1. ¿Qué dos características se aplican a las supervistas de acceso CLI basadas en roles? (Escoge dos.)
Una supervista específica no puede tener comandos agregados directamente. *
Las vistas CLI tienen contraseñas, pero las supervistas no tienen contraseñas.
Se puede compartir una sola supervista entre varias vistas CLI.
Al eliminar una supervista, se eliminan todas las vistas CLI asociadas.
Los usuarios que inician sesión en una supervista pueden acceder a todos los comandos especificados dentro de las vistas CLI asociadas. *
Explicación: Mediante el uso de una supervista, un administrador puede asignar usuarios o grupos de usuarios a vistas CLI que contienen un conjunto específico de comandos a los que pueden acceder esos usuarios. Los comandos no se pueden agregar directamente a una supervista, sino que deben agregarse a una vista CLI y la vista CLI agregada a la supervista.
2. ¿Qué tres tipos de vistas están disponibles al configurar la función de acceso CLI basada en roles? (Elige tres.)
supervista *
vista de administrador
vista raíz *
vista de superusuario
Vista CLI *
vista de configuración
Explicación: Hay tres tipos de vistas CLI basadas en roles:
1) vista raíz
2) vista CLI
3) supervista
3. Si AAA ya está habilitado, ¿qué tres pasos de CLI se requieren para configurar un enrutador con una vista específica? (Elige tres.)
Cree una supervista con el comando parser view view-name.
Asocie la vista con la vista raíz.
Asigne usuarios que puedan usar la vista.
Cree una vista usando el comando parser view view-name. *
Asignar una contraseña secreta a la vista. *
Asignar comandos a la vista. *
Explicación: Hay cinco pasos necesarios para crear una vista en un enrutador Cisco.
1) AAA debe estar habilitado.
2) se debe crear la vista.
3) se debe asignar una contraseña secreta a la vista.
4) los comandos deben asignarse a la vista.
5) se debe salir del modo de configuración de vista.
4. ¿Qué ocurre después de que se generan claves RSA en un enrutador Cisco para prepararse para la administración segura de dispositivos?
Las claves deben ponerse a cero para restablecer Secure Shell antes de configurar otros parámetros.
Todos los puertos vty se configuran automáticamente para SSH para proporcionar una administración segura.
El tamaño de la clave de propósito general debe especificarse para la autenticación con la clave criptográfica generate rsa general-keys moduluscommand.
Las claves generadas pueden ser utilizadas por SSH. *
Explicación: Una vez que se generan las claves RSA, SSH se habilita automáticamente.
5 . ¿Qué tres afirmaciones describen las limitaciones en el uso de niveles de privilegios para asignar autorización de comando? (Elige tres.)
Crear una cuenta de usuario que necesite acceso a la mayoría de los comandos, pero no a todos, puede ser un proceso tedioso. *
Se requieren vistas para definir los comandos CLI a los que puede acceder cada usuario.
Los comandos configurados en un nivel de privilegio más alto no están disponibles para usuarios de privilegios más bajos. *
Se requiere que se definan los 16 niveles de privilegios, ya sea que se utilicen o no.
No hay control de acceso a interfaces específicas en un enrutador. *
El usuario raíz debe asignarse a cada nivel de privilegio definido.
Explicación: Un administrador puede crear niveles de privilegios personalizados y asignar diferentes comandos a cada nivel. Sin embargo, este método de controlar el nivel de acceso al enrutador tiene limitaciones. Usando niveles de privilegios, el acceso a interfaces o puertos específicos no se puede controlar y la disponibilidad de comandos no se puede personalizar en todos los niveles.
6. ¿Qué comando se debe emitir para habilitar las mejoras de inicio de sesión en un enrutador Cisco?
nivel ejecutivo privilegiado
retraso de inicio de sesión
bloqueo de inicio de sesión para *
banner motd
Explicación: Las mejoras de inicio de sesión de Cisco IOS pueden aumentar la seguridad de las conexiones de inicio de sesión virtual a un enrutador. Aunque el retraso de inicio de sesión es un comando de mejora de inicio de sesión, todas las mejoras de inicio de sesión están deshabilitadas hasta que se configura el comando login block-for.
7. Un administrador definió una cuenta de usuario local con una contraseña secreta en el enrutador R1 para usar con SSH. ¿Qué tres pasos adicionales se requieren para configurar el R1 para que acepte solo conexiones SSH cifradas? (Elige tres.)
Habilite las sesiones entrantes vty SSH. *
Genere claves precompartidas bidireccionales.
Configure DNS en el enrutador.
Configure el nombre de dominio IP en el enrutador. *
Habilite las sesiones entrantes de Telnet vty.
Genere las claves SSH. *
Explicación: Hay cuatro pasos para configurar la compatibilidad con SSH en un enrutador Cisco:
Paso 1: Establecer el nombre de dominio.
Paso 2: generar claves secretas unidireccionales.
Paso 3: cree un nombre de usuario y una contraseña locales.
Paso 4: habilite SSH entrante en una línea vty.
8. ¿Qué conjunto de comandos se requieren para crear un nombre de usuario de administrador, hash la contraseña usando MD5 y forzar al enrutador a acceder a la base de datos de nombre de usuario interna cuando un usuario intenta acceder a la consola?
R1 (config) # nombre de usuario admin contraseña Admin01pa55
R1 (config) # line con 0
R1 (config-line) # login local
R1 (config) # username admin secret Admin01pa55
R1 (config) # line con 0
R1 (config-line) # login local *
R1 (config) # username admin Admin01pa55 encr md5
R1 (config) # line con 0
R1 (config-line) # login local
R1 (config) # nombre de usuario admin contraseña Admin01pa55
R1 (config) # line con 0
R1 (config-line) # login
R1 (config) # username admin secret Admin01pa55
R1 (config) # line con 0
R1 (config-line) # login
Explicación: Para configurar una cuenta de usuario con una contraseña cifrada, se utiliza el comando secreto del nombre de usuario. El comando line con 0 define la línea de la consola como configurada para el inicio de sesión y el comando login local le dice al enrutador que busque en la base de datos local las credenciales del usuario.
9. Consulte la exposición.
CCNA Security v2.0 Capitulo 2 Respuestas del Examen p9
¿Qué afirmación sobre la cuenta JR-Admin es verdadera?
JR-Admin solo puede emitir comandos ping.
JR-Admin puede emitir comandos show, ping y reload.
JR-Admin no puede emitir ningún comando porque el nivel de privilegio no coincide con uno de los definidos.
JR-Admin puede emitir comandos de depuración y recarga.
JR-Admin puede emitir comandos ping y recargar *
Explicación: Cuando se emite el comando de nombre de usuario privilege 10, se permite al usuario el acceso a comandos con un nivel de privilegio de 10 o menos (0-10).
10. ¿Cuál es el nivel de privilegio predeterminado de las cuentas de usuario creadas en los routers Cisco?
0
15
1 *
dieciséis
Explicación: Hay 16 niveles de privilegios que se pueden configurar como parte del comando de nombre de usuario, que van de 0 a 15. De forma predeterminada, si no se especifica ningún nivel, la cuenta tendrá el nivel de privilegio 1
11. ¿Qué tres áreas de seguridad del enrutador deben mantenerse para asegurar un enrutador de borde en el perímetro de la red? (Elige tres.)
seguridad de acceso remoto
aislamiento de zona
endurecimiento del enrutador *
seguridad del sistema operativo *
seguridad flash
seguridad física*
Explicación: Hay tres áreas de seguridad del enrutador que se deben mantener:
1) seguridad física
2) refuerzo del enrutador
3) seguridad del sistema operativo
12. ¿Qué práctica de seguridad recomendada evita que los atacantes realicen la recuperación de contraseñas en un enrutador Cisco IOS con el fin de obtener acceso al modo EXEC privilegiado?
Ubique el enrutador en una habitación segura y cerrada que sea accesible solo para el personal autorizado. *
Configure un control administrativo seguro para garantizar que solo el personal autorizado pueda acceder al enrutador.
Guarde una copia segura de la imagen del IOS de Cisco del enrutador y el archivo de configuración del enrutador como copia de seguridad.
Aprovisione el enrutador con la máxima cantidad de memoria posible.
Deshabilite todos los puertos e interfaces no utilizados para reducir la cantidad de formas en que se puede acceder al enrutador.
Explicación: De las tres áreas de seguridad del enrutador, seguridad física, fortalecimiento del enrutador y seguridad del sistema operativo, la seguridad física implica ubicar el enrutador en una habitación segura accesible solo para el personal autorizado que puede realizar la recuperación de la contraseña.
13. Consulte la exposición.
CCNA Security v2.0 Capitulo 2 Respuestas del Examen p13
Según el resultado del comando show running-config, ¿qué tipo de vista es SUPPORT?
Vista CLI, que contiene los comandos SHOWVIEW y VERIFYVIEW
supervista, que contiene las vistas SHOWVIEW y VERIFYVIEW *
vista secreta, con una contraseña cifrada de nivel 5
vista raíz, con una contraseña secreta cifrada de nivel 5
Explicación: La vista CLI basada en roles de supervista denominada SUPPORT se ha configurado en el enrutador. SUPPORT suerview consta de dos vistas CLI llamadas SHOWVIEW y VERIFYVIEW.
14. Un administrador de red se da cuenta de que los intentos fallidos de inicio de sesión han provocado que un enrutador entre en modo silencioso. ¿Cómo puede el administrador mantener el acceso remoto a las redes incluso durante el modo silencioso?
El comportamiento del modo silencioso se puede habilitar mediante un comando ip access-group en una interfaz física.
El comportamiento del modo silencioso solo evitará que determinadas cuentas de usuario intenten autenticarse.
El comportamiento del modo silencioso se puede anular para redes específicas mediante el uso de una ACL. *
Un administrador puede deshabilitar el comportamiento del modo silencioso mediante SSH para conectarse.
Explicación: El modo silencioso evita nuevos intentos de inicio de sesión durante un período de tiempo. El modo silencioso se habilita mediante el comando de clase de acceso en modo silencioso de inicio de sesión. El comportamiento del modo silencioso se puede anular para redes específicas mediante la creación e implementación de una lista de control de acceso (ACL).
15. ¿Cuál es una característica de la función de configuración resistente de Cisco IOS?
Mantiene una copia de trabajo segura del programa de inicio bootstrap.
Una vez emitido, el comando secure boot-config actualiza automáticamente el archivo de configuración a una versión más reciente después de que se hayan ingresado nuevos comandos de configuración.
Se puede tomar una instantánea de la configuración en ejecución del enrutador y archivarla de forma segura en un almacenamiento persistente. *
El comando secure boot-image funciona correctamente cuando el sistema está configurado para ejecutar una imagen desde un servidor TFTP.
Explicación: La función de configuración resistente de Cisco IOS mantiene una copia de trabajo segura del archivo de imagen de IOS del router y una copia del archivo de configuración en ejecución. El comando secure boot-image funciona correctamente solo cuando el sistema está configurado para ejecutar una imagen desde una unidad flash con una interfaz ATA. El comando secure boot-config debe usarse repetidamente para actualizar el archivo de configuración a una versión más reciente después de que se hayan emitido nuevos comandos de configuración. Se puede tomar una instantánea de la configuración en ejecución del enrutador y archivarla de forma segura en un almacenamiento persistente mediante el comando secure boot-config.
16. ¿Cuáles son dos razones para habilitar la autenticación del protocolo de enrutamiento OSPF en una red? (Escoge dos.)
para proporcionar seguridad a los datos a través del cifrado
para garantizar una convergencia de red más rápida
para asegurar un enrutamiento más eficiente
para evitar que el tráfico de datos sea redirigido y luego descartado *
para evitar la redirección del tráfico de datos a un enlace inseguro *
Explicación: La razón para configurar la autenticación OSPF es mitigar los ataques de protocolo de enrutamiento, como la redirección del tráfico de datos a un enlace inseguro y la redirección del tráfico de datos para descartarlo. La autenticación OSPF no proporciona una convergencia de red más rápida, un enrutamiento más eficiente ni un cifrado del tráfico de datos.
17. ¿Qué dos opciones puede configurar Cisco AutoSecure? (Escoge dos.)
habilitar contraseña secreta *
dirección IP de la interfaz
SNMP
banner de seguridad *
syslog
Explicación: AutoSecure ejecuta un script que primero hace recomendaciones para corregir vulnerabilidades de seguridad y luego modifica la configuración de seguridad del enrutador. AutoSecure puede bloquear las funciones del plano de administración y los servicios y funciones del plano de reenvío de un enrutador, y esto incluye establecer una contraseña de habilitación y un cartel de seguridad.
18. ¿Qué tres funciones proporciona el servicio de registro de syslog? (Elige tres.)
establecer el tamaño del búfer de registro
especificar dónde se almacena la información capturada *
recopilación de información de registro *
autenticar y cifrar los datos enviados a través de la red
distinguir entre la información que se capturará y la información que se ignorará *
retener los mensajes capturados en el enrutador cuando se reinicia un enrutador
Explicación: Las operaciones de Syslog incluyen recopilar información, seleccionar qué tipo de información capturar y dirigir la información capturada a una ubicación de almacenamiento. El servicio de registro almacena mensajes en un búfer de registro por tiempo limitado y no puede retener la información cuando se reinicia un enrutador. Syslog no autentica ni cifra los mensajes.
19. ¿Para qué está diseñada la función Control Plane Policing (CoPP)?
deshabilitar los servicios del plano de control para reducir el tráfico general
evitar que el tráfico innecesario abrume al procesador de ruta *
Dirija todo el exceso de tráfico lejos del proceso de ruta.
gestionar los servicios prestados por el plano de control
Explicación: Control Plane Policing (CoPP) no administra ni deshabilita ningún servicio. No aleja el tráfico del procesador de ruta, sino que evita que el tráfico innecesario llegue al procesador de ruta.
20. ¿Cuál es el requisito para utilizar la función Protocolo de copia segura?
Se debe configurar al menos un usuario con nivel de privilegio 1 para la autenticación local.
Se debe emitir un comando para habilitar la funcionalidad del lado del servidor SCP. *
Una transferencia solo puede originarse en clientes SCP que sean enrutadores.
El protocolo Telnet debe configurarse en el lado del servidor SCP.
Explicación: La función del Protocolo de copia segura se basa en SSH y requiere que se configure la autenticación y autorización AAA para que el enrutador pueda determinar si el usuario tiene el nivel de privilegio correcto. Para la autenticación local, se debe configurar al menos un usuario con nivel de privilegio 15. Las transferencias pueden originarse desde cualquier cliente SCP, ya sea que ese cliente sea otro enrutador, conmutador o estación de trabajo. Se debe emitir el comando ip scp server enable para habilitar la funcionalidad del lado del servidor SCP.
21. ¿Cuál es una característica del MIB?
Los OID están organizados en una estructura jerárquica. *
La información de la MIB no se puede cambiar.
Existe un árbol MIB separado para cualquier dispositivo dado en la red.
La información está organizada de manera plana para que SNMP pueda acceder a ella rápidamente.
Explicación: Los mensajes SNMP set, get y trap se utilizan para acceder y manipular la información contenida en la MIB. Esta información está organizada jerárquicamente para que SNMP pueda acceder a ella rápidamente. A cada pieza de información dentro de la MIB se le asigna un ID de objeto (OID), que se organiza según los estándares RFC en una jerarquía de OID. El árbol MIB para cualquier dispositivo dado incluye ramas con variables comunes a muchos dispositivos de red y ramas con variables específicas para ese dispositivo o proveedor.
22. ¿Qué tres elementos se solicitan para una respuesta del usuario durante la configuración interactiva de AutoSecure? (Elige tres.)
Direcciones IP de interfaces
contenido de un banner de seguridad *
habilitar contraseña secreta *
servicios para deshabilitar
habilitar contraseña *
interfaces para habilitar
Explicación: Durante la configuración de AutoSecure, ocurren los siguientes pasos:
– Se ingresa el comando de auto seguro.
– El asistente recopila información sobre las interfaces externas.
– AutoSecure asegura el lugar de administración al deshabilitar los servicios innecesarios.
– AutoSecure solicita un banner de seguridad.
– AutoSecure solicita contraseñas y habilita las funciones de contraseña e inicio de sesión.
– Las interfaces están protegidas.
– El plano de reenvío está asegurado.
23. Un ingeniero de redes está implementando seguridad en todos los enrutadores de la empresa. ¿Qué dos comandos deben emitirse para forzar la autenticación a través de la contraseña 1A2b3C para todas las interfaces habilitadas para OSPF en el área principal de la red de la empresa? (Escoge dos.)
área 0 autenticación mensaje-resumen *
ip ospf message-digest-key 1 md5 1A2b3C *
nombre de usuario OSPF contraseña 1A2b3C
habilitar contraseña 1A2b3C
mensaje-resumen de autenticación del área 1
Explicación: Los dos comandos necesarios para configurar la autenticación a través de la contraseña 1A2b3C para todas las interfaces habilitadas para OSPF en el área principal (Área 0) de la red de la empresa serían ip ospf message-digest-key 1 md5 1A2b3C y el área 0 autenticación message-digest . El resumen del mensaje de autenticación del área 1 de la opción es incorrecto porque se refiere al Área 1, no al Área 0. La opción habilitar contraseña 1A2b3C es incorrecta porque establecería la contraseña del modo EXEC privilegiado en lugar de la contraseña de autenticación OSPF. Se requiere la opción nombre de usuario contraseña OSPF 1A2b3C para crear una base de datos de nombre de usuario en un enrutador, que no se requiere con la autenticación OSPF.
24. ¿Cuál es el propósito de usar el comando ip ospf message-digest-key key md5 password y el comando area area-id authentication message-digest en un enrutador?
para configurar la autenticación OSPF MD5 globalmente en el enrutador *
para habilitar la autenticación OSPF MD5 por interfaz
para facilitar el establecimiento de adyacencias vecinas
para cifrar las actualizaciones de enrutamiento OSPF
Explicación: Para configurar la autenticación OSPF MD5 globalmente, se emiten el comando de configuración de la interfaz de contraseña ip ospf message-digest-key key md5 y el comando de configuración del enrutador de área area-id authentication message-digest. Para configurar la autenticación OSPF MD5 por interfaz, se emiten el comando de configuración de la interfaz ip ospf message-digest-key key md5 y el comando de configuración de la interfaz ip ospf authentication message-digest. La autenticación no cifra las actualizaciones de enrutamiento OSPF. Los requisitos para establecer adyacencias de vecinos de enrutadores OSPF son independientes de la autenticación.
25. ¿Qué tres acciones se producen al agregar mejoras de inicio de sesión de Cisco IOS al proceso de inicio de sesión del enrutador? (Elige tres.)
permitir solo acceso seguro a la consola
crear autenticación de contraseña
proporcionar automáticamente autenticación AAA
crear mensajes de syslog *
ralentizar un ataque activo *
deshabilitar inicios de sesión desde hosts especificados *
Explicación: Las mejoras de inicio de sesión de Cisco IOS brindan mayor seguridad de tres maneras:
Implementar demoras entre intentos de inicio de sesión sucesivos
Habilitar el cierre de inicio de sesión si se sospecha de ataques DoS
Generar mensajes de registro del sistema para la detección de inicio de sesión Los
banners y la autenticación de contraseña están deshabilitados de manera predeterminada y deben habilitarse mediante comando. Las mejoras de inicio de sesión virtual no se aplican a las conexiones de consola.
