CCNA 3 v7.0 ENSA Módulos 3 al 5 Preguntas y Respuestas
1. Consulte la exposición.
CCNA 3 v7.0 ENSA Módulos 3 al 5 Pregunta p1
Las interfaces Gigabit en ambos routers se han configurado con números de subinterfaces que coinciden con los números de VLAN conectados a ellos. Las PC en la VLAN 10 deberían poder imprimir en la impresora P1 en la VLAN 12. Las PC en la VLAN 20 deberían imprimir en las impresoras en la VLAN 22. ¿Qué interfaz y en qué dirección debe colocar una ACL estándar que permita imprimir a P1 desde la VLAN de datos 10, pero impide que las PC de la VLAN 20 utilicen la impresora P1? (Elija dos.)
R2 S0/0/1
R2 Gi0/1.20
Saliente*
R1 Gi0/1.12*
R1 S0/0/0
entrante
Explicación: Una lista de acceso estándar suele colocarse lo más cerca posible de la red de destino porque las expresiones de control de acceso en una ACL estándar no incluyen información sobre la red de destino. El destino en este ejemplo es la impresora VLAN 12 que tiene la subinterfaz Gigabit 0/1 /.12 del router R1 como puerta de enlace. Una ACL estándar de muestra que solo permite imprimir desde la VLAN de datos 10 (192.168.10.0/24), por ejemplo, y ninguna otra VLAN sería la siguiente: R1 (config) # permiso de la lista de acceso 1 192.168.10.0 0.0.0.255 R1 (config) # access-list 1 deny any R1 (config) # interfaz gigabitethernet 0 / 1.12 R1 (config-if) # ip access-group 1 out
2. ¿Cuál es el término utilizado para describir una garantía de que el mensaje no es una falsificación y realmente proviene de quien dice?
Exploit
No repudio de datos
Autenticación de origen*
Mitigación
3. ¿Qué máscara de wildcard coincidirá con las redes 172.16.0.0 a 172.19.0.0?
0.3.255.255*
0.0.255.255
0.0.3.255
0.255.255.255
4. Un administrador de red está escribiendo una ACL estándar que denegará cualquier tráfico de la red 172.16.0.0/16, pero permitirá el resto del tráfico. ¿Qué dos comandos deben usarse? (Elija dos.)
Router(config)# access-list 95 deny any
Router(config)# access-list 95 deny 172.16.0.0 255.255.0.0
Router(config)# access-list 95 172.16.0.0 255.255.255.255
Router(config)# access-list 95 host 172.16.0.0
Router(config)# access-list 95 deny 172.16.0.0 0.0.255.255*
Router(config)# access-list 95 permit any*
Explicación: Para denegar el tráfico de la red 172.16.0.0/16, se utiliza el comando access-list 95 deny 172.16.0.0 0.0.255.255. Para permitir el resto del tráfico, el comando access-list 95 permit any será agregado.
5. ¿Qué motiva comúnmente a los ciberdelincuentes a atacar redes en comparación con los hactivistas o los piratas informáticos patrocinados por el estado?
Estado entre compañeros
Razones políticas
Ganancia financiera*
Buscando fama
Explicación: Los ciberdelincuentes suelen estar motivados por el dinero. Se sabe que los piratas informáticos piratean el estado. Los ciberterroristas están motivados para cometer delitos cibernéticos por razones religiosas o políticas.
6. Un técnico tiene la tarea de usar ACL para asegurar un router. ¿Cuándo usaría el técnico la opción o comando de configuración establecido?
Para mostrar todo el tráfico restringido.
Para permitir que el tráfico de respuesta de retorno ingrese a la red interna.*
Para permitir el tráfico especificado a través de una interfaz.
Para agregar una entrada de texto con fines de documentación.
7. Consulte la exposición. Muchos empleados están perdiendo el tiempo de la empresa accediendo a las redes sociales en sus computadoras de trabajo. La empresa quiere detener este acceso. ¿Cuál es el mejor tipo y ubicación de ACL para usar en esta situación?
ACL estándar saliente en R2 S0/0/0.
ACL extendida saliente en la interfaz WAN R2 hacia Internet.
ACL extendidas entrantes en R1 G0/0 y G0/1.*
ACL estándar saliente en la interfaz WAN R2 hacia Internet.
8. ¿Qué dos palabras clave se pueden utilizar en una lista de control de acceso para reemplazar una máscara wildcard o un par de dirección y máscara comodín? (Elija dos.)
some
any*
gt
most
host*
all
Explicación: La palabra clave host se usa cuando una dirección IP de un dispositivo en específico de una ACL está siendo utilizada. Por ejemplo, el comando deny host 192.168.5.5 es el mismo que el comando deny 192.168.5.5 0.0.0.0. La palabra clave any se utiliza para permitir el paso de cualquier máscara que cumpla con los criterios. Por ejemplo, el comando permit any es el mismo que el comando permit 0.0.0.0 255.255.255.255.
9. El departamento de TI informa que el servidor web de una empresa está recibiendo un número anormalmente alto de solicitudes de páginas web desde diferentes ubicaciones simultáneamente. ¿Qué tipo de ataque de seguridad se está produciendo?
Ingeniería social
DDoS*
Suplantación de identidad
Adware
Spyware
10. Un técnico tiene la tarea de usar ACL para asegurar un router. ¿Cuándo usaría el técnico el comando o la opción de configuración ip access-group 101?
Para asegurar el tráfico de administración en el router.
Para mostrar todo el tráfico restringido.
Para aplicar una ACL extendida a una interfaz.*
Para asegurar el acceso administrativo al router.
11. ¿Cuál es el término utilizado para describir un peligro potencial para los activos, los datos o la funcionalidad de la red de una empresa?
activo
amenaza*
vulnerabilidad
exploit
12. ¿A qué cambia el indicador de CLI después de ingresar el comando ip access-list standard aaa desde el modo de configuración global?
Router(config-router)#
Router(config)#
Router(config-std-nacl)#*
Router(config-if)#
Router(config-line)#
13. ¿Cuál es el término que se utiliza para describir la misma clave previamente compartida o clave secreta, que tanto el remitente como el receptor conocen para cifrar y descifrar datos?
Integridad de los datos
Algoritmo de cifrado simétrico*
Riesgo
Exploit
14. Considere la siguiente lista de acceso.
access-list 100 permit ip host 192.168.10.1 any access-list 100 deny icmp 192.168.10.0 0.0.0.255 any echo access-list 100 permit ip any any
¿Qué dos acciones se toman si la lista de acceso se coloca entrante en un puerto Gigabit Ethernet del router que tiene asignada la dirección IP 192.168.10.254? (Elija dos.)
Se permite una sesión Telnet o SSH desde cualquier dispositivo en 192.168.10.0 al router con esta lista de acceso asignada.*
Los dispositivos de la red 192.168.10.0/24 no pueden responder a ninguna solicitud de ping.
Solo se pueden realizar conexiones de Capa 3 desde el router a cualquier otro dispositivo de red.
Solo el dispositivo de red asignado a la dirección IP 192.168.10.1 puede acceder al router.
Los dispositivos de la red 192.168.10.0/24 pueden hacer ping correctamente a los dispositivos de la red 192.168.11.0.*
Explicación: La primera ACE permite que el dispositivo 192.168.10.1 realice cualquier transacción basada en TCP/IP con cualquier otro destino. El segundo ACE evita que los dispositivos en la red 192.168.10.0/24 emitan pings a cualquier otra ubicación. Todo lo demás está permitido por el tercer ACE. Por lo tanto, se permite una sesión Telnet/SSH o una respuesta de ping desde un dispositivo en la red 192.168.10.0/24.
15. Un técnico tiene la tarea de usar ACL para asegurar un router. ¿Cuándo usaría el técnico la opción o comando de configuración de comentarios?
Para restringir el acceso de tráfico específico a través de una interfaz.
Para generar y enviar un mensaje informativo siempre que el ACE coincida.
Para identificar una dirección IP específica.
Para agregar una entrada de texto con fines de documentación.*
16. ¿Qué causa un desbordamiento de búfer?
Intentar escribir más datos en una ubicación de memoria de los que esa ubicación puede contener.*
Enviar demasiada información a dos o más interfaces del mismo dispositivo, lo que provoca la pérdida de paquetes.
Lanzar una contramedida de seguridad para mitigar un caballo de Troya.
Enviar conexiones repetidas como Telnet a un dispositivo en particular, negando así otras fuentes de datos.
Descargar e instalar demasiadas actualizaciones de software a la vez.
17. ¿Qué protocolo es atacado cuando un ciberdelincuente proporciona una puerta de enlace no válida para crear un ataque man-in-the-middle?
DHCP*
DNS
HTTP o HTTPS
ICMP
Explicación: Un ciberdelincuente podría configurar un servidor DHCP no autorizado que proporcione uno o más de lo siguiente: • Puerta de enlace predeterminada incorrecta que se utiliza para crear un ataque man-in-the-middle y permitir que el atacante intercepte datos • Servidor DNS incorrecto que hace que el usuario sea enviado a un sitio web malicioso • Dirección IP de puerta de enlace predeterminada no válida que da como resultado un ataque de denegación de servicio en el cliente DHCP
18. Consulte la exposición.
CCNA 3 v7.0 ENSA Módulos 3 al 5 Pregunta p18
El estudiante en la computadora H1 continúa lanzando un ping extendido con paquetes expandidos al estudiante en la computadora H2. El administrador de la red de la escuela quiere detener este comportamiento, pero aún permitir que ambos estudiantes accedan a las asignaciones de computadora basadas en la web. ¿Cuál sería el mejor plan para el administrador de red?
Aplicar una ACL extendida entrante en R1 Gi0/0.*
Aplicar una ACL extendida saliente en R1 S0/0/1.
Aplicar una ACL extendida entrante en R2 Gi0/1.
Aplicar una ACL estándar saliente en R2 S0/0/1.
Aplicar una ACL estándar entrante en R1 Gi0/0.
Explicación: Esta lista de acceso debe ser una ACL extendida para poder filtrar por direcciones de host de origen y destino específicas. Por lo general, el mejor lugar para una ACL extendida es el más cercano al origen, que es H1. El tráfico de H1 viaja al switch y luego sale del switch a la interfaz R1 Gi0/0. Esta interfaz Gi0/0 sería la mejor ubicación para este tipo de ACL extendida. La ACL se aplicaría en la interfaz de entrada ya que los paquetes de H1 entrarían en el router R1.
19. ¿Qué conjunto de entradas de control de acceso permitiría a todos los usuarios de la red 192.168.10.0/24 acceder a un servidor web ubicado en 172.17.80.1, pero no les permitiría usar Telnet?
access-list 103 deny tcp host 192.168.10.0 any eq 23
access-list 103 permit tcp host 192.168.10.1 eq 80
access-list 103 permit tcp 192.168.10.0 0.0.0.255 host 172.17.80.1 eq 80
access-list 103 deny tcp 192.168.10.0 0.0.0.255 any eq 23**
access-list 103 permit tcp 192.168.10.0 0.0.0.255 any eq 80
access-list 103 deny tcp 192.168.10.0 0.0.0.255 any eq 23
access-list 103 permit 192.168.10.0 0.0.0.255 host 172.17.80.1
access-list 103 deny tcp 192.168.10.0 0.0.0.255 any eq telnet
Explicación: Para que una ACL extendida cumpla con estos requisitos, se debe incluir lo siguiente en las entradas de control de acceso: • Número de identificación en el rango 100-199 o 2000-2699 • Parámetro de permiso o denegación • Protocolo • Dirección de origen y wildcard • Dirección de destino y wildcard • Número de puerto o nombre
20. ¿En qué tipo de ataque intenta un ciberdelincuente impedir que usuarios legítimos accedan a los servicios de red?
DoS*
Suplantación de direcciones
MITM
Secuestro de sesión
Explicación: En un ataque DoS o de denegación de servicio, el objetivo del atacante es evitar que usuarios legítimos accedan a los servicios de red.
21. Consulte la exposición.
CCNA 3 v7.0 ENSA Módulos 3 al 5 Pregunta p21
La ACL nombrada “Managers” ya existen en el router. ¿Qué pasará cuando el administrador de la red emita los comandos que se muestran en la exposición?
Los comandos sobrescriben la ACL existente Managers.
Los comandos se agregan al comienzo de la ACL existente Managers.
El administrador de la red recibe un error que indica que la ACL ya existe.
Los comandos se agregan al final de la ACL existente Managers.*
22. Consulte la exposición.
CCNA 3 v7.0 ENSA Módulos 3 al 5 Pregunta p22
Una nueva política de red requiere una ACL que niega el acceso FTP y Telnet a un servidor de archivos Corp de todos los pasantes. La dirección del servidor de archivos es 172.16.1.15 y a todos los pasantes se les asignan direcciones en la red 172.18.200.0/24. Después de implementar la ACL, nadie en la red Corp puede acceder a ninguno de los servidores. ¿Cuál es el problema?
La ACL niega implícitamente el acceso a todos los servidores.*
La ACL se aplica a la interfaz utilizando la dirección incorrecta.
Las ACL entrantes deben enrutarse antes de procesarse.
Las ACL con nombre requieren el uso de números de puerto.
Explicación: Tanto las ACL nombradas como las numeradas tienen una ACE de denegación implícita al final de la lista. Esta denegación implícita bloquea todo el tráfico.
23. Un técnico tiene la tarea de usar ACL para asegurar un router. ¿Cuándo utilizaría el técnico la opción o el comando de configuración “deny”?
Para mostrar todo el tráfico restringido.
Para generar y enviar un mensaje informativo siempre que el ACE coincida.
Para restringir el acceso de tráfico específico a través de una interfaz.*
Para identificar una dirección IP específica.
24. Un usuario recibe una llamada telefónica de una persona que dice representar a los servicios de TI y luego le pide al usuario que confirme el nombre de usuario y la contraseña para fines de auditoría. ¿Qué amenaza a la seguridad representa esta llamada telefónica?
Ingeniería social*
Keylogger anónimo
Correo no deseado
DDoS
Explicación: La ingeniería social intenta ganarse la confianza de un empleado y convencer a esa persona de que divulgue información confidencial y sensible, como nombres de usuario y contraseñas. Los ataques DDoS, el spam y el registro de teclas son ejemplos de amenazas de seguridad basadas en software, no de ingeniería social.
25. ¿Qué tipo de ACL ofrece mayor flexibilidad y control sobre el acceso a la red?
Estándar numerado
Extendido*
Estándar nombrado
Flexible
Explicación: Los dos tipos de ACL son estándar y extendido. Ambos tipos se pueden nombrar o numerar, pero las ACL extendidas ofrecen una mayor flexibilidad.
26. Consulte la exposición.
CCNA 3 v7.0 ENSA Módulos 3 al 5 Pregunta p26
Un administrador de red configura una ACL en el router. ¿Qué enunciado describe el resultado de la configuración?
Se permite una conexión SSH desde una estación de trabajo con IP 172.16.45.16 a un dispositivo con IP 192.168.25.18.
Se permite una conexión Telnet desde una estación de trabajo con IP 192.168.25.18 a un dispositivo con IP 172.16.45.16.
Se permite una conexión Telnet desde una estación de trabajo con IP 172.16.45.16 a un dispositivo con IP 192.168.25.18.
Se permite una conexión SSH desde una estación de trabajo con IP 192.168.25.18 a un dispositivo con IP 172.16.45.16.*
Explicación: En una ACL extendida, la primera dirección es la dirección IP de origen y la segunda es la dirección IP de destino. El número de puerto TCP 22 es un número de puerto conocido reservado para conexiones SSH. Las conexiones Telnet utilizan el puerto TCP número 23.
27. Un técnico tiene la tarea de usar ACL para asegurar un router. ¿Cuándo usaría el técnico la opción o comando de configuración no ip access-list 101?
Para eliminar una ACL configurada.*
Para eliminar todas las ACL del router.
Para aplicar una ACL a todas las interfaces del router.
Para asegurar el acceso administrativo al router.
28. Consulte la exposición.
CCNA 3 v7.0 ENSA Módulos 3 al 5 Pregunta p28
La red 192.168.30.0/24 contiene todos los servidores de la empresa. La política dicta que el tráfico de los servidores a ambas redes 192.168.10.0 y 192.168.11.0 se limite a las respuestas a las solicitudes originales. ¿Cuál es el mejor tipo y ubicación de ACL para usar en esta situación?
ACL extendido entrante en R3 G0/0.*
ACL estándar entrante en líneas vty de R1.
ACL extendido entrante en R3 S0/0/1.
ACL extendido entrante en R3 S0/0/1.*
ACL extendidas entrantes en R1 G0/0 y G0/1.
Explicación: Las ACL estándar permiten o deniegan paquetes basándose únicamente en la dirección IPv4 de origen. Debido a que todos los tipos de tráfico están permitidos o denegados, las ACL estándar deben ubicarse lo más cerca posible del destino. Las ACL extendidas permiten o rechazan paquetes según la dirección IPv4 de origen y la dirección IPv4 de destino, el tipo de protocolo, los puertos TCP o UDP de origen y destino, y más. Debido a que el filtrado de las ACL extendidas es tan específico, las ACL extendidas deben ubicarse lo más cerca posible del origen del tráfico que se filtrará. El tráfico no deseado se niega cerca de la red de origen sin cruzar la infraestructura de red.
29. Consulte la exposición.
CCNA 3 v7.0 ENSA Módulos 3 al 5 Pregunta p29
Solo los usuarios remotos autorizados tienen permitido el acceso remoto al servidor de la empresa 192.168.30.10. ¿Cuál es el mejor tipo y ubicación de ACL para usar en esta situación?
ACL extendido saliente en la interfaz WAN R2 hacia Internet.
ACL extendida entrante en R2 S0/0/0.
ACL extendida entrante en la interfaz WAN R2 conectada a Internet.*
ACL extendidas entrantes en R1 G0/0 y G0/1.
30. Consulte la exposición.
CCNA 3 v7.0 ENSA Módulos 3 al 5 Pregunta p30
Un administrador de red desea permitir que solo el host 192.168.1.1/24 pueda acceder al servidor 192.168.2.1/24. ¿Qué tres comandos lograrán esto utilizando las mejores prácticas de colocación de ACL? (Elija tres.)
R2(config)# interface fastethernet 0/0*
R2(config)# access-list 101 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
R2(config-if)# ip access-group 101 out
R2(config-if)# ip access-group 101 in*
R2(config)# access-list 101 permit ip host 192.168.1.1 host 192.168.2.1*
R2(config)# access-list 101 permit ip any any
R2(config)# interface fastethernet 0/1
Explicación: Una ACL extendida se coloca lo más cerca posible del origen del tráfico. En este caso, se coloca en una dirección de entrada en la interfaz fa0/0 en R2 para el tráfico que ingresa al router desde el host con la dirección IP 192.168.1.1 con destino al servidor con la dirección IP 192.168.2.1.
31. Consulte la exposición.
CCNA 3 v7.0 ENSA Módulos 3 al 5 Pregunta p31
Un administrador de red ha configurado ACL 9 como se muestra. Los usuarios de la red 172.31.1.0/24 no pueden reenviar el tráfico a través del router CiscoVille. ¿Cuál es la causa más probable de la falla de tráfico?
La secuencia de las ACE es incorrecta.*
El número de puerto para el tráfico no se ha identificado con la palabra clave eq.
No se especifica la palabra clave establecida.
La declaración de permiso especifica una máscara wildcard incorrecta.
Explicación: Al verificar una ACL, las declaraciones siempre se enumeran en orden secuencial. Aunque existe un permiso explícito para el tráfico que se origina en la red 172.31.1.0/24, se está denegando debido a la ACE previamente implementada de CiscoVille(config)# access-list 9 deny 172.31.0.0 0.0.255.255. La secuencia de las ACE debe modificarse para permitir el tráfico específico que se origina en la red 172.31.1.0/24 y luego negar 172.31.0.0/16.
32. ¿Qué efecto tendría el comando Router1(config-ext-nacl)# permit tcp 172.16.4.0 0.0.0.255 any eq www cuando se implementa en la entrada de la interfaz f0/0?
El tráfico que se origina en 172.16.4.0/24 está permitido a todos los destinos del puerto TCP 80.*
Se permite todo el tráfico TCP y se deniega el resto del tráfico.
Todo el tráfico de 172.16.4.0/24 está permitido en cualquier lugar de cualquier puerto.
El router rechaza el comando porque está incompleto.
33. ¿Cuál es el término utilizado para describir a los hackers de sombrero gris que protestan públicamente contra organizaciones o gobiernos publicando artículos, videos, filtrando información confidencial y realizando ataques a la red?
Hacker patrocinado por el estado
Hackers de sombreo gris
Hacktivistas*
Hackers de sombreo blanco
34. ¿Qué se considera una práctica recomendada al configurar ACL en líneas vty?
Colocar restricciones idénticas en todas las líneas vty.*
Aplicar el comando entrante ip access-group.
Eliminar la contraseña vty ya que la ACL restringe el acceso a los usuarios de confianza.
Utilizar solo listas de acceso extendidas.
35. Consulte la exposición.
CCNA 3 v7.0 ENSA Módulos 3 al 5 Pregunta p35
El director ejecutivo de la empresa exige que se cree una ACL para permitir el tráfico de correo electrónico a Internet y denegar el acceso FTP. ¿Cuál es el mejor tipo y ubicación de ACL para usar en esta situación?
ACL estándar saliente en R2 S0/0/0.
ACL extendida entrante en R2 S0/0/0.
ACL estándar entrante en la interfaz WAN R2 que se conecta a Internet.
ACL extendido saliente en la interfaz WAN R2 hacia Internet.*
36. ¿En qué tipo de ataque se utiliza información falsificada para redirigir a los usuarios a sitios de Internet maliciosos?
Envenenamiento de la caché de DNS*
Envenenamiento de caché ARP
Reflexión y amplificación de DNS
Generación de dominio
37. Un administrador de red necesita configurar una ACL estándar para que solo la estación de trabajo del administrador con la dirección IP 192.168.15.23 pueda acceder al terminal virtual del router principal. ¿Qué dos comandos de configuración pueden lograr la tarea? (Elija dos.)
Router1(config)# access-list 10 permit 192.168.15.23 0.0.0.0*
Router1(config)# access-list 10 permit 192.168.15.23 255.255.255.0
Router1(config)# access-list 10 permit host 192.168.15.23*
Router1(config)# access-list 10 permit 192.168.15.23 255.255.255.255
Router1(config)# access-list 10 permit 192.168.15.23 0.0.0.255
Explicación: Para permitir o denegar una dirección IP específica, se puede usar la máscara wildcard 0.0.0.0 (usada después de la dirección IP) o la palabra clave host de la máscara wildcard (usada antes de la dirección IP).
38. ¿Qué es un barrido de ping?
Una aplicación de software que permite la captura de todos los paquetes de red que se envían a través de una LAN.
Un protocolo de consulta y respuesta que identifica información sobre un dominio, incluidas las direcciones asignadas a ese dominio.
Una técnica de escaneo que examina un rango de números de puerto TCP o UDP en un host para detectar servicios de escucha.
Una técnica de escaneo de red que indica los hosts activos en un rango de direcciones IP.*
Explicación: Un barrido de ping es una herramienta que se utiliza durante un ataque de reconocimiento. Otras herramientas que pueden utilizarse durante este tipo de ataque incluyen un barrido de ping, un escaneo de puertos o una consulta de información de Internet. Un ataque de reconocimiento se utiliza para recopilar información sobre una red en particular, generalmente como preparación para otro tipo de ataque a la red.
39. Consulte la exposición.
CCNA 3 v7.0 ENSA Módulos 3 al 5 Pregunta p39
Un administrador primero configuró una ACL extendida como se muestra en el resultado del comando show access-lists. Luego, el administrador editó esta lista de acceso emitiendo los siguientes comandos.
Router (config) # ip access-list extended 101 Router (config-ext-nacl) # no 20 Router (config-ext-nacl) # 5 permit tcp any any eq 22 Router (config-ext-nacl) # 20 deny udp any any
¿Qué dos conclusiones se pueden sacar de esta nueva configuración? (Elija dos.)
Se rechazarán todos los paquetes TCP y UDP.
Se permitirán paquetes SSH.*
Se permitirán paquetes Telnet.
Se permitirán paquetes TFTP.
Se permitirán paquetes de ping.*
Explicación: Después de la edición, la configuración final es la siguiente: Router# show access-lists Lista de acceso IP extendida 101 5 permit tcp any any eq ssh 10 deny tcp any any 20 deny udp any any 30 permit icmp any any Entonces, solo los paquetes SSH e ICMP serán permitidos.
40. ¿Cuál es una característica de un IPS?
No tiene ningún impacto en la latencia.
Se implementa en modo fuera de línea.
Puede detener paquetes maliciosos.*
Se centra principalmente en identificar posibles incidentes.
41. ¿Qué tipo de malware tiene el objetivo principal de propagarse por la red?
Gusano*
Botnet
Virus
Caballo de Troya
42. ¿Qué enunciado caracteriza con precisión la evolución de las amenazas a la seguridad de la red?
Los primeros usuarios de Internet a menudo participaban en actividades que dañarían a otros usuarios.
Los arquitectos de Internet planificaron la seguridad de la red desde el principio.
Las amenazas se han vuelto menos sofisticadas mientras que el conocimiento técnico que necesita un atacante ha aumentado.
Las amenazas internas pueden causar un daño aún mayor que las externas.*
Explicación: Las amenazas internas pueden ser intencionales o accidentales y causar un daño mayor que las amenazas externas porque el usuario interno tiene acceso directo a la red corporativa interna y a los datos corporativos.
43. Consulte la exposición.
CCNA 3 v7.0 ENSA Módulos 3 al 5 Pregunta p43
Se configuró una ACL en el R1 con la intención de denegar el tráfico de la subred 172.16.4.0/24 a la subred 172.16.3.0/24. Se debe permitir el resto del tráfico hacia la subred 172.16.3.0/24. Esta ACL estándar luego se aplicó saliente en la interfaz Fa0/0. ¿Qué conclusión se puede sacar de esta configuración?
La ACL debe aplicarse a la interfaz FastEthernet 0/0 del R1 entrante para cumplir con los requisitos.
En esta situación, se debe utilizar una ACL extendida.
Solo se bloquea el tráfico de la subred 172.16.4.0/24 y se permite el resto del tráfico.
La ACL debe aplicarse saliente en todas las interfaces del R1.
Se bloqueará todo el tráfico, no solo el tráfico de la subred 172.16.4.0/24.*
Explicación: Debido a la denegación implícita al final de todas las ACL, el comando access-list 1 permit any debe incluirse para garantizar que solo se bloquee el tráfico de la subred 172.16.4.0/24 y que se permita el resto del tráfico.
44. Consulte la exposición.
CCNA 3 v7.0 ENSA Módulos 3 al 5 Pregunta p44
¿Qué dos ACL permitirían que solo las dos redes LAN conectadas a R1 accedan a la red que se conecta a la interfaz R2 G0/1? (Elija dos.)
access-list 4 permit 192.168.10.0 0.0.0.255
access-list 1 permit 192.168.10.0 0.0.0.127*
access-list 3 permit 192.168.10.128 0.0.0.63
access-list 2 permit host 192.168.10.9
access-list 2 permit host 192.168.10.69
access-list 5 permit 192.168.10.0 0.0.0.63
access-list 5 permit 192.168.10.64 0.0.0.63**
Explicación: El comando permit 192.168.10.0 0.0.0.127 ignora las posiciones de bit 1 a 7, lo que significa que las direcciones 192.168.10.0 a 192.168.10.127 están permitidas. Las dos ACE de permit 192.168.10.0 0.0.0.63 y permit 192.168.10.64 0.0.0.63 permiten el mismo rango de direcciones a través del router.
45. ¿Cuál es el término utilizado para describir a los delincuentes poco éticos que ponen en peligro la seguridad de la red y la computadora para beneficio personal o por motivos maliciosos?
Scriptkiddies
Hacktivistas
Corredor de vulnerabilidades
Hackers de sombrero negro*
46. Consulte la exposición.
CCNA 3 v7.0 ENSA Módulos 3 al 5 Pregunta p46
El administrador de red tiene una dirección IP 192.168.11.10 y necesita acceso para administrar R1. ¿Cuál es el mejor tipo y ubicación de ACL para usar en esta situación?
ACL estándar entrante en líneas vty del R1.*
ACL extendido saliente en R2 S0/0/1.
ACL extendidas entrantes en R1 G0/0 y G0/1.
ACL extendido saliente en la interfaz WAN R2 hacia Internet.
Explicación: Las ACL estándar permiten o deniegan paquetes basándose únicamente en la dirección IPv4 de origen. Debido a que todos los tipos de tráfico están permitidos o denegados, las ACL estándar deben ubicarse lo más cerca posible del destino. Las ACL extendidas permiten o rechazan paquetes según la dirección IPv4 de origen y la dirección IPv4 de destino, el tipo de protocolo, los puertos TCP o UDP de origen y destino, y más. Debido a que el filtrado de las ACL extendidas es tan específico, las ACL extendidas deben ubicarse lo más cerca posible del origen del tráfico que se filtrará. El tráfico no deseado se niega cerca de la red de origen sin cruzar la infraestructura de red.
47. Un técnico tiene la tarea de usar ACL para asegurar un router. ¿Cuándo usaría el técnico cualquier opción o comando de configuración?
Para identificar cualquier dirección IP.*
Para generar y enviar un mensaje informativo siempre que el ACE coincida.
Para agregar una entrada de texto con fines de documentación.
Para identificar una dirección IP específica.
48. Consulte la exposición.
CCNA 3 v7.0 ENSA Módulos 3 al 5 Pregunta p48
Un administrador de red debe agregar una ACE a la ACL de CONTROL DE TRÁFICO que denegará el tráfico IP de la subred 172.23.16.0/20. ¿Qué ACE cumplirá con este requisito?
5 deny 172.23.16.0 0.0.255.255
30 deny 172.23.16.0 0.0.15.255
15 deny 172.23.16.0 0.0.15.255
5 deny 172.23.16.0 0.0.15.255*
Explicación: El único criterio de filtrado especificado para una lista de acceso estándar es la dirección IPv4 de origen. La máscara de wildcard se escribe para identificar qué partes de la dirección deben coincidir, con un bit 0, y qué partes de la dirección deben ignorarse, que es un bit 1. El router analizará las entradas ACE desde el número de secuencia más bajo hasta el más alto. Si se debe agregar un ACE a una lista de acceso existente, se debe especificar el número de secuencia para que el ACE esté en el lugar correcto durante el proceso de evaluación de ACL.
49. Consulte la exposición.
CCNA 3 v7.0 ENSA Módulos 3 al 5 Pregunta p49
¿Qué comando se usaría en una ACL estándar para permitir que solo los dispositivos de la red conectados a la interfaz R2 G0/0 accedan a las redes conectadas a R1?
access-list 1 permit 192.168.10.0 0.0.0.63
access-list 1 permit 192.168.10.128 0.0.0.63
access-list 1 permit 192.168.10.0 0.0.0.255
access-list 1 permit 192.168.10.96 0.0.0.31*
Explicación: Las listas de acceso estándar solo filtran por la dirección IP de origen. En el diseño, los paquetes vendrían de la red 192.168.10.96/27 (la red R2 G0 / 0). La ACL correcta es access-list 1 permit 192.168.10.96 0.0.0.31.
50. ¿Qué ataque involucra a los actores de amenazas que se colocan entre un origen y un destino con la intención de monitorear, capturar y controlar la comunicación de manera transparente?
Ataque ICMP
Ataque de DoS
Ataque man-in-the-middle*
Ataque de inundación SYN
Explicación: El ataque man-in-the-middle es un ataque común relacionado con IP en el que los actores de amenazas se colocan entre un origen y un destino para monitorear, capturar y controlar la comunicación de manera transparente.
51. Consulte la exposición.
CCNA 3 v7.0 ENSA Módulos 3 al 5 Pregunta p51
Un administrador de red está configurando una ACL IPv4 estándar. ¿Cuál es el efecto después de ingresar el comando no access-list 10?
La ACL 10 se desactivará y eliminará después de que se reinicie R1.
La ACL 10 se elimina tanto de la configuración en ejecución como de la interfaz Fa0/1.
ACL 10 está deshabilitado en Fa0/1.
La ACL 10 se elimina de la configuración en ejecución.*
Explicación: El comando R1(config)# no access-list elimina la ACL de la configuración en ejecución inmediatamente. Sin embargo, para deshabilitar una ACL en una interfaz, se debe ingresar el comando R1(config-if)# no ip access-group.
52. ¿Qué ACE permitirá un paquete que se origina en cualquier red y está destinado a un servidor web en 192.168.1.1?
access-list 101 permit tcp host 192.168.1.1 eq 80 any
access-list 101 permit tcp host 192.168.1.1 any eq 80
access-list 101 permit tcp any eq 80 host 192.168.1.1
access-list 101 permit tcp any host 192.168.1.1 eq 80*
53. ¿Qué objetivo de las comunicaciones seguras se logra mediante el cifrado de datos?
Disponibilidad
Confidencialidad*
Integridad
Autenticación
54. Si un algoritmo asimétrico usa una clave pública para encriptar datos, ¿qué se usa para desencriptarlos?
DH
Una clave pública diferente
Un certificado digital
Una clave privada*
Explicación: Cuando se utiliza un algoritmo asimétrico, se utilizan claves públicas y privadas para el cifrado. Cualquiera de las claves puede usarse para el cifrado, pero la clave complementaria coincidente debe usarse para el descifrado. Por ejemplo, si la clave pública se usa para el cifrado, entonces la clave privada debe usarse para el descifrado.
55. Un técnico tiene la tarea de usar ACL para asegurar un router. ¿Cuándo usaría el técnico la opción o comando de configuración 40 deny host 192.168.23.8?
Para eliminar todas las ACL del router.
Para aplicar una ACL a todas las interfaces del router.
Para asegurar el acceso administrativo al router.
Para crear una entrada en una ACL numerada.*
56. ¿De qué manera se utilizan los zombis en los ataques a la seguridad?
Son segmentos de código formados maliciosamente que se utilizan para reemplazar aplicaciones legítimas.
Sondean un grupo de máquinas en busca de puertos abiertos para saber qué servicios se están ejecutando.
Se dirigen a personas específicas para obtener información corporativa o personal.
Son máquinas infectadas que realizan un ataque DDoS.*
Explicación: Los zombis son equipos infectados que forman una botnet. Los zombis se utilizan para implementar un ataque distribuido de denegación de servicio (DDoS).
57. ¿Cuál es la mejor descripción del malware troyano?
Aparece como software útil, pero oculta códigos maliciosos.*
Es un malware que solo se puede distribuir a través de Internet.
Es la forma de malware más fácil de detectar.
Es un software que causa problemas informáticos molestos, pero no fatales.
58. ¿Qué dos filtros de paquetes podría usar un administrador de red en una ACL extendida de IPv4? (Elija dos.)
Tipo de computadora
Dirección de saludo TCP de origen
Dirección MAC de destino
Tipo de mensaje ICMP*
Número de puerto UDP de destino*
Explicación: Las listas de acceso extendidas suelen filtrar por direcciones IPv4 de origen y destino y números de puerto TCP o UDP. Se puede proporcionar un filtrado adicional para los tipos de protocolo.
59. Consulte la exposición.
CCNA 3 v7.0 ENSA Módulos 3 al 5 Pregunta p59
La empresa ha proporcionado teléfonos IP a los empleados en la red 192.168.10.0/24 y el tráfico de voz deberá tener prioridad sobre el tráfico de datos. ¿Cuál es el mejor tipo y ubicación de ACL para usar en esta situación?
ACL extendido entrante en R1 G0/0.*
ACL extendidas entrantes en R1 G0/0 y G0/1.
ACL extendido saliente en R2 S0/0/1.
ACL extendido saliente en la interfaz WAN R2 hacia Internet.
Explicación: Las ACL estándar permiten o deniegan paquetes basándose únicamente en la dirección IPv4 de origen. Debido a que todos los tipos de tráfico están permitidos o denegados, las ACL estándar deben ubicarse lo más cerca posible del destino. Las ACL extendidas permiten o rechazan paquetes según la dirección IPv4 de origen y la dirección IPv4 de destino, el tipo de protocolo, los puertos TCP o UDP de origen y destino, y más. Debido a que el filtrado de las ACL extendidas es tan específico, las ACL extendidas deben ubicarse lo más cerca posible del origen del tráfico que se filtrará. El tráfico no deseado se niega cerca de la red de origen sin cruzar la infraestructura de red.
60. ¿Cuál es el término que se utiliza para describir un mecanismo que aprovecha una vulnerabilidad?
Mitigación
Vulnerabilidad
Exploit*
Amenaza
61. Un técnico tiene la tarea de usar ACL para asegurar un router. ¿Cuándo usaría el técnico la opción o comando de configuración ‘ip access-group 101 in’?
Para asegurar el tráfico de administración en el router.
Para aplicar una ACL extendida a una interfaz.*
Para mostrar todo el tráfico restringido.
Para asegurar el acceso administrativo al router.
62. ¿Qué requisito de comunicaciones seguras se garantiza mediante la implementación de algoritmos de generación de hash MD5 o SHA?
Confidencialidad
Autenticación
Integridad*
No repudio
Explicación: La integridad se garantiza mediante la implementación de algoritmos de generación de hash MD5 o SHA. Muchas redes modernas garantizan la autenticación con protocolos, como HMAC. La confidencialidad de los datos está garantizada mediante algoritmos de cifrado simétrico, incluidos DES, 3DES y AES. La confidencialidad de los datos también se puede garantizar mediante algoritmos asimétricos, incluidos RSA y PKI.
63. ¿En qué ataque de TCP está intentando el ciberdelincuente abrumar a un host objetivo con conexiones TCP medio abiertas?
Reiniciar ataque.
Ataque de escaneo de puertos.
Ataque de inundación SYN.*
Ataque de secuestro de sesión.
Explicación: En un ataque de inundación TCP SYN, el atacante envía al host de destino una inundación continua de solicitudes de sesión TCP SYN con una dirección IP de origen falsificada. El host de destino responde con un TCP-SYN-ACK a cada una de las solicitudes de sesión SYN y espera un TCP ACK que nunca llegará. Finalmente, el objetivo se ve abrumado por las conexiones TCP medio abiertas.
64. Consulte la exposición.
CCNA 3 v7.0 ENSA Módulos 3 al 5 Pregunta p64
¿Qué se puede determinar a partir de esta salida?
La ACL solo monitorea el tráfico destinado a 10.23.77.101 desde tres hosts específicos.
El router no ha tenido ningún paquete Telnet de 10.35.80.22 destinado a 10.23.77.101.*
A la ACL le falta el ACE deny ip any any.
Debido a que no hay coincidencias para la línea 10, la ACL no funciona.
Explicación: La entrada 10 de ACL en MyACL coincide con cualquier paquete Telnet entre el host 10.35.80.22 y 10.23.77.101. No se han producido coincidencias en este ACE como lo demuestra la falta de un ACE «(xxx coincidencias)». No se requiere la ACE deny ip any any porque hay una ACE deny implícita agregada a cada lista de control de acceso. Cuando no existen coincidencias para una ACL, solo significa que ningún tráfico ha cumplido las condiciones que existen para esa línea en particular. La ACL supervisa el tráfico que coincide con tres hosts específicos que se dirigen a dispositivos de destino muy específicos. El resto del tráfico no está permitido por la IP de negación implícita de cualquier ACE.
65. ¿Qué enunciado describe una diferencia entre el funcionamiento de las ACL entrantes y salientes?
Las ACL entrantes se procesan antes de que los paquetes se enruten, mientras que las ACL salientes se procesan después de que se completa el enrutamiento.*
A diferencia de los ALC salientes, las ACL entrantes se pueden utilizar para filtrar paquetes con varios criterios.
Las ACL entrantes se pueden usar tanto en routers como en switchs, pero las ACL salientes solo se pueden usar en routers.
En una interfaz de red, se puede configurar más de una ACL entrante, pero solo se puede configurar una ACL saliente.
Explicación: Con una ACL entrante, los paquetes entrantes se procesan antes de enrutarlos. Con una ACL de salida, los paquetes se enrutan primero a la interfaz de salida y luego se procesan. Por lo tanto, el procesamiento de entradas es más eficiente desde la perspectiva del router. La estructura, los métodos de filtrado y las limitaciones (en una interfaz, solo se puede configurar una ACL entrante y una saliente) son las mismas para ambos tipos de ACL.
66. ¿Qué enunciado describe una característica de las ACL IPv4 estándar?
Filtran el tráfico basándose únicamente en las direcciones IP de origen.*
Se pueden configurar para filtrar el tráfico según las direcciones IP de origen y los puertos de origen.
Están configurados en el modo de configuración de interfaz.
Se pueden crear con un número, pero no con un nombre.
Explicación: Una ACL IPv4 estándar puede filtrar el tráfico basándose únicamente en las direcciones IP de origen. A diferencia de una ACL extendida, no puede filtrar el tráfico según los puertos de Capa 4. Sin embargo, tanto las ACL estándar como las extendidas se pueden identificar con un número o un nombre, y ambas se configuran en el modo de configuración global.
67. ¿Cuál es la forma más rápida de eliminar una sola ACE de una ACL nombrada?
Utilice el comando no access-list para eliminar toda la ACL y luego vuelva a crearla sin ACE.
Cree una nueva ACL con un número diferente y aplique la nueva ACL a la interfaz del router.
Utilice la palabra clave “no” y el número de secuencia del ACE que se eliminará.*
Copie la ACL en un editor de texto, elimine la ACE y luego copie la ACL nuevamente en el router.
Explicación: Las ACL ACEs con nombre se pueden eliminar mediante el comando no seguido del número de secuencia.
68. Consulte la exposición.
CCNA 3 v7.0 ENSA Módulos 3 al 5 Pregunta p68
Un administrador configuró una ACL estándar en el R1 y la aplicó a la interfaz serial 0/0/0 en la dirección de salida. ¿Qué sucede con el tráfico que sale de la interfaz serial 0/0/0 que no coincide con las declaraciones de ACL configuradas?
Se verifica la dirección IP de origen y, si no se encuentra una coincidencia, el tráfico se enruta a la interfaz serial 0/0/1.
La acción resultante está determinada por la dirección IP de destino y el número de puerto.
Se cae el tráfico.*
La acción resultante está determinada por la dirección IP de destino.
Explicación: Cualquier tráfico que no coincida con una de las declaraciones en una ACL tiene la denegación implícita aplicada, lo que significa que el tráfico se descarta.
69. ¿Qué tipo de hacker está motivado para protestar contra cuestiones políticas y sociales?
Hacktivista*
Ciberdelincuente
Hacker blanco
Script Kiddie
Explicación: Los piratas informáticos se clasifican por factores motivadores. Los hacktivistas están motivados por protestar por cuestiones políticas y sociales.
70. Consulte la exposición.
CCNA 3 v7.0 ENSA Módulos 3 al 5 Pregunta p70
Los privilegios de Internet para un empleado se han revocado debido al abuso, pero el empleado aún necesita acceso a los recursos de la empresa. ¿Cuál es el mejor tipo y ubicación de ACL para usar en esta situación?
ACL estándar saliente en la interfaz WAN R2 hacia Internet*
ACL estándar saliente en R1 G0/0
ACL estándar entrante en la interfaz WAN R2 que se conecta a Internet
ACL estándar entrante en R1 G0/0
Explicación: – Las ACL estándar permiten o deniegan paquetes basándose únicamente en la dirección IPv4 de origen. Debido a que todos los tipos de tráfico están permitidos o denegados, las ACL estándar deben ubicarse lo más cerca posible del destino. – Las ACL extendidas permiten o niegan paquetes según la dirección IPv4 de origen y la dirección IPv4 de destino, el tipo de protocolo, los puertos TCP o UDP de origen y destino y más. Debido a que el filtrado de las ACL extendidas es tan específico, las ACL extendidas deben ubicarse lo más cerca posible de la fuente del tráfico que se filtrará. El tráfico no deseado se niega cerca de la red de origen sin cruzar la infraestructura de red.
