Realizar análisis forenses de sistemas informáticos y de redes es muy importante si queremos conocer los posibles problemas que puedan existir y poder así solucionarlos de la manera más eficiente posible. Existen varias herramientas de análisis forenses pero, generalmente, suelen ser bastante complicadas de instalar, configurar y utilizar, lo que hace que este hecho quede en manos de expertos. DiFT es una distribución de Ubuntu preparada y adaptada para realizar análisis forenses de forma fácil y sencilla. DiFT se distribuye a través de un cd arrancable de Ubuntu 12.04 con los paquetes necesarios incluidos y configurados de manera que cualquier usuario pueda utilizar en pocos segundos las herramientas forenses incluidas en esta distribución.
DiFT es una distribución basada en Ubuntu 12.04, como hemos dicho, la cual trae instalado por defecto los paquetes de log2timeline y logstash comúnmente utilizados para este tipo de funciones. Logstash es la herramienta gratuita y de código abierto encargada de recopilar y administrar todos los registros del sistema y log2timeline es la segunda herramienta que va a permitir crear una línea del tiempo con todos los logs que se recopilen para su fácil control.
DiFT también incluye otros paquetes necesarios para la correcta gestión y consulta de los resultados que se recopilen. Kibana es una interfaz web que va a permitir a los administradores consultar los resultados de forma gráfica y remota rápidamente y nos va a permitir filtrarlos, buscar registros concretos, administrarlos, etc.
El uso de DiFT es muy sencillo. Los usuarios deben arrancar este sistema en los ordenadores de la red y asegurarse de que el módulo «elasticsearch» está ejecutándose correctamente. También arrancaremos los programas anteriores log2timeline y logtash. Al cabo de unas 2 horas, los módulos habrán terminado sus procesos y se podrán consultar de forma instantánea toda la información recopilada a través de Kibana, la interfaz web diseñada para esta función.
En resumen, los pasos que hay que seguir para utilizar este sistema forense son:
- Arrancar DiFT en un ordenador físico o máquina virtual.
- Con el arranque del sistema arranca elasticsearch, por lo que este módulo no es necesario arrancarlo manualmente.
- Arrancamos Logstash con «sudo service logstash start»
- Arrancamos Logstash web con «sudo service logstash-web start»
- Ejecutamos Firefox y abrimos la dirección 127.0.0.1:9292
- Si podemos tener acceso a Kibana, nuestra distribución estará lista para comenzar a trabajar.
El desarrollador afirma que está trabajando en mejorar la distribución, añadirla nuevos paquetes y mejorar el funcionamiento global de las aplicaciones. DiFT aún es una versión alpha, por lo que puede contener errores, pero el funcionamiento general del sistema es más que aceptable y será de ayuda para un gran número de administradores de sistemas para gestionar todo tipo de registros.
¿Conoces otras herramientas o distribuciones similares a DiFT?
Os recomendamos leer nuestro artículo sobre las mejores herramientas forense informático gratis.