INFORMATICA FORENSE: By ShadinessDark

No es gran aporte pero es un pequeño relato.

INFORMATICA FORENSE:

Antes de empezar quiero darle un saludo a los lectores y la a comunidad BugDox este Tema se basa en algo Básico que es la TEORIA…

1.1 Relato del autor

Digamos que en el mundo de la informática forense el trabajo es extraer datos de almacenamiento De determinada información, Y examinar datos potenciales pertinentes o pruebas, Cuando Examinamos los datos con mucha frecuencia es decir a menudo nos conduce a una visión lo que
Un intruso u/o empresa estaba haciendo en el momento de los medios de almacenamiento.

1.2 Firewall Analysis

Digamos que en la mayoría de sitios/empresas el servidor de seguridad siempre es el primero y único obstáculo para algún atacante con la intención de acceder a los recursos internos de cuyo Empresa por lo tanto seria vital que el firewall este configurado correctamente por lo tanto no Permite el trafico a la red no autorizada Es muy común que el conjunto de Reglas del firewall que Regula lo que esta autorizado o no es decir si hay un archivo llamado bugdox y esta un intruso llamado pedro y el firewall esta configurado para darle permiso a bugdox pero no a pedro y pedro intenta acceder a los archivos interno le Daria un mensaje de que no es requerido en el SISTEMA.

1.3 Un firewall

Como la mayoría debe conocer un firewall es un conjunto integrado en medidas de seguridad Es destinado a impedir los accesos electrónicos no autorizados a un sistema de red como Sabemos también es un conjunto de dispositivos configurados para:

Permitir
Negar
Cifrar
Descifrar
O el proxy en todo el trafico del equipo entre los diferentes dominios de la seguridad que se basa
En un conjunto de normas y otros criterios...










1.3 Los puertos

Muchos de los lectores saben que Todo el tráfico de la red pasa a través de un firewall es como decir Parte de una (Conexión), Esta conexión se compone del par de direcciones IPS que están comunicándose entre si.

Como digamos un par de números de puerto siempre el numero de puerto el destino a menudo Indica el tipo de servicio/s que se conecta es decir si estamos en un red con varias pc conectadas A 1 misma red se están comunicando con una misma IPS no se si sea entendido cuando un servidor De seguridad o firewall mejor dicho bloquea nuestra conexión nos guardara el numero de puerto de Destino a su archivo de registro...

Los puertos más conocidos son de 0 y 1023 aunque les explicare los mas importantes en el área Porque si les explico del 0 al 1023 no nos dará tiempo de leer algo tan largo estos están vinculados a los servicios lo general el trafico en este puerto se nos indica claramente el protocolo Para el servicio. Un ejemplo el Port 80 Casi siempre les indica el trafico del HTTP pueden probarlo Uds., Mismos por medio de TELNET...

Bueno los puertos registrados tienen un valor de 1024 y 49151 estos son débilmente ligados en los Servidores.

Es decir que existen numerosos servicios (Vinculados) en estos puertos Estos puertos también Lo utilizan con otros fines muchas personas mal intencionadas para buscar información en algún Servidor la mayoría de los sistemas empiezan a repartir los puertos dinámicos a partir del puerto
1024

La dinámica es decir los puertos privados vienen del 49152 y 65535 yo diría que ningún servicio Debería de asignar estos puertos en realidad una maquina debería de comenzar asignar los 'Dinámicos' Los puertos del 1024 para adelante empiezan a partir de RPC en el 32768 he sacado Un poco de teoría de la Wikipedia para poder explicar un poco sobre los puertos la mayoría esta Ah mano escrita para que no piensen que todo el merito lo da la Wikipedia.














1.4 Explicación de puertos importantes

Puerto 21:

A este puerto le asignamos puerto de FTP por este puerto suelen los hackers aprovecharse de la Mala seguridad de los WebMasters de los sitios Web, En este puerto buscan abrir un servidor FTP Anónimo se trata de servidores con los directorios abiertos con permisos de escribir y leer este Puerto lo utilizan para trasferencias de muchas cosas puede ser un 'SHELL' 'Backdoors' etc...

Puerto 22:

A este puerto le asignamos puerto SSH este puerto se relaciona con la conexión TCP este puerto Podría indicar una búsqueda ssh, que tiene una característica de explicación.

Puerto 23:

A este puerto le asignamos puerto TELNET funciona de la manera siguiente el atacante busca Un login remoto en UNIX, la mayoría de los atacantes dan un tiempo para la exploración del puerto Con ese tiempo se acercan a saber que timo de sistema operativo se esta utilizando.

Puertos 33434 y 33600:

Estos puertos vienen trabajando con el tracerouter por cierto hice un pequeño tutorial sobre eso Pronto se los mostrare en las ediciones comentadas white shadow.

Si con este puerto vemos una serie de paquetes UDP, en este rango de puerto y lo contiene solo Dentro de thisrange entonces seria indicativo de traceroute.

By ShadinessDark