DiFT_KibanaSon muchas las herramientas dedicadas al análisis forense, las cuales son importantes y necesarias para análisis de sistemas informáticos y de redes pudiendo así averiguar los problemas que puedan tener y así solucionarlos. Estas herramientas suelen ser bastante complejas a la hora de instalarlas, configurarlas y utilizarlas para usuarios comunes y acaban siempre en manos de expertos en la materia, pero DiFT cambia esta forma de ver las cosas.

DiFT es una distribución de Ubuntu adaptada para realizar de forma fácil análisis forenses, es distribuida en un CD arrancable de Ubuntu 12.04 que incluye los paquetes necesarios ya configurados de las herramientas forenses para que así cualquier usuario sea capaz de utilizarlas en poco tiempo.

Los paquetes que incluye DiFT por defecto son logstash y log2timeline, los cuales son utilizados con frecuencia para este tipo de funciones. Logstash es una herramienta Open Source que se encarga de recopilar y administrar todos los registros del sistema y log2timeline será la que nos permitirá crear una línea del tiempo con todos los logs que se recopilen para su fácil control.

En DiFT también podemos encontrar otros paquetes para una correcta gestión y consulta de los datos recopilados como Kibana, una interfaz web que permite a los administradores consultar de forma gráfica y remota los resultados rápidamente, permite filtrarlos, buscar registros concretos, etc.

Se puede utilizar DiFT de forma sencilla, hay que arrancar en los ordenadores de la red y comprobar que el módulo elasticsearch se está ejecutando correctamente, se arrancan los programas log2timeline y logtash, pasadas unas 2 horas los módulos terminarían sus procesos y se podrá consultar de manera instantánea todos los resultados recopilados por la interfaz web; Kibana. Resumiendo, los pasos a seguir para usar este sistema forense son:

  • Arrancar DiFT en un ordenador físico o máquina virtual.
  • Con el arranque del sistema arranca elasticsearch, por lo que este módulo no es necesario arrancarlo manualmente.
  • Arrancamos Logstash con el comando  “sudo service logstash start
  • Arrancamos Logstash web con el comando  “sudo service logstash-web start
  • Ejecutamos Firefox y abrimos la dirección 127.0.0.1:9292
  • Si podemos tener acceso a Kibana, nuestra distribución estará lista para comenzar a trabajar.

DiFT_Ki

Su desarrollador ha afirmado que continúa trabajando para mejorar la distribución, le añadirá nuevos paquetes y mejorará el funcionamiento global de las aplicaciones. De momento podremos encontrar DiFT en su versión Alpha, aunque su funcionamiento es bastante estable puede que nos encontremos con algunos errores.

Fuente: RedesZone.

3
Deja una respuesta

avatar
3 Hilos de comentario
0 Respuestas de hilo
0 Seguidores
 
Comentario más reaccionado
El hilo de comentarios más caliente
3 Autores de comentarios
BGBgusdbillyxjvare Autores de comentarios recientes
  Suscribirse  
Los más recientes Los más antiguos Más votados
Notificarme las
BGBgus
Invitado
BGBgus

CSI se muda a GNU/Linux xD

dbillyx
Invitado

Esperemos a ver si llega a estar al mismo nivel que kalilinux o securitylab…. aunque siendo una distro de ubuntu es seguro que tendrá bastantes colaboradores ofreciendo una versión mas estable en menos de unos meses…

jvare
Invitado

Interesante, solo conocía Caine también basada en Ubuntu, como distribución dedicada al análisis forense.
Cuando tenga un poco de tiempo, intentaré probar las diferencias con Caine.