CAPTULO 11

Prctica de laboratorio: Uso de la CLI para recopilar

informacin sobre dispositivos de red
Topologa (BUS)

Prctica de laboratorio: Uso de la CLI para recopilar

informacin sobre dispositivos de red
Objetivos
Parte 1: Establecer la topologa e inicializar los dispositivos
Configurar los equipos para que coincidan con la topologa de la
red.
Inicializar y volver a cargar el router y el switch.
Recursos necesarios
1 router (Cisco 1941 con IOS de Cisco versin 15.2(4)M3,
imagen universal o similar)
1 switch (Cisco 2960 con IOS de Cisco versin 15.0(2), imagen
lanbasek9 o comparable)

1 computadora (Windows 7, Vista o XP con un programa de

emulacin de terminal, como Tera Term)
Cables de consola para configurar los dispositivos con IOS
de Cisco mediante los puertos de consola
Cables Ethernet, como se muestra en la topologa
Recopilar informacin sobre el R1 mediante los comandos
del IOS.
Uno de los pasos ms bsicos consiste en recopilar informacin
sobre el dispositivo fsico, as como la informacin del sistema
operativo .a. Emita el comando adecuado para obtener
la siguiente informacin:
Modelo de router: router Cisco 1941.
Versin del IOS: 15.2(4)M3
RAM total:512MB
NVRAM total:255KB
Memoria flash total: 250880 KB
Archivo de imagen de IOS: c1900-universalk9-mz.SPA.1524.M3.bin
Registro de configuracin: 0x2102
Paquete de tecnologa: ipbasek9
Qu comando emiti para recopilar la informacin?
Se puede usar el comando show version en la peticin de entrada
de EXEC del usuario o de EXEC.

g. Verifique que todas las contraseas en el archivo de

configuracin estn encriptadas. Escriba el comando y registre sus
resultados a continuacin.
Comando: show running-config
Est encriptada la contrasea de consola?
si
Mediante diversos comandos de utilidades de Windows,
recopilar informacin sobre la PC-A.a. En el smbolo del sistema
de la PC-A, emita el comando
ipconfig /all
y registre sus respuestas a continuacin:
a)

.Cul es la direccin IP de la PC-A?

192.168.1.3
Cul es la mscara de subred de la PC-A?
255.255.255.0
Cul es la direccin de gateway predeterminado de la PC-A
192.168.1.1
b)
C:\> ping 127.0.0.1
c)
si
d)
C:\> tracert 209.165.200.225Traza a 209.165.200.225 sobre
caminos de 30 saltos como mximo
e)
C:\> arp a
Interfaz: 192.168.1.3 --- 0xb
Direccin de Internet : 192.168.1.1
Direccin fsica: 30-f7-0d-a3-18-21
Tipo: dinmico
Tener la informacin adecuada, incluidas las direcciones IP, las
conexiones de puertos fsicos, las versiones del IOS, las copias de
los archivos de configuracin y la cantidad de almacenamiento de
memoria, puede ayudarlo en gran medida al realizar la resolucin
de problemas y las pruebas de lnea de base de red.

Reflexin
La red A es menos costosa en trminos de equipos. Adems,
ofrece un diseo ms sencillo, lo que debera contribuir a resolver
problemas de velocidad de la red. La red B es ms costosa que la
A solo en trminos de equipos. Proporciona redundancia, lo cual
es importante para el costo de ejecucin de las funciones
empresariales. Permite la transmisin inalmbrica y no solo
Ethernet, como se muestra en la red A, pero el hecho de
incorporar tecnologa inalmbrica aumenta la posibilidad de
infracciones de seguridad, lo que aumenta las consideraciones de
facilidad de administracin.
El costo, la velocidad, los puertos, la capacidad de expansin y la
facilidad de administracin son todos factores que se deben tener
en cuenta al disear una red para una empresa pequea o
mediana.

Configurar medidas bsicas de seguridad en el router

1. aportar seguridad a las contraseas
a. Cambie la contrasea encriptada del modo
EXEC privilegiado conforme a las pautas.
R1(config)#
enable secret Enablep@55
b. Exija que se utilice un mnimo de 10 caracteres para todas
las contraseas.
R1(config)#
security passwords min-length 10
2. habilitar conexiones ssh
a. Asigne el nombre
CCNA-lab.com
al dominio.
R1(config)#
ip domain-name CCNA-lab.com
b. Cree una entrada de base de datos de usuarios local para que se
utilice al conectarse al router a travs de SSH. La contrasea debe

cumplir con los estndares de contrasea segura, y el usuario debe

tener acceso de nivel de administrador.
R1(config)#
username admin privilege 15 secret Admin15p@55
c. Configure la entrada de transporte para las lneas vty de modo
que acepten conexiones SSH, pero no permitan conexiones
Telnet.
R1(config)#
line vty 0 4
R1(config-line)#
transport input ssh
d. Las lneas vty deben utilizar la base de datos de usuarios local
para realizar la autenticacin.
R1(config-line)#
login local
R1(config-line)#
Exit
e. Genere una clave criptogrfica RSA con un mdulo de 1024
bits.
R1(config)#
crypto key generate rsa modulus 1024
The name for the keys will be: R1.CCNA-lab.com % The key
modulus size is 1024 bits % Generating 1024 bit RSA keys,
keys will be non-exportable... [OK] (elapsed time was 2
seconds) R1(config)# *Jan 31 17:54:16.127: %SSH-5ENABLED: SSH 1.99 has been enabled
3. Implementar medidas de seguridad en las lneas de consola
y vty

a. Puede configurar el router para que se cierre la sesin de

una conexin que estuvo inactiva durante ellapso especificado.
Si un administrador de red inicia sesin en un dispositivo de
red y, de repente, sedebe ausentar, este comando cierra la
sesin del usuario en forma automtica despus de un
tiempoespecificado. Los siguientes comandos harn que se
cierre la sesin de la lnea despus de cincominutos de
inactividad.
R1(config)#
line console 0
R1(config-line)#
exec-timeout 5 0
R1(config-line)#
line vty 0 4
R1(config-line)#
exec-timeout 5 0
R1(config-line)#
exit
R1(config)#
b. El comando siguiente impide los intentos de inicio de sesin
por fuerza bruta. Si alguien falla en dos intentos en un perodo de
120 segundos, el router bloquea los intentos de inicio de sesin
por 30 segundos. Este temporizador se establece en un valor
especialmente bajo para esta prctica de laboratorio
R1(config)# login block-for 30 attempts 2 within 120
Qu significa 2 within 120 en el comando anterior?
Si se realizan dos intentos fallidos en un perodo de dos minutos
120 segundos el acceso de inicio denegado

Qu significa block for -30en el comando anteerior

Si el acceso de inicio de sesin se bloquea, el dispositivo esperar
30 segundos antes de volver acceder
Paso 4: Verifique que todos los puertos sin utilizar estn
deshabilitados
Los puertos del router estn deshabilitados de manera
predeterminada, pero siempre es prudente verificar que todos los
puertos sin utilizar tengan un estado administrativamente inactivo.
Esto se puede verificar rpidamente emitiendo el comando
show ip interface brief
. Todos los puertos sin utilizar que no estn en el estado
administratively down (administrativamente inactivo) se deben
deshabilitar por medio del comando Shutdown en el modo de
configuracin de interfaz

Paso 5 Verificar que las medidas de seguridad se hayan

implementado correctamente
a. Utilice Tera Term para acceder al R1 mediante Telnet.
R1 acpeta la conexin telnet
La conexin telnet es rechazada
Porqu si o porqu no
Porque se deshabilit con el comando transport input ssh
b. Utilice Tera Term para acceder al R1 mediante telnet
R1 acpeta la conexin SSH

c. Escriba incorrectamente a propsito la informacin de

usuario y contrasea para ver si el acceso de inicio de sesin
se bloquea despus de dos intentos. Qu ocurri despus
del segundo inicio de sesin fallido?
La conexin R1 se desconect, si se intenta acceder
dentro de ls 30 segundos siguientes, la conexin se
rechazara.
Prueba de la latencia de red con los comandos ping y
traceroute
Topologa
Objetivos
Parte 1: Utilizar el comando ping para registrar la latencia
de red
Parte 2: Utilizar el comando traceroute para registrar la
latencia de red
Informacin bsica/Situacin
Para obtener estadsticas reales sobre latencia, se debe
realizar esta actividad en una red activa. Consulte con su
instructor si existen restricciones locales de seguridad para
el uso del comando ping en la red.
Recursos necesarios
1 PC (Windows 7, Vista o XP, con acceso a Internet)
Parte 1: Utilizar el comando ping para registrar la latencia
de red
En la parte 1, examinar la latencia de red a varios sitios
Web en distintas partes del mundo. Este proceso se puede
utilizar en una red de produccin empresarial para crear una
lnea de base de rendimiento.
Paso 1: Verificar la conectividad
Haga ping a los siguientes sitios Web de registros regionales
de Internet (RIR) para verificar la conectividad:
C:\Users\User1> ping www.arin.net
C:\Users\User1> ping www.lacnic.net

C:\Users\User1> ping www.afrinic.net

C:\Users\User1> ping www.apnic.net
Nota: www.ripe.net no responde a solicitudes de ICMP, por
lo que no puede utilizarse para esta prctica de laboratorio.
Paso 2: Recopilar los datos de red
Recopilar una cantidad de datos suficiente para calcular
estadsticas sobre el resultado del comando ping mediante el
envo de 25 solicitudes de eco a cada direccin del paso 1.
Registre los resultados para cada sitio Web en archivos de
texto.
a. En el smbolo del sistema, escriba ping para enumerar las
opciones disponibles.
C:\Users\User1> ping
Usage: ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v
TOS]
[-r count] [-s count] [[-j host-list] | [-k host-list]]
[-w timeout] [-R] [-S srcaddr] [-4] [-6] target_name
Options:
-t Ping the specified host until stopped.
To see statistics and continue - type Control-Break;
To stop - type Control-C.
-a Resolve addresses to hostnames.
-n count Number of echo requests to send.
-l size Send buffer size.
-f Set Don't Fragment flag in packet (IPv4-only).
-i TTL Time To Live.
-v TOS Type Of Service (IPv4-only. This setting has been
deprecated
<resultado omitido>
b. Si utiliza el comando ping con la opcin de cuenta, podr
enviar 25 solicitudes de eco al destino, como se muestra a
continuacin. Adems, crear un archivo de texto con el
nombre arin.txt en el directorio actual. Este archivo de texto
contendr los resultados de las solicitudes de eco.
C:\Users\User1> ping n 25 www.arin.net > arin.txt

Nota: la terminal permanecer en blanco hasta que el

comando haya finalizado, porque en este ejemplo el
resultado se redirigi a un archivo de texto: arin.txt. El
smbolo > se utiliza para redirigir el resultado de pantalla al
archivo y para sobrescribir el archivo, si ya existe. Si se
desean aadir ms resultados al archivo, reemplace > por >>
en el comando.
c. Repita el comando ping para los otros sitios Web.
C:\Users\User1> ping n 25 www.afrinic.net > afrinic.txt
C:\Users\User1> ping n 25 www.apnic.net > apnic.txt
C:\Users\User1> ping n 25 www.lacnic.net > lacnic.txt
Paso 3: Verificar la recopilacin de datos
Para ver los resultados en el archivo creado, introduzca el
comando more en el smbolo del sistema.
C:\Users\User1> more arin.txt
Pinging www.arin.net [192.149.252.76] with 32 bytes of
data:
Reply from 192.149.252.76: bytes=32 time=108ms TTL=45
Reply from 192.149.252.76: bytes=32 time=114ms TTL=45
Reply from 192.149.252.76: bytes=32 time=112ms TTL=45
<resultado omitido>
Reply from 192.149.252.75: bytes=32 time=111ms TTL=45
Reply from 192.149.252.75: bytes=32 time=112ms TTL=45
Reply from 192.149.252.75: bytes=32 time=112ms TTL=45
Ping statistics for 192.149.252.75:
Packets: Sent = 25, Received = 25, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 107ms, Maximum = 121ms, Average = 111ms
Nota: presione la barra espaciadora para mostrar el resto del
archivo o presione q para salir.
Para verificar que los archivos se crearon, utilice el
comando dir para enumerar los archivos en el directorio.
Tambin se puede utilizar el carcter comodn * para filtrar
solo los archivos de texto.
C:\Users\User1> dir *.txt
Volume in drive C is OS
Volume Serial Number is 0A97-D265

Directory of C:\Users\User1
02/07/2013 12:59 PM 1,642 afrinic.txt
02/07/2013 01:00 PM 1,615 apnic.txt
02/07/2013 12:40 PM 1,641 arin.txt
02/07/2013 12:58 PM 1,589 lacnic.txt
4 File(s) 6,487 bytes
0 Dir(s) 34,391,453,696 bytes free
Registre sus resultados en la siguiente tabla:
Mnimo
Mximo
Promedio
www.afrinic.net
359 ms
389 ms
369 ms
www.apnic.net
201
210
204
www.arin.net
107
121
112
www.lacnic.net
216
226
218
Compare los resultados de retardo. De qu manera afecta el
retardo la ubicacin geogrfica?
En la mayora de los casos, el tiempo de respuesta es ms
extenso cuando se compara con la distancia fsica al destino.
Parte 2: Utilizar el comando traceroute para registrar la
latencia de red
Segn cul sea el tamao del ISP y la ubicacin de los hosts
de origen y destino, las rutas rastreadas pueden atravesar
muchos saltos y una cantidad de ISP diferentes. Los
comandos traceroute tambin pueden utilizarse para

observar la latencia de red. En la parte 2, se utiliza el

comando tracert para rastrear la ruta a los destinos utilizados
en la parte 1.
El comando tracert utiliza paquetes ICMP de TTL superado
y respuestas de eco ICMP para rastrear la ruta.
Paso 1: Utilizar el comando tracert y registrar el resultado en
archivos de texto
Copie los siguientes comandos para crear los archivos de
traceroute:
C:\Users\User1> tracert www.arin.net > traceroute_arin.txt
C:\Users\User1> tracert www.lacnic.net >
traceroute_lacnic.txt
C:\Users\User1> tracert www.afrinic.net >
traceroute_afrinic.txt
C:\Users\User1> tracert www.apnic.net >
traceroute_apnic.txt
Paso 2: Utilizar el comando more para examinar la ruta
rastreada
a. Utilice el comando more para acceder al contenido de
estos archivos:
C:\Users\User1> more traceroute_arin.txt
Tracing route to www.arin.net [192.149.252.75]
over a maximum of 30 hops:
1 <1 ms <1 ms <1 ms 192.168.1.1
2 11 ms 12 ms 11 ms 10.39.0.1
3 10 ms 15 ms 11 ms 172.21.0.116
4 19 ms 10 ms 11 ms 70.169.73.90
5 13 ms 10 ms 11 ms chnddsrj01-ae2.0.rd.ph.cox.net
[70.169.76.229]
6 72 ms 71 ms 70 ms mrfddsrj02-ae0.0.rd.dc.cox.net
[68.1.1.7]
7 72 ms 71 ms 72 ms 68.100.0.146
8 74 ms 83 ms 73 ms 172.22.66.29
9 75 ms 71 ms 73 ms 172.22.66.29
10 74 ms 75 ms 73 ms wsip-98-172-152-14.dc.dc.cox.net
[98.172.152.14]

11 71 ms 71 ms 71 ms host-252-131.arin.net
[192.149.252.131]
12 73 ms 71 ms 71 ms www.arin.net [192.149.252.75]
Trace complete.
En este ejemplo, demor menos de 1 ms recibir una
respuesta del gateway predeterminado (192.168.1.1). En el
conteo de saltos 6, la ida y vuelta a 68.1.1.7 requiri un
promedio de 71 ms. Para la ida y vuelta al destino final en
www.arin.net, se requiri un promedio de 72 ms.
Entre las lneas 5 y 6, el retardo de red es mayor, segn lo
indica el aumento del tiempo de ida y vuelta de un promedio
de 11 a 71 ms
b. Realice el mismo anlisis con el resto de los resultados
del comando tracert.
A qu conclusin puede llegar con respecto a la relacin
entre el tiempo de ida y vuelta y la ubicacin geogrfica?
En la mayora de los casos, el tiempo de respuesta es ms
extenso cuando se compara con la distancia fsica al destino.
Reflexin
1. Los resultados de tracert y ping pueden proporcionar
informacin importante sobre la latencia de red. Qu debe
hacer si desea una representacin precisa de la lnea de base
de la latencia de su red?
Las respuestas varan. Debe realizar un anlisis cuidadoso
del retraso en varios das consecutivos y en momentos
diferentes del da.
2. Cmo puede utilizar la informacin de lnea de base?
Puede comparar los datos de lnea de base con los datos
actuales para determinar si hubo un cambio en los tiempos
de respuesta de la red. Este anlisis puede ayudarlo a
resolver problemas de red y a programar la transferencia de
datos de rutina durante las horas no pico.

Prctica de prctica de laboratorio: Investigacin de

procedimientos de recuperacin de contraseas
Objetivos
Parte 1: Investigar el registro de configuracin

Identificar el propsito del registro de configuracin.

Describir el comportamiento del router para distintos

valores del registro de configuracin.
Parte 2: Registrar el procedimiento de recuperacin de
contrasea para un router Cisco especfico

Investigar y registrar el proceso de recuperacin de

contraseas en un router Cisco especfico.

Responder las preguntas sobre la base del procedimiento

investigado.
Informacin bsica/Situacin
El propsito de esta prctica de laboratorio es investigar el
procedimiento para recuperar o restablecer la contrasea de
enable en un router Cisco especfico. La contrasea de
enable protege el acceso al modo EXEC privilegiado y al
modo de configuracin en los dispositivos Cisco. La
contrasea de enable se puede recuperar, pero la contrasea
secreta de enable est encriptada y debe reemplazarse por
una contrasea nueva. Para omitir una contrasea, el usuario
debe estar familiarizado con el modo monitor ROM
(ROMMON), as como con los parmetros del registro de
configuracin para los routers Cisco. ROMMON es el
software bsico de CLI almacenado en la ROM, que se
puede utilizar para resolver problemas de errores de
arranque y para recuperar un router cuando no se encuentra
un IOS. En esta prctica de laboratorio, comenzar
investigando el propsito del registro de configuracin para
los dispositivos Cisco y los parmetros de dicho registro.
Luego, investigar y detallar el procedimiento exacto para

la recuperacin de la contrasea en un router Cisco

especfico.
Recursos necesarios

Dispositivo con acceso a Internet

Parte 1: Investigar el registro de configuracin
Para recuperar o restablecer una contrasea de enable,
un usuario utiliza la interfaz ROMMON para instruiral
router que omita la configuracin de inicio durante el
arranque. Una vez que se arranca el dispositivo, elusuario
accede al modo EXEC privilegiado, sobrescribe la
configuracin en ejecucin con la configuracin deinicio
guardada, recupera o restablece la contrasea, y restaura el
proceso de arranque del router para queincluya la
configuracin de inicio.El registro de configuracin del
router desempea un papel fundamental en el proceso
de recuperacin decontraseas. En la primera parte de esta
prctica de laboratorio, investigar el propsito del registro
deconfiguracin de un router y el significado de ciertos
valores de dicho registro.
Paso 1: Describir el propsito del registro
de configuracin
Cul es el propsito del registro de configuracin?
El registro de coonfiguracin se puede utilizar para cambiar
la forma en que arranca el router, las opciones de arranque y
la velocidad de consola.
Qu comando cambia l registro de configuracin en el
modo de configuracin
Config-register
Qu comando cambia el registro de configuracin en la
interfaz ROMMON confreg
Paso 2: Determinar los valores del registro de
configuracin y sus significados

Investigue y detalle el comportamiento del router para

los siguientes valores del registro de configuracin
Ox2102
Investigacin de amenazas de seguridad de red
Objetivos
Parte 1: Explorar el sitio Web de SANS
Navegar hasta el sitio Web de SANS e identifique los
recursos.
Parte 2: Identificar amenazas de seguridad de red recientes
Identificar diversas amenazas de seguridad de red recientes
mediante el sitio de SANS.
Identificar otros sitios, adems de SANS, que
proporcionen informacin sobre amenazas de seguridad de
red.
Parte 3: Detallar una amenaza de seguridad de red especfica
Seleccionar y detallar una amenaza de red especfica
reciente.
Presentar la informacin a la clase.
Informacin bsica/Situacin
Para defender una red contra ataques, el administrador debe
identificar las amenazas externas que representan un peligro
para la red. Pueden usarse sitios Web de seguridad para
identificar amenazas emergentes y para proporcionar
opciones de mitigacin para defender una red.
Uno de los sitios ms populares y confiables para la defensa
contra amenazas de seguridad informtica y de redes es el
de SANS (SysAdministration, Audit, Networking and
Security). El sitio de SANS proporciona varios recursos,
incluida una lista de los 20 principales controles de
seguridad crticos para una defensa ciberntica eficaz y el
boletn informativo semanal @Risk: The Consensus
Security Alert. Este boletn detalla nuevos ataques y
vulnerabilidades de red.

En esta prctica de laboratorio, navegar hasta el sitio de

SANS, lo explorar y lo utilizar para identificar amenazas
de seguridad de red recientes, investigar otros sitios Web
que identifican amenazas, e investigar y presentar detalles
acerca de un ataque de red especfico.
Recursos necesarios
Dispositivo con acceso a Internet
PC para la presentacin con PowerPoint u otro software de
presentacin instalado
Parte 1: Explorar el sitio Web de SANS
En la parte 1, navegue hasta el sitio Web de SANS y explore
los recursos disponibles.
Paso 1: Localizar recursos de SANS.
Con un explorador Web, navegue hasta www.SANS.org. En
la pgina de inicio, resalte el men Resources (Recursos).
Indique tres recursos disponibles.
Reading Room (Sala de lectura), Webcasts (Transmisiones
Web), Newsletters (Boletines informativos), Blogs, Top 25
Programming Errors (Los principales 25 errores de
programacin), Top 20 Critical Controls (Los principales 20
controles crticos), Security Policy Project (Proyecto de
poltica de seguridad)
Paso 2: Localizar el recurso Top 20 Critical Controls.
El documento Twenty Critical Security Controls for
Effective Cyber Defense (Los 20 controles de seguridad
crticos para una defensa ciberntica eficaz), incluido en el
sitio Web de SANS, es el resultado de una asociacin
pblica y privada entre el Departamento de Defensa de los
EE. UU. (DoD), la National Security Association, el Center
for Internet Security (CIS) y el instituto SANS. La lista se
desarroll para establecer el orden de prioridades de los
controles de seguridad ciberntica y los gastos para el DoD
y se convirti en la pieza central de programas de seguridad
eficaces para el gobierno de los Estados Unidos. En el men
Resources, seleccione Top 20 Critical Controls (Los
principales 20 controles crticos).

Seleccione uno de los 20 controles crticos e indique tres de

las sugerencias de implementacin para ese control.
Paso 3: Localizar el men Newsletter.
Resalte el men Resources y seleccione Newsletter (Boletn
informativo). Describa brevemente cada uno de los tres
boletines disponibles.
SANS NewsBites. Resumen de alto nivel de los artculos
periodsticos ms importantes sobre la seguridad
informtica. El boletn se publica dos veces por semana e
incluye enlaces para obtener ms informacin.
@RISK: The Consensus Security Alert. Resumen semanal
de nuevos ataques y vulnerabilidades de red. El boletn
tambin proporciona detalles sobre la forma en que
resultaron los ataques ms recientes.
Ouch! Documento para despertar conciencia sobre la
seguridad que proporciona a los usuarios finales
informacin sobre cmo pueden ayudar a garantizar la
seguridad de su red.
Parte 2: Identificar amenazas de seguridad de red recientes
En la parte 2, investigar las amenazas de seguridad de red
recientes mediante el sitio de SANS e identificar otros
sitios que contienen informacin de amenazas de seguridad.
Paso 1: Localizar el archivo del boletn informativo @Risk:
Consensus Security Alert.
En la pgina Newsletter (Boletn informativo), seleccione
Archive (Archivo) para acceder al archivo del boletn
informativo @RISK: The Consensus Security Alert.
Desplcese hasta Archives Volumes (Volmenes de archivo)
y seleccione un boletn semanal reciente. Repase las
secciones Notable Recent Security Issues y Most Popular
Malware Files (Problemas de seguridad recientes destacados
y Archivos de malware ms populares).
Enumere algunos ataques recientes. Examine varios
boletines informativos recientes, si es necesario.

Win.Trojan.Quarian, Win.Trojan.Changeup,
Andr.Trojan.SMSsend-1, Java.Exploit.Agent-14,
Trojan.ADH.
Paso 2: Identificar sitios que proporcionen informacin
sobre amenazas de seguridad recientes.
Adems del sitio de SANS, identifique otros sitios Web que
proporcionen informacin sobre amenazas de seguridad
recientes.
www.mcafee.com/us/mcafee-labs.aspx,
www.symantec.com, news.cnet.com/security/,
www.sophos.com/en-us/threat-center/,
us.norton.com/security_response/.
Enumere algunas de las amenazas de seguridad recientes
detalladas en esos sitios Web.
Trojan.Ransomlock, Inostealer.Vskim, Troyano, Fareit,
Backdoor.Sorosk, Android.Boxer, W32.Changeup!gen35.
Parte 3: Detallar un ataque de seguridad de red especfico
En la parte 3, investigar un ataque de red especfico que
haya ocurrido y crear una presentacin basada en sus
conclusiones. Complete el formulario que se encuentra a
continuacin con sus conclusiones.
Paso 1: Completar el siguiente formulario para el ataque de
red seleccionado.
Nombre del ataque:
Code Red (Cdigo rojo)
Tipo de ataque:
Gusano
Fechas de ataques:
Julio de 2001
Computadoras/organizaciones afectadas:
Se infectaron unas 359 000 computadoras en un da.
Cmo funciona y qu hizo:
El gusano cdigo rojo se aprovech de las
vulnerabilidades de desbordamiento del bfer en Microsoft
Internet Information Servers sin parches de revisin
aplicados. Inici un cdigo troyano en un ataque por

negacin de servicio contra direcciones IP fijas. El gusano

se propag utilizando un tipo comn de vulnerabilidad
conocida como desbordamiento del bfer. Utiliz una
cadena larga que repeta el carcter N para desbordar un
bfer, lo que luego permita que el gusano ejecutara un
cdigo arbitrario e infectara la mquina.
El contenido del gusano inclua lo siguiente:
Vandalizar el sitio Web afectado con el mensaje: HELLO!
Welcome to http://www.worm.com! Hacked By Chinese!
(HOLA! Bienvenido a http://www.worm.com. Pirateado
por los chinos).
Intent propagarse buscando ms servidores IIS en
Internet.
Esper entre 20 y 27 das desde que se instal para iniciar
ataques DoS en varias direcciones IP fijas. Una de ellas fue
la direccin IP del servidor Web de la Casa Blanca.
Mientras buscaba mquinas vulnerables, el gusano no
revisaba si el servidor en ejecucin en una mquina remota
ejecutaba una versin vulnerable de IIS o si IIS se ejecutaba.
Opciones de mitigacin:
Para evitar la explotacin de la vulnerabilidad del IIS, las
organizaciones necesitaron aplicar el parche de Microsoft
para el IIS.
Referencias y enlaces de informacin:
CERT Advisory CA-2001-19
eEye Code Red advisory
Code Red II analysis
Paso 2: Siga las pautas para instructores para completar la
presentacin.
Reflexin
1. Qu medidas puede tomar para proteger su propia PC?
mantener actualizados el sistema operativo y las
aplicaciones con parches y paquetes de servicios mediante
un firewall personal; configurar contraseas para acceder al
sistema y al BIOS; configurar protectores de pantalla con un
tiempo de espera y con solicitud de contrasea; proteger los

archivos importantes guardndolos como archivos de solo

lectura; encriptar los archivos confidenciales y los archivos
de respaldo para mantenerlos seguros.
2. Cules son algunas medidas importantes que las
organizaciones pueden seguir para proteger sus recursos?
el uso de firewalls, la deteccin y prevencin de intrusiones,
la proteccin de dispositivos de red y de terminales,
herramientas de vulnerabilidad de red, educacin del usuario
y desarrollo de polticas de seguridad.