Método SKIP

El CERT (Computer Emergency and Response Team) desarrolló una metodología
para el aseguramiento ordenado y sistemático de una red: el Método SKiP (Security
Knowledge in Practice)

Las fases que componen esta metodología son:
1. Seleccionar las aplicaciones y sistemas y configurarlos de acuerdo a las necesidades
de la organización.
2. Reforzar y asegurar los sistemas contra vulnerabilidades conocidas.
3. Preparar una infraestructura de detección y respuesta a incidentes.
4. Detectar intrusiones.
5. Responder a las intrusiones.
6. Mejorar prácticas y procedimientos .
7. Repetir el método SKiP, mientras la organización requiera la protección del sistema y sus activos informáticos.

Herramientas básicas para su estudio:

para la generación de hash
Una implementación libre del algoritmo MD5, tal como la disponible en www.fourmilab.ch/md5/ hará el trabajo. El uso de MD5 es simple. Por ejemplo, para calcular el hash MD5 del intérprete de comandos cmd.exe:

E:\>e:\md5 e:\cmd.exe
84DDF54DB542B2EB9EF08144FB6E3645 e:\cmd.exe

Tiempos de acceso, creación y modificación del sistema de archivos

La obtención del tiempo de último acceso de los archivos de la unidad c: puede hacerse a través del comando dir, el cual es interno al intérprete de comandos (por lo tanto es confiable).

E:\>dir c:\ /s /t:a > a:\tiempo_acceso.txt

La opción /s indica que se incluyan recursivamente los subdirectorios. La opción /t:a indica que se muestren últimos tiempos de acceso, ordenados del más reciente al más antiguo.
Finalmente, los resultados se envían a un archivo en la unidad A:. Con la ayuda de MD5, puede calcularse el hash de los datos recién obtenidos para verificar su integridad en el futuro.

E:\>e:\md5 a:\tiempo_acceso.txt > tiempo_acceso.txt.md5

Los tiempos de modificación y creación pueden obtenerse con los comandos:

E:\>dir c:\ /s /t:w > a:\tiempo_modificacion.txt
E:\>dir c:\ /s /t:c > a:\tiempo_creacion.txt

La opción /t:w indica que se muestren los tiempos de modificación de los archivos,
ordenados del más reciente al más antiguo. La opción /t:c indica indica que se muestren los tiempos de creación de los archivos, ordenados del más reciente al más antiguo
El cálculo de los hashes de los nuevos archivos puede calcularse con los comandos:

E:\>e:\md5 a:\tiempo_modificacion.txt > tiempo_modificacion.txt.md5
E:\>e:\md5 a:\tiempo_creacion.txt > tiempo_creacion.txt.md5


Tabla ARP

La obtención de la tabla ARP, su almacenamiento en disco flexible y el cálculo de su hash MD5, podrían ejecutarse de la siguiente forma:

E:\>e:\arp –a > a:\arp.txt
E:\>e:\md5 a:\arp.txt > a:\arp.txt.md5

Conexiones de red establecidas
Las conexiones de red en curso pueden ser obtenidas utilizando la herramienta netstat.exe.
Adicionalmente, netstat permite obtener los puertos abiertos y los procesos asociados a cada conexión. Esta información podría ser útil para detectar el origen de la actividad del atacante, así como servicios de red no autorizados.


E:\>e:\netstat –a –o –n > a:\netstat.txt

Las opción –a muestra todas las conexiones y puertos abiertos. La opción –o muestra el PID del proceso asociado a cada conexión (sólo disponible en XP y Server 2003).
Finalmente, la opción –n muestra las direcciones IP y los puertos en forma numérica.

Configuración de interfaces de Red
Además de los detalles de configuración vigente para cada interfaz de red, ipconfig mostrará si se ha habilitado IP routing en el sistema, para ser utilizado como gateway.

E:\>e:\ipconfig /all > a:\ipconfig.txt

ipconfig permitirá capturar la información residente en el caché DNS, con
lo cual pueden conocerse algunos de los sitios con los que se ha interactuado recientemente:

E:\>e:\ipconfig /displaydns > a:\ipconfig_dns.txt

Más aquí