Equipo Necesario
Aunque existan distribuciones de Linux que incorporan directamente utilidades forenses en su instalación, se utilizó la distro que no las incorporabaya que la instalación de estas herramientas por defecto a veces causa problemas. Mientras que si se utiliza cualquier distro como RedHat, Debian el analista puede configurar el software según sus preferencias.
Referente a las técnicas de análisis forense descritas a continuación asumo que utiliza un sistema operativo RedHat Linux i386 sobre cualquier placa madre compatible con Intel. Estas técnicas son casi idénticas para cualquiera de las versiones o distribuciones de GNU/Linux ó Unix, pero algunas características de i386 pueden variar de un servidor a otro (ejemplo: utilización de controladores IDE, limitaciones de PC BIOS, etc...). Consulte manuales de administración y seguridad de sistema de su distribución de GNU/Linux.
Equipo Principal- Es preciso tener un sistema dedicado, propio para poder hacer el análisis, sin tener interrupciones por procesos de otros usuarios ni estar vulnerable a los "ataques de limpieza" [2]. Un ejemplo de configuración de un laboratorio forense puede ser siguiente:
Un equipo con una placa compatible i386 con 2 tarjetas controladoras IDE.
Por lo menos 2 discos duros > 8Gb. sobre el controlador IDE principal (para almacenar el sistema operativo y herramientas, más espacio para poder copiar las particiones salvadas desde la cinta, y espacio adicional para recuperar la información borrada desde discos duros).
Un segundo controlador IDE sin utilizar. Eso significa que no deberá mezclarse con modificación de configuraciones de hardware delos discos. Simplemente enchufelos y aparecerán como /dev/hdc (master) ó /dev/hdd
(slave).
Tarjeta de interfaz SCSI (e.g., Adaptec 1542)
Dispositivos de cinta DDS-3 ó DDS-4 4mm (se necesita bastante capacidad para almacenar información de las particiones grandes.).
Si el sistema está conectado a una red, deberá ser perfectamente parcheado y no tener ningún servicio de red funcionando salvo SSH (para acceso remoto y transferencia de ficheros). RedHat Linux 7.3 con Bastille Linux 2.0 BETA es muy buena opción(Combinación utilizada en el lab de Activa Link).
Equipo Móvil - Otro sistema de análisis es un nuevo portátil. El buen método de llevar el laboratorio hasta el sistema accidentado es un portátil con tarjeta eth 10/100, disco duro de más de 18-20 Gb - suficiente espacio que permitirá almacenar toda la información de imágenes del sistema de ficheros (estas imágenes deberían luego almacenarse en cintas) para ser analizadas, visualizar los resultados, craquear las contraseñas crypt() del intruso que puede posiblemente encontrar, y una mochila.
Un cable 10Base-T normal y uno cruzado permitirá conectarse con un hub, switch, o directamente al "cadáver" y todavía utilizar la red para comunicarse con el sistema víctima sobre una mini-red aislada de 2 estaciones de trabajo. Para ello necesitará establecer una ruta estática en la tabla de rutas, o configurar reglas de bridging (será más fácil si se desconecta la máquina hackeada del resto de la red).
Un equipo de análisis, funcionando bajo GNU/Linux será suficiente para analizar sistemas de ficheros diferentes pero soportados como por ejemplo Sun UFS. Se podrá simplemente montar el sistema de fichero emitiendo el comando mount con la opción particular (ver página man del mount).
Ejemplo:
[[email protected]]# mount -r -t ufs -o ufstype=sun /dev/hdd2 /mnt
Otra ventaja de GNU/Linux para investigadores forenses es la capacidad del interfaz "loopback", que permite montar un fichero que contiene una imagen del disco (obtenida con dd) dentro del sistema de ficheros de la estación de análisis (Ver el apéndice B para detalles).