Respuesta ante incidentes y técnicas forenses en infraestructuras virtuales

Publicado en Artículos, Seguridad,


Tweet about this on TwitterShare on Google+0Share on Facebook0Share on LinkedIn0

Pues lo prometido es deuda. Hoy quiero hablar un poco de un campo poco explorado, pero que lógicamente va tomando cuerpo a medida que pasa el tiempo. No deja de ser curioso que a fenómenos como el cloud computing se le dediquen portadas, noticias y artículos, y que la virtualización, que lleva muchos años consolidada, no goce de la misma popularidad.
No vamos a discutir hoy aquí si la virtualización de infraestructuras merece o no más o menos prensa que la nube. Para mí desde luego que ha presentado a lo largo de estos años resultados tangibles, que la nube no termina de presentar, pero lo importante de la reflexión es que la virtualización es algo suficientemente extendido, y en un continuo aumento, que hace necesario que también nos fijemos en ella desde el punto de vista forense.

Este artículo tiene dos partes. La primera es una introducción y un repaso a cómo afrontar una respuesta a incidentes en una infraestructura virtualizada (en adelante, IV). Confieso que el artículo iba a ser puramente técnico y enfocado exclusivamente al análisis forense, pero un comentario del amigo José Selvi me hizo pensar que puede ser relevante para los lectores que hagamos un esfuerzo en unir las disciplinas de respuesta a incidentes y técnicas forenses, y que diferenciemos, según la fase, el examen y el análisis forense. Llevo tiempo queriendo escribir al respecto, y aprovecharé este artículo para hacerlo. También en esta primera parte veremos cómo se adquieren evidencias volátiles en IVs.

La segunda parte será más técnica, y tendrá que ver con la adquisición de evidencias no volátiles y su posterior análisis. Tomaré como ejemplo VMware, y las razones para ello son principalmente dos: por un lado es probablemente el estándar de facto en virtualización, y su presencia en entornos empresariales es aplastante, con lo que puede ser un buen ejemplo que probablemente os encontréis en un futuro. Por otro lado es un hipervisor que podéis instalaros vosotros mismos y practicar con él, ya que dispone de versiones gratuitas.

¿En qué se diferencia una infraestructura virtualizada de una tradicional?

Puede parecer obvio, pero como en cualquier disciplina técnica siempre conviene pararse a recordar la teoría. Es lo que nos diferencia de un script kiddie: queremos usar herramientas pero sólo cuando entendamos qué estamos mirando y por qué.

Simplificando mucho la respuesta, y sin entrar en detalles sobre cómo funciona cada tecnología en particular, la principal diferencia es que la infraestructura tradicional utiliza únicamente hardware real sobre el que corre un único sistema operativo. En el caso de IVs, el hardware real se utiliza para abastecer a más de un sistema operativo y esto se puede realizar de dos maneras. Existen dos tipos de hipervisores, los que van montados directamente sobre el hardware físico (bare metal, también llamados tipo 1) y los que se establecen entre el sistema operativo anfitrión y las instancias virtuales. Este tipo, denominado habitualmente como tipo 2, es el que utilizaremos de ejemplo, ya que VMware Server es un hipervisor de tipo 2. Un ejemplo de hipervisor tipo 1 puede ser Citrix XenServer o las arquitecturas VMware ESX y VMware ESXi

El tipo de hipervisor juega un rol crucial en cómo se plantea el análisis forense. No es lo mismo, ni por asomo, que el hipervisor esté montado directamente en el hardware que encima de un sistema operativo anfitrión. En la parte más técnica nombraremos alguna herramienta para interactuar con hipervisores de tipo 1, aunque nos centraremos principalmente en los tipo 2.

Contenido completo en Blog de Sergio Hernando (Autor del artículo)

Califica esta entrada

Etiquetas: ,


Deja un comentario

Cuanto es 25 + 17 ?
Please leave these two fields as-is:
IMPORTANTE! Necesitas resolver la operación matemática para poder continuar.

Newsletter

Redes sociales

Centro de soporte

Centro de recursos