Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 77 vistas

    Actividad Eje 2 Informatica Forense

    Cargado por

    Javier Stenches Repulsive
    ytrewsdfg

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd

    Actividad Eje 2 Informatica Forense

    Cargado por

    Javier Stenches Repulsive
    77 vistas14 páginas
    ytrewsdfg

    Título original

    Actividad Eje 2 Informatica Forense.docx

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    ytrewsdfg

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    77 vistas14 páginas

    Actividad Eje 2 Informatica Forense

    Cargado por

    Javier Stenches Repulsive
    ytrewsdfg

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    Está en la página 1de 14

    INFORMATICA FORENSE I

    TEMA:

    DETECTANDO CONEXIONES
    WINDOWS

    TUTOR:

    CAMILO AUGUSTO CARDONA

    FUNDACIÓN UNIVERSITARIA
    DEL ÁREA ANDINA INGENIERÍA
    DE SISTEMAS VIRTUAL
    Agosto 2020
    CONTENIDO

    1. OBJETIVOS............................................................................................................................................3
    2. INTRODUCCIÓN....................................................................................................................................4
    3. ¿QUE PROCESO IDENTIFICA LA CONEXIÓN ESTABLECIDA USANDO EL SERVICIO TELNET?...................5
    4. IDENTIFICAR IP FUENTE, PUERTO ORIGEN, IP DESTINO, PUERTA DESTINO..........................................9
    5. VERIFICAR COMO EL SISTEMA DETECTO LA CONEXIÓN Y COMO LO ALMACENA EN LOS LOGS DEL
    SISTEMA......................................................................................................................................................10
    6. CONCLUSIONES..................................................................................................................................12
    7. REFERENCIAS......................................................................................................................................13
    1. OBJETIVOS

    ➢ Aplicar los conocimientos adquiridos durante la materia en el eje 2


    respecto a la conexión telnet y como identificar los diferentes tipos de
    conexiones que se emplean.
    ➢ Identificar los conceptos de cadena de custodia y como esta debe
    preservarse para garantizar la integridad de la información recolectada
    con el fin de darle uso ante un juicio.
    ➢ Reconocer por medio de la actividad del eje 2, como hacer análisis de
    posibles modificaciones en aplicaciones de un equipo o modificaciones
    dentro de conexiones entrantes o salientes.
    ➢ Establecer conexión entre los conceptos de cadena de custodia,
    evidencia, material probatorio y pruebas de recolección.
    2. INTRODUCCIÓN

    Durante el desarrollo de esta actividad estaremos realizando un análisis


    por medio de una máquina virtual, ingresando a diferentes sesiones con
    finalidades diferentes, tengamos presente que debemos establecer la
    conexión entre esos usuarios, estaríamos identificando desde un usuario
    administrador el cual va a ser usado como referencia para hacer estudio
    de los otros usuarios, su comportamiento y actividades realizadas, con el
    fin de lograr estudiar los logs del equipo y entender que tipo de
    conexiones fueron realizadas, procesos abiertos y ejecutados.

    Este procedimiento nos ayudara a reforzar cada uno de nuestros


    conceptos adquiridos durante el eje, ya que estos son parte del proceso
    de recolección de datos que componen una evidencia. Como parte de la
    seguridad y del proceso de recolección debemos tener en cuenta que uno
    de los procesos más importantes es la recolección de los logs de un
    equipo, ya que allí se registran todos los eventos realizados en la maquina
    segmentados por; como, donde, cuando, y desde. Para clarificar este
    proceso básicamente es identificar cuando se comete el delito; en los logs
    se almacena desde donde fue cometido, como fue cometido, cuando fue
    cometido y desde que app fue cometido.
    3. ¿QUE PROCESO IDENTIFICA LA CONEXIÓN ESTABLECIDA USANDO EL
    SERVICIO TELNET?

    Activación de telnet Windows 7


    Por defecto, Telnet no viene instalado en Windows 7, tendremos que activarlo
    y lo haremos siguiendo estos pasos:

    • Menú de inicio.
    • Panel de control,
    • Activar o desactivar las características de Windows
    • Busca la entrada “Cliente Telnet”.
    • Clic en la casilla junto a “Cliente Telnet” y haz clic en OK.
    PROCESO ‘CONEXIÓN TCP/IP:

    Consiste en establecer la conexión TCP/IP a partir de la apertura de un


    socket que deberá posteriormente asociarse y conectarse al socket del
    servidor, este estará bloqueado esperando la conexión del cliente
    generamos una aplicación en modo orientado a conexión También se
    arrancará un temporizador en la máquina del cliente para establecer
    un plazo máximo de retardo en la conexión; en caso de expirar, se
    intentará una vez más (el control del número de conexiones intentadas

    se llevará a cabo mediante una variable de programa llamada NUM


    CONEXIÓN y en caso de volver a fallar, se asumirá que existe un
    problema con la conexión o con el servidor, y se finalizará la ejecución
    del programa sacando un mensaje de error por el terminal del cliente.
    En caso de no haber problemas, eso significa que el establecimiento
    de la conexión TCP/IP ha sido satisfactorio, y por tanto habremos
    finalizado con éxito este proceso. Lo habitual es realizar la conexión a
    través del puerto 23 del servidor, para ello será necesario establecer el
    par Dirección IP-Puerto de la manera adecuada.
    PROCESO ‘NEGOCIACIÓN DE OPCIONES:

    En este proceso, el cliente y el servidor llevarán a cabo la negociación de


    opciones previa a
    la sesión Telnet. Esta negociación engloba opciones tales como la velocidad
    de terminal, el tipo de terminal que tiene el cliente para su posterior mapeo
    en el NVT, una vez finalizada la negociación, el modo de funcionamiento. Es
    importante destacar que, en este proceso, tanto el cliente como el servidor
    pueden iniciar la negociación de la mayoría de las opciones de forma
    simétrica, aun a pesar de limitar ciertas opciones a uno solo de los dos
    terminales (por ejemplo, el servidor trabaja por defecto en modo carácter, y
    no pedirá nunca el cambio a otro modo de funcionamiento; será el cliente el
    único que pueda iniciar la negociación de esta opción

    PROCESO ‘AUTENTICACIÓN EN EL SERVIDOR:

    Este proceso se encarga de esperar a que, una vez finalizada la negociación


    de opciones por parte de ambos extremos, el servidor le envíe el prompt para
    iniciar la sesión Telnet. Como por defecto, para que la sesión se admita en el
    servidor, el cliente ha de identificarse con un nombre de usuario y una clave
    (ambas recogidas en un fichero o una base de datos en el servidor), el
    servidor enviará una petición de nombre de usuario y contraseña después de
    que el cliente intente iniciar la sesión.
    Dado que, además, en Telnet toda la información se envía en claro, para que
    el envío de la contraseña de identificación no suponga un problema de
    seguridad para el cliente ni para el servidor, se llevará a cabo un proceso de
    cifrado de la contraseña mediante DES, de forma transparente al usuario. En
    caso de introducir un par usuario-contraseña válido (es decir, reconocido por
    el servidor), se dará paso a la sesión Telnet.

    PROCESO ‘SESIÓN: REALIZAR OPERACIONES:


    En este proceso se llevará a cabo la sesión Telnet propiamente dicha. Esta
    sesión depende de la aplicación y del tipo de servidor que tengamos; podría
    tratarse, por ejemplo, de un Router que se quisiera configurar de forma
    remota a partir de la conexión a éste desde un cliente Telnet, o bien un
    servidor de compartición de archivos que permitiera subir y/o descargar
    documentos en/desde el servidor. Para que el cliente sepa por dónde
    empezar a la hora de buscar las opciones necesarias, se le enviará un
    mensaje desde el servidor indicándole que teclee ‘help’ para conocer todos
    los comandos del sistema que puede ejecutar.

    PROCESO ‘LIBERAR CONEXIÓN TCP/IP:

    Este proceso se encarga de, una vez que el cliente cierra la sesión Telnet,
    cerrar también la conexión TCP/IP liberándola. Para ello debe liberar el socket
    primitivo ‘close (id_socket) donde id_socket es el descriptor del socket de la
    conexión TCP/IP). Este proceso es, por tanto, muy sencillo.

    PROCESO ‘FINALIZAR PROGRAMA:

    Este proceso es simplemente una manera de indicar en el flujograma que


    finaliza la ejecución de la aplicación cliente, mediante una primitiva
    exit(código)’ que, en función
    del código de retorno que devuelva, nos indicará si todo ha ido bien o si ha
    habido algún incidente durante la ejecución. Los valores de retorno que puede
    devolver el proceso son:

    • 0: el proceso terminó normalmente, tras la liberación de la conexión


    TCP/IP posterior al fin de la sesión Telnet.

    • -1: se produjo algún fallo durante el establecimiento de la conexión


    TCP/IP durante el proceso de conexión.

    • -2: el cliente agotó los 3 intentos de autenticación de usuario y


    contraseña antes de iniciar la sesión Telnet En los procesos anteriormente
    descritos podrían opcionalmente introducirse mecanismos de control de
    errores de conexión, por ejemplo, mediante temporizadores, para evitar la
    pérdida de datos. Hay que tener en cuenta que, a menos que el servidor
    acepte lo contrario, el método de trabajo por defecto es el modo carácter, por
    lo que se sobrecarga la red de tráfico y por tanto pueden existir frecuentes
    retrasos y colisiones

    4. IDENTIFICAR IP FUENTE, PUERTO ORIGEN, IP DESTINO,


    PUERTA DESTINO.
    5. VERIFICAR COMO EL SISTEMA DETECTO LA CONEXIÓN Y COMO
    LO ALMACENA EN LOS LOGS
    DEL SISTEMA

    Inicialmente el sistema operativo detecta la conexión realizada mediante el


    visor de eventos (Panel de control-Herramientas administrativas-Visor de
    eventos), en este caso le haremos seguimiento al apartado de Registros de
    Windows-seguridad. Aquí podremos visualizar nuestros eventos referentes a
    cambios que se hayan realizado en materia de seguridad del sistema
    operativo.

    Inicialmente por buenas prácticas es necesario obtener una copia de los


    registros, esta se realiza de la siguiente manera:

    Después de guardar en una unidad extraible los eventos los podemos abrir
    con el fin de ver cuales son los eventos que nos interesa ver; en este caso
    el evento 4907.

    Ingresamos al evento con doble click y nos aparece lo siguiente:


    Esto prueba que hemos podido realizar una conexión mediante el comando
    Telnet.
    6. CONCLUSIONES

    ➢ Se identificó la importancia de hacer uso de las herramientas de


    recolección con el fin de establecer la cadena de custodia, evidencias
    y material probatorio.
    ➢ Se comprendieron conceptos como Análisis de datos, técnicas y
    procedimientos de análisis forense, preservación de la evidencia digital
    como elemento probatorio y también como se debe realizar la correcta
    recolección de datos.
    ➢ Se logro comprender como se debe realizar la conexión telnet para
    identificar los tipos de conexiones y puertos que se usan al momento
    de realizar conexión.
    ➢ Se lo logro establecer la conexión que existe entre los conceptos de
    cadena de custodia, evidencia, material probatorio y pruebas de
    recolección y que finalidad tiene cada una dentro de una investigación
    forense.
    7. REFERENCIAS

    ➢ Bbrezinski, D. y Killalea, T. (2002). RFC 3227: Guidelines for Evidence


    Collection and Archiving. Network Working Group. February.
    Recuperado de http://www.rfceditor.org/rfc/rfc3227.txt
    ➢ Brezinski, D., y Killalea, T. (2002). RFC3227 Guía para preservación de
    evidencia digital. Recuperado de https://www.ietf.org/rfc/rfc3227.txt
    ➢ Fiscalía General de la Nación. (s.f.). Cadena de custodia. Recuperado de
    https://www.fiscalia.gov.co/colombia/wp-
    content/uploads/2012/01/manualcadena2.pdf
    ➢ Telnet-Ecured. (2017). Recuperdo de https://www.ecured.cu/Telnet
    ➢ Herramientas web para la enseñanza de protocoloas de comunicación.
    El protocolo TELNET, (2014). Recuperado
    de https://neo.lcc.uma.es/evirtual/cdd/tutorial/aplicacion/telnet.html
    ➢ Protocolo de control de transmisión. Wikipedia. (2020) Recuperado de:
    https://es.wikipedia.org/wiki/Protocolo_de_control_de_transmisi
    %C3%B3n

    También podría gustarte