ReYDeS's blog

Handshakes 802.11 - Pruebas, Autenticación, y Asociación

Para entender los diversos enfoques disponibles para descubrir puntos de acceso y atacarlos, se necesita abarcar el proceso de “Handshake” o en idioma español podría ser traducido como un Apretón de manos o Saludo. Este proceso de Saludo es utilizado por un cliente para unirse hacia una red LAN inalámbrica 802.11. Primero, el punto de acceso envía un paquete “beacon” o faro sobre una base regular, aproximadamente diez veces por segundo, para transmitir información de sincronización y disponibilidad.

Service Set Identifier (SSID)

Las redes inalámbricas se identifican utilizando un Service Set Identifier (SSID). Existen diversos tipo de SSIDs. Utilizados por si mismo, el termino SSID se refiere al nombre de la red inalámbrica, ya sea esta una red punto a punto constituida únicamente de clientes inalámbricos individuales intercomunicándose o una red de infraestructura con clientes retransmitiendo sobre puntos de acceso.

Canales 802.11 b/g

802.11 b y g utilizan el espectro de radio de 2.4 GHz, divididas en una serie de canales. Estos canales están separados por 5 MHz, con una amplitud de canal de 22 MHz. Con este ancho en los canales es claro existirá superposición en estos canales. Para evitar la interferencia los puntos de acceso cercanos el uno del otro deben utilizar canales separados por al menos cinco canales. Esto es, para evitar superposición, un punto de acceso podría usar el Canal 1, con otro utilizando el Canal 6, y otro utilizando el Canal 11.

Registro de Eventos de Seguridad por Defecto en Windows

No hay nada más decepcionante durante una investigación a encontrarse en un callejón sin salida. Uno de los más frecuentes es la ausencia de registros de eventos. En ciertas investigaciones, como en casos de intrusión, los registros de eventos son cruciales para rastrear actividades a través la empresa. En otras, tales como uso inadecuado por parte de los empleados, proporcionan artefactos adicionales para fortalecer el caso, como logon después de la hora, instalación de programas o acceso hacia carpetas restringidas.

Categorías de Eventos de Seguridad en Windows

Las categorías de eventos de seguridad proporciona un medio rápido con el propósito de identificar entradas en el registro de eventos, los cuales podrían ser de interés en una investigación. Siguen directamente desde las políticas de auditoría habilitadas sobre un sistema Windows. Para cada uno de estas categorías, la política de auditoría puede ser ajustada para no auditar, auditar el éxito, falla, o ya sea auditar el éxito o falla.

Registro de Eventos "Security" de Windows

Mientras la mayoría de registros de eventos tienen el potencial de ser útiles durante una investigación, la mayoría de preguntas buscando ser respondidas durante un investigación forense tienden a encontrar sus respuestas en el registro de eventos “Security”. Los registro de eventos “System” y “Application” almacenan información más útil para solucionar problemas relacionados a la administración del sistema. Un concepto importante es el hecho de la política de auditoría puede ser definida para activar eventos ya sean intentos fallidos o exitosos.

Tipos de Registros de Eventos en Windows

El registro de eventos se inició con tres archivos primarios; "Security", "System" y "Application". Estos registros de eventos han mantenido su importancia a través de todas las plataformas Windows NT. A lo largo del camino se han añadido registros de eventos para realizar un registro especializado, los cuales han sido agrupados bajo los registros "Personalizados".

Ubicación de los Registros de Eventos en Windows

Los registros de eventos como se conocen en la actualidad se originaron con el sistema operativo NT 3.1 en el año 1993. Se han realizado pequeñas actualizaciones a través de la evolución de Windows NT, pero los nombres y ubicaciones de los registros de eventos se han mantenido sin cambio hasta Windows Server 2003. El formato original del registro de eventos utilizaba la extensión ".evt". Los registros de eventos se almacenan en formato binario, complicando la búsqueda de cadenas a nivel de bytes, y son implementados utilizando un buffer circular.

Análisis al Registro de Eventos en Windows

El registro de eventos de Windows proporciona una gran cantidad de información la cual puede ayudar a un investigador a juntar las piezas relevantes sobre las acciones ocurridas en el sistema. Los eventos son recolectados y almacenados por el Servicio de Registro de Eventos. De manera similar a otros artefactos forenses, es provechoso realizar el ejercicio mental de determinar cuales preguntas pueden responder los datos del registro de eventos. Algunos de los más comunes se detallan a continuación.

Eventos de Windows

El registrar eventos proporciona una manera estándar y centralizada para el sistema operativo y aplicaciones asociadas graben información importante del software y hardware. Microsoft describe un evento como cualquier ocurrencia significativa en el sistema o programa el cual requiere ser notificado al usuario, o ser añadida una entrada en el registro. Los eventos son recolectados y almacenados por el “Event Log Service” o por su traducción al español; Servicio de Registro de Eventos. Este almacena eventos desde diversas fuentes en una única colección denominada registro de eventos.

Pages

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Informática Forense & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Resumen de mi CV: http://www.reydes.com/d/?q=node/1