Preparación Forense de Redes R.E.D.A.R Un modelo de análisis Jeimy J. Cano, M.Sc., Ph.D Universidad de los Andes jcano@uniandes.edu.co

Preparación Forense de Redes - R.E.D.A.R Febrero/2002 Agenda Introducción Definiciones básicas Presentación del Modelo - R.E.D.A.R Arquitectura de Análisis Red de perímetro Linea de Defensa Zona Controlada Red de perímetro - Routers Línea de defensa - Firewalls Zona Controlada - Servidores y conexiones Preparación Forense de Redes en Contexto Conclusiones Referencias JCM-02 All rights reserved. Jeimy J. Cano, M.Sc., Ph.D - Colombia

Introducción Las estadísticas del CERT en el año 2001, muestran aumento de más del 150% en incidentes de seguridad reportados. De acuerdo con la investigación adelantada por KPMG en el 2001, “2001 Global e-Fr@ud Survey” : Cuando ocurre un incidente de seguridad No se adelantan acciones legales Inadecuado uso de los recursos legales Falta de evidencia El 50% de los encuestados identificó a los Hackers y la pobre implementación de políticas de seguridad como los factores fundamentales de los incidentes de seguridad. Los ejecutivos se encuentran desinformados acerca del estado actual de las vulnerabilidades de la su red. Bajo o pobre entrenamiento de los administradores de sistemas Mientras que un ataque de un sitio puede tomar dos (2) horas, el análisis forense completo puede alcanzar las treinta (30) horas! (Forensic Challenge Project) JCM-02 All rights reserved.

Definiciones básicas Conceptos Sistemas de detección de intrusos. Orientado a Host Orientado a Red Orientado a Firmas Estadísticas Honeypot Configuración de una máquina con servicios activos, atractivos y aislados, como una estrategia para seguir y capturar intrusos dentro de sistemas de computación. Honeynet Configuración de una red con servicios activos, atractivos y aislados, como una estrategia para analizar y aprender de los intrusos y sus acciones. Red de perímetro Es una red agregada a fin de proporcionar una capa adicional de seguridad. Generalmente se le conoce como red desmilitarizada (DMZ) JCM-02 All rights reserved.

Definiciones básicas Conceptos Firewall Componente o conjunto de componentes (Hw y Sw) que restringen el acceso entre una red protegida e internet, o entre otros conjuntos de redes. Tradicionales Stealth Evidencia digital Es un tipo de evidencia física. Esta construida de campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con herramientas y técnicas especiales.(Casey 2000, pág.4) Computación forense Es la aplicación legal de métodos, protocolos y técnicas para obtener, analizar y preservar evidencia digital relevante a una situación en investigación. (Kovacich 2000, pag.243) JCM-02 All rights reserved.

Presentación del Modelo R.E.D.A.R Justificación Es necesario desarrollar una estrategia formal para atender incidentes de seguridad y su posterior documentación y análisis Se cuentan con diversas estrategias de registro de eventos, pero no se posee la cultura de análisis de las pistas. La mayoría de los administradores de sistemas actualmente no son conscientes de la necesidad de contar con evidencia digital. La seguridad informática y la administración de sistemas de observan como actividades diferentes, cuando en realidad son complementarias R.E.D.A.R - Vocablo que significa: “Echar las redes” RE gistro Establecimiento de los diferentes métodos y herramientas para mantener el adecuado registro de eventos relevantes en las redes. D ectección de intrusos Desarrollo de alertas y análisis de las posibles fallas de seguridad aprovechadas por los atacantes. A uditoRia Evaluación, seguimiento y análisis de los mecanismos y herramientas actuales de seguridad, que conduzcan al afinamiento permanente de la seguridad de la red. JCM-02 All rights reserved.

R.E.D.A.R REGISTRO DETECCIÓN AUDITORÍA INTRUSOS PREPARACIÓN FORENSE DE REDES SINCRONIZACIÓN CORRELACIÓN AFINAMIENTO SIMULACIÓN Y PRUEBAS CONTROL DE EVIDENCIA JCM-02 All rights reserved.

Arquitectura de análisis Internet Exterior RED PERÍMETRO LÍNEA DE DEFENSA ZONA CONTROLADA JCM-02 All rights reserved.

Red de Perímetro Generalmente compuesta por enrutadores La seguridad y control de este segmento de la red, en la mayoría de los casos, se basa en: Listas de control de acceso Filtro de paquetes 10.16.1.0 192.168.1.0 200.16.2.3 172.16.1.0 JCM-02 All rights reserved.

Red de Perímetro Lista de Control de Acceso Lista de control de acceso Standard Definida por un rango numérico entre 1-99 Sólo verifica el IP ORIGEN, luege se hace el filtro de manera rápida. Lista de control de acceso Extendida Definida por un rango numérico entre 100-199 Verfica ORIGEN, DESTINO, PROTOCOLO, Puertos UDP/TCP, Tipos ICMP en secuencia. El filtro de paquetes se torna más lento Lista de Control de Acceso Reflexiva Utiliza listas de control de acceso dinámica, semejantes a la tabla de estados de un FW, para mantener las conexiones aseguradas. Mecanismo nuevo en CISCO. JCM-02 All rights reserved.

Preparación Forense de Redes - R.E.D.A.R Febrero/2002 Red de Perímetro Formato de una Lista de Control de Acceso Estandard access-list number action source [Wild Card]  any Number: 0-99 para listas de control de acceso estándard Action: Permit o Deny - Permitir o Negar Source: Dirección IP para comparar Wild Card: Determina que parte de la dirección IP será comparada y cual no. Any: Cualquier dirección EJEMPLO: access-list 20 permit 192.168.1.0 0.0.0.255 WILD CARDS: 0.0.0.0 prueba todos los bits de la dirección IP 255.255.255.255 no prueba ningún bit de la dirección IP Por ejemplo: 192.168.1.0 0.0.0.255 Prueba los tres primeros octetos - Cualquier host en la red 192.168.1.0 192.168.1.1 0.0.0.0 Prueba todos los octetos 192.168.1.0 0.0.0.15 Coincidencia con todas las máquinas de la red 192.168.1.0 entre 0 y 15. JCM-02 All rights reserved. Jeimy J. Cano, M.Sc., Ph.D - Colombia

Red de Perímetro Filtro de paquetes Mecanismo de seguridad cuya función es establecer qué información puede fluir de y hacia una red. El filtro de paquete permite controlar (permitir o negar) la transferencia de paquetes con base en: Dirección origen de la información Dirección destino de la información Protocolos como IP, UDP, TCP e ICMP Servicios UDP/TCP como Telnet, SMTP, SNMP, NNTP, FTP, entre otros ICMP - echo request, echo replay, port unreachable Type of Service (Performance), banderas o flags en los paquetes de información. JCM-02 All rights reserved.

Red de Perímetro Creando un Packet Filter Para efectuar esta acción es necesario utilizar la directiva ip access-group number [InOut] Number: Valor definido para una lista de control de acceso InOut: En qué dirección el filtro se aplicará para los paquetes entrantes o salientes. EJEMPLO interface serial 0 ip address 172.16.1.1 255.255.255.0 ip access-group 11 in access-list 11 permit host 192.168.1.100 access-list 11 deny 192.168.1.0 0.0.0.255 access-list permit any JCM-02 All rights reserved.

Red de Perímetro Creando un Packet Filter EJEMPLO de lista de control de acceso EXTENDIDO interface serial 0 ip access-group 100 in access-list 100 permit tcp any any gt 1023 access-list 100 permit tcp any any eq 23 access-list 100 permit tcp any any gt 1023: Permite todo paquete TCP a puertos mayores de 1023 access-list 100 permit tcp any any eq 23: Permite paquetes telnet al puerto 23. Tráfico de otros protocolos al puerto 23 será bloqueado. JCM-02 All rights reserved.

R.E.D.A.R en el Perímetro REGISTRO DETECCIÓN AUDITORÍA INTRUSOS PREPARACIÓN FORENSE DE REDES SINCRONIZACIÓN CORRELACIÓN AFINAMIENTO SIMULACIÓN Y PRUEBAS CONTROL DE EVIDENCIA JCM-02 All rights reserved.

Red de Perímetro Aplicando R.E.D.A.R - Aspectos básicos a considerar RE gistro Algunos eventos que deben ser analizados en el perímetro Violaciones de las listas de control de acceso Violaciones de los filtros de paquetes configurados Sobrecargas de tráfico en la red D ectección de Intrusos Algunos eventos de interés Cambios en la configuración de las listas de control de acceso y filtros de paquetes Actualización del Sistema operacional del router Cambios en la configuración del router AuditoRía Advertencias de seguridad en routers Parches de seguridad JCM-02 All rights reserved.

Red de Perímetro Aplicando R.E.D.A.R - Algunas Estrategias RE gistro Registro de la actividades del Router Utilizando SYSLOG Exportar eventos de interés a servidor remoto D ectección de Intrusos Alertas de Cambios Utilizar protocolo SNMP (actualizado a la última versión) para reporte acciones sobre el dispositivo. Alineado con estrategia de registro remoto. AuditoRía Pruebas de penetración Ataques simulados a vulnerabilidades conocidas Pruebas de stress y resistencia de tráfico. JCM-02 All rights reserved.

R.E.D.A.R en Red de Perímetro Preparación Forense de Redes - R.E.D.A.R Febrero/2002 R.E.D.A.R en Red de Perímetro Listas de control de acceso - CISCO 1. Mar 31 13:55:07 rt1 3319: 21:36:44 : %SEC-6-IPACESSLOGP: list 102 denied UDP 209.67.78.202 (3408) external.primary.dns (33434), 1 packet. Rt1 - Hostname 3319 - No de secuencia 21:36:44 - Estampilla de tiempo %SEC-6-IPACESSLOGP Mnemónico que identifican de manera única el mensaje. list 102 No. lista de control de acceso contiene la regla evaluada. Denied Acción tomada por el router UDP Protocolo detectado 209.67.78.202 (3408) Dirección y puerto Origen external.primary.dns (33434) - Dirección y puerto Destino JCM-02 All rights reserved. Jeimy J. Cano, M.Sc., Ph.D - Colombia

Línea de Defensa IDS IDS FW Generalmente compuesta por Sistemas de Detección de Intrusos y Firewalls. TCP ICMP UDP Echo request ACK SYN URG PSH IDS IDS FW JCM-02 All rights reserved.

Línea de Defensa Algunas generalidades sobre los FW Qué puede hacer actualmente? Restringe el acceso a un punto cuidadosamente controlado. Restringe a las personas para que salgan en un punto cuidadosamente controlado. Evita que los posibles atacantes se acerquen más a sus demás defensas. Qué NO puede hacer? Protegerlo contra atacantes internos Resguardarlo contra conexiones que no pasan por él Nuevas amenazas de seguridad: bug’s, configuraciones recientes de enrutadores, etc. Resguardarlo contra virus. Protegerlo contra ejecuciones de applets maliciosos de java. Control de paquetes fragmentados. JCM-02 All rights reserved.

Línea de Defensa Intrusion Detection Systems Herramientas de administración de seguridad que: Recolectan información de una variedad de fuentes en un sistema Analiza esta información contra patrones de uso indebido o actividad inusual En algunos casos, responde automáticamente a la actividad detectada Reporta el resultado del proceso de detección Tomado de: Bace, R. (2000) An introduction to Intrusion Detection Assessment. ICSA. JCM-02 All rights reserved.

Línea de Defensa Intrusion Detection Systems Dentro de las funciones que pueden desarrollar están: Monitorear y analizar las actividades del usuario y del sistema. Auditar la configuración del sistema y sus vulnerabilidades Evaluación de la integridad de los sistemas críticos y los archivos de datos Reconocimiento de patrones de actividad que reflejen ataques Análisis estadístico de patrones de actividad anormal Auditoría de la administración del S.O, con reconocimiento de actividades relativas a la violación de políticas. Tomado de: Bace, R. (2000) An introduction to Intrusion Detection Assessment. ICSA. JCM-02 All rights reserved.

Línea de Defensa en detalle Internet Monitoreo de tráfico - Conexiones a servicios y puertos específicos * WEB, DNS * MAIL * Puertos menores a 1023 Anfitrión Bastión Enrutador Externo Enrutador Interno Firewall Monitoreo de tráfico - Conexiones * Aplicaciones internas * Niñeras * Traducción de direcciones Red Interna JCM-02 All rights reserved. Adaptado de: Chapman y Zwicky. 1995

R.E.D.A.R en Defensa REGISTRO DETECCIÓN AUDITORÍA INTRUSOS PREPARACIÓN FORENSE DE REDES SINCRONIZACIÓN CORRELACIÓN AFINAMIENTO SIMULACIÓN Y PRUEBAS CONTROL DE EVIDENCIA JCM-02 All rights reserved.

Línea de Defensa Aplicando R.E.D.A.R - Aspectos básicos a considerar RE gistro Algunos eventos que deben ser analizados en la Defensa Violaciones de las reglas del FW Tráfico Fuera de lo Normal Patrones de Bypass de IDS D ectección de Intrusos Algunos eventos de interés Alertas de posibles ataques conocidos Tráfico anormal y manipulación de protocolos violación de permisos e integridad en la máquina FW e IDS AuditoRía Configuración de la máquina FW y sus protocolos Parches de seguridad JCM-02 All rights reserved.

Línea de Defensa Aplicando R.E.D.A.R - Algunas Estrategias RE gistro Algunos aspectos a considerar en la Defensa Exportar y analizar registros del FW Exportar y analizar registros del IDS D ectección de Intrusos Alertas de Cambios Reglas en el FW y en el IDS Control de permisos en las máquinas - Integridad del software y reglas AuditoRía Pruebas de penetración Reglas y tráfico de red malicioso Simulación de ataques e incidentes. JCM-02 All rights reserved.

R.E.D.A.R en Línea de Defensa LOG FIREWALL - Checkpoint FW-1 Características del log 14;2Feb2001;11:30:02;FW;log;accept;;qfe1;inbound;tcp;comp1;200.0.241.42;http;4689;48;70;comp_X;200.0.241.42;46556;http;;;;;;;;;;;;;;;; Otros campos: resource;icmp-type;icmp-code;reason:;agent;orig_from;orig_to;reason;srckeyid;dstkeyid;user;scheme:;methods:;from;to;sys_msgs Análisis detallado del log num - 14 src - comp1 date - 2Feb2001 dst - 200.0.241.42 time - 11:30:02 service - http orig - FW s_port - 4689 type - Log len - 48 action - accept rule - 70 alert - “Vacio” xlatesrc - comp_X i/f_name - qfe1 xlatedst - 200.0.241.42 i/f_dir - inbound xlatesport - 46 proto - tcp xlatedport - 556 JCM-02 All rights reserved.

Zona Controlada Denominada en general como la zona protegida o militarizada. Lugar donde se encuentra los recursos más críticos asociados con la organización. IDS FW JCM-02 All rights reserved.

Zona Controlada Consideraciones en la zona controlada Sólo debe fluir el tráfico autorizado por el FW tanto desde el interior como desde el exterior de la organización Los servicios y datos residentes en esta zona requieren mecanimos de autenticación fuertes Las acciones “de actualización de datos o configuraciones” requiere registro y análisis formal Si existe un cambio en el direccionamiento hacia la zona controlada en la línea de defensa, debe ajutarse y revisarse TODOS los mecanimos de autenticación, registro y control de la zona controlada. El manejo de excepciones de acceso a la zona, tanto de tráfico como de actualización de datos deben estar claramente monitoreados. de enrutadores, etc. JCM-02 All rights reserved.

R.E.D.A.R en Zona Controlada REGISTRO DETECCIÓN INTRUSOS AUDITORÍA PREPARACIÓN FORENSE DE REDES SINCRONIZACIÓN CORRELACIÓN AFINAMIENTO SIMULACIÓN Y PRUEBAS CONTROL DE EVIDENCIA JCM-02 All rights reserved.

Zona Controlada Aplicando R.E.D.A.R - Aspectos básicos a considerar RE gistro Algunos eventos que deben ser analizados en la Zona Controlada Registro de autenticación y control de acceso Protocolos y servicios permitidos Tráfico de red sobre servicios ofrecidos D ectección de Intrusos Algunos eventos de interés Alertas de posibles ataques conocidos Tráfico anormal y manipulación de protocolos violación de permisos e integridad de las máquinas AuditoRía Vulnerabilidades de segiuridad de los servicios ofrecidos Fallas en los mecanismos de seguridad utilizados Fallas procedimentales y de uso. JCM-02 All rights reserved.

Zona Controlada Aplicando R.E.D.A.R - Algunas Estrategias RE gistro Algunos aspectos a considerar en la Defensa Registrar y analizar acciones de autenticación Estadísticas de tráfico en función protocolos y servicios D ectección de Intrusos Alertas de Cambios Reglas de monitoreo de puertos y servicios en el IDS Control de permisos en las máquinas - Integridad del software y reglas AuditoRía Pruebas de penetración Reglas y tráfico de red malicioso Simulación de ataques e incidentes. JCM-02 All rights reserved.

R.E.D.A.R en Zona controlada LOG IDS - SNORT [**] BETA - Anon FTP [**] 12/14-12:02:25.335000 209.88.62.192:63307 -> 161.69.2.23:21 TCP TTL:127 TOS:0x0 ID:1203 DF *****PA* Seq: 0xE4A4E8 Ack: 0xFB8D3B8F Win: 0x2206 [**] IDS3 - MISC-Traceroute TCP [**] 12/14-12:03:53.817805 209.185.131.251:80 -> 209.88.62.192:63295 TCP TTL:1 TOS:0x0 ID:29731 DF ****R*** Seq: 0x8E81AA48 Ack: 0x8E81AA48 Win: 0x2238 [**] PING-ICMP Time Exceeded [**] 12/14-12:03:53.817846 209.88.62.192 -> 209.185.131.251 ICMP TTL:255 TOS:0xC0 ID:10334 TTL EXCEEDED JCM-02 All rights reserved.

Ejercicios 4. Si usted encuentra dentro de su LOG de WEBServer el siguiente registro, cuál sería su diagnóstico? . 157.253.4.13 - - [14/Sep/2001:19:50:56 -0500] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0" 404 283. CODE RED!!! JCM-02 All rights reserved.

R.E.D.A.R en Contexto Internet Reglas de Control de Acceso Reglas de Monitoreo Listas de Control de Acceso Filtro de paquetes Reglas de Monitoreo Registro de Acceso C O R R E L A C I Ó N C O N T R O L D E E V I D E N C I A Internet S I N C R O N I Z A C I Ó N A F I N A M I E N T O S I M U L A C I Ó N Y P R U E B A S RED PERÍMETRO LÍNEA DE DEFENSA ZONA CONTROLADA EXTERIOR JCM-02 All rights reserved.

R.E.D.A.R. En resumen Es requisito para la preparación forense de redes: Establecer mecanismos de sincronización de tiempo entre la zona de perímetro, la línea de defensa y la zona controlada. Desarrollar guías de análisis y control de evidencia, para cada uno de los segmentos: zona de perímetro, la línea de defensa y la zona controlada, que permitan correlacionar la evidencia identificada. Capacitar y entrenar a los administradores y encargados de la arquitectura para adelantar acciones de recuperación y control de evidencia. Son actividades que alimentan y cuestionan la preparación forense de redes Simulación y Pruebas Pruebas de penetración Ataques basados en manipulación de tráfico Atentados contra la integridad de máquinas y configuraciones de sistemas de seguridad Afinamiento de la arquitectura JCM-02 All rights reserved.

R.E.D.A.R. Hacia el futuro... Algunas directrices de investigación hacia el futuro Especificar guías prácticas de preparación forense para cada uno de los segmentos en una arquitectura Preparación forense redes de perímetro Preparación forense líneas de defensa Preparación forense de zonas controladas Afinamiento y balanceo del registro remoto Análisis de vulnerabilidades y performance Criterios para establecer qué registro es necesario Extensiones y aporte de HONEYNETS Análisis Forenses detallados Desarrollo de estrategias de correlación de evidencia Registro de tráfico normal de aplicaciones y servicios Incorporación de experiencias y alianzas con proyectos como el HONEYNET PROJECT. JCM-02 All rights reserved.

R.E.D.A.R. Conclusiones La preparación forense de redes, no es una opción para los administradores de redes y responsables de arquitecturas computacionales. Las estrategias de análisis forenses deben ser actividades conjuntas que se realicen entre las funciones de seguridad y los expertos técnicos del área de telecomunicaciones. No es opcional recoger evidencia, el ordenamiento legal está detrás de nuevas formas de perseguir la delincuencia electrónica Ante un incidente de seguridad, la respuesta y el aseguramiento de la eviencia son factores críticos para su control. Los procedimientos forense deben ajustarse con los cambios y simular su efectividad a través de las pruebas de penetración de la arquitectura. JCM-02 All rights reserved.

R.E.D.A.R. Breve Checklist ante Incidente Sincronización de tiempo La hora de los enrutadores coincide con la hora del FW? Existen diferencias de tiempo entre la hora reportada del ataque y las máquinas involucradas? Los registros de actividad y violaciones de las listas de control de acceso y filtros exportadas están alineadas con la hora del incidente? El protocolo NTP - Network Time Protocol estaba en su última versión? Realmente confiable? Cuando fue la última sincronización de tiempo que se efectuó en la arquitectura? Control de Evidencia Los registros identificados, se encuentran completos y asegurados? Existen vacíos o saltos en los registros identificados en la arquitectura atacada? Se cuenta con guías de recolección y control de evidencia? Se tiene identificada la evidencia a recoger en cada uno de los segmentos de la arquitectura: zona de perímetro, la línea de defensa y la zona controlada Existe personal entrenado en análisis de evidencia digital? Correlación de eventos? JCM-02 All rights reserved.

Qué tan preparado está su ambiente de Red Qué tan preparado está su ambiente de Red? Si no está seguro, usted no esta preparado! Adaptado de: John Tan, Reseach Scientist. @Stake, Inc. JCM-02 All rights reserved.

Referencias DAVID, J. (2001) The Ins and Outs of Intrusion Detection. Computer Fraud and Security. Nov. PARA-SOFT (2001) Absolute state of the hack. Presentación en Powerpoint. Http://para-protect.com KIRBY, A. (2001) Honeynet Phase Two: Knowing your enemy more. Computer Fraud and Security. Dic. SANS (2001) CISCO Security Checklist. Http://www.sans.org/SCORE/checklist/ LASSER, J. (2001) Implementing SNORT in a production environment. ;LOGIN. The magazine of USENIX. Nov. Vol.26. No.7 COUNTERPANE. (2001) Logging Techniques. Presentación en Powerpoint. Http://www.counterpane.com BECK, D. (2001) A review of Cybersecurity risk factors. Information Security Reading Room. Sans. Http://www.sans.org/infosecFAQ/securitybasis/risk.htm RICHARDS, K. (1999) Network Based Intrusion Detection: A review of technologies. Computers & Security. Vol.18 KPMG (2001) 2001 Global e-Fraud Survey. Http://www.kpmg.co.uk/kpmg/uk/direct/forensic/pubs/EFRAUD.cfm HOLEWA, B. (2001) Intrusion detection systems forensics. Http://www.8wire.com/articles/print_article.asp?printAID=2248 UPCHURCH, J. (2001) Combating computer crime. Information Security Reading Room. Sans. Http://www.sans.org/infosecFAQ/incident/combat.htm JCM-02 All rights reserved.

Referencias FARMER, D. y VENEMA, W. (2001) Being prepared for intrusion. Dr. Dobb’s. Abril. Http://www.ddj.com/print/documentID=11878 TAN, J. (2001) Forensic Preparation. Planning and policies are keys to successful forensic analysis. Secure Business Quarterly. Http://www.sbq.com SCHNEIER, B. (2001) Managed Security Monitoring: Network Security for the 21st. Century. Computers & Security. Vol.20. MAHADEVAN, C. (2001) Intrusion, attack, penetration - some issues. Information Systems Control Journal. Vol.6 BURNETTE, M. y GOMEZ, C. (2001) When Code red attacks: Addressing vulnerabilities behind virus hysteria. Information Systems Control Journal. Vol.6 ALTUNERGIL, O. (2001) Undertanding rootkits. O’really Networks. Http://linux.oreillynet.com/lpt/a//linux/2001/12/14/rootkit.html MCHUGH, J., CHRISTIE, A. y ALLEN, J. (2001) Intrusion detection: Implementation and operational issues. CERT. Http://www.stsc.hill.af.mil/crosstalk/2001/jan/mchugh.asp FREDERICK, K. (2001) Studying Normal Traffic, Part Two: Studying FTP traffic. Http://www.securityfocus.com/focus/ids/articles/normaltraf2.html FREDERICK, K. (2001) Studying Normal Traffic, Part Three: TCP Headers. Http://www.securityfocus.com/focus/ids/articles/normaltraf3.html SPITZNER, L. (2000) Serie Know your Enemy. Http://www.enteract.com/ /~lspitz/papers.html JCM-02 All rights reserved.

Referencias NORTHCUTT, S. et al (2001) Intrusion Signatures and Analysis. SANS Giac. New Riders. NORTHCUTT, S y NOVAK, J. (2001) Detección de intrusos. Guia avanzada. 2da. Edición. Prentice Hall. CHAPPELL, L. (2000) Advanced Network analysis techniques. Podbooks.com. STEVENS, R. (1994) TCP/IP Illustrated. Volume I: The protocols. Addison Wesley. GURLEY, R. (2000) Intrusion Detection. Macmillan Technical Publishing. ANOMINO. (2000) Linux Máxima Seguridad. Prentice Hall. NORTHCUTT, S. (1999) Network intrusion detection. An analyst’s handbook. New Riders. GOLLMAN, D. (1999) Computer security. John Wiley & Son. FEIT, S. (1998) TCP/IP. McGraw Hill. CHAPMAN, D. y Zwicky, E. (1997) Construya firewalls para internet. McGraw Hill. O’Really. PFLEEGER, C. (1997) Security in computing. Englewood Cliffs, NJ: Prentice Hall. Segunda Edición. MANDIA, K. y PROSISE, C. (2001) Incident Response. Investigation Computer Crime. McGraw Hill CASEY, E. (2000) Digital evidence and computer crime. Academic Press. CASEY, E. (Editor) (2002) Handbook of computer crime investigation. Academic Press. SCHULTZ, E. y SHUMWAY, R. (2002) Incident Response. A strategic guide to handling systems and network security breaches. New Riders. JCM-02 All rights reserved.

Preguntas?? Algún expediente X?? Gerentes pensativos?? Administradores Agobiados?? Profesores Preocupados?? Intrusos?? Travesuras Informáticas?? Estudiantes Disgustados?? JCM-02 All rights reserved.

Preparación Forense de Redes R.E.D.A.R Un modelo de análisis Jeimy J. Cano, M.Sc., Ph.D Universidad de los Andes jcano@uniandes.edu.co