### 2. Realiza un procedimiento en PL/SQL que te muestre los accesos fallidos junto con el motivo de los mismos, transformando el código de error almacenado en un mensaje de texto comprensible. Contempla todos los motivos posibles para que un acceso sea fallido
## Realiza un procedimiento en PL/SQL que te muestre los accesos fallidos junto con el motivo de los mismos, transformando el código de error almacenado en un mensaje de texto comprensible. Contempla todos los motivos posibles para que un acceso sea fallido
Primero, para vaciar la tabla de auditoría, ejecuto el siguiente comando:
@ -144,7 +144,7 @@ Compruebo que funciona correctamente:
### 4. Realiza una auditoría de grano fino para almacenar información sobre la inserción de empleados con sueldo superior a 2000 en la tabla emp de scott
## Realiza una auditoría de grano fino para almacenar información sobre la inserción de empleados con sueldo superior a 2000 en la tabla emp de scott
La auditoría de grano fino (FGA) es como una versión extendida de la auditoría estándar. Registra los cambios en datos muy concretos a nivel de columna.
### 5. Explica la diferencia entre auditar una operación by access o by session ilustrándolo con ejemplos
## Explica la diferencia entre auditar una operación by access o by session ilustrándolo con ejemplos
Las operaciones by access se auditan por cada acceso a la base de datos, mientras que las operaciones by session se auditan por cada sesión de usuario. Por ejemplo, si un usuario realiza 10 accesos a la base de datos, se auditarán 10 operaciones by access, mientras que si realiza 10 accesos en una misma sesión, se auditarán 1 operación by session.
@ -212,7 +212,7 @@ La sintaxis es la siguiente:
AUDIT [operación] [tabla] BY [usuario] BY {ACCESS | SESSION};
```
### 6. Documenta las diferencias entre los valores db y db, extended del parámetro audit_trail de ORACLE. Demuéstralas poniendo un ejemplo de la información sobre una operación concreta recopilada con cada uno de ellos
## Documenta las diferencias entre los valores db y db, extended del parámetro audit_trail de ORACLE. Demuéstralas poniendo un ejemplo de la información sobre una operación concreta recopilada con cada uno de ellos
Ambos parámetros indican que la auditoría está activada. La diferencia es que el parámetro db guarda la información en la tabla de auditoría, mientras que el parámetro db, extended guarda la información en la tabla de auditoría y en el archivo de alerta.
@ -226,19 +226,19 @@ Reinicio la base de datos y compruebo que el parámetro se ha cambiado correctam
![auditTrail](https://i.imgur.com/sIytDAc.png)
### 7. Averigua si en Postgres se pueden realizar los cuatro primeros apartados. Si es así, documenta el proceso adecuadamente
## Averigua si en Postgres se pueden realizar los cuatro primeros apartados. Si es así, documenta el proceso adecuadamente
#### Ejercicio 1
### Ejercicio 1
En postgres no se puede realizar el ejercicio 1, ya que se registran los inicios de sesión fallidos en el archivo de log, pero no los exitosos.
#### Ejercicio 2
### Ejercicio 2
No se puede realizar un procedimiento ya que los accesos fallidos no está registrado en la base de datos, sino en el archivo de log, sin embargo, en el propio archivo de log, se encuentran explicados con palabras y en español, el objetivo final del procedimiento:
### 8. Averigua si en MySQL se pueden realizar los apartados 1, 3 y 4. Si es así, documenta el proceso adecuadamente
## Averigua si en MySQL se pueden realizar los apartados 1, 3 y 4. Si es así, documenta el proceso adecuadamente
#### Ejercicio 1
### Ejercicio 1
Para obtener los datos de los inicios de sesión, edito el fichero `/etc/mysql/mariadb.conf.d/50-server.cnf`:
@ -286,7 +286,7 @@ Ahora, tras varios inicios de sesión, compruebo el fichero de logs `/var/log/my
![mysqlLog](https://i.imgur.com/fpOjaLH.png)
#### Ejercicio 3
### Ejercicio 3
Para realizar la auditoría voy a instalar el plugin `server_audit`:
@ -307,7 +307,7 @@ Tras insertar un nuevo empleado, compruebo el fichero de log `/var/lib/mysql/ser
![mysqlLog](https://i.imgur.com/GAOO4Kz.png)
### 9. Averigua las posibilidades que ofrece MongoDB para auditar los cambios que va sufriendo un documento. Demuestra su funcionamiento
## Averigua las posibilidades que ofrece MongoDB para auditar los cambios que va sufriendo un documento. Demuestra su funcionamiento
Para realizar las auditorías, es necesario instalar la versión Enterprise. La documentación de instalación oficial se encuentra en el siguiente enlace [https://www.mongodb.com/docs/manual/tutorial/install-mongodb-enterprise-on-debian/](https://www.mongodb.com/docs/manual/tutorial/install-mongodb-enterprise-on-debian/). Una vez instalado podemos hacer lo siguiente:
- [Activar el bit de forward](#activar-el-bit-de-forward)
- [SNAT](#snat)
- [SSH desde el cortafuego a la LAN](#ssh-desde-el-cortafuego-a-la-lan)
- [Tráfico para la interfaz loopback](#tráfico-para-la-interfaz-loopback)
- [Peticiones y respuestas protocolo ICMP](#peticiones-y-respuestas-protocolo-icmp)
- [Reglas forward](#reglas-forward)
- [ping desde la LAN](#ping-desde-la-lan)
- [Consultas y respuestas DNS desde la LAN](#consultas-y-respuestas-dns-desde-la-lan)
- [Permitimos la navegación web desde la LAN](#permitimos-la-navegación-web-desde-la-lan)
- [Permitimos el acceso a nuestro servidor web de la LAN desde el exterior](#permitimos-el-acceso-a-nuestro-servidor-web-de-la-lan-desde-el-exterior)
- [Reglas del enunciado](#reglas-del-enunciado)
- [Permite poder hacer conexiones ssh al exterior desde la máquina cortafuegos](#permite-poder-hacer-conexiones-ssh-al-exterior-desde-la-máquina-cortafuegos)
- [Permite hacer consultas DNS desde la máquina cortafuegos sólo al servidor 192.168.202.2. Comprueba que no puedes hacer un dig @1.1.1.1.](#permite-hacer-consultas-dns-desde-la-máquina-cortafuegos-sólo-al-servidor-1921682022-comprueba-que-no-puedes-hacer-un-dig-1111)
- [Permite que la máquina cortafuegos pueda navegar por internet.](#permite-que-la-máquina-cortafuegos-pueda-navegar-por-internet)
- [Los equipos de la red local deben poder tener conexión al exterior.](#los-equipos-de-la-red-local-deben-poder-tener-conexión-al-exterior)
- [Permitimos el ssh desde el cortafuego a la LAN](#permitimos-el-ssh-desde-el-cortafuego-a-la-lan)
- [Permitimos hacer ping desde la LAN a la máquina cortafuegos](#permitimos-hacer-ping-desde-la-lan-a-la-máquina-cortafuegos)
- [Permite realizar conexiones ssh desde los equipos de la LAN](#permite-realizar-conexiones-ssh-desde-los-equipos-de-la-lan)
- [Instala un servidor de correos en la máquina de la LAN. Permite el acceso desde el exterior y desde el cortafuego al servidor de correos. Para probarlo puedes ejecutar un telnet al puerto 25 tcp](#instala-un-servidor-de-correos-en-la-máquina-de-la-lan-permite-el-acceso-desde-el-exterior-y-desde-el-cortafuego-al-servidor-de-correos-para-probarlo-puedes-ejecutar-un-telnet-al-puerto-25-tcp)
- [Permite poder hacer conexiones ssh desde exterior a la LAN](#permite-poder-hacer-conexiones-ssh-desde-exterior-a-la-lan)
- [Modifica la regla anterior, para que al acceder desde el exterior por ssh tengamos que conectar al puerto 2222, aunque el servidor ssh este configurado para acceder por el puerto 22](#modifica-la-regla-anterior-para-que-al-acceder-desde-el-exterior-por-ssh-tengamos-que-conectar-al-puerto-2222-aunque-el-servidor-ssh-este-configurado-para-acceder-por-el-puerto-22)
- [Permite hacer consultas DNS desde la LAN sólo al servidor 192.168.202.2. Comprueba que no puedes hacer un dig @1.1.1.1](#permite-hacer-consultas-dns-desde-la-lan-sólo-al-servidor-1921682022-comprueba-que-no-puedes-hacer-un-dig-1111)
- [Permite que los equipos de la LAN puedan navegar por internet.](#permite-que-los-equipos-de-la-lan-puedan-navegar-por-internet)
## Enunciado
Realiza con nftables el ejercicio de la página [https://fp.josedomingo.org/seguridadgs/u03/perimetral_iptables.html](https://fp.josedomingo.org/seguridadgs/u03/perimetral_iptables.html) documentando las pruebas de funcionamiento realizadas.
La informática forense es el conjunto de técnicas que nos permite obtener la máxima información posible tras un incidente o delito informático.
En esta práctica, realizarás la fase de toma de evidencias y análisis de las mismas sobre una máquina Linux y otra Windows. Supondremos que pillamos al delincuente in fraganti y las máquinas se encontraban encendidas. Opcionalmente, podéis realizar el análisis de un dispositivo Android.
@ -11,47 +20,6 @@ En esta práctica, realizarás la fase de toma de evidencias y análisis de las
Sobre cada una de las máquinas debes realizar un volcado de memoria y otro de disco duro, tomando las medidas necesarias para certificar posteriormente la cadena de custodia.
Debes tratar de obtener las siguientes informaciones (Tabla de contenidos)
- [Apartado A. Máquina Windows](#apartado-a-máquina-windows)
- [Volcado de memoria](#volcado-de-memoria)
- [1. Procesos en ejecución](#1-procesos-en-ejecución)
- [2. Servicios en ejecución](#2-servicios-en-ejecución)
- [3. Puertos abiertos](#3-puertos-abiertos)
- [4. Conexiones establecidas por la máquina](#4-conexiones-establecidas-por-la-máquina)
- [5. Sesiones de usuario establecidas remotamente](#5-sesiones-de-usuario-establecidas-remotamente)
- [6. Ficheros transferidos recientemente por NetBios](#6-ficheros-transferidos-recientemente-por-netbios)
- [7. Contenido de la caché DNS](#7-contenido-de-la-caché-dns)
- [8. Variables de entorno](#8-variables-de-entorno)