Network Security v1.0 Módulos 8 al 10
Respuestas del Examen
1. Al crear una ACL, ¿qué palabra clave se debe utilizar para documentar e interpretar el propósito de la declaración de ACL en un dispositivo Cisco?
observación*
descripción
establecido
eq
Explicación: para documentar el propósito de una ACL e identificar su función más fácilmente, la palabra clave de comentario se usa al construir la ACL. La palabra clave establecida se utiliza para permitir conexiones que inicialmente se obtuvieron del dispositivo actual. El operador eq se utiliza para especificar un número de puerto para denegar o permitir el tráfico. La palabra clave de descripción se utiliza al configurar y documentar interfaces.
2. ¿Qué dos piezas de información se requieren al crear una lista de control de acceso estándar? (Escoge dos.)
número de lista de acceso entre 1 y 99*
dirección de origen y máscara comodín*
dirección de destino y máscara comodín
máscara de subred y máscara comodín
número de lista de acceso entre 100 y 199
Explicación: Las ACL estándar se pueden numerar del 1 al 99 y de 1300 a 1999. Las ACL IP estándar filtran solo en la dirección IP de origen.
3. ¿Cuáles son los dos pasos que proporcionan la forma más rápida de eliminar completamente una ACL de un enrutador? (Escoge dos.)
La eliminación de las ACE es el único paso necesario.
Modifique el número de la ACL para que no coincida con la ACL asociada con la interfaz.
Copie la ACL en un editor de texto, agregue no antes de cada ACE, luego copie la ACL nuevamente en el enrutador.
Elimine la referencia entrante / saliente a la ACL de la interfaz.*
Utilice el comando no access-list para eliminar toda la ACL.*
Utilice la palabra clave no y el número de secuencia de cada ACE dentro de la ACL nombrada que se eliminará.
Explicación: Para eliminar completamente una ACL de un enrutador se requieren dos pasos. Eliminando la ACL real con el comando no access-list y eliminando la asociación de la ACL de la interfaz apropiada.
4. ¿A qué dos tipos de direcciones se les debe negar la entrada en una interfaz de enrutador que se conecta a Internet? (Escoge dos.)
direcciones IP privadas*
cualquier dirección IP que comience con el número 127*
cualquier dirección IP que comience con el número 1
Direcciones IP traducidas por NAT
direcciones IP públicas
Explicación: No se debe permitir la entrada de las siguientes direcciones desde Internet para mitigar la suplantación de IP y los ataques DoS:
Todas las direcciones cero
Direcciones de difusión Direcciones de
host locales que comienzan con 127
Direcciones privadas reservadas Direcciones
IP de multidifusión
5. En la creación de una ACL IPv6, ¿cuál es el propósito de las entradas de comando final implícitas, permitir icmp any any nd-na y permitir icmp any any nd-ns?
para permitir el reenvío de paquetes ICMPv6
para permitir la configuración automática de direcciones
para permitir la resolución de direcciones IPv6 a MAC*
para permitir el reenvío de paquetes de multidifusión IPv6
Explicación: La resolución de dirección IPv6 a dirección MAC se realiza mediante el intercambio de paquetes de descubrimiento de vecinos ICMPv6 compuestos por paquetes de solicitud de vecinos y de anuncios de vecinos. A menos que estos paquetes estén permitidos en una interfaz de enrutador, la interfaz no podrá realizar la resolución de direcciones MAC.
6. ¿Qué dos afirmaciones describen las características de las listas de control de acceso IPv6? (Escoge dos.)
Permiten anuncios de enrutadores ICMPv6 de forma predeterminada.
Se pueden nombrar o numerar.
Incluyen dos declaraciones de permiso implícitas por defecto.*
Se aplican a una interfaz con el comando ip access-group.
Usan longitudes de prefijo para indicar la cantidad de una dirección que debe coincidir.*
Explicación: Las listas de acceso de IPv6 tienen características distintas que son diferentes de las listas de acceso de IPv4:
utilizan longitudes de prefijo en lugar de máscaras comodín para hacer coincidir los bits de la red.
Permiten dos tipos de mensajes ICMPv6: solicitudes de vecinos y anuncios de vecinos de forma predeterminada.
Solo se crean como listas de acceso con nombre.
Utilizan el comando ipv6 taffic-filter cuando se aplican a una interfaz.
7. Consulte la exposición.
Network Security v1.0 Módulos 8 al 10 Respuestas del Examen p7
Un administrador de red creó una ACL IPv6 para bloquear el tráfico Telnet desde la red 2001: DB8: CAFE: 10 :: / 64 hasta la red 2001: DB8: CAFE: 30 :: / 64. ¿Qué comando podría utilizar el administrador para permitir que un solo host 2001: DB8: CAFE: 10 :: A / 64 acceda a telnet a la red 2001: DB8: CAFE: 30 :: / 64?
permit tcp 2001:DB8:CAFE:10::A/64 2001:DB8:CAFE:30::/64 eq 23
permit tcp 2001:DB8:CAFE:10::A/64 eq 23 2001:DB8:CAFE:30::/64
permit tcp host 2001:DB8:CAFE:10::A eq 23 2001:DB8:CAFE:30::/64
permit tcp host 2001:DB8:CAFE:10::A 2001:DB8:CAFE:30::/64 eq 23 sequence 5*
Explicación: Cuando se crea una ACE IPv6 y se va a procesar antes de que se procese una ACE existente, el siguiente comando ingresado debe usar el argumento de secuencia con un número menor que la ACE existente. Esto permite colocar una entrada antes de una entrada existente, ya que los números de secuencia predeterminados normalmente se numeran en incrementos de 10. Por lo tanto, el uso de un número de secuencia de 5 en un ACE lo colocará delante de una entrada existente anterior con un número de secuencia. de 10.
8. Al implementar componentes en una red empresarial, ¿cuál es el propósito de un firewall?
Un firewall es un sistema que inspecciona el tráfico de la red y toma decisiones de reenvío basándose únicamente en las direcciones MAC de Ethernet de capa 2.
Un firewall es un sistema que está diseñado para proteger, monitorear y administrar dispositivos móviles, incluidos los dispositivos propiedad de la empresa y los dispositivos propiedad de los empleados.
Un firewall es un sistema que almacena grandes cantidades de información confidencial y crítica para el negocio.
Un firewall es un sistema que aplica una política de control de acceso entre las redes corporativas internas y las redes externas.*
Explicación: Un firewall es un sistema que aplica una política de control de acceso y evita la exposición de hosts, recursos y aplicaciones sensibles a usuarios que no son de confianza.
9. ¿Cuáles son las dos posibles limitaciones del uso de un firewall en una red? (Escoge dos.)
Proporciona accesibilidad de aplicaciones y recursos sensibles a usuarios externos que no son de confianza.
Aumenta la complejidad de la gestión de la seguridad al requerir que se descargue el control de acceso a la red en el dispositivo.
Un firewall mal configurado puede crear un único punto de falla.*
El rendimiento de la red puede ralentizarse.*
No puede desinfectar los flujos de protocolo.
Explicación: Los cortafuegos tienen algunas limitaciones:
– Un cortafuegos mal configurado puede tener graves consecuencias para la red, como convertirse en un único punto de falla.
– Los datos de muchas aplicaciones no se pueden pasar a través de cortafuegos de forma segura.
– Los usuarios pueden buscar de forma proactiva formas de sortear el cortafuegos para recibir material bloqueado, lo que expone la red a un posible ataque.
– El rendimiento de la red puede ralentizarse.
– El tráfico no autorizado se puede canalizar u ocultar como tráfico legítimo a través del cortafuegos.
10. ¿Qué tipo de firewall utiliza un servidor proxy para conectarse a servidores remotos en nombre de los clientes?
cortafuegos con estado
cortafuegos sin estado
firewall de filtrado de paquetes
firewall de puerta de enlace de aplicaciones*
Explicación: Un cortafuegos de puerta de enlace de aplicaciones, también llamado cortafuegos proxy, filtra la información en las Capas 3, 4, 5 y 7 del modelo OSI. Utiliza un servidor proxy para conectarse a servidores remotos en nombre de los clientes. Los servidores remotos verán solo una conexión del servidor proxy, no de los clientes individuales.
11. ¿Cómo maneja un firewall el tráfico cuando se origina en la red pública y viaja a la red privada?
El tráfico que se origina en la red pública no se inspecciona cuando se viaja a la red privada.
El tráfico que se origina en la red pública generalmente se bloquea cuando se viaja a la red privada.*
El tráfico que se origina en la red pública generalmente se permite con pocas o ninguna restricción cuando se viaja a la red privada.
El tráfico que se origina en la red pública se permite de forma selectiva cuando se viaja a la red privada.
Explicación: cuando el tráfico se origina en la red pública, normalmente se bloqueará cuando se viaje a la red privada. El tráfico que se origina en la red privada podrá regresar selectivamente a la red pública.
12. ¿Qué dos afirmaciones describen los dos modelos de configuración para los firewalls de Cisco IOS? (Escoge dos.)
ZPF debe estar habilitado en la configuración del enrutador antes de habilitar un IOS Classic Firewall.
IOS Classic Firewall y ZPF no se pueden combinar en una sola interfaz.*
Los modelos IOS Classic Firewall y ZPF se pueden habilitar en un enrutador al mismo tiempo.*
Los modelos IOS Classic Firewall y ZPF requieren ACL para definir políticas de filtrado de tráfico.
Los firewalls IOS Classic deben estar habilitados en la configuración del enrutador antes de habilitar ZPF.
Explicación: Hay dos modelos de configuración para los firewalls IOS de Cisco, los firewalls IOS Classic y los firewalls de políticas basadas en zonas (ZPF). Ambos modelos de configuración se pueden habilitar simultáneamente en un enrutador, pero no se pueden combinar en una sola interfaz. Un beneficio de usar ZPF es que ZPF no depende de las ACL.
13. Diseñar un ZPF requiere varios pasos. ¿Qué paso implica dictar la cantidad de dispositivos entre las zonas más seguras y las menos seguras y determinar los dispositivos redundantes?
determinar las zonas
diseñar la infraestructura física*
establecer políticas entre zonas
identificar subconjuntos dentro de las zonas y combinar los requisitos de tráfico
Explicación: El diseño de ZPF implica varios pasos:
Paso 1. Determine las zonas : el administrador se centra en la separación de la red en zonas. Las zonas establecen las fronteras de seguridad de una red.
Paso 2 . Establecer políticas entre zonas : para cada par de zonas de «origen-destino», defina las sesiones que los clientes de las zonas de origen pueden solicitar a los servidores de las zonas de destino.
Paso 3 . Diseñe la infraestructura física : después de que se hayan identificado las zonas y se hayan documentado los requisitos de tráfico entre ellas, el administrador debe diseñar la infraestructura física. Esto incluye dictar el número de dispositivos entre las zonas más seguras y las menos seguras y determinar los dispositivos redundantes.
Paso 4 . Identificar subconjuntos dentro de las zonas y combinar los requisitos de tráfico : para cada dispositivo de firewall en el diseño, el administrador debe identificar los subconjuntos de zona que están conectados a sus interfaces y combinar los requisitos de tráfico para esas zonas.
14. Cuando se configura un firewall de políticas basado en zonas de Cisco IOS, ¿qué tres acciones se pueden aplicar a una clase de tráfico? (Elige tres.)
aprobar*
forma
desviar a
cola
inspeccionar*
soltar*
Explicación: La acción inspeccionar CCP es similar al comando clásico del firewall ip inspect en que inspecciona el tráfico que atraviesa el firewall y permite que el tráfico de retorno que es parte del mismo flujo pase a través del firewall. La acción de eliminación es similar al parámetro denegar en una ACL. Esta acción elimina el tráfico que se ajuste a la política definida. La acción de aprobación es similar a una declaración ACL de permiso: se permite que el tráfico pase porque cumple con los criterios de la declaración de política definida.
15. Cuando se utiliza el firewall de políticas basado en zonas de Cisco IOS, ¿dónde se aplica la política de inspección?
a una política de servicio global
a una zona
a una interfaz
a un par de zonas*
Explicación: Después de configurar la política de firewall, aplique la política al tráfico que fluiría entre un par de zonas. Utilice el comando de seguridad zone-pair en el modo de configuración global.
16. ¿Cuál es el primer paso para configurar un firewall de políticas basado en zonas de Cisco IOS a través de la CLI?
Defina clases de tráfico.
Asignar interfaces de enrutador a zonas.
Defina las políticas de firewall.
Asignar mapas de políticas a pares de zonas.
Crea zonas.*
Explicación: Los pasos para configurar un firewall de políticas basado en zonas de Cisco IOS son los siguientes:
1. Crear zonas.
2. Defina las clases de tráfico.
3. Defina las políticas de firewall.
4. Aplique mapas de políticas a los pares de zonas.
5. Asigne interfaces de enrutador a zonas.
17. ¿Cuál es una de las ventajas de utilizar un firewall con estado en lugar de un servidor proxy?
capacidad para realizar la autenticación de usuario
mejor presentación*
capacidad para realizar filtrado de paquetes
prevención de ataques de Capa 7
Explicación: Un firewall con estado funciona mejor que un servidor proxy. Un firewall con estado no puede autenticar a los usuarios ni prevenir ataques de Capa 7. Tanto un firewall con estado como un servidor proxy pueden filtrar paquetes.
18. ¿Qué enunciado describe una política de seguridad típica para una configuración de firewall DMZ?
El tráfico que se origina en la interfaz DMZ se permite de forma selectiva a la interfaz exterior.*
El tráfico de retorno desde el interior que está asociado con el tráfico que se origina desde el exterior puede atravesar desde la interfaz interior a la interfaz exterior.
El tráfico de retorno desde el exterior que está asociado con el tráfico que se origina desde el interior puede atravesar desde la interfaz exterior hasta la interfaz DMZ.
El tráfico que se origina en la interfaz interna generalmente se bloquea por completo o se permite de manera muy selectiva a la interfaz externa.
El tráfico que se origina en la interfaz exterior puede atravesar el cortafuegos hasta la interfaz interior con pocas o ninguna restricción.
Explicación:
Con un diseño de firewall de tres interfaces que tiene conexiones internas, externas y DMZ, las configuraciones típicas incluyen lo siguiente: El
tráfico que se origina en DMZ destinado a la red interna normalmente está bloqueado.
El tráfico que se origina en la DMZ y que está destinado a redes externas generalmente se permite en función de los servicios que se utilizan en la DMZ.
El tráfico que se origina en la red interna con destino a la DMZ normalmente se inspecciona y se permite que regrese.
El tráfico que se origina en redes externas (la red pública) generalmente se permite en la DMZ solo para servicios específicos.
19. ¿Cuál es una limitación de un firewall con estado?
autenticación de usuario débil
no puede filtrar el tráfico innecesario
no es tan eficaz con el tráfico basado en UDP o ICMP*
mala información de registro
Explicación: Las limitaciones de los cortafuegos con estado incluyen lo siguiente:
Los cortafuegos con estado no pueden evitar los ataques a la capa de aplicación.
Los protocolos como UDP e ICMP no tienen estado y no generan la información necesaria para una tabla de estado.
A veces, se debe abrir una gama completa de puertos para admitir aplicaciones específicas que abren varios puertos.
Los cortafuegos con estado carecen de autenticación de usuario.
20. ¿Qué enunciado describe el funcionamiento del firewall de políticas basado en zonas de Cisco IOS?
La acción de pase funciona en una sola dirección.*
Las interfaces de administración del enrutador deben asignarse manualmente a la zona propia.
Una interfaz de enrutador puede pertenecer a varias zonas.
Las políticas de servicio se aplican en el modo de configuración de la interfaz.
Explicación: La acción de pasar permite el tráfico solo en una dirección. Las interfaces se convierten automáticamente en miembros de la zona propia. Las interfaces se asignan a las zonas en el modo de configuración de interfaz, pero la mayor parte de la configuración se realiza en el modo de configuración global y los submodos asociados. Las interfaces pueden pertenecer a una sola zona en cualquier momento.
21. ¿Cuál es el resultado en la zona propia si un enrutador es el origen o el destino del tráfico?
No se permite el tráfico.
Todo el tráfico está permitido.*
Solo se permite el tráfico que se origina en el enrutador.
Solo se permite el tráfico destinado al enrutador.
Explicación: Todo el tráfico está permitido en la zona propia si el tráfico se origina en el enrutador o está destinado a él.
22. ¿Cuáles son dos características de las ACL? (Escoge dos.)
Las ACL extendidas pueden filtrar en los puertos TCP y UDP de destino.*
Las ACL estándar pueden filtrar en los puertos TCP y UDP de origen.
Las ACL extendidas pueden filtrar por direcciones IP de origen y destino.*
Las ACL estándar pueden filtrar por direcciones IP de origen y destino.
Las ACL estándar pueden filtrar por puertos TCP y UDP de origen y destino.
Explicación: Las ACL estándar solo pueden filtrar por direcciones de origen. Es por eso que normalmente se colocan más cerca del destino. Las ACL extendidas pueden filtrar por direcciones IP de origen y destino, números de puerto y tipos de mensajes específicos dentro de un protocolo en particular, como la solicitud de eco dentro del protocolo ICMP.
23. ¿Qué tres afirmaciones describen el procesamiento de paquetes por ACL? (Elige tres.)
Un deny any implícito rechaza cualquier paquete que no coincida con ningún ACE.*
Un paquete puede ser rechazado o reenviado según lo indique el ACE que coincide.*
Un paquete que ha sido denegado por una ACE puede ser permitido por una ACE posterior.
Un paquete que no cumpla con las condiciones de ningún ACE se reenviará de forma predeterminada.
Cada declaración se verifica solo hasta que se detecta una coincidencia o hasta el final de la lista ACE.*
Cada paquete se compara con las condiciones de cada ACE en la ACL antes de que se tome una decisión de reenvío.
Explicación: Cuando un paquete ingresa a un enrutador que tiene una ACL configurada en la interfaz, el enrutador compara la condición de cada ACE para determinar si se han cumplido los criterios definidos. Si se cumple, el enrutador toma la acción definida en el ACE (permite el paso del paquete o lo descarta). Si no se cumplen los criterios definidos, el enrutador pasa a la siguiente ACE. Al final de cada ACL estándar hay una declaración implícita de negar cualquier.
24. Un administrador de red configura una ACL con el comando R1 (config) # access-list 1 permit 172.16.0.0 0.0.15.255. ¿Qué dos direcciones IP coincidirán con esta declaración de ACL? (Escoge dos.)
172.16.0.255*
172.16.15.36*
172.16.16.12
172.16.31.24
172.16.65.21
Explicación: La máscara de comodín indica que cualquier dirección IP dentro del rango de 172.16.0.0 a 172.16.15.255 coincide.
25. ¿Qué declaración de lista de acceso única coincide con todas las siguientes redes?
192.168.16.0 192.168.17.0 192.168.18.0 192.168.19.0
access-list 10 permit 192.168.16.0 0.0.3.255*
access-list 10 permit 192.168.16.0 0.0.0.255
access-list 10 permit 192.168.16.0 0.0.15.255
access-list 10 permit 192.168.0.0 0.0.15.255
Explicación: El permiso de la lista de acceso 10 de la instrucción ACL 192.168.16.0 0.0.3.255 coincidirá con los cuatro prefijos de red. Los cuatro prefijos tienen los mismos 22 bits de orden superior. Estos 22 bits de alto orden coinciden con el prefijo de red y la máscara comodín de 192.168.16.0 0.0.3.255.
26. ¿Qué dos características comparten las ACL estándar y extendidas? (Escoge dos.)
Ambos tipos de ACL pueden filtrar según el tipo de protocolo.
Ambos pueden permitir o denegar servicios específicos por número de puerto.
Ambos incluyen una negación implícita como declaración final.*
Ambos filtros de paquetes para una dirección IP de host de destino específica.
Ambos se pueden crear utilizando un nombre descriptivo o un número.*
Explicación: Las ACL estándar filtran el tráfico basándose únicamente en una dirección IP de origen especificada. Las ACL extendidas pueden filtrar por origen o destino, protocolo o puerto. Tanto las ACL estándar como las extendidas contienen una denegación implícita como declaración final. Las ACL estándar y extendidas se pueden identificar mediante nombres o números.
27. Consulte la exposición.
Network Security v1.0 Módulos 8 al 10 Respuestas del Examen p27
¿Cuál es el resultado de agregar el argumento establecido al final del ACE?
Se permite que cualquier tráfico llegue a la red 192.168.254.0 255.255.254.0.
Se permite que cualquier tráfico IP llegue a la red 192.168.254.0 255.255.254.0 siempre que sea en respuesta a una solicitud originada.
Se permite que el tráfico 192.168.254.0 / 23 llegue a cualquier red.
Se permite que cualquier tráfico TCP llegue a la red 192.168.254.0 255.255.254.0 si es en respuesta a una solicitud originada.*
Explicación: El argumento establecido permite que el tráfico de retorno TCP de las conexiones establecidas se envíe en una interfaz de salida a una red.
28. ¿Qué dos palabras clave se pueden usar en una lista de control de acceso para reemplazar una máscara comodín o un par de dirección y máscara comodín? (Escoge dos.)
la mayoría
anfitrión*
todos
alguna*
algunos
gt
Explicación: La palabra clave de host se usa cuando se usa una dirección IP de dispositivo específico en una ACL. Por ejemplo, el comando deny host 192.168.5.5 es el mismo que el comando deny 192.168.5.5 0.0.0.0. La palabra clave any se utiliza para permitir el paso de cualquier máscara que cumpla con los criterios. Por ejemplo, el comando permit any es lo mismo que el comando permit 0.0.0.0 255.255.255.255.
29. Si las ACE proporcionadas están en la misma ACL, ¿qué ACE debe figurar primero en la ACL de acuerdo con las mejores prácticas?
permit ip any any
permit udp 172.16.0.0 0.0.255.255 host 172.16.1.5 eq snmptrap*
permit tcp 172.16.0.0 0.0.3.255 any established
permit udp any any range 10000 20000
deny udp any host 172.16.1.5 eq snmptrap
deny tcp any any eq telnet
Explicación: Una de las mejores prácticas para configurar una ACL extendida es asegurarse de que la ACE más específica se ubique más arriba en la ACL. Considere las dos declaraciones de permisos UDP. Si ambos estuvieran en una ACL, SNMP ACE es más específico que la declaración UDP que permite un rango de 10,001 números de puerto UDP. El SNMP ACE se ingresaría antes que el otro UDP ACE. Las ACE de la más específica a la menos específica son las siguientes:
permit udp 172.16.0.0 0.0.255.255 host 172.16.1.5 eq snmptrap
deny udp any host 172.16.1.5 eq snmptrap
permit tcp 172.16.0.0 0.0.3.255 any established
deny tcp any any eq telnet
permit udp any any range 10000 20000
permit ip any any
30. Para facilitar el proceso de resolución de problemas, ¿qué mensaje ICMP entrante debería permitirse en una interfaz externa?
solicitud de eco
respuesta de eco*
solicitud de sello de tiempo
respuesta de marca de tiempo
anuncio de enrutador
Explicación: Al permitir que el mensaje de respuesta de eco ICMP llegue a la organización, los usuarios internos pueden hacer ping a direcciones externas (y el mensaje de respuesta puede regresar).
31. Un especialista en seguridad diseña una ACL para denegar el acceso a un servidor web a todo el personal de ventas. Al personal de ventas se le asigna un direccionamiento desde la subred IPv6 2001: db8: 48: 2c :: / 64. Al servidor web se le asigna la dirección 2001: db8: 48: 1c :: 50/64. ¿Cuáles son los tres comandos para configurar WebFilter ACL en la interfaz LAN para el personal de ventas? (Elige tres.)
permit tcp any host 2001:db8:48:1c::50 eq 80
deny tcp host 2001:db8:48:1c::50 any eq 80
deny tcp any host 2001:db8:48:1c::50 eq 80*
permit ipv6 any any*
deny ipv6 any any
ip access-group WebFilter in
ipv6 traffic-filter WebFilter in*
Explicación: La ACL requiere una ACE que niega el acceso Telnet de todos los usuarios de la LAN al servidor de archivos en 2001: db8: 48: 1c :: 50/64. La ACL de IPv6 también tiene una denegación implícita, por lo que se requiere una declaración de permiso para permitir el resto del tráfico. Con IPv6, el comando de filtro de tráfico ipv6 se utiliza para vincular la ACL a la interfaz.
32. ¿Cuáles son dos características de un firewall con estado? (Escoge dos.)
utiliza técnicas de filtrado de paquetes estáticos
utiliza información de conexión mantenida en una tabla de estado*
analiza el tráfico en las Capas 3, 4 y 5 del modelo OSI*
utiliza ACL complejas que pueden ser difíciles de configurar
previene los ataques de Capa 7
Explicación: Los cortafuegos con estado son las tecnologías de cortafuegos más versátiles y más comunes en uso. Los cortafuegos con estado proporcionan filtrado de paquetes con estado mediante el uso de la información de conexión que se mantiene en una tabla de estado. El filtrado con estado es una arquitectura de firewall que se clasifica en la capa de red. También analiza el tráfico en las capas 4 y 5 de OSI. Los firewalls con estado no pueden evitar los ataques a la capa de aplicación porque no examinan el contenido real de una conexión HTTP.
33. ¿Cuáles son las dos diferencias entre firewalls con estado y sin estado? (Escoge dos.)
Un firewall sin estado puede filtrar sesiones que utilizan negociaciones de puerto dinámicas, mientras que un firewall con estado no puede.
Un firewall sin estado examinará cada paquete individualmente mientras que un firewall con estado observa el estado de una conexión.*
Un firewall sin estado proporcionará más información de registro que un firewall con estado.
Un firewall con estado evitará la suplantación de identidad al determinar si los paquetes pertenecen a una conexión existente, mientras que un firewall sin estado sigue los conjuntos de reglas preconfigurados.*
Un firewall sin estado proporciona un control más estricto sobre la seguridad que un firewall con estado.
Explicación: Hay muchas diferencias entre un cortafuegos sin estado y un cortafuegos con estado.
Firewalls sin estado:
son susceptibles a la suplantación de IP
no filtran de manera confiable paquetes fragmentados
usan ACL complejas, que pueden ser difíciles de implementar y mantener
no pueden filtrar dinámicamente ciertos servicios
examinan cada paquete individualmente en lugar de en el contexto del estado de una conexión
Firewalls con estado:
son Se utiliza a menudo como un medio principal de defensa al filtrar el tráfico no deseado, innecesario o indeseable.Reforzar el
filtrado de paquetes al proporcionar un control más estricto sobre la seguridad.Mejorar el
rendimiento sobre filtros de paquetes o servidores proxy.
Defiéndase contra ataques de suplantación de identidad y DoS determinando si los paquetes pertenecen a una conexión existente o provienen de una fuente no autorizada.
Proporcionar más información de registro que un firewall de filtrado de paquetes.
34. Al implementar un ZPF, ¿cuál es la configuración de seguridad predeterminada al reenviar tráfico entre dos interfaces en la misma zona?
El tráfico entre interfaces en la misma zona se reenvía de forma selectiva según la información de la Capa 3.
El tráfico entre interfaces en la misma zona no está sujeto a ninguna política y pasa libremente.*
El tráfico entre interfaces en la misma zona está bloqueado.
El tráfico entre interfaces en la misma zona se reenvía de forma selectiva según las restricciones de política predeterminadas.
Explicación: Un cortafuegos de políticas basado en zonas utiliza el concepto de zonas para especificar dónde se deben aplicar las reglas y políticas del cortafuegos. De forma predeterminada, el tráfico entre interfaces que existen en la misma zona no está sujeto a ninguna política y pasa libremente.
35. ¿Qué dos reglas sobre interfaces son válidas cuando se implementa un firewall de políticas basado en zonas? (Escoge dos.)
Si ninguna de las interfaces es miembro de la zona, la acción es pasar el tráfico.*
Si una interfaz es miembro de la zona, pero la otra no lo es, se pasará todo el tráfico.
Si ambas interfaces pertenecen al mismo par de zonas y existe una política, se pasará todo el tráfico.
Si ambas interfaces son miembros de la misma zona, se pasará todo el tráfico.*
Si una interfaz es miembro de una zona y existe un par de zonas, se pasará todo el tráfico.
Explicación: Las reglas para el tráfico que transita a través del enrutador son las siguientes: Si ninguna interfaz es miembro de una zona, la acción resultante es pasar el tráfico.
Si ambas interfaces son miembros de la misma zona, la acción resultante es pasar el tráfico.
Si una interfaz es miembro de una zona, pero la otra no lo es, la acción resultante es eliminar el tráfico independientemente de si existe un par de zonas.
Si ambas interfaces pertenecen al mismo par de zonas y existe una política, la acción resultante es inspeccionar, permitir o descartar según lo definido por la política.
