• Author / Uploaded
• Charlie Nevarez Witt

Citation preview

CCNA Security

Lab - Researching Network Attacks and Security Audit Tools Objectives Part 1: Researching Network Attacks 

Research network attacks that have occurred.



Select a network attack and develop a report for presentation to the class.

Part 2: Researching Security Audit Tools 

Research network security audit tools.



Select a tool and develop a report for presentation to the class.

Background / Scenario Attackers have developed many tools over the years to attack and compromise networks. These attacks take many forms, but in most cases, they seek to obtain sensitive information, destroy resources, or deny legitimate users access to resources. When network resources are inaccessible, worker productivity can suffer, and business income may be lost. To understand how to defend a network against attacks, an administrator must identify network vulnerabilities. Specialized security audit software, developed by equipment and software manufacturers, can be used to help identify potential weaknesses. Additionally, the same tools used by individuals to attack networks can also be used by network professionals to test the ability of a network to mitigate an attack. After the vulnerabilities are known, steps can be taken to help protect the network. This lab provides a structured research project that is divided into two parts: Researching Network Attacks and Researching Security Audit Tools. You can elect to perform Part 1, Part 2, or both. Let your instructor know what you plan to do. This will ensure that a variety of network attacks and vulnerability tools are reported on by the members of the class. In Part 1, research various network attacks that have actually occurred. Select one of these attacks and describe how the attack was perpetrated and how extensive the network outage or damage was. Next, investigate how the attack could have been mitigated or what mitigation techniques might have been implemented to prevent future attacks. Finally, prepare a report based on the predefined form included within this lab. In Part 2, research network security audit tools and investigate one that can be used to identify host or network device vulnerabilities. Create a one-page summary of the tool based on a predefined form included within this lab. Prepare a short (5–10 minute) presentation to present to the class. You may work in teams of two, with one person reporting on the network attack and the other reporting on the security audit tools. All team members deliver a short overview of their findings. You can use live demonstrations or PowerPoint to summarize your findings.

Required Resources 

Computer with Internet access for research



Presentation computer with PowerPoint or other presentation software installed



Video projector and screen for demonstrations and presentations

© 2015 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.

Page 1 of 4

Lab - Researching Network Attacks and Security Audit Tools

Part 1: Researching Network Attacks In Part 1 of this lab, research various network attacks that have actually occurred and select one on which to report on. Fill in the form below based on your findings.

Step 1: Research various network attacks. List some of the attacks you identified in your search. Posibles ejemplos incluyen: Code Red , Nimba , Back Orifice , Blaster , Mydoom , SQL Slammer , PITUFO , red inundaciones Tribu ( TFN) , Stacheldraht , Sobig , Netsky , ingenioso , y la tormenta . El ataque Código Rojo se utiliza como un ejemplo aquí.

Step 2: Fill in the following form for the network attack selected. Name of attack:

CODE RED

Type of attack:

GUSANO

Dates of attacks:

JULIO 2001

Computers / Organizations affected:

INFECTANDO UN ESTIMADO DE 359 MIL COMPUTADORAS EN 1 DIA

How it works and what it did: Code Red explotado vulnerabilidades de desbordamiento de búfer en sin parches servidores Microsoft Internet Information . Se puso en marcha el código de Troya en un ataque de denegación de servicio contra direcciones IP fijas. El gusano se extendió el uso de un tipo común de la vulnerabilidad conocida como un desbordamiento de búfer. Se utiliza una cadena larga de repetir el carácter ' N ' para desbordar un buffer, que luego permitió que el gusano para ejecutar código arbitrario e infectar la máquina. La carga útil del gusano incluido: • Desfigurar la página web afectada con el mensaje: ¡Hola! Bienvenido a http://www.worm.com! Hacked By chino! • Se trató de propagarse mediante la búsqueda de más servidores IIS en Internet. • Se esperó 20-27 días después de que se instaló para lanzar ataques de denegación de servicio en varias direcciones IP fijas. La dirección IP del servidor web de la Casa Blanca estaba entre ellos. • Al escanear para máquinas vulnerables, el gusano no comprobó si el servidor se ejecuta en una máquina remota se ejecuta una versión vulnerable de IIS o si se ejecuta IIS en absoluto. Mitigation options: Para evitar la explotación de la vulnerabilidad de IIS , las organizaciones necesitan para aplicar el parche de IIS de Microsoft References and info links: CERT Advisory CA-2001-19 eEye Code Red advisory

© 2015 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.

Page 2 of 4

Lab - Researching Network Attacks and Security Audit Tools

Code Red II analysis

Presentation support graphics (include PowerPoint filename or web links): Wikipedia, Animation on "The Spread of the Code-Red Worm (CRv2)". CAIDA Analysis. Retrieved on 2006-10-03. www.networkworld.com/slideshows/2008/031108-worst-moments-in-net-security.html? nwwpkg=slideshows

Part 2: Researching Security Audit Tools In Part 2 of this lab, research network security audit and attacker tools. Investigate one that can be used to identify host or network device vulnerabilities. Fill in the report below based on your findings.

Step 1: Research various security audit and network attack tools. List some of the tools that you identified in your search. Posibles ejemplos incluyen: Microsoft Baseline Security Analyzer ( MBSA ) , NMAP , Cisco IOS AutoSecure , ( SDM ) Asistente de Auditoría de Seguridad de Cisco Security Device Manager . Herramienta de seguridad de la red Sourceforge Análisis ( NSAT ) , Solarwinds Engineering Toolset . Herramientas atacante también pueden ser investigados , incluyendo de L0phtcrack , Caín y Abel , John the Ripper , Netcat , THC Hydra , Chkrootkit , DSniff , Nessus , AirSnort , AirCrack , WEPCrack , La herramienta de Auditoría de Seguridad de SDM se utiliza como un ejemplo aquí.

Step 2: Fill in the following form for the security audit or network attack tool selected. Name of tool:

Auditoría de Seguridad de SDM

Developer:

Cisco Systems

Type of tool (character-based or GUI):

Análisis de la seguridad basada en GUI de Cisco Router

Used on (network device or computer host):

Router

Cost:

Descargar gratis

Description of key features and capabilities of product or tool: Asistente de Auditoría de Seguridad de SDM ejecuta una serie de listas de control predefinidas para evaluar la configuración de seguridad de un router. Cuando haya terminado, SDM presenta una lista de acciones recomendadas, que puede elegir selectivamente a aplicar. SDM también le permite realizar directamente una opción de bloqueo del router en un solo paso. Un paso lockdown configura el router con un conjunto de características de seguridad definidos con los ajustes recomendados. Auditoría de la seguridad es una característica de SDM que examina una configuración del router existente y proporciona una lista de los cambios de configuración recomendados para hacer un router y red más segura. Para obtener una lista completa de las funciones que los controles de auditoría de seguridad para, consulte los temas de ayuda en línea en SDM. Auditoría de seguridad hace lo siguiente:

© 2015 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.

Page 3 of 4

Lab - Researching Network Attacks and Security Audit Tools • Comprueba la configuración actual del router con una lista de opciones de configuración de seguridad predefinidas. • Listas identificaron problemas y proporciona recomendaciones para la fijación de ellos. • Permite al usuario elegir qué problemas a solucionar y muestra la interfaz de usuario apropiada para la fijación de ellos. • Proporciona comandos para configurar el router con la configuración de seguridad elegida. Ejemplos de temas relacionados con la seguridad de que la Seguridad Auditoría puede abordar incluyen servicios que deberían ser inhabilitados, requisitos de contraseña, pancartas de advertencia, la configuración de Telnet, el acceso SSH, cortafuegos, registro y AAA. SDM y el asistente de auditoría de la seguridad proporcionan ayuda sensible al contexto.

References and info links: http://www.cisco.com/en/US/docs/routers/access/cisco_router_and_security_device_manager/ 25/software/user/guide/SAudt.html

Reflection 1. What is the prevalence of network attacks and what is their impact on the operation of an organization? What are some key steps organizations can take to help protect their networks and resources? Las respuestas pueden variar. Ataques a la red masivos como Code Red, que puede afectar a grandes porciones de la Internet, son menos comunes debido a las estrategias de mitigación que se han implementado. Sin embargo, los ataques dirigidos más pequeños, especialmente las destinadas a adquirir información personal, son más comunes que nunca. Dispositivos de red y los hosts de una red tienen muchas posibles vulnerabilidades que pueden ser explotadas. Herramientas de análisis de la vulnerabilidad pueden ayudar a identificar agujeros de seguridad para que los administradores de red pueden tomar medidas para corregir el problema antes de que ocurra un ataque. Otras medidas que se pueden tomar son: El uso de cortafuegos, detección de intrusiones y prevención, endurecimiento de los dispositivos de red, protección de puntos finales, AAA, educación del usuario y de desarrollo de políticas de seguridad. 2. Have you actually worked for an organization or know of one where the network was compromised? If so, what was the impact to the organization and what did it do about it? Las respuestas varían, y los resultados pueden ser interesantes 3. What steps can you take to protect your own PC or laptop computer? Las respuestas varían, pero pueden incluir: Mantener el sistema operativo y las aplicaciones al día con parches y Service Packs, utilice un servidor de seguridad personal, configurar contraseñas para acceder al sistema, configurar salvapantallas de tiempo de espera y requieren una contraseña, proteger archivos importantes al hacer que lean -sólo, cifrar archivos confidenciales y archivos de copia de seguridad para su custodia.

© 2015 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.

Page 4 of 4