Actividad Eje 2 Informatica Forense

 

INFORMATICA FORENSE I

TEMA: DETECTANDO CONEXIONES WINDOWS

TUTOR: CAMILO AUGUSTO CARDONA

FUNDACIÓN UNIVERSITARIA DEL ÁREA ANDINA INGENIERÍA DE SISTEMAS VIRTUAL Agosto 2020

 

CONTENIDO

1.

OBJETIVOS ............... .............................. ............................. ............................. .............................. ............................. ............................. ............................. ..................................... ....................... 3

2.

INTR INTRODUC ODUCCIÓN CIÓN ............. ........................... ............................. .............................. ............................. ............................. .............................. ............................. ............................... ................. 4

3.

¿QU ¿QUE E PR PROCE OCESO SO IDE IDENTI NTIFI FICA CA LA CON CONEX EXIÓN IÓN EST ESTAB ABLE LECID CIDA A US USAND ANDO O EL SER SERVI VICIO CIO TEL TELNET NET??...................5

4. IDE IDENTI NTIFI FICAR CAR IP FU FUENT ENTE, E, PUE PUERTO RTO ORI ORIGEN GEN,, IP DES DESTIN TINO, O, PU PUERT ERTA A DES DESTI TINO NO..........................................9 5. VERIFICAR COMO EL SISTEMA DETECTO LA CONEXIÓN Y COMO LO ALMACENA EN LOS LOGS DEL SISTEMA............. 10   ............................ .............................. ............................. ............................. .............................. ............................. ............................. ............................. .................................. .................... 10 6.

CONCLUSIONES ............. ............................ ............................. ............................. .............................. ............................. ............................. ............................................ ............................. 12

7.

REFE REFERENC RENCIAS IAS.............. ............................. .............................. ............................. ............................. .............................. ............................. ............................. ................................ ................. 13

 

1.

➢

➢

➢

➢

OBJETIVOS

Aplicar los conocimientos adquiridos durante la materia en el eje 2 respecto a la conexión telnet y como identificar los diferentes tipos de conexiones que se emplean. Identificar los conceptos de cadena de custodia y como esta debe preservarse para garantizar la integridad de la información recolectada con el fin de darle uso ante un juicio. Reconocer por medio de la actividad del eje 2, como hacer análisis de posibles modificaciones en aplicaciones de un equipo o modificaciones dentro de conexiones entrantes o salientes. Establecer conexión entre los conceptos de cadena de custodia, evidencia, material probatorio y pruebas de recolección.

 

2.

INTRODUCCIÓN

Durante el desarrollo de esta actividad estaremos realizando un análisis por medio de una máquina virtual, ingresando a diferentes sesiones con finalidades diferentes, tengamos presente que debemos establecer la conexión entre esos usuarios, estaríamos identificando desde un usuario administrador el cual va a ser usado como referencia para hacer estudio de los otros usuarios, usuarios, su compor comportamie tamiento nto y actividades actividades realizadas realizadas,, con el fin de logr lograr ar estudiar estudiar los logs del equipo y entende entenderr

que

tipo

de

conexiones fueron realizadas, procesos abiertos y ejecutados. Este procedimiento nos ayudara a reforzar cada

uno

de

nuestros

conceptos adquiridos durante el eje, ya que estos son parte del proceso de recolección de datos que componen una evidencia. Como parte de la seguridad segur idad y del proce proceso so de recolec recolección ción debemo debemoss tener en cuenta cuenta que uno de los procesos más importantes es la recolección de los logs de un equipo, ya que allí se registran todos los eventos realizados en la maquina segmentados por; como, donde, cuando, y desde. Para clarificar este proceso básicamente es identificar cuando se comete el delito; en los logs se almacena desde donde fue cometido, como fue cometido, cuando fue cometido y desde que app fue cometido.

 

3.

¿QUE PROCESO IDENTIFICA LA CONEXIÓN ESTABLECIDA USANDO EL SERVICIO TELNET?

Activación de telnet Windows 7 Por defecto, Telnet no viene instalado en Windows 7, tendremos que activarlo y lo haremos siguiendo estos pasos: • • • • •

Menú de inicio. Panel de control, Activar o desactivar las características de Windows Busca la entrada “Cliente Telnet”. Clic en la casilla junto a “Cliente Telnet” y haz clic en OK.

 

PROCESO ‘CONEXIÓN TCP/IP: Consiste en establecer la conexión TCP/IP a partir de la apertura de un sockett que deberá post socke posterior eriormente mente asociar asociarse se y conect conectarse arse al socke sockett del servidor, este estará bloqueado esperando la conexión del cliente generamos una aplicación en modo orientado a conexión También se arrancará un temporizador en la máquina del cliente para establecer un plazo máximo de retardo en la conexión; en caso de expirar, se intentará una vez más (el control del número de conexiones intentadas

se llevará a cabo mediante una variable de programa llamada NUM CONEXIÓN y en caso de volver a fallar, se asumirá que existe un problema con la conexión o con el servidor, y se finalizará la ejecución del programa sacando sacando un mensaje de error por el term terminal inal del client cliente. e. En caso de no haber problemas, eso significa que el establecimiento de la conexión TCP/IP ha sido satisfactorio, y por tanto habremos finalizado final izado con éxito este proceso. Lo habitual es realizar realizar la conexi conexión ón a través del puerto 23 del servidor, para ello será necesario establecer el par Dirección IP-Puerto de la manera adecuada.

 

PROCESO ‘NEGOCIACIÓN DE OPCIONES:

En este proceso, el cliente y el servidor llevarán a cabo la negociación de opciones previa a la sesión Telnet. Esta negociación engloba opciones tales como la velocidad de terminal, el tipo de terminal que tiene el cliente para su posterior mapeo en el NVT, una vez finalizada la negociación, el modo de funcionamiento. Es importante destacar que, en este proceso, tanto el cliente como el servidor pueden iniciar la nego negociación ciación de la mayoría de llas as o opciones pciones de de

forma

simétrica, aun a pesar de limitar ciertas opciones a uno solo de los dos terminales termi nales (por ejemplo, el servidor trabaj trabaja a por defecto en modo carácter, carácter, y no pedirá nunca el cambio a otro modo de funcionamiento; será el cliente el único que pueda iniciar la negociación de esta opción PROCESO ‘AUTENTICACIÓN EN EL SERVIDOR:

Este proceso se encarga de esperar a que, una vez finalizada la negociación de opciones por parte de ambos extremos, el servidor le envíe el prompt para iniciar la sesión Telnet. Como por defecto, para que la sesión se admita en el servidor, el cliente ha de identificarse con un nombre de usuario y una clave (ambas recogidas en un fichero o una base de datos en el

servidor), el

servidor enviará una petición de nombre de usuario y contraseña después de que el cliente intente iniciar la sesión.

 

Dado que, además, en Telnet toda la información se envía en claro, para que el envío de la contraseña de identificación no suponga un problema de seguridad para el cliente ni para el servidor, se llevará a cabo un proceso de cifrado de la contraseña mediante DES, de forma transparente al usuario. En caso de introducir un par usuario-contraseña usuario-contraseña válido (e (ess decir, reconocido por el servidor), se dará paso a la sesión Telnet. PROCESO ‘SESIÓN: REALIZAR OPERACIONES:

En este proceso se llevará a cabo la sesión Telnet propiamente dicha. Esta sesión depende de la aplicación y del tipo de servidor que tengamos; podría tratarse, por ejemplo, de un Router que se quisiera configurar de forma remota a partir de la conexión a éste desde un cliente Telnet, o bien un servidor de compartición de archivos que permitiera subir y/o descargar documentos en/desde el servidor. Para que el cliente sepa

por

dónde

empezarr a la hora de buscar empeza buscar las opcion opciones es neces necesarias arias,, se le

enviará enviará un

mensaje mensa je desde el ser servidor vidor indicá indicándole ndole que tecl teclee ee ‘help’ para para conocer todo todoss los comandos del sistema que puede ejecutar. PROCESO ‘LIBERAR CONEXIÓN TCP/IP:

Este proceso se encarga de, una vez que el cliente cierra la sesión Telnet, cerrar también la conexión TCP/IP liberándola. Para ello debe liberar el socket primitivo ‘close (id_socket) donde id_socket es el descriptor del socket de la conexión TCP/IP). Este proceso es, por tanto, muy sencillo. PROCESO ‘FINALIZAR PROGRAMA:

Este proceso es simplemente una manera de indicar en el flujograma que finaliza la ejecución de la aplicación cliente, mediante una primitiva exit(código)’ que, en función

 

del código de retorno que devuelva, nos indicará si todo ha ido bien o si ha habido algún incidente durante la ejecución. Los valores de retorno que puede devolver el proceso son: •

•

•

0: el proceso terminó normalmente, tras la liberación de la conexión TCP/IP posterior al fin de la sesión Telnet. -1: se produjo algún fallo durante el establecimiento de la conexión TCP/IP durante el proceso de conexión. -2: el cliente agotó los 3 intentos de autenticación de usuario y contraseña antes de iniciar la sesión Telnet En los procesos anteriormente descritos podrían opcionalmente introducirse mecanismos de control de errores de conexión, por ejemplo, mediante temporizadores, para evitar la pérdida pérd ida de datos datos.. Hay que tene tenerr en cuen cuenta ta que, a men menos os que el serv servidor idor acepte lo contrario, el método de trabajo por defecto es el modo carácter, por lo que se sobrecarga la red de tráfico y por tanto pueden existir frecuentes retrasos y colisiones

4.

IDENTIFICAR IP FUENTE, PUERTO ORIGEN, IP DESTINO, PUERTA DESTINO.

 

5.

VERIFICAR COMO EL SISTEMA DETECTO LA CONEXIÓN Y COMO LO ALMACENA EN LOS LOGS DEL SISTEMA

Inicialmente el sistema operativo detecta la conexión realizada mediante el visor de eventos (Panel de control-Herramientas administrativas-Visor de eventos), en este caso le haremos seguimiento al apartado de Registros de Windows-seguridad. Aquí podremos visualizar nuestros eventos referentes a cambios que sse e haya hayan n re realizado alizado en materia de seguridad del

sistema

operativo. Inicialmente por buenas prácticas es necesario obtener una copia de los registros, esta se realiza de la siguiente manera:

Después de guardar en una unidad extraible los eventos los podemos abrir con el fin de ver cuales son los eventos que nos interesa ver; en este caso el evento 4907.

Ingresamos al evento con doble click y nos aparece lo siguiente:

 

Esto prueba que hemos podido realizar una conexión mediante el comando Telnet.

 

6. ➢

➢

➢

➢

CONCLUSIONES

Se identificó la importancia de hacer uso de las herramientas de recolección recolecci ón con el fin de establecer la cadena de custodia, evidencias y material probatorio.

Se comprendieron conceptos como Análisis de datos, técnicas y procedimientos de análisis forense, preservación de la evidencia digital como elemento probatorio y también como se debe realizar la correcta recolección de datos. Se logro comprender como se debe realizar la conexión telnet para identificar los tipos de conexiones y puertos que se usan al momento de realizar conexión. Se lo logro establecer la conexión que existe entre los conceptos de cadena de custodia, evidencia, material probatorio y pruebas de recolección y que finalidad tiene cada una dentro de una investigación forense.

 

7.

➢

➢

Bbrezinski, D. y Killalea, T. (2002). RFC 3227: Guidelines for Evidence Collection and Archiving. Network Working Group. February. Recuperado de  de http://www http://www.rfcedi .rfceditor.or tor.org/rfc/rf g/rfc/rfc3227.t c3227.txt xt Brezinski, D., y Killalea, T. (2002). RFC3227 Guía para preservación de .o r g /r f c /r f c 32 2 7 .txt  evidenci ncia a digital  Recuperado de https://www ie t f .o Fiscalía General de la Nación. (s.f.). Cadena de custodia. Recuperado de  www fis c a lia .g  .go o v .c o /c o lo mb ia /wp -  https :// ww cont e n t /up lo a d s /20 1 2 /0 1 /m a nu a lc a d en a 2 .p d f  Telnet-Ecured  (2017)  Recuperdo de https ://ww w .e cu r e d .cu/ T e ln e t  Herramientas web para la enseñanza de protocoloas de comunicación. El protocolo TELNET, (2014). Recuperado .

.

➢

REFERENCIAS

.

➢ ➢

.

de  http s : // n e o   lcc.um a . e s / e v i r tu a l/ c d d / tu t o r ia l/ a p lic a ci o n / t e ln e t.html  Protocolo de control de transmisión. Wikipedia. (2020) Recuperado de:  l_ d e  _t _t ra n s mi s i https :// e s .wi k ip e d ia .o r g /wik i/Pr o t o c o lo _  _ d e _c  _c o n t r o  _ .

➢

.

%C3%B3n