23
Instituto Tecnológico Superior de Macuspana Conceptos básicos de Informática Forense M.I.S. Mayra Hernández Oramas

Unidad 1. Conceptos Básicos

Embed Size (px)

DESCRIPTION

Temas de la unidad 1 de Informática Forense

Citation preview

El intruso, el administrador y el investigador

Conceptos bsicos de Informtica ForenseM.I.S. Mayra Hernndez OramasInstituto Tecnolgico Superior de MacuspanaSesin TCPQu es TCP?

Es un protocolo de nivel de transporte completo que proporciona un servicio de transferencia fiable de datos y un mtodo para trasladar datos encapsulados con TCP a un protocolo de nivel de aplicacin.Instituto Tecnolgico Superior de MacuspanaTCP tiene las siguientes caractersticas:Orientado a conexin. Antes de transferir los datos, dos procesos de nivel de aplicacin deben negociar formalmente una conexin TCP utilizando el proceso de establecimiento de conexin adecuado. Las conexiones de TCP se cierran formalmente empleando el proceso de desconexin TCP.

Full Duplex. Para cada extremo de una conexin TCP, la conexin consta de dos enlaces lgicos, uno de salida y otro de entrada. Con la tecnologa apropiada en el nivel de red los datos pueden fluir simultneamente en ambos sentidos. La cabecera TCP contiene tanto el nmero de secuencia de los datos de salida como el reconocimiento de los datos de entradaInstituto Tecnolgico Superior de MacuspanaFiable. Los datos que se envan por una conexin TCP se numeran en secuencia y se espera un reconocimiento positivo por parte del receptor. Si no se recibe este reconocimiento, el segmento se retransmite. En el receptor, los segmentos duplicados se descartan y los segmentos que llegan fuera de secuencia se colocan en su posicin dentro de la secuencia. Todo segmento transmitido va protegido frente a errores mediante un cdigo detector (CRC), que verifica la integridad de la informacin recibida.

Flujo de bytes. Para TCP los datos que se envan por los enlaces lgicos de entrada y salida se consideran un flujo continuo de bytes. El nmero de secuencia y de reconocimiento que se envan en cada cabecera TCP definen puntos concretos de este flujo de bytes. TCP no tiene en consideracin otras divisiones dentro del flujo de datos, siendo el protocolo de aplicacin el que establezca las divisiones lgicas adecuadas (por ejemplo, fin de registro o de campo en bases de datos, fin de orden, etc.)Instituto Tecnolgico Superior de MacuspanaControl de flujo en ambos extremos. Para evitar la transmisin de excesivos datos simultneos, que podra causar problemas de congestin en los routers, TCP implementa un control de flujo en el emisor que regula la cantidad de datos que se envan. Para evitar que el emisor transmita datos que el receptor no es capaz de almacenar, TCP tambin implementa control de flujo en el receptor, indicando cunto espacio se encuentra disponible en los buffers del receptor.

Segmentacin de datos de aplicacin. TCP segmentar los datos obtenidos del proceso de aplicacin para que se ajusten al tamao de los paquetes IP. Ambos extremos TCP pueden negociar el tamao mximo de segmento, existiendo adems la posibilidad de ejecutar un algoritmo de descubrimiento del tamao mximo en la ruta (PMTU).Instituto Tecnolgico Superior de MacuspanaTransmisin uno a uno. Las conexiones TCP son un circuito lgico punto a punto entre dos procesos de nivel de aplicacin. TCP no proporciona servicios de difusin.

TCP emplea el mecanismo de los puertos para el acceso a diferentes destinos dentro de un Host. Al igual que UDP, la utilizacin de los puertos permite que un cliente seleccione el servidor correspondiente a la aplicacin deseada dentro del computador destinoInstituto Tecnolgico Superior de MacuspanaSobre los campos del paquete cabe resaltar las banderas que son 6 bits de control que se utilizan de izquierda a derecha para indicar:

URG (el paquete es urgente), ACK (confirmacin de recibido el anterior paquete), PSH (el paquete contiene datos), RST (para resetear una conexin), SYN (para sincronizar nmeros de secuencia) y FIN (no vienen ms datos del emisor) Instituto Tecnolgico Superior de MacuspanaUna sesin TCP empieza por una sincronizacin entre el cliente y el servidor. Esta sincronizacin se conoce como el three way handshake que se hace para que las dos mquinas entre las que se va a hacer la conexin, sepan la especificacin de la otra y su configuracin para manejar sesiones TCP. Suponiendo que se estable una conexin TCP entre la mquina A y la mquina B, la sincronizacin se muestra a continuacin:

1) A B SYN mi nmero de secuencia es X2) A B ACK su nmero de secuencia es X A B SYN mi nmero de secuencia es Y3) A B ACK su nmero de secuencia es Y

Instituto Tecnolgico Superior de MacuspanaIP SPOOFINGPor spoofing se conoce a la creacin de tramas TCP/IP utilizando una direccin IP falseada; la idea de este ataque - al menos la idea - es muy sencilla:

Desde su equipo, un pirata simula la identidad de otra mquina de la red para conseguir acceso a recursos de un tercer sistema que ha establecido algn tipo de confianza basada en el nombre o la direccin IP del host suplantado.

Y como los anillos de confianza basados en estas caractersticas tan fcilmente falsificables son an demasiado abundantes (no tenemos ms que pensar en los comandos r-, los accesos NFS, o la proteccin de servicios de red mediante TCP Wrapper), el spoofing sigue siendo en la actualidad un ataque no trivial, pero factible contra cualquier tipo de organizacin.Instituto Tecnolgico Superior de MacuspanaEn el spoofing entran en juego tres mquinas:

Un atacante, un atacado, y un sistema suplantado que tiene cierta relacin con el atacado; para que el pirata pueda conseguir su objetivo necesita por un lado establecer una comunicacin falseada con su objetivo, y por otro evitar que el equipo suplantado interfiera en el ataque.

Instituto Tecnolgico Superior de MacuspanaEn un escenario tpico del ataque, un pirata enva una trama SYN a su objetivo indicando como direccin origen la de esa tercera mquina que est fuera de servicio y que mantiene algn tipo de relacin de confianza con la atacada. El host objetivo responde con un SYN+ACK a la tercera mquina, que simplemente lo ignorar por estar fuera de servicio (si no lo hiciera, la conexin se reseteara y el ataque no sera posible), y el atacante enviar ahora una trama ACK a su objetivo, tambin con la direccin origen de la tercera mquina.

Instituto Tecnolgico Superior de MacuspanaSYN FloodEste tipo de ataque es posible debido a la forma en la que funcionan las conexiones TCP.

Cuando un extremo desea iniciar una conexin contra otro equipo, inicia la conversacin con un 'SYN', el otro extremo ve el SYN y responde con un SYN+ACK, finalmente el extremo que empez la conexin contesta con un ACK y ya pueden empezar a transmitir datos.

Instituto Tecnolgico Superior de MacuspanaUn ataque de tipo Syn Flood lo que hace es empezar un numero especialmente alto de inicios de conexin que nunca son finalizados, dejando al servidor a la espera del ACK final, y por tanto consumiendo recursos de forma desproporcionada.

Instituto Tecnolgico Superior de MacuspanaEscaneo de puertosEscaneo de puertos se emplea para designar la accin de analizar por medio de un programa el estado de los puertos de una mquina conectada a una red de comunicaciones.

Instituto Tecnolgico Superior de MacuspanaObjetivo del escaneo Detectar si un puerto est abierto.

Detectar si un puerto est cerrado o protegido por un cortafuegos.

Detectar qu servicios comunes est ofreciendo la mquina.

Posibles vulnerabilidades de seguridad segn los puertos abiertos.

Tambin puede llegar a detectar el sistema operativo que est ejecutando la mquina.

Descubrir direcciones IP del sistema objetivo (target).

Instituto Tecnolgico Superior de MacuspanaEn el escaneo el atacante utiliza toda la informacin que obtuvo en la Fase de Reconocimiento o (fase1) para identificar vulnerabilidades especficas. Por ejemplo, si el atacante descubri que su objetivo o su vctima usa el sistema operativo Windows XP entonces el buscara vulnerabilidades especificas que tenga ese sistema operativo para saber por dnde atacarlo.

Instituto Tecnolgico Superior de MacuspanaEnvenamiento de ARPEl envenenamiento ARP (en ingls Address Resolution Protocol o Protocolo de resolucin de direcciones) es una tcnica usada por atacantes en redes internas cuyo fin es obtener el trfico de red circundante, aunque no est destinado al sistema del propio intruso. Instituto Tecnolgico Superior de MacuspanaARP (Address Resolution Protocol) Se trata de un protocolo de red que sirve para determinar, a qu sistema concreto pertenece una IP. En una red local, ni las tarjetas de red ni los dispositivos que las unen (switch, puntos de acceso, etc.) entienden el protocolo IP. Ese es trabajo del sistema operativo.

Estos dispositivos, en un nivel ms bajo (cuando los datos todava no han sido interpretados por el sistema operativo) solo son capaces de reconocer direcciones MAC (fsicas).Instituto Tecnolgico Superior de MacuspanaCach ARPPara que el sistema operativo no tenga que realizar esa consulta de difusin cada vez que necesita conocer la direccin IP asociada a una MAC (o viceversa), suele almacenarlo en una memoria interna llamada cach ARP.

La cach ARP puede ser consultada en cualquier ordenador de forma muy sencilla a travs de una lnea de comando: arp -a Instituto Tecnolgico Superior de MacuspanaCon el comando es posible obtener una lista actualizada de las direcciones IP y direcciones MAC correspondientes en una red. Cuando un nuevo dispositivo es conectado a la misma, o el sistema se comunica por primera vez con otro ordenador, se enva un nuevo mensaje de difusin. Si por el contrario la red se mantiene estable, el sistema solo consulta la mayor parte del tiempo su memoria cach.

Resultado de consultar la cach ARP en un sistema Windows conectado a una red

Instituto Tecnolgico Superior de MacuspanaEl envenenamiento ARP consiste precisamente en intentar modificar esa cach, de forma que el sistema operativo recuerde una asociacin falsa entre direccin IP y direccin MAC.

Instituto Tecnolgico Superior de MacuspanaSnifferUn Sniffer es un software que se encarga de capturar paquetes en trnsito (entrada y salida) en una cierta red y analizarlos.

Instituto Tecnolgico Superior de MacuspanaUsos:Los Sniffers son una herramienta til a la hora de administrar y optimizar redes, ya que con estos puedes ver todos los paquetes en trnsito, sus IPs destino y origen, puertos, direcciones MAC (en algunos), etc. Con esto se puede detectar problemas en la red como loops, problemas de conectividad entre 2 ordenadores, exceso de trfico y muchas otras cosas.Instituto Tecnolgico Superior de Macuspana


Unidad 1...Conceptos básicos

Unidad 1...Conceptos básicos

Documents
Unidad 0 Conceptos BáSicos De GeografíA

Unidad 0 Conceptos BáSicos De GeografíA

Education
Unidad 1 Conceptos básicos de informática

Unidad 1 Conceptos básicos de informática

Education
New Unidad 1. Introducción. Conceptos Básicos (I)servicios.educarm.es/templates/portal/ficheros/websDina... · 2010. 9. 2. · Unidad 1. Introducción. Conceptos Básicos (I) PowerPoint

New Unidad 1. Introducción. Conceptos Básicos (I)servicios.educarm.es/templates/portal/ficheros/websDina... · 2010. 9. 2. · Unidad 1. Introducción. Conceptos Básicos (I) PowerPoint

Documents
Presentación Unidad 1. Conceptos básicos

Presentación Unidad 1. Conceptos básicos

Documents
Unidad 1 Conceptos Básicos HSI

Unidad 1 Conceptos Básicos HSI

Documents
Unidad 8 LA PREVENCIÓN DE RIESGOS: CONCEPTOS BÁSICOS

Unidad 8 LA PREVENCIÓN DE RIESGOS: CONCEPTOS BÁSICOS

Documents
Unidad 1 – Conceptos básicos de técnica contable...Unidad 1 – Conceptos básicos de técnica contable 2 Sugerencias didácticas ·· El objetivo principal de esta unidad es realizar

Unidad 1 – Conceptos básicos de técnica contable...Unidad 1 – Conceptos básicos de técnica contable 2 Sugerencias didácticas ·· El objetivo principal de esta unidad es realizar

Documents
Unidad 1: Conceptos Básicos de Química

Unidad 1: Conceptos Básicos de Química

Education
UNIDAD I. CONCEPTOS BÁSICOS - WordPress.com · 2016-11-07 · UNIDAD I. CONCEPTOS BÁSICOS Profesor: Arq. Aleixandre D. Villarroel M.Sc. 0414-0788703 Blog: aldevigofadula.wordpress.com

UNIDAD I. CONCEPTOS BÁSICOS - WordPress.com · 2016-11-07 · UNIDAD I. CONCEPTOS BÁSICOS Profesor: Arq. Aleixandre D. Villarroel M.Sc. 0414-0788703 Blog: aldevigofadula.wordpress.com

Documents
Ppt unidad 2 conceptos matemáticos básicos

Ppt unidad 2 conceptos matemáticos básicos

Education
2. Conceptos básicos-Unidad 2

2. Conceptos básicos-Unidad 2

Education
Unidad Conceptos eléctricos básicos · 2015-11-09 · Unidad 1 Conceptos eléctricos básicos 8448171578_Electrot_01.indd 7 06/05/2010 11:09:08. 1 Conceptos eléctricos básicos

Unidad Conceptos eléctricos básicos · 2015-11-09 · Unidad 1 Conceptos eléctricos básicos 8448171578_Electrot_01.indd 7 06/05/2010 11:09:08. 1 Conceptos eléctricos básicos

Documents
Unidad 1. Conceptos Básicos

Unidad 1. Conceptos Básicos

Documents
Unidad 1. Conceptos básicos de inventarios División de

Unidad 1. Conceptos básicos de inventarios División de

Documents
Unidad didáctica N° 01 05 Conceptos básicos - Acotamiento

Unidad didáctica N° 01 05 Conceptos básicos - Acotamiento

Documents
Unidad I. Conceptos Básicos

Unidad I. Conceptos Básicos

Education
Unidad III . Conceptos Básicos de Estadística

Unidad III . Conceptos Básicos de Estadística

Documents
Unidad modular 1. Conceptos básicos

Unidad modular 1. Conceptos básicos

Documents
Unidad 1 Conceptos básicos

Unidad 1 Conceptos básicos

Education
Unidad Ii Conceptos BáSicos

Unidad Ii Conceptos BáSicos

Technology
básicos de la Unidad I macroeconomía...Conceptos básicos de la macroeconomía. 11 Unidad I. Conceptos básicos de la macroeconomía Semana 1 Presentación E l análisis económico

básicos de la Unidad I macroeconomía...Conceptos básicos de la macroeconomía. 11 Unidad I. Conceptos básicos de la macroeconomía Semana 1 Presentación E l análisis económico

Documents
UNIDAD DIDÁCTICA 7. CONCEPTOS BÁSICOS DE QUÍMICA

UNIDAD DIDÁCTICA 7. CONCEPTOS BÁSICOS DE QUÍMICA

Documents
1. Unidad - Conceptos Básicos

1. Unidad - Conceptos Básicos

Documents
Info 3 b unidad 1 conceptos básicos

Info 3 b unidad 1 conceptos básicos

Education
Unidad 1. Conceptos Básicos en Costos y Presupuestos

Unidad 1. Conceptos Básicos en Costos y Presupuestos

Education
Conceptos Básicos - Unidad I

Conceptos Básicos - Unidad I

Documents
UNIDAD I. CONCEPTOS BÁSICOS Y ESTADÍSTICA DESCRIPTIVA

UNIDAD I. CONCEPTOS BÁSICOS Y ESTADÍSTICA DESCRIPTIVA

Documents
FUNDAMENTOS DE INFORMATICA UNIDAD 1: Conceptos Básicos

FUNDAMENTOS DE INFORMATICA UNIDAD 1: Conceptos Básicos

Documents
Estadística: conceptos básicos, · Estadística: conceptos básicos y definiciones. 2 Conceptos básicos . 3 Conceptos básicos cont. 4 Conceptos básicos cont. 5 Conceptos básicos

Estadística: conceptos básicos, · Estadística: conceptos básicos y definiciones. 2 Conceptos básicos . 3 Conceptos básicos cont. 4 Conceptos básicos cont. 5 Conceptos básicos

Documents