marzo 28, 2024
Voiced by Amazon Polly
Comparte en redes sociales

En este post se van a tratar las prácticas forenses que se deben aplicar a un router Cisco o basados en Cisco.
En primer lugar hay que tener muy claro porque motivos se ataca un router. Los principales motivos son los siguientes:

Porque atacar un router:

  • Realizar un ataque de denegación de servicios (DoS) al router y a la red a la que pertenece.
  • Comprometer otros routers a través de el.
  • Desviar firewalls de red, IDS o otros servicios.
  • Monitorizar y grabar el tráfico entrante o saliente de la red.
  • Redirigir el tráfico de la red a otro punto.

También hay que tener claro la filosofía de trabajo de un router Cisco. Esta compuesto principalmente por dos memorias donde almacena los datos:

Las memorias son:

Memoria RAM:
Es una memoria no persistente, quiere decir que lo que esta almacenado en ella se borra al apagar el equipo.

En ella se almacena:

  • Configuración activa.
  • Tablas dinámicas: ARP, Routing, NAT, Violaciones ACL, estadísticas protocolos…

Memoria Flash:
Es persistente, aun apagando el equipo, esta memoria no se borra.

En esta memoria se almacena:

  • Configuración de arranque.
  • Archivos del sistema IOS.

Para empezar el análisis tenemos que tener en cuenta, basándonos en los datos relativos a la filosofía de trabajo del router, una metodología concreta, que consiste en:

  • No apagar ni reiniciar el router, evidentemente perderemos todos los datos almacenados en la RAM. Que son todos los datos que importan para el análisis, sin estés datos, el análisis no tiene sentido.
  • Aislar el router de la red, sobre todo si el ataque ya se ha realizado. Siempre con el cuidado de no desconectar la alimentación. En algunas casos se puede realizar sin aislar pero después de recoger información, para monitorizar si la actividad continua.
  • Conectarse para realizar el análisis forense a través del puerto consola del router y no a través de la red, porque se corrompería la escena.
  • Grabar la sesión completa de análisis de la consola en un archivo de log.
  • Ejecutar comandos que muestran configuraciones, pero nunca ejecutar comandos de configuración del router.
  • Una vez extraída la información volátil, podemos analizar las vulnerabilidades del router y escanear sus servicios a través de la red.

Después de tener en cuenta estas recomendaciones, pasamos a los comandos que tenemos que utilizar en la consola para extraer la configuración activa y las tablas dinámicas. La sesión de consola en la que se ejecuten estés comandos, debe ser grabada.

Los comandos son:

  • show clock detail
  • show version
  • show running-config
  • show startup-config
  • show reload
  • show ip route
  • show ip arp
  • show users
  • show logging
  • show ip interface
  • show interfaces
  • show tcp brief all
  • show ip sockets
  • show ip nat translations verbose
  • show ip cache flow
  • show ip cef
  • show snmp user
  • show snmp group
  • show clock detail

También podemos utilizar una herramienta automatizada para recabar esta información, se trata de CREED (Cisco Router Evidence Extraction Disk). Un disco auto arrancable que ejecuta un script para obtener esta información, ejecutando estos comandos:

# terminal length 0
# dir /all
# show clock detail
# show ntp
# show version
# show running-config
# show startup-config
# show reload
# show ip route
# show ip arp
# show users
# show logging
# show interfaces
# show ip interfaces
# show access-lists
# show tcp brief all
# show ip sockets
# show ip nat translations verbose
# show ip cache flow
# show ip cef
# show snmp users
# show snmp groups
# show clock detail
# exit

Después de obtener está información pasaremos a encontrar las vulnerabilidades o servicios por los que se ha podido comprometer la seguridad del router.

Para analizar vulnerabilidades utilizamos herramientas como: Router Audit Tool (RAT) y Nipper.
Para analizar servicios utilizamos: nmap, Cisco Torch, Cisco Snmp Tool…

Más información y descarga de CREED (Cisco Router Evidence Extraction Disk):
http://web.archive.org/web/20040214172413/http://cybercrime.kennesaw.edu/creed/

Más información y descarga de Cisco Torch, Cisco Snmp Tool y Router Audit Tool (RAT) en el post “Herramientas para asegurar dispositivos Cisco”:
http://vtroger.blogspot.com/2008/07/herramientas-para-asegurar-dispositivos.html

Más información y descarga de Nipper en el post “Auditar seguridad en dispositivos Cisco”:
http://vtroger.blogspot.com/2008/04/auditar-seguridad-en-dispositivos-cisco.html

13 pensamientos sobre “Análisis forense router Cisco.

  1. muy bueno todo pero quiero saber si me pueden ayudar con un tema para realizar un trabajo de grado sobre analisis forence

  2. Me parece excelente este post pero quisiera saber si alguien me puede ayudar con un analisis forense en roiuter cisco pero en WINDOWS con la herramienta CREED.

    Le Agracedecia inmensamente.

  3. Hola anónimo
    Poco mas se puede explicar de CREED que no se diga en el post. Es un script que está en un disco autoarancable (no necesita ningún sistema operativo) que recaba información utilizando todos los comandos que indico arriba y genera un log con el resultado, es lo mismo que usar los comandos desde HyperTerminal. Lo único es que se ejecutan de una forma automatizada.
    Un saludo

  4. Muy bueno todo lo realacionado en este post pero quisiera saber como hago para utilizar el creed-0-2.dd, si puedo copiarlo en un diskette y arrancarlo o necesito realizar algun procedimiento adicional.

    necesito que alguien me colabore con los procedimientos desde que hacer para poder arancar el creed-0-2.dd hasta la extraccion de la informacion

    Por atro lado si alguien me puede colaborar con la utilizacion del RAT (Router Audit Tool) y Nipper.

    Estaria inmensamente agradecido con ustedes.

  5. Hola Anónimo
    En el enlace de descarga del CREED esta como instalarlo y ejecutarlo:
    http://web.archive.org/web/20040214172413/http://cybercrime.kennesaw.edu/creed/
    En el post: “Auditar seguridad en dispositivos Cisco” como usar Nipper.
    http://vtroger.blogspot.com/2008/04/auditar-seguridad-en-dispositivos-cisco.html
    En el enlace de descarga de RAT la descarga incorpora manual:
    http://www.cisecurity.org/bench_cisco.html
    Si tienes más dudas contacta a la dirección de correo que indico en el blog
    Un saludo

  6. Mi nombre es jhon jairo.

    y quisiera saber si alguien muy amablemente me puede colaborar, el problema es el siguiente.

    estoy intentando de utilizar el CREED para extraer informacion en un router cisco 1721 pero aranco desde el Diskette y lo unico que sale son puros :

    0404040404040404040404040404040404040404040404040404040404040404040404040404
    040404040404040404040404040404040404040404040404040404040404040404040404040404
    0404040404040404040404040404040404040404040404040404040404040404040404040404
    040404040404040404040404040404040404040404040404040404040404040404040404040404
    0404040404040404040404040404040404040404040404040404040404040404040404040404
    040404040404040404040404040404040404040404040404040404040404040404040404040404
    0404040404040404040404040404040404040404040404040404040404040404040404040404
    040404040404040404040404040404040404040404040404040404040404040404040404040404
    0404040404040404040404040404040404040404040404040404040404040404040404040404
    040404040404040404040404040404040404040404040404040404040404040404040404040404
    0404040404040404040404040404040404040404040404040404040404040404040404040404
    040404040404040404040404040404040404040404040404040404040404040404040404040404

    entonces no se si alguien me pueda colaborar para ver cual es el problema.

    Le agradeceria

  7. Hola, amigo una consulta técnica. Yo tengo un AP Cisco AIR-LAP1041N-A-K9 ya en modo Anominus, sin embargo quiero ponerlo en modo repetdor que reciba la señal de un TP-LINK WR642g para ampliar mi radio de señal wifi, peo no se como hacerlo.
    Lo otro es, puedo conectar este AP directamente a un modem y que me de internet ¿.
    Muchas gracias por tu ayuda. saludos

Deja un comentario