Post

Clonado de Disco por Red

Posted
By Pr0ff3
2 min read
Clonado de Disco por Red

Configuración Inicial

Para comenzar vamos a plantear la máquina de la que debemos obtener las evidencias que en este caso es llamada DC-1.

Configuración DC-1 Máquina DC-1 con 4GB de disco duro en red privada host-only

Como observamos tenemos una máquina ligera con tan solo 4Gb de disco duro ya que se trata de un “mini” servidor vulnerable pero para el caso nos servirá.

Configuración Kali Configuración Kali Máquina Kali y Parrot en la misma red local

Más adelante se añade una nota al proceso de clonado por netcat porque han surgido complicaciones con el sistema inicial de la estación forense parrot. Así que en esa parte se hace un cambio a esta máquina kali.

Preparación del Entorno

Para comenzar la máquina forense debe estar ya encendida y antes de abrir la máquina de las evidencias vamos a asignarle el inicio de kali live.

Inicio Kali Live Inicio de máquina en modo Kali Live

Recordad iniciar la máquina en modo forense.

Verificación de conectividad Comprobación de conectividad entre máquinas

Verificación de Conectividad

Verificación de conectividad Comprobación de conectividad entre máquinas

Identificación de Discos

Listado de discos Listado de discos disponibles

Clonado por SSH

En este caso haremos uso de una conexión mediante SSH para la transferencia de datos.

Configuración de SSH en Parrot OS

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

# 1. Verificar instalación SSH
sudo apt install openssh-server

# 2. Habilitar e iniciar servicio SSH
sudo systemctl enable ssh
sudo systemctl start ssh

# 3. Verificar estado del servicio
sudo systemctl status ssh

# 4. Configurar firewall
sudo ufw allow 22/tcp
sudo ufw enable

# 5. Verificar puerto
sudo netstat -tulpn | grep 22

Clonado por SSH Clonado por SSH Clonado por SSH Proceso de clonado mediante SSH

Este mismo proceso se puede realizar comprimiendo la clonación para que pese menos:

1

dd if=/dev/sdaX | gzip -1 - | ssh usuario@estacion_forense "dd of=/ruta/imagen.gz"

Clonado por Netcat

En este caso haremos uso de netcat para el envío de los datos por red.

Se trata de un proceso más rápido debido a que el envío de datos se hace por el protocolo UDP pero es más susceptible a fallos o corrupción de paquetes en tránsito debido a la naturaleza del mismo.

En este proceso he tenido problemas con la máquina original utilizada como estación forense por lo que se ha cambiado rápidamente a un kali linux ya que la original era un Parrot OS. El problema reside en la configuración del firewall en parrot y aun no he dado con la solución.

Clonado por Netcat Clonado por Netcat Proceso de clonado mediante Netcat

Verificación de Hash

Verificación de hash Comparación de hash entre origen y destino

Forense, Discos
forense clonado network
This post is licensed under CC BY 4.0 by the author.