En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Análisis forense router Cisco.

En este post se van a tratar las prácticas forenses que se deben aplicar a un router Cisco o basados en Cisco.
En primer lugar hay que tener muy claro porque motivos se ataca un router. Los principales motivos son los siguientes:

Porque atacar un router:

  • Realizar un ataque de denegación de servicios (DoS) al router y a la red a la que pertenece.
  • Comprometer otros routers a través de el.
  • Desviar firewalls de red, IDS o otros servicios.
  • Monitorizar y grabar el tráfico entrante o saliente de la red.
  • Redirigir el tráfico de la red a otro punto.

También hay que tener claro la filosofía de trabajo de un router Cisco. Esta compuesto principalmente por dos memorias donde almacena los datos:

Las memorias son:

Memoria RAM:
Es una memoria no persistente, quiere decir que lo que esta almacenado en ella se borra al apagar el equipo.

En ella se almacena:

  • Configuración activa.
  • Tablas dinámicas: ARP, Routing, NAT, Violaciones ACL, estadísticas protocolos…

Memoria Flash:
Es persistente, aun apagando el equipo, esta memoria no se borra.

En esta memoria se almacena:

  • Configuración de arranque.
  • Archivos del sistema IOS.

Para empezar el análisis tenemos que tener en cuenta, basándonos en los datos relativos a la filosofía de trabajo del router, una metodología concreta, que consiste en:

  • No apagar ni reiniciar el router, evidentemente perderemos todos los datos almacenados en la RAM. Que son todos los datos que importan para el análisis, sin estés datos, el análisis no tiene sentido.
  • Aislar el router de la red, sobre todo si el ataque ya se ha realizado. Siempre con el cuidado de no desconectar la alimentación. En algunas casos se puede realizar sin aislar pero después de recoger información, para monitorizar si la actividad continua.
  • Conectarse para realizar el análisis forense a través del puerto consola del router y no a través de la red, porque se corrompería la escena.
  • Grabar la sesión completa de análisis de la consola en un archivo de log.
  • Ejecutar comandos que muestran configuraciones, pero nunca ejecutar comandos de configuración del router.
  • Una vez extraída la información volátil, podemos analizar las vulnerabilidades del router y escanear sus servicios a través de la red.

Después de tener en cuenta estas recomendaciones, pasamos a los comandos que tenemos que utilizar en la consola para extraer la configuración activa y las tablas dinámicas. La sesión de consola en la que se ejecuten estés comandos, debe ser grabada.

Los comandos son:

  • show clock detail
  • show version
  • show running-config
  • show startup-config
  • show reload
  • show ip route
  • show ip arp
  • show users
  • show logging
  • show ip interface
  • show interfaces
  • show tcp brief all
  • show ip sockets
  • show ip nat translations verbose
  • show ip cache flow
  • show ip cef
  • show snmp user
  • show snmp group
  • show clock detail

También podemos utilizar una herramienta automatizada para recabar esta información, se trata de CREED (Cisco Router Evidence Extraction Disk). Un disco auto arrancable que ejecuta un script para obtener esta información, ejecutando estos comandos:

# terminal length 0
# dir /all
# show clock detail
# show ntp
# show version
# show running-config
# show startup-config
# show reload
# show ip route
# show ip arp
# show users
# show logging
# show interfaces
# show ip interfaces
# show access-lists
# show tcp brief all
# show ip sockets
# show ip nat translations verbose
# show ip cache flow
# show ip cef
# show snmp users
# show snmp groups
# show clock detail
# exit

Después de obtener está información pasaremos a encontrar las vulnerabilidades o servicios por los que se ha podido comprometer la seguridad del router.

Para analizar vulnerabilidades utilizamos herramientas como: Router Audit Tool (RAT) y Nipper.
Para analizar servicios utilizamos: nmap, Cisco Torch, Cisco Snmp Tool…

Más información y descarga de CREED (Cisco Router Evidence Extraction Disk):
http://web.archive.org/web/20040214172413/http://cybercrime.kennesaw.edu/creed/

Más información y descarga de Cisco Torch, Cisco Snmp Tool y Router Audit Tool (RAT) en el post “Herramientas para asegurar dispositivos Cisco”:
http://vtroger.blogspot.com/2008/07/herramientas-para-asegurar-dispositivos.html

Más información y descarga de Nipper en el post “Auditar seguridad en dispositivos Cisco”:
http://vtroger.blogspot.com/2008/04/auditar-seguridad-en-dispositivos-cisco.html
Análisis forense router Cisco. Análisis forense router Cisco. Reviewed by Álvaro Paz on miércoles, julio 23, 2008 Rating: 5

13 comentarios:

Anónimo dijo...

Hola

Excelentes post sobre seguridad y análisis forenses en routers cisco.

Anónimo dijo...

muy bueno todo pero quiero saber si me pueden ayudar con un tema para realizar un trabajo de grado sobre analisis forence

Alvaro Paz dijo...

Hola anónimo
Plantea tus dudas sobre informática forense en la dirección de correo que indico en el blog.
Un saludo

Anónimo dijo...

Me parece excelente este post pero quisiera saber si alguien me puede ayudar con un analisis forense en roiuter cisco pero en WINDOWS con la herramienta CREED.

Le Agracedecia inmensamente.

Alvaro Paz dijo...

Hola anónimo
Poco mas se puede explicar de CREED que no se diga en el post. Es un script que está en un disco autoarancable (no necesita ningún sistema operativo) que recaba información utilizando todos los comandos que indico arriba y genera un log con el resultado, es lo mismo que usar los comandos desde HyperTerminal. Lo único es que se ejecutan de una forma automatizada.
Un saludo

Anónimo dijo...

Muy bueno todo lo realacionado en este post pero quisiera saber como hago para utilizar el creed-0-2.dd, si puedo copiarlo en un diskette y arrancarlo o necesito realizar algun procedimiento adicional.

necesito que alguien me colabore con los procedimientos desde que hacer para poder arancar el creed-0-2.dd hasta la extraccion de la informacion


Por atro lado si alguien me puede colaborar con la utilizacion del RAT (Router Audit Tool) y Nipper.

Estaria inmensamente agradecido con ustedes.

Alvaro Paz dijo...

Hola Anónimo
En el enlace de descarga del CREED esta como instalarlo y ejecutarlo:
http://web.archive.org/web/20040214172413/http://cybercrime.kennesaw.edu/creed/
En el post: “Auditar seguridad en dispositivos Cisco” como usar Nipper.
http://vtroger.blogspot.com/2008/04/auditar-seguridad-en-dispositivos-cisco.html
En el enlace de descarga de RAT la descarga incorpora manual:
http://www.cisecurity.org/bench_cisco.html
Si tienes más dudas contacta a la dirección de correo que indico en el blog
Un saludo

Anónimo dijo...

alguien que me colabore con el creed y Rat que no se nada de ingles les agradeceia inmensamente.

Anónimo dijo...

Mi nombre es jhon jairo.

y quisiera saber si alguien muy amablemente me puede colaborar, el problema es el siguiente.

estoy intentando de utilizar el CREED para extraer informacion en un router cisco 1721 pero aranco desde el Diskette y lo unico que sale son puros :

0404040404040404040404040404040404040404040404040404040404040404040404040404
040404040404040404040404040404040404040404040404040404040404040404040404040404
0404040404040404040404040404040404040404040404040404040404040404040404040404
040404040404040404040404040404040404040404040404040404040404040404040404040404
0404040404040404040404040404040404040404040404040404040404040404040404040404
040404040404040404040404040404040404040404040404040404040404040404040404040404
0404040404040404040404040404040404040404040404040404040404040404040404040404
040404040404040404040404040404040404040404040404040404040404040404040404040404
0404040404040404040404040404040404040404040404040404040404040404040404040404
040404040404040404040404040404040404040404040404040404040404040404040404040404
0404040404040404040404040404040404040404040404040404040404040404040404040404
040404040404040404040404040404040404040404040404040404040404040404040404040404



entonces no se si alguien me pueda colaborar para ver cual es el problema.



Le agradeceria

Anónimo dijo...

Gracias por este excelente post sobre analisis forense de router cisco

Anónimo dijo...

Muy buen aporte sobre Cisco y informática forense.

Donde viven los patos dijo...

Es molt interessant!

Unknown dijo...

Hola, amigo una consulta técnica. Yo tengo un AP Cisco AIR-LAP1041N-A-K9 ya en modo Anominus, sin embargo quiero ponerlo en modo repetdor que reciba la señal de un TP-LINK WR642g para ampliar mi radio de señal wifi, peo no se como hacerlo.
Lo otro es, puedo conectar este AP directamente a un modem y que me de internet ¿.
Muchas gracias por tu ayuda. saludos

Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.