La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Preparación Forense de Redes R.E.D.A.R Un modelo de análisis Jeimy J. Cano, M.Sc., Ph.D Universidad de los Andes Jeimy J. Cano, M.Sc., Ph.D Universidad.

Presentaciones similares


Presentación del tema: "Preparación Forense de Redes R.E.D.A.R Un modelo de análisis Jeimy J. Cano, M.Sc., Ph.D Universidad de los Andes Jeimy J. Cano, M.Sc., Ph.D Universidad."— Transcripción de la presentación:

1 Preparación Forense de Redes R.E.D.A.R Un modelo de análisis Jeimy J. Cano, M.Sc., Ph.D Universidad de los Andes Jeimy J. Cano, M.Sc., Ph.D Universidad de los Andes

2 JCM-02 All rights reserved.2 Agenda Introducción Definiciones básicas Presentación del Modelo - R.E.D.A.R Arquitectura de Análisis * Red de perímetro * Linea de Defensa * Zona Controlada Red de perímetro - Routers Línea de defensa - Firewalls Zona Controlada - Servidores y conexiones Preparación Forense de Redes en Contexto Conclusiones Referencias

3 JCM-02 All rights reserved.3 Introducción Las estadísticas del CERT en el año 2001, muestran aumento de más del 150% en incidentes de seguridad reportados. De acuerdo con la investigación adelantada por KPMG en el 2001, 2001 Global Survey : * Cuando ocurre un incidente de seguridad *No se adelantan acciones legales –Inadecuado uso de los recursos legales –Falta de evidencia * El 50% de los encuestados identificó a los Hackers y la pobre implementación de políticas de seguridad como los factores fundamentales de los incidentes de seguridad. * Los ejecutivos se encuentran desinformados acerca del estado actual de las vulnerabilidades de la su red. * Bajo o pobre entrenamiento de los administradores de sistemas Mientras que un ataque de un sitio puede tomar dos (2) horas, el análisis forense completo puede alcanzar las treinta (30) horas! (Forensic Challenge Project)

4 JCM-02 All rights reserved.4 Definiciones básicas Conceptos * Sistemas de detección de intrusos. *Orientado a Host *Orientado a Red *Orientado a Firmas *Estadísticas * Honeypot *Configuración de una máquina con servicios activos, atractivos y aislados, como una estrategia para seguir y capturar intrusos dentro de sistemas de computación. * Honeynet *Configuración de una red con servicios activos, atractivos y aislados, como una estrategia para analizar y aprender de los intrusos y sus acciones. * Red de perímetro *Es una red agregada a fin de proporcionar una capa adicional de seguridad. Generalmente se le conoce como red desmilitarizada (DMZ)

5 JCM-02 All rights reserved.5 Definiciones básicas Conceptos * Firewall *Componente o conjunto de componentes (Hw y Sw) que restringen el acceso entre una red protegida e internet, o entre otros conjuntos de redes. –Tradicionales –Stealth * Evidencia digital *Es un tipo de evidencia física. Esta construida de campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con herramientas y técnicas especiales.(Casey 2000, pág.4) * Computación forense *Es la aplicación legal de métodos, protocolos y técnicas para obtener, analizar y preservar evidencia digital relevante a una situación en investigación. (Kovacich 2000, pag.243)

6 JCM-02 All rights reserved.6 Presentación del Modelo R.E.D.A.R Justificación * Es necesario desarrollar una estrategia formal para atender incidentes de seguridad y su posterior documentación y análisis * Se cuentan con diversas estrategias de registro de eventos, pero no se posee la cultura de análisis de las pistas. * La mayoría de los administradores de sistemas actualmente no son conscientes de la necesidad de contar con evidencia digital. * La seguridad informática y la administración de sistemas de observan como actividades diferentes, cuando en realidad son complementarias R.E.D.A.R - Vocablo que significa: Echar las redes * RE gistro *Establecimiento de los diferentes métodos y herramientas para mantener el adecuado registro de eventos relevantes en las redes. * D ectección de intrusos *Desarrollo de alertas y análisis de las posibles fallas de seguridad aprovechadas por los atacantes. * A uditoRia *Evaluación, seguimiento y análisis de los mecanismos y herramientas actuales de seguridad, que conduzcan al afinamiento permanente de la seguridad de la red.

7 JCM-02 All rights reserved.7 R.E.D.A.R REGISTRO DETECCIÓN INTRUSOS AUDITORÍA PREPARACIÓN FORENSE DE REDES SINCRONIZACIÓN CORRELACIÓN SINCRONIZACIÓN AFINAMIENTO SIMULACIÓN Y PRUEBAS CONTROL DE EVIDENCIA

8 JCM-02 All rights reserved.8 Arquitectura de análisis Internet Exterior ZONA CONTROLADA LÍNEA DE DEFENSA RED PERÍMETRO

9 JCM-02 All rights reserved.9 Red de Perímetro Generalmente compuesta por enrutadores * La seguridad y control de este segmento de la red, en la mayoría de los casos, se basa en: *Listas de control de acceso *Filtro de paquetes

10 JCM-02 All rights reserved.10 Red de Perímetro Lista de Control de Acceso * Lista de control de acceso Standard *Definida por un rango numérico entre 1-99 *Sólo verifica el IP ORIGEN, luege se hace el filtro de manera rápida. * Lista de control de acceso Extendida *Definida por un rango numérico entre *Verfica ORIGEN, DESTINO, PROTOCOLO, Puertos UDP/TCP, Tipos ICMP en secuencia. *El filtro de paquetes se torna más lento * Lista de Control de Acceso Reflexiva *Utiliza listas de control de acceso dinámica, semejantes a la tabla de estados de un FW, para mantener las conexiones aseguradas. *Mecanismo nuevo en CISCO.

11 JCM-02 All rights reserved.11 Red de Perímetro Formato de una Lista de Control de Acceso Estandard * access-list number action source [Wild Card] any *Number: 0-99 para listas de control de acceso estándard *Action: Permit o Deny - Permitir o Negar *Source: Dirección IP para comparar *Wild Card: –Determina que parte de la dirección IP será comparada y cual no. *Any: Cualquier dirección * EJEMPLO: *access-list 20 permit

12 JCM-02 All rights reserved.12 Red de Perímetro Filtro de paquetes * Mecanismo de seguridad cuya función es establecer qué información puede fluir de y hacia una red. * El filtro de paquete permite controlar (permitir o negar) la transferencia de paquetes con base en: *Dirección origen de la información *Dirección destino de la información *Protocolos como IP, UDP, TCP e ICMP *Servicios UDP/TCP como Telnet, SMTP, SNMP, NNTP, FTP, entre otros *ICMP - echo request, echo replay, port unreachable *Type of Service (Performance), banderas o flags en los paquetes de información.

13 JCM-02 All rights reserved.13 Red de Perímetro Creando un Packet Filter * Para efectuar esta acción es necesario utilizar la directiva *ip access-group number [In Out] *Number: Valor definido para una lista de control de acceso *In Out: En qué dirección el filtro se aplicará para los paquetes entrantes o salientes. * EJEMPLO *interface serial 0 ip address ip access-group 11 in access-list 11 permit host access-list 11 deny access-list permit any

14 JCM-02 All rights reserved.14 Red de Perímetro Creando un Packet Filter * EJEMPLO de lista de control de acceso EXTENDIDO *interface serial 0 ip access-group 100 in access-list 100 permit tcp any any gt 1023 access-list 100 permit tcp any any eq 23 * access-list 100 permit tcp any any gt 1023: *Permite todo paquete TCP a puertos mayores de 1023 * access-list 100 permit tcp any any eq 23: *Permite paquetes telnet al puerto 23. Tráfico de otros protocolos al puerto 23 será bloqueado.

15 JCM-02 All rights reserved.15 R.E.D.A.R en el Perímetro REGISTRO DETECCIÓN INTRUSOS AUDITORÍA PREPARACIÓN FORENSE DE REDES SINCRONIZACIÓN CORRELACIÓN SINCRONIZACIÓN AFINAMIENTO SIMULACIÓN Y PRUEBAS CONTROL DE EVIDENCIA

16 JCM-02 All rights reserved.16 Red de Perímetro Aplicando R.E.D.A.R - Aspectos básicos a considerar * RE gistro *Algunos eventos que deben ser analizados en el perímetro –Violaciones de las listas de control de acceso –Violaciones de los filtros de paquetes configurados –Sobrecargas de tráfico en la red * D ectección de Intrusos *Algunos eventos de interés –Cambios en la configuración de las listas de control de acceso y filtros de paquetes –Actualización del Sistema operacional del router –Cambios en la configuración del router * AuditoRía *Algunos eventos de interés –Advertencias de seguridad en routers –Parches de seguridad

17 JCM-02 All rights reserved.17 Red de Perímetro Aplicando R.E.D.A.R - Algunas Estrategias * RE gistro *Registro de la actividades del Router –Utilizando SYSLOG –Exportar eventos de interés a servidor remoto * D ectección de Intrusos *Alertas de Cambios –Utilizar protocolo SNMP (actualizado a la última versión) para reporte acciones sobre el dispositivo. –Alineado con estrategia de registro remoto. * AuditoRía *Pruebas de penetración –Ataques simulados a vulnerabilidades conocidas –Pruebas de stress y resistencia de tráfico.

18 JCM-02 All rights reserved.18 R.E.D.A.R en Red de Perímetro Listas de control de acceso - CISCO 1. Mar 31 13:55:07 rt1 3319: 21:36:44 : %SEC-6-IPACESSLOGP: list 102 denied UDP (3408) external.primary.dns (33434), 1 packet. Rt1 - Hostname No de secuencia 21:36:44 - Estampilla de tiempo %SEC-6-IPACESSLOGP Mnemónico que identifican de manera única el mensaje. list 102No. lista de control de acceso contiene la regla evaluada. Denied Acción tomada por el router UDP Protocolo detectado (3408) Dirección y puerto Origen external.primary.dns (33434)-Dirección y puerto Destino

19 JCM-02 All rights reserved.19 Línea de Defensa Generalmente compuesta por Sistemas de Detección de Intrusos y Firewalls. IDS FW TCP UDP ICMP URG SYN PSH Echo request ACK

20 JCM-02 All rights reserved.20 Línea de Defensa Algunas generalidades sobre los FW *Qué puede hacer actualmente? –Restringe el acceso a un punto cuidadosamente controlado. –Restringe a las personas para que salgan en un punto cuidadosamente controlado. –Evita que los posibles atacantes se acerquen más a sus demás defensas. *Qué NO puede hacer? –Protegerlo contra atacantes internos –Resguardarlo contra conexiones que no pasan por él –Nuevas amenazas de seguridad: bugs, configuraciones recientes de enrutadores, etc. –Resguardarlo contra virus. –Protegerlo contra ejecuciones de applets maliciosos de java. –Control de paquetes fragmentados.

21 JCM-02 All rights reserved.21 Línea de Defensa Intrusion Detection Systems * Herramientas de administración de seguridad que: *Recolectan información de una variedad de fuentes en un sistema *Analiza esta información contra patrones de uso indebido o actividad inusual *En algunos casos, responde automáticamente a la actividad detectada *Reporta el resultado del proceso de detección Tomado de: Bace, R. (2000) An introduction to Intrusion Detection Assessment. ICSA.

22 JCM-02 All rights reserved.22 Línea de Defensa Intrusion Detection Systems * Dentro de las funciones que pueden desarrollar están: *Monitorear y analizar las actividades del usuario y del sistema. *Auditar la configuración del sistema y sus vulnerabilidades *Evaluación de la integridad de los sistemas críticos y los archivos de datos *Reconocimiento de patrones de actividad que reflejen ataques *Análisis estadístico de patrones de actividad anormal *Auditoría de la administración del S.O, con reconocimiento de actividades relativas a la violación de políticas. Tomado de: Bace, R. (2000) An introduction to Intrusion Detection Assessment. ICSA.

23 JCM-02 All rights reserved.23 Línea de Defensa en detalle Adaptado de: Chapman y Zwicky Internet Firewall Enrutador Externo Enrutador Interno Anfitrión Bastión Red Interna Monitoreo de tráfico - Conexiones a servicios y puertos específicos * WEB, DNS * MAIL * Puertos menores a 1023 Monitoreo de tráfico - Conexiones * Aplicaciones internas * Niñeras * Traducción de direcciones

24 JCM-02 All rights reserved.24 R.E.D.A.R en Defensa REGISTRO DETECCIÓN INTRUSOS AUDITORÍA PREPARACIÓN FORENSE DE REDES SINCRONIZACIÓN CORRELACIÓN SINCRONIZACIÓN AFINAMIENTO SIMULACIÓN Y PRUEBAS CONTROL DE EVIDENCIA

25 JCM-02 All rights reserved.25 Línea de Defensa Aplicando R.E.D.A.R - Aspectos básicos a considerar * RE gistro *Algunos eventos que deben ser analizados en la Defensa –Violaciones de las reglas del FW –Tráfico Fuera de lo Normal –Patrones de Bypass de IDS * D ectección de Intrusos *Algunos eventos de interés –Alertas de posibles ataques conocidos –Tráfico anormal y manipulación de protocolos –violación de permisos e integridad en la máquina FW e IDS * AuditoRía *Algunos eventos de interés –Configuración de la máquina FW y sus protocolos –Parches de seguridad

26 JCM-02 All rights reserved.26 Línea de Defensa Aplicando R.E.D.A.R - Algunas Estrategias * RE gistro *Algunos aspectos a considerar en la Defensa –Exportar y analizar registros del FW –Exportar y analizar registros del IDS * D ectección de Intrusos *Alertas de Cambios –Reglas en el FW y en el IDS –Control de permisos en las máquinas - Integridad del software y reglas * AuditoRía *Pruebas de penetración –Reglas y tráfico de red malicioso –Simulación de ataques e incidentes.

27 JCM-02 All rights reserved.27 LOG FIREWALL - Checkpoint FW-1 * Características del log *14;2Feb2001;11:30:02;FW;log;accept;;qfe1;inbound;tcp;co mp1; ;http;4689;48;70;comp_X; ;46 556;http;;;;;;;;;;;;;;;; *Otros campos: resource;icmp-type;icmp- code;reason:;agent;orig_from;orig_to;reason;srckeyid;ds tkeyid;user;scheme:;methods:;from;to;sys_msgs * Análisis detallado del log *num - 14 src - comp1 *date - 2Feb2001 dst *time - 11:30:02 service - http *orig - FW s_port *type - Log len - 48 *action - accept rule - 70 *alert - Vacio xlatesrc - comp_X *i/f_name - qfe1 xlatedst *i/f_dir - inbound xlatesport - 46 *proto - tcp xlatedport R.E.D.A.R en Línea de Defensa

28 JCM-02 All rights reserved.28 Zona Controlada Denominada en general como la zona protegida o militarizada. Lugar donde se encuentra los recursos más críticos asociados con la organización. IDS FW

29 JCM-02 All rights reserved.29 Zona Controlada Consideraciones en la zona controlada *Sólo debe fluir el tráfico autorizado por el FW tanto desde el interior como desde el exterior de la organización *Los servicios y datos residentes en esta zona requieren mecanimos de autenticación fuertes *Las acciones de actualización de datos o configuraciones requiere registro y análisis formal *Si existe un cambio en el direccionamiento hacia la zona controlada en la línea de defensa, debe ajutarse y revisarse TODOS los mecanimos de autenticación, registro y control de la zona controlada. *El manejo de excepciones de acceso a la zona, tanto de tráfico como de actualización de datos deben estar claramente monitoreados. de enrutadores, etc.

30 JCM-02 All rights reserved.30 R.E.D.A.R en Zona Controlada REGISTRO DETECCIÓN INTRUSOS AUDITORÍA PREPARACIÓN FORENSE DE REDES SINCRONIZACIÓN CORRELACIÓN SINCRONIZACIÓN AFINAMIENTO SIMULACIÓN Y PRUEBAS CONTROL DE EVIDENCIA

31 JCM-02 All rights reserved.31 Zona Controlada Aplicando R.E.D.A.R - Aspectos básicos a considerar * RE gistro *Algunos eventos que deben ser analizados en la Zona Controlada –Registro de autenticación y control de acceso –Protocolos y servicios permitidos –Tráfico de red sobre servicios ofrecidos * D ectección de Intrusos *Algunos eventos de interés –Alertas de posibles ataques conocidos –Tráfico anormal y manipulación de protocolos –violación de permisos e integridad de las máquinas * AuditoRía *Algunos eventos de interés –Vulnerabilidades de segiuridad de los servicios ofrecidos –Fallas en los mecanismos de seguridad utilizados –Fallas procedimentales y de uso.

32 JCM-02 All rights reserved.32 Zona Controlada Aplicando R.E.D.A.R - Algunas Estrategias * RE gistro *Algunos aspectos a considerar en la Defensa –Registrar y analizar acciones de autenticación –Estadísticas de tráfico en función protocolos y servicios * D ectección de Intrusos *Alertas de Cambios –Reglas de monitoreo de puertos y servicios en el IDS –Control de permisos en las máquinas - Integridad del software y reglas * AuditoRía *Pruebas de penetración –Reglas y tráfico de red malicioso –Simulación de ataques e incidentes.

33 JCM-02 All rights reserved.33 LOG IDS - SNORT [**] BETA - Anon FTP [**] 12/14-12:02: : > :21 TCP TTL:127 TOS:0x0 ID:1203 DF *****PA* Seq: 0xE4A4E8 Ack: 0xFB8D3B8F Win: 0x2206 [**] IDS3 - MISC-Traceroute TCP [**] 12/14-12:03: :80 -> :63295 TCP TTL:1 TOS:0x0 ID:29731 DF ****R*** Seq: 0x8E81AA48 Ack: 0x8E81AA48 Win: 0x2238 [**] PING-ICMP Time Exceeded [**] 12/14-12:03: > ICMP TTL:255 TOS:0xC0 ID:10334 TTL EXCEEDED R.E.D.A.R en Zona controlada

34 JCM-02 All rights reserved.34 Ejercicios 4. Si usted encuentra dentro de su LOG de WEBServer el siguiente registro, cuál sería su diagnóstico? [14/Sep/2001:19:50: ] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucb d3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u 00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1. 0" CODE RED!!!

35 JCM-02 All rights reserved.35 R.E.D.A.R en Contexto Internet EXTERIOR ZONA CONTROLADA LÍNEA DE DEFENSA RED PERÍMETRO Listas de Control de Acceso Filtro de paquetes Reglas de Control de Acceso Reglas de Monitoreo Registro de Acceso S I N C R O N I Z A C I Ó N C O R R E L A C I Ó N A F I N A M I E N T O S I M U L A C I Ó N Y P R U E B A S C O N T R O L D E E V I D E N C I A

36 JCM-02 All rights reserved.36 R.E.D.A.R. En resumen Es requisito para la preparación forense de redes: * Establecer mecanismos de sincronización de tiempo entre la zona de perímetro, la línea de defensa y la zona controlada. * Desarrollar guías de análisis y control de evidencia, para cada uno de los segmentos: zona de perímetro, la línea de defensa y la zona controlada, que permitan correlacionar la evidencia identificada. * Capacitar y entrenar a los administradores y encargados de la arquitectura para adelantar acciones de recuperación y control de evidencia. Son actividades que alimentan y cuestionan la preparación forense de redes * Simulación y Pruebas *Pruebas de penetración *Ataques basados en manipulación de tráfico *Atentados contra la integridad de máquinas y configuraciones de sistemas de seguridad * Afinamiento de la arquitectura

37 JCM-02 All rights reserved.37 R.E.D.A.R. Hacia el futuro... Algunas directrices de investigación hacia el futuro * Especificar guías prácticas de preparación forense para cada uno de los segmentos en una arquitectura *Preparación forense redes de perímetro *Preparación forense líneas de defensa *Preparación forense de zonas controladas * Afinamiento y balanceo del registro remoto *Análisis de vulnerabilidades y performance *Criterios para establecer qué registro es necesario *Extensiones y aporte de HONEYNETS * Análisis Forenses detallados *Desarrollo de estrategias de correlación de evidencia *Registro de tráfico normal de aplicaciones y servicios *Incorporación de experiencias y alianzas con proyectos como el HONEYNET PROJECT.

38 JCM-02 All rights reserved.38 R.E.D.A.R. Conclusiones La preparación forense de redes, no es una opción para los administradores de redes y responsables de arquitecturas computacionales. Las estrategias de análisis forenses deben ser actividades conjuntas que se realicen entre las funciones de seguridad y los expertos técnicos del área de telecomunicaciones. No es opcional recoger evidencia, el ordenamiento legal está detrás de nuevas formas de perseguir la delincuencia electrónica Ante un incidente de seguridad, la respuesta y el aseguramiento de la eviencia son factores críticos para su control. Los procedimientos forense deben ajustarse con los cambios y simular su efectividad a través de las pruebas de penetración de la arquitectura.

39 JCM-02 All rights reserved.39 R.E.D.A.R. Breve Checklist ante Incidente Sincronización de tiempo * La hora de los enrutadores coincide con la hora del FW? * Existen diferencias de tiempo entre la hora reportada del ataque y las máquinas involucradas? * Los registros de actividad y violaciones de las listas de control de acceso y filtros exportadas están alineadas con la hora del incidente? * El protocolo NTP - Network Time Protocol estaba en su última versión? Realmente confiable? * Cuando fue la última sincronización de tiempo que se efectuó en la arquitectura? Control de Evidencia * Los registros identificados, se encuentran completos y asegurados? * Existen vacíos o saltos en los registros identificados en la arquitectura atacada? * Se cuenta con guías de recolección y control de evidencia? * Se tiene identificada la evidencia a recoger en cada uno de los segmentos de la arquitectura: zona de perímetro, la línea de defensa y la zona controlada * Existe personal entrenado en análisis de evidencia digital? Correlación de eventos?

40 JCM-02 All rights reserved.40 Qué tan preparado está su ambiente de Red? Si no está seguro, usted no esta preparado! Adaptado de: John Tan, Reseach Inc.

41 JCM-02 All rights reserved.41 Referencias DAVID, J. (2001) The Ins and Outs of Intrusion Detection. Computer Fraud and Security. Nov. PARA-SOFT (2001) Absolute state of the hack. Presentación en Powerpoint. KIRBY, A. (2001) Honeynet Phase Two: Knowing your enemy more. Computer Fraud and Security. Dic. SANS (2001) CISCO Security Checklist. LASSER, J. (2001) Implementing SNORT in a production environment. ;LOGIN. The magazine of USENIX. Nov. Vol.26. No.7 COUNTERPANE. (2001) Logging Techniques. Presentación en Powerpoint. BECK, D. (2001) A review of Cybersecurity risk factors. Information Security Reading Room. Sans. RICHARDS, K. (1999) Network Based Intrusion Detection: A review of technologies. Computers & Security. Vol.18 KPMG (2001) 2001 Global e-Fraud Survey. HOLEWA, B. (2001) Intrusion detection systems forensics. UPCHURCH, J. (2001) Combating computer crime. Information Security Reading Room. Sans.

42 JCM-02 All rights reserved.42 Referencias FARMER, D. y VENEMA, W. (2001) Being prepared for intrusion. Dr. Dobbs. Abril. TAN, J. (2001) Forensic Preparation. Planning and policies are keys to successful forensic analysis. Secure Business Quarterly. SCHNEIER, B. (2001) Managed Security Monitoring: Network Security for the 21st. Century. Computers & Security. Vol.20. MAHADEVAN, C. (2001) Intrusion, attack, penetration - some issues. Information Systems Control Journal. Vol.6 BURNETTE, M. y GOMEZ, C. (2001) When Code red attacks: Addressing vulnerabilities behind virus hysteria. Information Systems Control Journal. Vol.6 ALTUNERGIL, O. (2001) Undertanding rootkits. Oreally Networks. MCHUGH, J., CHRISTIE, A. y ALLEN, J. (2001) Intrusion detection: Implementation and operational issues. CERT. FREDERICK, K. (2001) Studying Normal Traffic, Part Two: Studying FTP traffic. FREDERICK, K. (2001) Studying Normal Traffic, Part Three: TCP Headers. SPITZNER, L. (2000) Serie Know your Enemy. /~lspitz/papers.html

43 JCM-02 All rights reserved.43 Referencias NORTHCUTT, S. et al (2001) Intrusion Signatures and Analysis. SANS Giac. New Riders. NORTHCUTT, S y NOVAK, J. (2001) Detección de intrusos. Guia avanzada. 2da. Edición. Prentice Hall. CHAPPELL, L. (2000) Advanced Network analysis techniques. Podbooks.com. STEVENS, R. (1994) TCP/IP Illustrated. Volume I: The protocols. Addison Wesley. GURLEY, R. (2000) Intrusion Detection. Macmillan Technical Publishing. ANOMINO. (2000) Linux Máxima Seguridad. Prentice Hall. NORTHCUTT, S. (1999) Network intrusion detection. An analysts handbook. New Riders. GOLLMAN, D. (1999) Computer security. John Wiley & Son. FEIT, S. (1998) TCP/IP. McGraw Hill. CHAPMAN, D. y Zwicky, E. (1997) Construya firewalls para internet. McGraw Hill. OReally. PFLEEGER, C. (1997) Security in computing. Englewood Cliffs, NJ: Prentice Hall. Segunda Edición. MANDIA, K. y PROSISE, C. (2001) Incident Response. Investigation Computer Crime. McGraw Hill CASEY, E. (2000) Digital evidence and computer crime. Academic Press. CASEY, E. (Editor) (2002) Handbook of computer crime investigation. Academic Press. SCHULTZ, E. y SHUMWAY, R. (2002) Incident Response. A strategic guide to handling systems and network security breaches. New Riders.

44 JCM-02 All rights reserved.44 Preguntas?? Intrusos?? Administradores Agobiados?? Estudiantes Disgustados??Travesuras Informáticas?? Profesores Preocupados?? Gerentes pensativos?? Algún expediente X??

45 Preparación Forense de Redes R.E.D.A.R Un modelo de análisis Jeimy J. Cano, M.Sc., Ph.D Universidad de los Andes Jeimy J. Cano, M.Sc., Ph.D Universidad de los Andes


Descargar ppt "Preparación Forense de Redes R.E.D.A.R Un modelo de análisis Jeimy J. Cano, M.Sc., Ph.D Universidad de los Andes Jeimy J. Cano, M.Sc., Ph.D Universidad."

Presentaciones similares


Anuncios Google