Com o crescimento das ameaças de segurança aumentou a procura por profissionais especializados em Forense Digital. O objetivo da Forense Digital é aplicar métodos científicos e sistemáticos, buscando extrair e analisar tipos de dados dos diferentes dispositivos, para que essas informações passem a ser caracterizadas como evidências e, posteriormente, como provas legais de fato.
O básico de Forense para roteadores é coletar dados do equipamento que podem se tornar evidências. O processo padrão envolve o uso de alguns comandos SHOW e coleta de dados como logs e outros itens relacionados a atividade da rede.
Os principais comandos SHOW usados em Forense são
•show access-list
•show clock detail
•show version
•show running-config
•show startup-config
show reload
•show ip route
•show ip arp
•show users
•show logging
•show ip interface
•show interfaces
•show tcp brief all
•show ip sockets
•show ip nat translations verbose
•show ip cache flow
•show ip cef
•show snmp user
•show snmp group
•show audit
•show version
•show stacks
•show tech-support
Aconselho que vcs testem estes comandos em um roteador ou mesmo no GNS3, não inclui aqui a saida deles senão este post ficaria gigantesco. Vcs já perceberam que é um trabalho exaustivo coletar todos os dados da memória RAM do roteador e depois grava-los para análise. Segue abaixo uma forma mais eficaz de se conseguir isso:
Coleta avançada de dados
A maneira mais completa de se capturar toda a informação contida na memória de um roteador num dado momento para posterior análise é criar um core dump. Isto pode ser feito com o comando abaixo:
#write core
O arquivo de core dump pode ser salvo num Servidor FTP, TFTP, via RCP ou mesmo na própria Flash do equipamento. Analisar o core dump de um router não é uma tarefa fácil e pode requerer o uso de ferramentas proprietárias. Existe um serviço gratuito na Internet que se propõe a fazer esta análise em:
O desafio que proponho a todos é o seguinte: gerar um core dump com o comando write e posta-lo para análise.
Para saber mais detalhes sobre análise forense em roteadores Cisco visite:
http://blogs.sans.org/computer-forensics/2008/11/24/cisco-router-forensics/
Have Fun !!!
Alguém tentou gerar o Core dump ?
ResponderExcluirUsei o comando write core no modo privilegiado e ele pede o endereço do Servidor TFTP para gravar o Dump.
Para direcionar a gravação do core para a própria Flash usei:
Router(config)#exception flash ?
all dump all memory
iomem dump I/O memory
procmem dump processor memory
É o comando exception no modo de configuração que nos permite redirecionar a saida do core.No meu teste o comando pede mais 120 Mb livres para gravar o procmem !
Experimente exception ?
Have Fun !!!