banner

Cisco Incident Response (CIR) Open Source Release

¿Qué es CIR?
Cisco Incident Response (CIR) es un conjunto de herramientas (framework) de software libre que permite analizar los volcados y registros de memoria que se producen en los Sistemas IOS de Cisco.

Esta herramienta permite tanto a los Administradores como los expertos en análisis forense, analizar con todo lujo de detalles los volcados de memoria y registros que genera el sistema operativo Cisco IOS. Con CIR se podrá identificar si el rotuer ha sido comprometido, mostrando los intentos de ataque (exploits), los comportamientos sospechosos o incluso la existencia de puertas traseras (backdoors).

Router y IOS Soportados

Las versiones Cisco IOS soportados por esta herramienta son 11.x, 12.x y 15.x, aunque las referencias y pruebas se han llevado a cabo con las siguientes versiones:
  • IOS 12.0
  • IOS 12.1
  • IOS 12.2
  • IOS 12.3
  • IOS 12.4
Los router Cisco soportados, actualmente, son: Cisco 1700, Cisco 2600 y Cisco 2691.

Requisitos

Es necesario activar en la configuración de los Routers, el volcado de memoria y registro de la actividad. En particular se recomienda activar el volcado de memoria (raw dump memory) en la configuración "debug" y centralizar los archivos en un servidor externo, utilizando FTP.


Software disponible:

CIR 1.1 GPLv3 Release


Conclusión

El framework es una excelente herramienta (no puede faltar en un equipo de respuesta ante incidentes y/o analisis forense) que permite un análisis exhaustivo de todo lo ocurrido dentro del router, al realizar un volcado de la memoria del Router, se pueden extraer, toda la información que maneje el router, y un material excelente para una análisis forense de un incidente, además, realizar los volcados es más eficiente en costes que el seguimiento y monitorización mediante syslog.

Mas información sobre CIR, en la presentación (slides) facilitada por recurity-labs.



No hay comentarios :

Publicar un comentario en la entrada