad del software y reglas AuditoRía Pruebas de penetración Reglas y tráfico de red malicioso Simulación de ataques e incidentes. JCM-02 All rights reserved.

33 R.E.D.A.R en Zona controlada
LOG IDS - SNORT [**] BETA - Anon FTP [**] 12/14-12:02: : > :21 TCP TTL:127 TOS:0x0 ID:1203 DF *****PA* Seq: 0xE4A4E8 Ack: 0xFB8D3B8F Win: 0x2206 [**] IDS3 - MISC-Traceroute TCP [**] 12/14-12:03: :80 -> :63295 TCP TTL:1 TOS:0x0 ID: DF ****R*** Seq: 0x8E81AA48 Ack: 0x8E81AA48 Win: 0x2238 [**] PING-ICMP Time Exceeded [**] 12/14-12:03: > ICMP TTL:255 TOS:0xC0 ID:10334 TTL EXCEEDED JCM-02 All rights reserved.

34 Ejercicios 4. Si usted encuentra dentro de su LOG de WEBServer el siguiente registro, cuál sería su diagnóstico? [14/Sep/2001:19:50: ] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0" CODE RED!!! JCM-02 All rights reserved.

35 R.E.D.A.R en Contexto Internet Reglas de Control de Acceso
Reglas de Monitoreo Listas de Control de Acceso Filtro de paquetes Reglas de Monitoreo Registro de Acceso C O R R E L A C I Ó N C O N T R O L D E E V I D E N C I A Internet S I N C R O N I Z A C I Ó N A F I N A M I E N T O S I M U L A C I Ó N Y P R U E B A S RED PERÍMETRO LÍNEA DE DEFENSA ZONA CONTROLADA EXTERIOR JCM-02 All rights reserved.

36 R.E.D.A.R. En resumen Es requisito para la preparación forense de redes: Establecer mecanismos de sincronización de tiempo entre la zona de perímetro, la línea de defensa y la zona controlada. Desarrollar guías de análisis y control de evidencia, para cada uno de los segmentos: zona de perímetro, la línea de defensa y la zona controlada, que permitan correlacionar la evidencia identificada. Capacitar y entrenar a los administradores y encargados de la arquitectura para adelantar acciones de recuperación y control de evidencia. Son actividades que alimentan y cuestionan la preparación forense de redes Simulación y Pruebas Pruebas de penetración Ataques basados en manipulación de tráfico Atentados contra la integridad de máquinas y configuraciones de sistemas de seguridad Afinamiento de la arquitectura JCM-02 All rights reserved.

37 R.E.D.A.R. Hacia el futuro... Algunas directrices de investigación hacia el futuro Especificar guías prácticas de preparación forense para cada uno de los segmentos en una arquitectura Preparación forense redes de perímetro Preparación forense líneas de defensa Preparación forense de zonas controladas Afinamiento y balanceo del registro remoto Análisis de vulnerabilidades y performance Criterios para establecer qué registro es necesario Extensiones y aporte de HONEYNETS Análisis Forenses detallados Desarrollo de estrategias de correlación de evidencia Registro de tráfico normal de aplicaciones y servicios Incorporación de experiencias y alianzas con proyectos como el HONEYNET PROJECT. JCM-02 All rights reserved.

38 R.E.D.A.R. Conclusiones La preparación forense de redes, no es una opción para los administradores de redes y responsables de arquitecturas computacionales. Las estrategias de análisis forenses deben ser actividades conjuntas que se realicen entre las funciones de seguridad y los expertos técnicos del área de telecomunicaciones. No es opcional recoger evidencia, el ordenamiento legal está detrás de nuevas formas de perseguir la delincuencia electrónica Ante un incidente de seguridad, la respuesta y el aseguramiento de la eviencia son factores críticos para su control. Los procedimientos forense deben ajustarse con los cambios y simular su efectividad a través de las pruebas de penetración de la arquitectura. JCM-02 All rights reserved.

39 R.E.D.A.R. Breve Checklist ante Incidente
Sincronización de tiempo La hora de los enrutadores coincide con la hora del FW? Existen diferencias de tiempo entre la hora reportada del ataque y las máquinas involucradas? Los registros de actividad y violaciones de las listas de control de acceso y filtros exportadas están alineadas con la hora del incidente? El protocolo NTP - Network Time Protocol estaba en su última versión? Realmente confiable? Cuando fue la última sincronización de tiempo que se efectuó en la arquitectura? Control de Evidencia Los registros identificados, se encuentran completos y asegurados? Existen vacíos o saltos en los registros identificados en la arquitectura atacada? Se cuenta con guías de recolección y control de evidencia? Se tiene identificada la evidencia a recoger en cada uno de los segmentos de la arquitectura: zona de perímetro, la línea de defensa y la zona controlada Existe personal entrenado en análisis de evidencia digital? Correlación de eventos? JCM-02 All rights reserved.

40 Qué tan preparado está su ambiente de Red
Qué tan preparado está su ambiente de Red? Si no está seguro, usted no esta preparado! Adaptado de: John Tan, Reseach Inc. JCM-02 All rights reserved.

41 Referencias DAVID, J. (2001) The Ins and Outs of Intrusion Detection. Computer Fraud and Security. Nov. PARA-SOFT (2001) Absolute state of the hack. Presentación en Powerpoint. KIRBY, A. (2001) Honeynet Phase Two: Knowing your enemy more. Computer Fraud and Security. Dic. SANS (2001) CISCO Security Checklist. LASSER, J. (2001) Implementing SNORT in a production environment. ;LOGIN. The magazine of USENIX. Nov. Vol.26. No.7 COUNTERPANE. (2001) Logging Techniques. Presentación en Powerpoint. BECK, D. (2001) A review of Cybersecurity risk factors. Information Security Reading Room. Sans. RICHARDS, K. (1999) Network Based Intrusion Detection: A review of technologies. Computers & Security. Vol.18 KPMG (2001) 2001 Global e-Fraud Survey. HOLEWA, B. (2001) Intrusion detection systems forensics. UPCHURCH, J. (2001) Combating computer crime. Information Security Reading Room. Sans. JCM-02 All rights reserved.

42 Referencias FARMER, D. y VENEMA, W. (2001) Being prepared for intrusion. Dr. Dobb’s. Abril. TAN, J. (2001) Forensic Preparation. Planning and policies are keys to successful forensic analysis. Secure Business Quarterly. SCHNEIER, B. (2001) Managed Security Monitoring: Network Security for the 21st. Century. Computers & Security. Vol.20. MAHADEVAN, C. (2001) Intrusion, attack, penetration - some issues. Information Systems Control Journal. Vol.6 BURNETTE, M. y GOMEZ, C. (2001) When Code red attacks: Addressing vulnerabilities behind virus hysteria. Information Systems Control Journal. Vol.6 ALTUNERGIL, O. (2001) Undertanding rootkits. O’really Networks. MCHUGH, J., CHRISTIE, A. y ALLEN, J. (2001) Intrusion detection: Implementation and operational issues. CERT. FREDERICK, K. (2001) Studying Normal Traffic, Part Two: Studying FTP traffic. FREDERICK, K. (2001) Studying Normal Traffic, Part Three: TCP Headers. SPITZNER, L. (2000) Serie Know your Enemy. /~lspitz/papers.html JCM-02 All rights reserved.

43 Referencias NORTHCUTT, S. et al (2001) Intrusion Signatures and Analysis. SANS Giac. New Riders. NORTHCUTT, S y NOVAK, J. (2001) Detección de intrusos. Guia avanzada. 2da. Edición. Prentice Hall. CHAPPELL, L. (2000) Advanced Network analysis techniques. Podbooks.com. STEVENS, R. (1994) TCP/IP Illustrated. Volume I: The protocols. Addison Wesley. GURLEY, R. (2000) Intrusion Detection. Macmillan Technical Publishing. ANOMINO. (2000) Linux Máxima Seguridad. Prentice Hall. NORTHCUTT, S. (1999) Network intrusion detection. An analyst’s handbook. New Riders. GOLLMAN, D. (1999) Computer security. John Wiley & Son. FEIT, S. (1998) TCP/IP. McGraw Hill. CHAPMAN, D. y Zwicky, E. (1997) Construya firewalls para internet. McGraw Hill. O’Really. PFLEEGER, C. (1997) Security in computing. Englewood Cliffs, NJ: Prentice Hall. Segunda Edición. MANDIA, K. y PROSISE, C. (2001) Incident Response. Investigation Computer Crime. McGraw Hill CASEY, E. (2000) Digital evidence and computer crime. Academic Press. CASEY, E. (Editor) (2002) Handbook of computer crime investigation. Academic Press. SCHULTZ, E. y SHUMWAY, R. (2002) Incident Response. A strategic guide to handling systems and network security breaches. New Riders. JCM-02 All rights reserved.

44 Preguntas?? Algún expediente X?? Gerentes pensativos??
Administradores Agobiados?? Profesores Preocupados?? Intrusos?? Travesuras Informáticas?? Estudiantes Disgustados?? JCM-02 All rights reserved.

45 Preparación Forense de Redes R.E.D.A.R Un modelo de análisis
Jeimy J. Cano, M.Sc., Ph.D Universidad de los Andes

Descargar ppt "Preparación Forense de Redes R.E.D.A.R Un modelo de análisis"

Presentaciones similares

Dirección IP - Características

Dirección IP - Características
Arquitectura de una red MAN

Arquitectura de una red MAN
Intranets P. Reyes / Octubre 2004.

Intranets P. Reyes / Octubre 2004.
Curso de Java Java – Redes Rogelio Ferreira Escutia.

Curso de Java Java – Redes Rogelio Ferreira Escutia.
Introducción a Netflow

Introducción a Netflow
1 LA UTILIZACION DE LAS TIC EN LAS MICROEMPRESAS GALLEGAS. AÑO 2005 30 mayo 2005.

1 LA UTILIZACION DE LAS TIC EN LAS MICROEMPRESAS GALLEGAS. AÑO mayo 2005.
1 LA UTILIZACION DE LAS TIC EN LAS PYMES GALLEGAS AÑO 2005 24 de Junio de 2005.

1 LA UTILIZACION DE LAS TIC EN LAS PYMES GALLEGAS AÑO de Junio de 2005.
1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS ( Resumen PYMES ) Noviembre de 2004.

1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS ( Resumen PYMES ) Noviembre de 2004.
1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS (MICROEMPRESAS, resultados provisionales) 29 de julio de 2004.

1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS (MICROEMPRESAS, resultados provisionales) 29 de julio de 2004.
AYUDA A LA FUNCIÓN DOCENTE Internet

AYUDA A LA FUNCIÓN DOCENTE Internet
IDS SISTEMAS DE DETECCIÓN DE INTRUSOS

IDS SISTEMAS DE DETECCIÓN DE INTRUSOS
TEMA 2 MÚLTIPLOS Y DIVISORES

TEMA 2 MÚLTIPLOS Y DIVISORES
CFGM Redes Locales Documentos: Elementos de configuración de una suite de antivirus. Panda Internet Security 2011.

CFGM Redes Locales Documentos: Elementos de configuración de una suite de antivirus. Panda Internet Security 2011.
Respuestas Buscando a Nemo.

Respuestas Buscando a Nemo.
Firewalls COMP 417.

Firewalls COMP 417.
© 2007 Cisco Systems, Inc. All rights reserved. Traducido en apoyo a la capacitación de Instructores de la Red Proydesa Comunicación por la red Fundamentos.

© 2007 Cisco Systems, Inc. All rights reserved. Traducido en apoyo a la capacitación de Instructores de la Red Proydesa Comunicación por la red Fundamentos.
C ONFIGURACIÓN C UENTAS D E C ORREO ZTE N281. C ONFIGURACIÓN C UENTAS D E C ORREO ZTE N281 1-Ingrese a menú 2-Ingrese a Mensajes 3-Ingrese a Correo 4-Seleccione.

C ONFIGURACIÓN C UENTAS D E C ORREO ZTE N281. C ONFIGURACIÓN C UENTAS D E C ORREO ZTE N281 1-Ingrese a menú 2-Ingrese a Mensajes 3-Ingrese a Correo 4-Seleccione.
1 Reporte Componente Impacto 6.1.2 Por Orden Territorial - 6.1.2.1 Por Departamento No Disponible ND *Los indicadores para el año 2008 no fueron calculados.

1 Reporte Componente Impacto Por Orden Territorial Por Departamento No Disponible ND *Los indicadores para el año 2008 no fueron calculados.
Programa para el Impulso a la Implementación del Protocolo IPv6 en Instituciones Vinculadas a RENATA 2012 Servicio FTP.

Programa para el Impulso a la Implementación del Protocolo IPv6 en Instituciones Vinculadas a RENATA 2012 Servicio FTP.
© 2006 Cisco Systems, Inc. Todos los derechos reservados.Información pública de Cisco 1 Configuración de un switch Conmutación y conexión inalámbrica de.

© 2006 Cisco Systems, Inc. Todos los derechos reservados.Información pública de Cisco 1 Configuración de un switch Conmutación y conexión inalámbrica de.

Presentaciones similares

Anuncios Google