Análisis forense router Cisco.

En este post se van a tratar las prácticas forenses que se deben aplicar a un router Cisco o basados en Cisco.
En primer lugar hay que tener muy claro porque motivos se ataca un router. Los principales motivos son los siguientes:

Porque atacar un router:

  • Realizar un ataque de denegación de servicios (DoS) al router y a la red a la que pertenece.
  • Comprometer otros routers a través de el.
  • Desviar firewalls de red, IDS o otros servicios.
  • Monitorizar y grabar el tráfico entrante o saliente de la red.
  • Redirigir el tráfico de la red a otro punto.

También hay que tener claro la filosofía de trabajo de un router Cisco. Esta compuesto principalmente por dos memorias donde almacena los datos:

Las memorias son:

Memoria RAM:
Es una memoria no persistente, quiere decir que lo que esta almacenado en ella se borra al apagar el equipo.

En ella se almacena:

  • Configuración activa.
  • Tablas dinámicas: ARP, Routing, NAT, Violaciones ACL, estadísticas protocolos…

Memoria Flash:
Es persistente, aun apagando el equipo, esta memoria no se borra.

En esta memoria se almacena:

  • Configuración de arranque.
  • Archivos del sistema IOS.

Para empezar el análisis tenemos que tener en cuenta, basándonos en los datos relativos a la filosofía de trabajo del router, una metodología concreta, que consiste en:

  • No apagar ni reiniciar el router, evidentemente perderemos todos los datos almacenados en la RAM. Que son todos los datos que importan para el análisis, sin estés datos, el análisis no tiene sentido.
  • Aislar el router de la red, sobre todo si el ataque ya se ha realizado. Siempre con el cuidado de no desconectar la alimentación. En algunas casos se puede realizar sin aislar pero después de recoger información, para monitorizar si la actividad continua.
  • Conectarse para realizar el análisis forense a través del puerto consola del router y no a través de la red, porque se corrompería la escena.
  • Grabar la sesión completa de análisis de la consola en un archivo de log.
  • Ejecutar comandos que muestran configuraciones, pero nunca ejecutar comandos de configuración del router.
  • Una vez extraída la información volátil, podemos analizar las vulnerabilidades del router y escanear sus servicios a través de la red.

Después de tener en cuenta estas recomendaciones, pasamos a los comandos que tenemos que utilizar en la consola para extraer la configuración activa y las tablas dinámicas. La sesión de consola en la que se ejecuten estés comandos, debe ser grabada.

Los comandos son:

  • show clock detail
  • show version
  • show running-config
  • show startup-config
  • show reload
  • show ip route
  • show ip arp
  • show users
  • show logging
  • show ip interface
  • show interfaces
  • show tcp brief all
  • show ip sockets
  • show ip nat translations verbose
  • show ip cache flow
  • show ip cef
  • show snmp user
  • show snmp group
  • show clock detail

También podemos utilizar una herramienta automatizada para recabar esta información, se trata de CREED (Cisco Router Evidence Extraction Disk). Un disco auto arrancable que ejecuta un script para obtener esta información, ejecutando estos comandos:

# terminal length 0
# dir /all
# show clock detail
# show ntp
# show version
# show running-config
# show startup-config
# show reload
# show ip route
# show ip arp
# show users
# show logging
# show interfaces
# show ip interfaces
# show access-lists
# show tcp brief all
# show ip sockets
# show ip nat translations verbose
# show ip cache flow
# show ip cef
# show snmp users
# show snmp groups
# show clock detail
# exit

Después de obtener está información pasaremos a encontrar las vulnerabilidades o servicios por los que se ha podido comprometer la seguridad del router.

Para analizar vulnerabilidades utilizamos herramientas como: Router Audit Tool (RAT) y Nipper.
Para analizar servicios utilizamos: nmap, Cisco Torch, Cisco Snmp Tool…

Más información y descarga de CREED (Cisco Router Evidence Extraction Disk):
http://web.archive.org/web/20040214172413/http://cybercrime.kennesaw.edu/creed/

Más información y descarga de Cisco Torch, Cisco Snmp Tool y Router Audit Tool (RAT) en el post “Herramientas para asegurar dispositivos Cisco”:
http://vtroger.blogspot.com/2008/07/herramientas-para-asegurar-dispositivos.html

Más información y descarga de Nipper en el post “Auditar seguridad en dispositivos Cisco”:
http://vtroger.blogspot.com/2008/04/auditar-seguridad-en-dispositivos-cisco.html

13 comentarios en “Análisis forense router Cisco.

  • el julio 30, 2008 a las 3:55 pm
    Permalink

    Hola

    Excelentes post sobre seguridad y análisis forenses en routers cisco.

    Respuesta
  • el agosto 13, 2008 a las 1:29 am
    Permalink

    muy bueno todo pero quiero saber si me pueden ayudar con un tema para realizar un trabajo de grado sobre analisis forence

    Respuesta
  • el agosto 13, 2008 a las 8:21 am
    Permalink

    Hola anónimo
    Plantea tus dudas sobre informática forense en la dirección de correo que indico en el blog.
    Un saludo

    Respuesta
  • el octubre 20, 2008 a las 4:05 pm
    Permalink

    Me parece excelente este post pero quisiera saber si alguien me puede ayudar con un analisis forense en roiuter cisco pero en WINDOWS con la herramienta CREED.

    Le Agracedecia inmensamente.

    Respuesta
  • el octubre 21, 2008 a las 3:40 pm
    Permalink

    Hola anónimo
    Poco mas se puede explicar de CREED que no se diga en el post. Es un script que está en un disco autoarancable (no necesita ningún sistema operativo) que recaba información utilizando todos los comandos que indico arriba y genera un log con el resultado, es lo mismo que usar los comandos desde HyperTerminal. Lo único es que se ejecutan de una forma automatizada.
    Un saludo

    Respuesta
  • el octubre 22, 2008 a las 5:18 pm
    Permalink

    Muy bueno todo lo realacionado en este post pero quisiera saber como hago para utilizar el creed-0-2.dd, si puedo copiarlo en un diskette y arrancarlo o necesito realizar algun procedimiento adicional.

    necesito que alguien me colabore con los procedimientos desde que hacer para poder arancar el creed-0-2.dd hasta la extraccion de la informacion

    Por atro lado si alguien me puede colaborar con la utilizacion del RAT (Router Audit Tool) y Nipper.

    Estaria inmensamente agradecido con ustedes.

    Respuesta
  • el octubre 22, 2008 a las 6:38 pm
    Permalink

    Hola Anónimo
    En el enlace de descarga del CREED esta como instalarlo y ejecutarlo:
    http://web.archive.org/web/20040214172413/http://cybercrime.kennesaw.edu/creed/
    En el post: “Auditar seguridad en dispositivos Cisco” como usar Nipper.
    http://vtroger.blogspot.com/2008/04/auditar-seguridad-en-dispositivos-cisco.html
    En el enlace de descarga de RAT la descarga incorpora manual:
    http://www.cisecurity.org/bench_cisco.html
    Si tienes más dudas contacta a la dirección de correo que indico en el blog
    Un saludo

    Respuesta
  • el noviembre 13, 2008 a las 3:13 am
    Permalink

    alguien que me colabore con el creed y Rat que no se nada de ingles les agradeceia inmensamente.

    Respuesta
  • el noviembre 27, 2008 a las 5:21 pm
    Permalink

    Mi nombre es jhon jairo.

    y quisiera saber si alguien muy amablemente me puede colaborar, el problema es el siguiente.

    estoy intentando de utilizar el CREED para extraer informacion en un router cisco 1721 pero aranco desde el Diskette y lo unico que sale son puros :

    0404040404040404040404040404040404040404040404040404040404040404040404040404
    040404040404040404040404040404040404040404040404040404040404040404040404040404
    0404040404040404040404040404040404040404040404040404040404040404040404040404
    040404040404040404040404040404040404040404040404040404040404040404040404040404
    0404040404040404040404040404040404040404040404040404040404040404040404040404
    040404040404040404040404040404040404040404040404040404040404040404040404040404
    0404040404040404040404040404040404040404040404040404040404040404040404040404
    040404040404040404040404040404040404040404040404040404040404040404040404040404
    0404040404040404040404040404040404040404040404040404040404040404040404040404
    040404040404040404040404040404040404040404040404040404040404040404040404040404
    0404040404040404040404040404040404040404040404040404040404040404040404040404
    040404040404040404040404040404040404040404040404040404040404040404040404040404

    entonces no se si alguien me pueda colaborar para ver cual es el problema.

    Le agradeceria

    Respuesta
  • el diciembre 10, 2009 a las 12:53 am
    Permalink

    Gracias por este excelente post sobre analisis forense de router cisco

    Respuesta
  • el diciembre 10, 2009 a las 1:17 pm
    Permalink

    Muy buen aporte sobre Cisco y informática forense.

    Respuesta
  • el agosto 11, 2019 a las 8:26 pm
    Permalink

    Hola, amigo una consulta técnica. Yo tengo un AP Cisco AIR-LAP1041N-A-K9 ya en modo Anominus, sin embargo quiero ponerlo en modo repetdor que reciba la señal de un TP-LINK WR642g para ampliar mi radio de señal wifi, peo no se como hacerlo.
    Lo otro es, puedo conectar este AP directamente a un modem y que me de internet ¿.
    Muchas gracias por tu ayuda. saludos

    Respuesta

Deja un comentario

A %d blogueros les gusta esto: