Forensics in Spanish
Política de Seguridad: ¿qué hacer cuando detectas una intrusión? Sep 18 2006 08:30AM
.:: b3r2c0 ::. (bertuco lostintheshell net) (5 replies)
Re: Política de Seguridad:¿qué hacer cuando detectas unaintrusión? Sep 19 2006 08:03AM
Isaac Perez (suscripcions tsolucio com)
Re: Política de Seguridad: ¿qué hacer cuando detectas una intrusión? Sep 19 2006 07:50AM
Francisco GómezMarín (francisco gomezmarin com)
Re: Política de Seguridad: ¿qué hacer cuando detectas una intrusión? Sep 18 2006 09:25PM
Alonso Caballero Quezada / ReYDeS (reydes gmail com) (1 replies)
Re: Política de Seguridad: ¿qué hacer cuando detectas una intrusión? Sep 19 2006 05:24AM
Mario de Frutos (marfru cartif es)
Re: Política de Seguridad: ¿qué hacer cuando detectas una intrusión? Sep 18 2006 08:42PM
Sergio González (sergidj69 gmail com) (1 replies)
Hola bertuco.

En mi humilde opinión todo depende del sistema de protección,
cortafuegos, IDS, etc que tengáis montado y de los servicios que
ofrezcais. Por ejemplo, bajo cualquier tipo de Windows con ISA Server
yo soy partidario de la desconexión inmediata del cable de red, una
vez confirmado el ataque, ya que cualquier nueva regla supone
reiniciar el servicio de firewalling lo que supone dejar durante
algunos instantes tu red o bien totalmente desprotegida,o bien
totalmente desconectada. Bajo Snort todo depende de tu configuración y
de si posees unas reglas suficientemente precisas para dar con lo que
hace y evaluar constantemente los permisos que tiene. Bajo otros
firewalls/IDS no tengo mucha experiencia.

Lo ideal desde mi punto de vista en hacer un volcado de la RAM en
caliente, los archivos de paginación o SWAP y cualquier tipo de caché
o memoria volátil externa (logs de routing, logs de visores de eventos
de las maquinas, etc). En segundo lugar, yo clonaria los discos del
server para realizar un análisis forense detallado (esto es habitual
hacerlo delante de un notario y/o firmarlo digitalmente). El
seguimiento a tiempo real no suele servir de mucho ya que si utiliza
una red de proxies anónimos te va a resultar muy difícil por no decir
imposible tracearle consultando las tablas de enrutamiento de dichos
proxies. El consuelo es que los malos suelen ser bastante inútiles
para estas cosas y generalmente resulta sencillo darles caza.

Un saludo, nos vemos en el HAckMeeting ;)

El día 18/09/06, .:: b3r2c0 ::. <bertuco (at) lostintheshell (dot) net [email concealed]> escribió:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Hola amig@s!
>
> Actualmente estoy desarrollando, junto con el equipo completo de
> sistemas, la política de seguridad para mi empresa. Nos ha quedado un
> documento bastante majo, pero ha llegado un punto "crítico", en el que
> ninguno tenemos experiencia real: La intrusión en nuestros sistemas.
>
> Según lo que hemos preparado tanto los sistemas cómo la red van a estar
> "blindados", el nivel de paranoia empleado en nuestra política de
> seguridad es bastante alto, aún así, nos gustaría conocer la opinión de
> expertos para ver cómo actuar ante una intrusión.
>
> De todo lo que he leído por ahí, lo que más me llama la atención es las
> dos vertientes frente al caos: desconexión inmediata, copia a bajo
> nivel, etc... y la del seguimiento en tiempo real para intentar dar con
> el atacante; supongo, aunque no siempre lo he visto así, que lo ideal es
> que con cualquiera de las dos prácticas, las autoridades sean avisadas
> en el momento.
>
> Espero vuestras sugerencias.
>
> Gracias por todo de antemano.
> - --
> Salud0S!
>
> |_|0|_| .:: bertuco a.k.a b3r2c0 ::.
> |_|_|0| http://www.lostintheshell.net
> |0|0|0| http://metabolik.hacklabs.org
> - -------------------------------------
> 0x57BD758D bertucoAlostintheshell.net
>
>
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.5 (GNU/Linux)
>
> iD4DBQFFDllArVtBcFe9dY0RAtRsAJi6cYOuJij2Ip+q51MewzAMpIp6AJ9WeCrc
> WdqxSup1nxIU8okuUNxApg==
> =I/vZ
> -----END PGP SIGNATURE-----
>

[ reply ]
Re: Poltica de Seguridad: qu hacer cuando detectas una intrusin? Sep 18 2006 10:33PM
Richard Garca Rondn (richardgarcia hotmail co uk)


 

Privacy Statement
Copyright 2010, SecurityFocus