CCNA Security

Lab - Researching Network Attacks and Security Audit Tools

Objectives
Part 1: Researching Network Attacks

Research network attacks that have occurred.

Select a network attack and develop a report for presentation to the class.

Part 2: Researching Security Audit Tools

Research network security audit tools.

Select a tool and develop a report for presentation to the class.

Background / Scenario
Attackers have developed many tools over the years to attack and compromise networks. These attacks take
many forms, but in most cases, they seek to obtain sensitive information, destroy resources, or deny
legitimate users access to resources. When network resources are inaccessible, worker productivity can
suffer, and business income may be lost.
To understand how to defend a network against attacks, an administrator must identify network vulnerabilities.
Specialized security audit software, developed by equipment and software manufacturers, can be used to
help identify potential weaknesses. Additionally, the same tools used by individuals to attack networks can
also be used by network professionals to test the ability of a network to mitigate an attack. After the
vulnerabilities are known, steps can be taken to help protect the network.
This lab provides a structured research project that is divided into two parts: Researching Network Attacks
and Researching Security Audit Tools. You can elect to perform Part 1, Part 2, or both. Let your instructor
know what you plan to do. This will ensure that a variety of network attacks and vulnerability tools are
reported on by the members of the class.
In Part 1, research various network attacks that have actually occurred. Select one of these attacks and
describe how the attack was perpetrated and how extensive the network outage or damage was. Next,
investigate how the attack could have been mitigated or what mitigation techniques might have been
implemented to prevent future attacks. Finally, prepare a report based on the predefined form included within
this lab.
In Part 2, research network security audit tools and investigate one that can be used to identify host or
network device vulnerabilities. Create a one-page summary of the tool based on a predefined form included
within this lab. Prepare a short (510 minute) presentation to present to the class.
You may work in teams of two, with one person reporting on the network attack and the other reporting on the
security audit tools. All team members deliver a short overview of their findings. You can use live
demonstrations or PowerPoint to summarize your findings.

Required Resources

Computer with Internet access for research

Presentation computer with PowerPoint or other presentation software installed

Video projector and screen for demonstrations and presentations

2015 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.

Page 1 of 4

Lab - Researching Network Attacks and Security Audit Tools

Part 1: Researching Network Attacks

In Part 1 of this lab, research various network attacks that have actually occurred and select one on which to
report on. Fill in the form below based on your findings.

Step 1: Research various network attacks.

List some of the attacks you identified in your search.
Posibles ejemplos incluyen: Code Red , Nimba , Back Orifice , Blaster , Mydoom , SQL Slammer , PITUFO ,
red inundaciones Tribu ( TFN) , Stacheldraht , Sobig , Netsky , ingenioso , y la tormenta .
El ataque Cdigo Rojo se utiliza como un ejemplo aqu.

Step 2: Fill in the following form for the network attack selected.
Name of attack:

CODE RED

Type of attack:

GUSANO

Dates of attacks:

JULIO 2001

Computers / Organizations affected:

INFECTANDO UN ESTIMADO DE 359 MIL

COMPUTADORAS EN 1 DIA

How it works and what it did:

Code Red explotado vulnerabilidades de desbordamiento de bfer en sin parches servidores Microsoft
Internet Information . Se puso en marcha el cdigo de Troya en un ataque de denegacin de servicio
contra direcciones IP fijas. El gusano se extendi el uso de un tipo comn de la vulnerabilidad
conocida como un desbordamiento de bfer. Se utiliza una cadena larga de repetir el carcter ' N '
para desbordar un buffer, que luego permiti que el gusano para ejecutar cdigo arbitrario e infectar la
mquina.
La carga til del gusano incluido:
Desfigurar la pgina web afectada con el mensaje: Hola! Bienvenido a http://www.worm.com!
Hacked By chino!
Se trat de propagarse mediante la bsqueda de ms servidores IIS en Internet.
Se esper 20-27 das despus de que se instal para lanzar ataques de denegacin de servicio en
varias direcciones IP fijas. La direccin IP del servidor web de la Casa Blanca estaba entre ellos.
Al escanear para mquinas vulnerables, el gusano no comprob si el servidor se ejecuta en una
mquina remota se ejecuta una versin vulnerable de IIS o si se ejecuta IIS en absoluto.
Mitigation options:
Para evitar la explotacin de la vulnerabilidad de IIS , las organizaciones necesitan para aplicar el
parche de IIS de Microsoft
References and info links:
CERT Advisory CA-2001-19
eEye Code Red advisory

2015 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.

Page 2 of 4

Lab - Researching Network Attacks and Security Audit Tools

Code Red II analysis

Presentation support graphics (include PowerPoint filename or web links):

Wikipedia, Animation on "The Spread of the Code-Red Worm (CRv2)". CAIDA Analysis. Retrieved on
2006-10-03. www.networkworld.com/slideshows/2008/031108-worst-moments-in-net-security.html?
nwwpkg=slideshows

Part 2: Researching Security Audit Tools

In Part 2 of this lab, research network security audit and attacker tools. Investigate one that can be used to
identify host or network device vulnerabilities. Fill in the report below based on your findings.

Step 1: Research various security audit and network attack tools.

List some of the tools that you identified in your search.
Posibles ejemplos incluyen: Microsoft Baseline Security Analyzer ( MBSA ) , NMAP , Cisco IOS AutoSecure ,
( SDM ) Asistente de Auditora de Seguridad de Cisco Security Device Manager . Herramienta de seguridad
de la red Sourceforge Anlisis ( NSAT ) , Solarwinds Engineering Toolset .
Herramientas atacante tambin pueden ser investigados , incluyendo de L0phtcrack , Can y Abel , John the
Ripper , Netcat , THC Hydra , Chkrootkit , DSniff , Nessus , AirSnort , AirCrack , WEPCrack ,
La herramienta de Auditora de Seguridad de SDM se utiliza como un ejemplo aqu.

Step 2: Fill in the following form for the security audit or network attack tool selected.
Name of tool:

Auditora de Seguridad de SDM

Developer:

Cisco Systems

Type of tool (character-based or GUI):

Anlisis de la seguridad basada en GUI de

Cisco Router

Used on (network device or computer host):

Router

Cost:

Descargar gratis

Description of key features and capabilities of product or tool:

Asistente de Auditora de Seguridad de SDM ejecuta una serie de listas de control predefinidas para
evaluar la configuracin de seguridad de un router. Cuando haya terminado, SDM presenta una lista
de acciones recomendadas, que puede elegir selectivamente a aplicar. SDM tambin le permite
realizar directamente una opcin de bloqueo del router en un solo paso. Un paso lockdown configura
el router con un conjunto de caractersticas de seguridad definidos con los ajustes recomendados.
Auditora de la seguridad es una caracterstica de SDM que examina una configuracin del router
existente y proporciona una lista de los cambios de configuracin recomendados para hacer un router
y red ms segura. Para obtener una lista completa de las funciones que los controles de auditora de
seguridad para, consulte los temas de ayuda en lnea en SDM.
Auditora de seguridad hace lo siguiente:

2015 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.

Page 3 of 4

Lab - Researching Network Attacks and Security Audit Tools

Comprueba la configuracin actual del router con una lista de opciones de configuracin de
seguridad predefinidas.
Listas identificaron problemas y proporciona recomendaciones para la fijacin de ellos.
Permite al usuario elegir qu problemas a solucionar y muestra la interfaz de usuario apropiada para
la fijacin de ellos.
Proporciona comandos para configurar el router con la configuracin de seguridad elegida.
Ejemplos de temas relacionados con la seguridad de que la Seguridad Auditora puede abordar
incluyen servicios que deberan ser inhabilitados, requisitos de contrasea, pancartas de advertencia,
la configuracin de Telnet, el acceso SSH, cortafuegos, registro y AAA. SDM y el asistente de
auditora de la seguridad proporcionan ayuda sensible al contexto.

References and info links:

http://www.cisco.com/en/US/docs/routers/access/cisco_router_and_security_device_manager/
25/software/user/guide/SAudt.html

Reflection
1. What is the prevalence of network attacks and what is their impact on the operation of an
organization? What are some key steps organizations can take to help protect their networks and
resources?
Las respuestas pueden variar. Ataques a la red masivos como Code Red, que puede afectar a grandes
porciones de la Internet, son menos comunes debido a las estrategias de mitigacin que se han
implementado. Sin embargo, los ataques dirigidos ms pequeos, especialmente las destinadas a adquirir
informacin personal, son ms comunes que nunca. Dispositivos de red y los hosts de una red tienen
muchas posibles vulnerabilidades que pueden ser explotadas.
Herramientas de anlisis de la vulnerabilidad pueden ayudar a identificar agujeros de seguridad para que los
administradores de red pueden tomar medidas para corregir el problema antes de que ocurra un ataque.
Otras medidas que se pueden tomar son: El uso de cortafuegos, deteccin de intrusiones y prevencin,
endurecimiento de los dispositivos de red, proteccin de puntos finales, AAA, educacin del usuario y de
desarrollo de polticas de seguridad.
2. Have you actually worked for an organization or know of one where the network was compromised? If
so, what was the impact to the organization and what did it do about it?
Las respuestas varan, y los resultados pueden ser interesantes
3. What steps can you take to protect your own PC or laptop computer?
Las respuestas varan, pero pueden incluir: Mantener el sistema operativo y las aplicaciones al da con parches y
Service Packs, utilice un servidor de seguridad personal, configurar contraseas para acceder al sistema,
configurar salvapantallas de tiempo de espera y requieren una contrasea, proteger archivos importantes al
hacer que lean -slo, cifrar archivos confidenciales y archivos de copia de seguridad para su custodia.

2015 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.

Page 4 of 4