1. Haga coincidir el tipo de ACL de ASA con la descripción. (No se utilizan todas las opciones).
Network Security v1.0 Examen Final p1
2. ¿Qué afirmación describe una diferencia entre la función CLI del IOS de Cisco ASA y la función CLI del IOS del router?
ASA utiliza el? mientras que un enrutador usa el comando de ayuda para recibir ayuda sobre una breve descripción y la sintaxis de un comando.
Para usar un comando show en un modo de configuración general, ASA puede usar el comando directamente, mientras que un enrutador deberá ingresar el comando do antes de emitir el comando show.*
Para completar un comando escrito parcialmente, ASA usa la combinación de teclas Ctrl+Tab mientras que un enrutador usa la tecla Tab.
Para indicar el modo CLI EXEC, ASA usa el símbolo % mientras que un enrutador usa el símbolo #.
Explicación: ASA CLI es un sistema operativo patentado que tiene un aspecto similar al IOS del enrutador Cisco. Aunque comparte algunas características comunes con el enrutador IOS, tiene sus características únicas. Por ejemplo, se puede ejecutar un comando ASA CLI sin importar el aviso del modo de configuración actual. El comando do de IOS no es necesario ni se reconoce. Tanto la CLI de ASA como la CLI del enrutador utilizan el símbolo # para indicar el modo EXEC. Ambas CLI usan la tecla Tab para completar un comando escrito parcialmente. A diferencia del IOS del enrutador, el ASA proporciona un comando de ayuda que proporciona una breve descripción del comando y la sintaxis de ciertos comandos.
3. Consulte la exposición.
Network Security v1.0 Examen Final p3
Un administrador de red está configurando la implementación AAA en un dispositivo ASA. ¿Qué indica la opción link3?
el nombre de la red donde reside el servidor AAA
el nombre del servidor AAA específico
la secuencia de servidores en el grupo de servidores AAA
el nombre de la interfaz*
4. ¿Qué proporciona segmentación segura y defensa contra amenazas en una solución de centro de datos seguro?
Software del administrador de seguridad de Cisco
servidor AAA
Dispositivo de seguridad adaptable*
Sistema de Prevención de Intrusión
5. ¿Cuáles son los tres componentes principales de la solución Cisco Secure Data Center? (Elige tres.)
red de malla
segmentación segura*
visibilidad*
defensa contra amenazas*
servidores
infraestructura
Explicación: la segmentación segura se usa al administrar y organizar datos en un centro de datos. La defensa contra amenazas incluye un firewall y un sistema de prevención de intrusiones (IPS). La visibilidad del centro de datos está diseñada para simplificar las operaciones y los informes de cumplimiento al proporcionar una aplicación de políticas de seguridad consistente.
6. ¿Cuáles son las tres características del modo transparente ASA? (Elige tres.)
Este modo no es compatible con VPN, QoS o DHCP Relay.*
Es el modo tradicional de implementación de firewall.
Este modo se conoce como un «golpe en el cable».*
NAT se puede implementar entre redes conectadas.
En este modo, el ASA es invisible para un atacante.*
Las interfaces del ASA separan las redes de Capa 3 y requieren direcciones IP en diferentes subredes.
7. ¿Qué se necesita para permitir que el tráfico específico que se origina en la red externa de un firewall ASA llegue a una red interna?
LCA*
NAT
protocolos de enrutamiento dinámico
fuera de la zona de seguridad nivel 0
Explicación: para permitir explícitamente el tráfico desde una interfaz con un nivel de seguridad más bajo a una interfaz con un nivel de seguridad más alto, se debe configurar una ACL. De forma predeterminada, el tráfico solo fluirá de un nivel de seguridad más alto a uno más bajo.
8. ¿Cuál será el resultado de los intentos de inicio de sesión fallidos si se ingresa el siguiente comando en un enrutador?
Bloqueo de inicio de sesión: para 150 intentos 4 dentro de 90
Todos los intentos de inicio de sesión se bloquearán durante 150 segundos si hay 4 intentos fallidos en 90 segundos.*
Todos los intentos de inicio de sesión se bloquearán durante 90 segundos si hay 4 intentos fallidos en 150 segundos.
Todos los intentos de inicio de sesión se bloquearán durante 1,5 horas si hay 4 intentos fallidos en 150 segundos.
Todos los intentos de inicio de sesión se bloquearán durante 4 horas si hay 90 intentos fallidos en 150 segundos.
Explicación: Los componentes del comando bloque de inicio de sesión para 150 intentos 4 dentro de 90 son los siguientes:
La expresión bloque para 150 es el tiempo en segundos que se bloquearán los inicios de sesión.
La expresión intentos 4 es el número de intentos fallidos que provocarán el bloqueo de las solicitudes de inicio de sesión.
La expresión dentro de 90 es el tiempo en segundos en que deben ocurrir los 4 intentos fallidos.
9. ¿Qué dos tareas están asociadas con el fortalecimiento del enrutador? (Escoge dos.)
colocar el enrutador en una habitación segura
deshabilitar puertos e interfaces no utilizados*
instalando la máxima cantidad de memoria posible
asegurar el acceso administrativo*
uso de sistemas de alimentación ininterrumpida
10. ¿Qué capacidad de protección contra amenazas proporciona Cisco ESA?
filtrado web
seguridad de acceso a la nube
protección contra el spam*
Monitoreo de tráfico de capa 4
Explicación: El correo electrónico es un vector de ataque principal para las infracciones de seguridad. Cisco ESA incluye muchas capacidades de protección contra amenazas para correo electrónico, como protección contra correo no deseado, detección de correo electrónico falsificado y protección contra phishing avanzada de Cisco.
11. ¿Cuáles son las dos medidas de seguridad que se utilizan para proteger los puntos finales en la red sin fronteras? (Escoge dos.)
negando*
Snort IPS
DLP*
DMZ
rootkit
Explicación:
| La medida | Propósito |
|---|---|
| software antimalware | Proteja los puntos finales del malware. |
| filtrado de spam | Evite que los correos electrónicos no deseados lleguen a los puntos finales. |
| lista de bloqueo | Evite que los endpoints se conecten a sitios web con mala reputación bloqueando inmediatamente las conexiones según la inteligencia de reputación más reciente. |
| prevención de pérdida de datos (DLP) | Evite que la información confidencial se pierda o sea robada. |
12. ¿Qué tres tipos de tráfico se permiten cuando se ha emitido el comando automático de control de puerto de autenticación y el cliente aún no se ha autenticado? (Elige tres.)
CDP*
802.1Q
IPsec
TACACS+
STP*
EAPOL*
Explicación: hasta que se autentique la estación de trabajo, el control de acceso 802.1X habilita solo el tráfico del Protocolo de autenticación extensible a través de LAN (EAPOL), el Protocolo de descubrimiento de Cisco (CDP) y el Protocolo de árbol de expansión (STP) a través del puerto al que está conectada la estación de trabajo. Una vez que la autenticación tiene éxito, el tráfico normal puede pasar a través del puerto.
13. ¿Qué afirmación describe una característica del protocolo IKE?
Utiliza el puerto UDP 500 para intercambiar información IKE entre las puertas de enlace de seguridad.*
IKE Phase 1 se puede implementar en tres modos diferentes: principal, agresivo o rápido.
Permite la transmisión de claves directamente a través de una red.
El propósito de la Fase 2 de IKE es negociar una asociación de seguridad entre dos pares de IKE.
14. ¿Qué acción realizan los pares IPsec durante el intercambio de fase 2 de IKE?
canje de llaves DH
negociación de la política IPsec*
negociación de conjuntos de políticas IKE
verificación de la identidad de los pares
Explicación: el protocolo IKE se ejecuta en dos fases. Durante la Fase 1, las dos partes negocian conjuntos de políticas IKE, se autentican mutuamente y configuran un canal seguro. Durante la segunda fase, IKE negocia asociaciones de seguridad entre los pares.
15. ¿Cuáles son los dos algoritmos hash utilizados con IPsec AH para garantizar la autenticidad? (Escoge dos.)
SHA*
RSA
DH
MD5*
AES
Explicación: el marco IPsec utiliza varios protocolos y algoritmos para proporcionar confidencialidad de datos, integridad de datos, autenticación e intercambio seguro de claves. Dos algoritmos populares utilizados para garantizar que los datos no se intercepten ni modifiquen (integridad y autenticidad de los datos) son MD5 y SHA.
16. ¿Qué comando eleva el nivel de privilegio del comando ping a 7?
usuario exec ping nivel 7
autorización exec ping nivel 7
ejecutivo de contabilidad nivel 7 ping
privilegio ejecutivo nivel 7 ping*
17. ¿Cuál es una característica de una vista CLI basada en roles de la configuración del enrutador?
Una vista CLI tiene una jerarquía de comandos, con vistas superiores e inferiores.
Cuando se elimina una supervista, se eliminan las vistas CLI asociadas.
Una sola vista CLI se puede compartir dentro de varias supervistas.*
Solo un usuario de supervisión puede configurar una nueva vista y agregar o eliminar comandos de las vistas existentes.
Explicación: una vista CLI no tiene jerarquía de comandos y, por lo tanto, no tiene vistas superiores o inferiores. Eliminar una supervista no elimina las vistas CLI asociadas. Solo un usuario de vista raíz puede configurar una nueva vista y agregar o eliminar comandos de las vistas existentes.
18. ¿Cuál es una limitación para usar la administración OOB en una red empresarial grande?
El tráfico de producción comparte la red con el tráfico de gestión.
Los servidores de terminales pueden tener conexiones de consola directas a los dispositivos de los usuarios que necesitan administración.
La gestión OOB requiere la creación de VPN.
Todos los dispositivos parecen estar conectados a una sola red de administración.*
Explicación: la gestión OOB proporciona una red de gestión dedicada sin tráfico de producción. Los dispositivos dentro de esa red, como los servidores de terminales, tienen acceso directo a la consola para fines de administración. Debido a que la administración en banda se ejecuta en la red de producción, es posible que se necesiten túneles seguros o VPN. Es posible que las fallas en la red de producción no se comuniquen al administrador de la red OOB porque es posible que la red de administración OOB no se vea afectada.
19. Consulte la exposición.
Network Security v1.0 Examen Final p19
Una red corporativa utiliza NTP para sincronizar la hora entre dispositivos. ¿Qué se puede determinar a partir de la salida mostrada?
Router03 es un dispositivo de estrato 2 que puede proporcionar servicio NTP a otros dispositivos en la red.*
La hora en el Router03 puede no ser confiable porque tiene una diferencia de más de 7 segundos con respecto al servidor de hora.
La interfaz en el Router03 que se conecta al servidor de tiempo tiene la dirección IPv4 209.165.200.225.
La hora del Router03 está sincronizada con un servidor de hora del estrato 2.
20. Consulte la exposición.
Network Security v1.0 Examen Final p20
¿Qué dos conclusiones se pueden sacar del mensaje syslog que generó el enrutador? (Escoge dos.)
Este mensaje se debió a un error inusual que requería la reconfiguración de la interfaz.
Este mensaje indica que se han configurado las marcas de tiempo del servicio.*
Este mensaje indica que la interfaz cambió de estado cinco veces.
Este mensaje es un mensaje de notificación de nivel 5.*
Este mensaje indica que se debe reemplazar la interfaz.
Explicación: el mensaje es un mensaje de notificación de nivel 5, como se muestra en la sección %LINEPROTO-5 de la salida. Los mensajes que informan el estado del enlace son comunes y no requieren reemplazar la interfaz o reconfigurar la interfaz. La fecha y la hora que se muestran al comienzo del mensaje indican que las marcas de tiempo del servicio se han configurado en el enrutador.
21. ¿Qué dos tipos de piratas informáticos suelen clasificarse como piratas informáticos de sombrero gris? (Escoge dos.)
hacktivistas*
ciberdelincuentes
corredores de vulnerabilidad*
guion para niños
piratas informáticos patrocinados por el estado
Explicación: los hackers de sombrero gris pueden hacer cosas poco éticas o ilegales, pero no para beneficio personal ni para causar daños. Los hacktivistas usan su piratería como una forma de protesta política o social, y los corredores de vulnerabilidades piratean para descubrir debilidades e informarlas a los proveedores. Dependiendo de la perspectiva que uno posea, los piratas informáticos patrocinados por el estado son operadores de sombrero blanco o de sombrero negro. Los Script Kiddies crean scripts de piratería para causar daños o interrupciones. Los ciberdelincuentes utilizan la piratería para obtener ganancias financieras por medios ilegales.
22. Al describir el malware, ¿cuál es la diferencia entre un virus y un gusano?
Network Security v1.0 Examen Final p22
Un virus se enfoca en obtener acceso privilegiado a un dispositivo, mientras que un gusano no lo hace.
Un virus se replica a sí mismo al adjuntarse a otro archivo, mientras que un gusano puede replicarse de forma independiente.*
Se puede usar un virus para lanzar un ataque DoS (pero no un DDoS), pero se puede usar un gusano para lanzar ataques DoS y DDoS.
Se puede utilizar un virus para enviar anuncios sin el consentimiento del usuario, mientras que un gusano no.
Explicación: el malware se puede clasificar de la siguiente manera:
- Virus (se replica automáticamente al adjuntarse a otro programa o archivo)
- Gusano (se replica independientemente de otro programa)
- Caballo de Troya (se hace pasar por un archivo o programa legítimo)
- Rootkit (obtiene acceso privilegiado a una máquina mientras ocultándose)
- Spyware (recopila información de un sistema de destino)
- Adware (entrega anuncios con o sin consentimiento)
- Bot (espera órdenes del pirata informático)
- Ransomware (mantiene cautivos un sistema informático o datos hasta que se recibe el pago)
23. ¿Qué tipo de paquete no puede ser filtrado por una ACL de salida?
paquete de multidifusión
paquete ICMP
paquete de difusión
paquete generado por el enrutador*
Explicación: el tráfico que se origina dentro de un enrutador, como pings desde un símbolo del sistema, acceso remoto desde un enrutador a otro dispositivo o actualizaciones de enrutamiento, no se ven afectados por las listas de acceso salientes. El tráfico debe fluir a través del enrutador para que el enrutador aplique las ACE.
24. Considere el comando de lista de acceso aplicado de salida en una interfaz serial del enrutador.
lista de acceso 100 denegar icmp 192.168.10.0 0.0.0.255 cualquier respuesta de eco
¿Cuál es el efecto de aplicar este comando de lista de acceso?
El único tráfico denegado son las respuestas de eco provenientes de la red 192.168.10.0/24. Todo el resto del tráfico está permitido.
El único tráfico denegado es el tráfico basado en ICMP. Todo el resto del tráfico está permitido.
No se permitirá el tráfico saliente en la interfaz serial.*
Los usuarios de la red 192.168.10.0/24 no pueden transmitir tráfico a ningún otro destino.
25. ¿Qué comando se usa para activar una ACL de IPv6 denominada ENG_ACL en una interfaz para que el enrutador filtre el tráfico antes de acceder a la tabla de enrutamiento?
clase de acceso ipv6 ENG_ACL en
filtro de tráfico ipv6 ENG_ACL fuera
filtro de tráfico ipv6 ENG_ACL en*
clase de acceso ipv6 ENG_ACL fuera
Explicación: Con el propósito de aplicar una lista de acceso a una interfaz en particular, el comando ipv6 traffic-filter IPv6 es equivalente al comando access-group IPv4. También se requiere la dirección en la que se examina el tráfico (hacia adentro o hacia afuera).
26. ¿Qué tecnología tiene la función de usar protocolos de terceros confiables para emitir credenciales que se aceptan como una identidad autorizada?
firmas digitales
algoritmos hash
Certificados PKI*
llaves simétricas
Explicación: los certificados digitales se utilizan para probar la autenticidad y la integridad de los certificados PKI, pero una autoridad certificadora de PKI es una entidad externa de confianza que emite certificados PKI. Los certificados PKI son información pública y se utilizan para proporcionar servicios de autenticidad, confidencialidad, integridad y no repudio que pueden escalar a grandes requisitos.
27. ¿Cuáles son dos métodos para mantener el estado de revocación del certificado? (Escoge dos.)
CA subordinada
OCSP*
DNS
LDAP
CRL*
Explicación: es posible que sea necesario revocar un certificado digital si su clave se ve comprometida o si ya no se necesita. La lista de revocación de certificados (CRL) y el Protocolo de estado de certificados en línea (OCSP) son dos métodos comunes para verificar el estado de revocación de un certificado.
28. ¿Qué protocolo es un estándar IETF que define el formato de certificado digital PKI?
SSL/TLS
X.500
LDAP
X.509*
Explicación: Para abordar la interoperabilidad de diferentes proveedores de PKI, el IETF publicó el marco de prácticas de certificación y política de certificados de infraestructura de clave pública X.509 de Internet (RFC 2527). El estándar define el formato de un certificado digital.
29. Un administrador de red está configurando DAI en un conmutador. ¿Qué comando se debe usar en la interfaz de enlace ascendente que se conecta a un enrutador?
confianza de inspección ip arp*
indagación ip dhcp
vlan de inspección ip arp
portfast de árbol de expansión
Explicación: en general, un enrutador sirve como puerta de enlace predeterminada para la LAN o VLAN en el conmutador. Por lo tanto, la interfaz de enlace ascendente que se conecta a un enrutador debe ser un puerto confiable para reenviar solicitudes ARP.
30. ¿Cuál es la mejor manera de prevenir un ataque de salto de VLAN?
Deshabilite la negociación de troncales para los puertos de troncales y configure estáticamente los puertos que no son de troncales como puertos de acceso.*
Deshabilite STP en todos los puertos no troncales.
Utilice la VLAN 1 como la VLAN nativa en los puertos troncales.
Utilice la encapsulación ISL en todos los enlaces troncales.
31. ¿Cuál sería la razón principal por la que un atacante lanzaría un ataque de desbordamiento de dirección MAC?
para que el conmutador deje de reenviar tráfico
para que los hosts legítimos no puedan obtener una dirección MAC
para que el atacante pueda ver los marcos que están destinados a otros hosts*
para que el atacante pueda ejecutar código arbitrario en el interruptor
32. ¿Cuál es la principal diferencia entre la implementación de dispositivos IDS e IPS?
Un IDS puede tener un impacto negativo en el flujo de paquetes, mientras que un IPS no.
Un IDS debe implementarse junto con un dispositivo de firewall, mientras que un IPS puede reemplazar un firewall.
Un IDS permitiría el paso del tráfico malicioso antes de que se solucione, mientras que un IPS lo detiene de inmediato.*
Un IDS usa tecnología basada en firmas para detectar paquetes maliciosos, mientras que un IPS usa tecnología basada en perfiles.
Explicación: un IPS se implementa en modo en línea y no permitirá que el tráfico malicioso ingrese a la red interna sin analizarlo primero. Una ventaja de esto es que puede detener un ataque inmediatamente. Un IDS se implementa en modo promiscuo. Copia los patrones de tráfico y los analiza fuera de línea, por lo que no puede detener el ataque de inmediato y depende de otro dispositivo para realizar más acciones una vez que detecta un ataque. Al implementarse en modo en línea, un IPS puede afectar negativamente el flujo de tráfico. Tanto IDS como IPS pueden usar tecnología basada en firmas para detectar paquetes maliciosos. Un IPS no puede reemplazar a otros dispositivos de seguridad, como los firewalls, porque realizan tareas diferentes.
33. ¿Qué ataque se define como un intento de explotar vulnerabilidades de software que el proveedor desconoce o no revela?
Día cero*
caballo de Troya
fuerza bruta
hombre en el medio
34. Haga coincidir la tecnología de monitoreo de red con la descripción.
Network Security v1.0 Examen Final p34
35. ¿Cuáles son los tres niveles de firma proporcionados por Snort IPS en el ISR de la serie 4000? (Elige tres.)
seguridad*
soltar
rechazar
conectividad*
inspeccionar
equilibrado*
36. ¿Cuáles son los tres atributos de las firmas IPS? (Elige tres.)
acción*
longitud
desencadenar*
escribe*
profundidad
función
Explicación: Las firmas IPS tienen tres atributos distintivos:
escribe
disparador (alarma)
acción
37. Haga coincidir cada categoría de activación de firma IPS con la descripción.
Otro caso:
Network Security v1.0 Examen Final p37-2
detección basada en patrones: el mecanismo de activación más simple que busca un patrón atómico o compuesto específico y predefinido
Detección basada en anomalías: implica primero definir un perfil de lo que se considera actividad normal de la red o del host.
Detección basada en honey pot: utiliza un servidor señuelo para desviar los ataques de los dispositivos de producción.
38. ¿Qué dos funciones incluyen los protocolos TACACS+ y RADIUS? (Escoge dos.)
Soporte SIP
cifrado de contraseña*
Compatibilidad con 802.1X
procesos separados de autenticación y autorización
utilización de protocolos de capa de transporte*
Explicación: Tanto TACACS+ como RADIUS admiten el cifrado de contraseñas (TACACS+ cifra todas las comunicaciones) y usan el protocolo de capa 4 (TACACS+ usa TCP y RADIUS usa UDP). TACACS+ admite la separación de los procesos de autenticación y autorización, mientras que RADIUS combina la autenticación y la autorización como un solo proceso. RADIUS admite tecnología de acceso remoto, como 802.1x y SIP; TACACS+ no lo hace.
39. ¿Qué función proporciona el protocolo RADIUS?
RADIUS proporciona cifrado del paquete completo durante la transferencia.
RADIUS proporciona servicios AAA independientes.
RADIUS proporciona puertos separados para autorización y contabilidad.*
RADIUS proporciona comunicación segura mediante el puerto TCP 49.
Explicación: cuando se autentica un usuario AAA, RADIUS usa el puerto UDP 1645 o 1812 para la autenticación y el puerto UDP 1646 o 1813 para la contabilidad. TACACS brinda servicios de autorización y contabilidad por separado. Cuando se autentica un cliente RADIUS, también se autoriza. TACACS proporciona conectividad segura mediante el puerto TCP 49. RADIUS oculta las contraseñas durante la transmisión y no cifra el paquete completo.
40. ¿Cuáles son las tres características del protocolo RADIUS? (Elige tres.)
utiliza el puerto TCP 49
utiliza puertos UDP para autenticación y contabilidad*
admite 802.1X y SIP*
separa los procesos de autenticación y autorización
cifra todo el cuerpo del paquete
es un protocolo AAA estándar RFC abierto*
Explicación: RADIUS es un protocolo AAA de estándar abierto que utiliza el puerto UDP 1645 o 1812 para autenticación y el puerto UDP 1646 o 1813 para contabilidad. Combina autenticación y autorización en un solo proceso; por lo tanto, se cifra una contraseña para la transmisión, mientras que el resto del paquete se enviará en texto sin formato. RADIUS ofrece el servicio acelerado y la contabilidad más completa que desean los proveedores de acceso remoto, pero proporciona menos seguridad y menos posibilidades de personalización que TACACS+.
41. ¿Qué zona de firewall de política basada en zonas está definida por el sistema y se aplica al tráfico destinado al enrutador o que se origina en el enrutador?
zona local
zona interior
zona propia*
zona del sistema
zona exterior
42. ¿Cuáles son los dos beneficios de usar un ZPF en lugar de un Firewall clásico? (Escoge dos.)
ZPF permite que las interfaces se coloquen en zonas para la inspección de IP.
El ZPF no depende de las ACL.*
Se utilizan múltiples acciones de inspección con ZPF.
Las políticas de ZPF son fáciles de leer y solucionar problemas.*
Con ZPF, el enrutador permitirá paquetes a menos que estén bloqueados explícitamente.
Explicación: Hay varios beneficios de un ZPF:
– No depende de las ACL.
– La postura de seguridad del enrutador es bloquear a menos que se permita explícitamente.
– Las políticas son fáciles de leer y solucionar problemas con C3PL.
– Una política afecta cualquier tráfico dado, en lugar de necesitar múltiples ACL y acciones de inspección.
Además, una interfaz no se puede configurar simultáneamente como miembro de una zona de seguridad y para la inspección de IP.
43. Coloque los pasos para configurar firewalls de política basada en zonas (ZPF) en orden del primero al último. (No se utilizan todas las opciones).
Network Security v1.0 Examen Final p43
44. ¿Cómo maneja un firewall el tráfico cuando se origina en la red privada y viaja a la red DMZ?
El tráfico se deniega de forma selectiva en función de los requisitos del servicio.
El tráfico suele estar permitido con pocas o ninguna restricción.
El tráfico se permite e inspecciona selectivamente.*
El tráfico suele estar bloqueado.
Explicación: con un diseño de firewall de tres interfaces que tiene conexiones internas, externas y DMZ, las configuraciones típicas incluyen lo siguiente:
– El tráfico que se origina en DMZ destinado a la red interna normalmente está bloqueado.
– El tráfico que se origina en la DMZ con destino a redes externas generalmente se permite en función de los servicios que se utilizan en la DMZ.
– El tráfico que se origina en la red interna con destino a la DMZ normalmente se inspecciona y se le permite regresar.
– El tráfico que se origina en redes externas (la red pública) generalmente se permite en la DMZ solo para servicios específicos.
45. ¿Qué dos protocolos generan información de conexión dentro de una tabla de estado y son compatibles con el filtrado de estado? (Escoge dos.)
ICMP
UDP
DHCP
TCP*
HTTP*
46. ¿Qué tipo de firewall es compatible con la mayoría de los enrutadores y es el más fácil de implementar?
cortafuegos de última generación
cortafuegos sin estado*
cortafuegos con estado
cortafuegos proxy
Explicación: el cortafuegos de filtrado de paquetes (sin estado) utiliza una tabla de políticas de búsqueda simple que filtra el tráfico según criterios específicos y se considera el cortafuegos más fácil de implementar.
47. ¿Qué herramienta de prueba de red usaría un administrador para evaluar y validar las configuraciones del sistema contra las políticas de seguridad y los estándares de cumplimiento?
cable trampa*
L0phtcrack
nessus
metasploit
Explicación: Tripwire: esta herramienta evalúa y valida las configuraciones de TI con respecto a las políticas internas, los estándares de cumplimiento y las mejores prácticas de seguridad.
48. ¿Qué tipo de prueba de seguridad de red puede detectar e informar cambios realizados en los sistemas de red?
escaneo de vulnerabilidades
escaneo de red
control de integridad*
pruebas de penetración
Explicación: La comprobación de integridad se utiliza para detectar y notificar los cambios realizados en los sistemas. El escaneo de vulnerabilidades se utiliza para encontrar debilidades y configuraciones incorrectas en los sistemas de red. El escaneo de red se utiliza para descubrir los recursos disponibles en la red.
49. ¿Qué herramienta de prueba de seguridad de la red tiene la capacidad de proporcionar detalles sobre el origen de la actividad sospechosa de la red?
SIEM*
superescaneo
Zenmap
cable trampa
50. ¿Cómo se defienden los criptógrafos modernos contra los ataques de fuerza bruta?
Utilice el análisis estadístico para eliminar las claves de cifrado más comunes.
Use un espacio de claves lo suficientemente grande como para que se necesite demasiado dinero y demasiado tiempo para llevar a cabo un ataque exitoso.*
Utilice un algoritmo que requiera que el atacante tenga tanto texto cifrado como texto sin formato para realizar un ataque exitoso.
Utilice el análisis de frecuencia para asegurarse de que las letras más populares del idioma no se utilicen en el mensaje cifrado.
Explicación: en un ataque de fuerza bruta, un atacante prueba todas las claves posibles con el algoritmo de descifrado sabiendo que eventualmente una de ellas funcionará. Para defenderse de los ataques de fuerza bruta, los criptógrafos modernos tienen como objetivo tener un espacio de claves (un conjunto de todas las claves posibles) lo suficientemente grande como para que se necesite demasiado dinero y demasiado tiempo para realizar un ataque de fuerza bruta. Una política de seguridad que requiere que las contraseñas se cambien en un intervalo predefinido protege aún más contra los ataques de fuerza bruta. La idea es que las contraseñas se habrán cambiado antes de que un atacante agote el espacio de claves.
51. ¿Cómo funciona un cifrado César en un mensaje?
Las letras del mensaje se reemplazan por otra letra que está a un número determinado de lugares en el alfabeto.*
Las letras del mensaje se reorganizan aleatoriamente.
Las letras del mensaje se reorganizan según un patrón predeterminado.
Las palabras del mensaje se sustituyen según un patrón predeterminado.
52. ¿Cuál es el factor principal que garantiza la seguridad del cifrado de los algoritmos modernos?
complejidad del algoritmo hash
el uso de 3DES sobre AES
secreto de las claves*
secreto del algoritmo
Explicación: con la mayoría de los algoritmos modernos, el descifrado exitoso requiere el conocimiento de las claves criptográficas apropiadas. Esto significa que la seguridad del cifrado radica en el secreto de las claves, no en el algoritmo.
53. ¿Cuál es el próximo paso en el establecimiento de una VPN IPsec después de que se complete la Fase 1 de IKE?
negociación de la política ISAKMP
negociación de la política IPsec SA*
detección de tráfico interesante
autenticación de pares
Explicación: establecer un túnel IPsec implica cinco pasos:
detección de tráfico interesante definido por una ACL
IKE Fase 1 en la que los pares negocian la política ISAKMP SA
IKE Fase 2 en la que los pares negocian la política IPsec SA
Creación del túnel IPsec
Terminación del túnel IPsec
54. Consulte la exposición.
Network Security v1.0 Examen Final p54
¿Qué algoritmo se utilizará para proporcionar confidencialidad?
RSA
Diffie-Hellman
DES
AES*
Explicación: el marco IPsec utiliza varios protocolos y algoritmos para proporcionar confidencialidad de datos, integridad de datos, autenticación e intercambio seguro de claves. Dos algoritmos populares que se utilizan para garantizar que los datos no se intercepten ni modifiquen (integridad de los datos) son MD5 y SHA. AES es un protocolo de cifrado y proporciona confidencialidad de datos. DH (Diffie-Hellman) es un algoritmo que se utiliza para el intercambio de claves. RSA es un algoritmo utilizado para la autenticación.
55. Después de emitir un comando show run, un analista nota el siguiente comando:
crypto ipsec transform-set MYSET esp-aes 256 esp-md5-hmac
¿Cuál es el propósito de este comando?
Establece el conjunto de algoritmos de cifrado y hash utilizados para proteger los datos enviados a través de un túnel IPsec.*
Define la lista de políticas ISAKMP predeterminadas que se utilizan para establecer el túnel IKE Fase 1.
Establece los criterios para forzar el inicio de las negociaciones de la Fase 1 de IKE.
Indica que se utilizará IKE para establecer el túnel IPsec para proteger el tráfico.
56. ¿Qué algoritmo puede garantizar la integridad de los datos?
RSA
AES
MD5*
PKI
Explicación: La integridad de los datos garantiza que el mensaje no se modificó durante el tránsito. La integridad se garantiza mediante la implementación de cualquiera de los algoritmos hash seguros (SHA-2 o SHA-3). El algoritmo de resumen de mensajes MD5 todavía se usa ampliamente.
57. Una empresa implementa una política de seguridad que garantiza que un archivo enviado desde la oficina central a la sucursal solo pueda abrirse con un código predeterminado. Este código se cambia todos los días. ¿Qué dos algoritmos se pueden utilizar para lograr esta tarea? (Escoge dos.)
HMAC
MD5
3DES*
SHA-1
AES*
Explicación: La tarea para garantizar que solo el personal autorizado pueda abrir un archivo es la confidencialidad de los datos, que se puede implementar con el cifrado. AES y 3DES son dos algoritmos de cifrado. HMAC se puede utilizar para garantizar la autenticación de origen. Se pueden utilizar MD5 y SHA-1 para garantizar la integridad de los datos.
58. Se le ha pedido a un técnico de redes que diseñe una red privada virtual entre dos enrutadores de sucursal. ¿Qué tipo de clave criptográfica se debe usar en este escenario?
clave hash
clave simétrica*
llave asimétrica
firma digital
Explicación: una clave simétrica requiere que ambos enrutadores tengan acceso a la clave secreta que se utiliza para cifrar y descifrar los datos intercambiados.
59. ¿Qué dos opciones pueden limitar la información descubierta a partir del escaneo de puertos? (Escoge dos.)
Sistema de Prevención de Intrusión*
cortafuegos*
autenticación
contraseñas
cifrado
Explicación: el uso de un sistema de prevención de intrusiones (IPS) y un firewall puede limitar la información que se puede descubrir con un escáner de puertos. La autenticación, el cifrado y las contraseñas no brindan protección contra la pérdida de información del escaneo de puertos.
60. Un administrador descubre que un usuario está accediendo a un sitio web recién creado que puede ser perjudicial para la seguridad de la empresa. ¿Qué acción debe tomar primero el administrador en términos de la política de seguridad?
Solicitar al usuario que se detenga de inmediato e informarle que esto constituye motivo de despido.
Cree una regla de firewall que bloquee el sitio web respectivo.
Revise la AUP inmediatamente y haga que todos los usuarios firmen la AUP actualizada.*
Suspender inmediatamente los privilegios de red del usuario.
61. Si AAA ya está habilitado, ¿qué tres pasos de la CLI se requieren para configurar un enrutador con una vista específica? (Elige tres.)
Cree una supervista con el comando parser view view-name.
Asociar la vista con la vista raíz.
Asigne usuarios que puedan usar la vista.
Cree una vista con el comando parser view view-name.*
Asigne una contraseña secreta a la vista.*
Asigne comandos a la vista.*
Explicación: Hay cinco pasos involucrados para crear una vista en un enrutador Cisco.
1) AAA debe estar habilitado.
2) se debe crear la vista.
3) se debe asignar una contraseña secreta a la vista.
4) los comandos deben asignarse a la vista.
5) se debe salir del modo de configuración de vista.
62. Consulte la exposición.
Network Security v1.0 Examen Final p62
Un administrador de red configura una ACL con nombre en el enrutador. ¿Por qué no se muestra ningún resultado cuando se emite el comando show?
Un administrador de red configura una ACL con nombre en el enrutador
La ACL no está activada.
El nombre de ACL distingue entre mayúsculas y minúsculas.*
La ACL no se ha aplicado a una interfaz.
Ningún paquete ha coincidido con las declaraciones de ACL todavía.
63. Las ACL se utilizan principalmente para filtrar el tráfico. ¿Cuáles son dos usos adicionales de las ACL? (Escoge dos.):
especificando hosts internos para NAT*
identificación del tráfico para QoS*
especificar direcciones de origen para la autenticación
reorganización del tráfico en VLAN
filtrado de paquetes VTP
Explicación: las ACL se utilizan para filtrar el tráfico para determinar qué paquetes se permitirán o denegarán a través del enrutador y qué paquetes estarán sujetos al enrutamiento basado en políticas. Las ACL también se pueden usar para identificar el tráfico que requiere servicios NAT y QoS. Las listas de prefijos se utilizan para controlar qué rutas se redistribuirán o anunciarán a otros enrutadores.
64. ¿Qué dos funciones se agregan en SNMPv3 para abordar las debilidades de las versiones anteriores de SNMP? (Escoge dos.)
autenticación*
autorización con prioridad de cadena comunitaria
recuperación masiva de objetos MIB
Filtrado de gestión de ACL
cifrado*
65. ¿Qué herramienta de prueba de red se utiliza para la auditoría y recuperación de contraseñas?
nessus
metasploit
L0phtcrack*
superescaneo
66. ¿Qué tipo de firewall utiliza un servidor para conectarse a los dispositivos de destino en nombre de los clientes?
cortafuegos de filtrado de paquetes
cortafuegos proxy*
cortafuegos sin estado
cortafuegos con estado
Explicación: un firewall de puerta de enlace de aplicaciones, también llamado firewall de proxy, filtra información en las capas 3, 4, 5 y 7 del modelo OSI. Utiliza un servidor proxy para conectarse a servidores remotos en nombre de los clientes. Los servidores remotos solo verán una conexión desde el servidor proxy, no desde los clientes individuales.
67. Consulte la exposición.
Network Security v1.0 Examen Final p67
¿Qué se mostrará en la salida del comando show running-config object después de ingresar los comandos de configuración exhibidos en un ASA 5506-X?
anfitrión 192.168.1.4
rango 192.168.1.10 192.168.1.20*
host 192.168.1.3, host 192.168.1.4 y rango 192.168.1.10 192.168.1.20
anfitrión 192.168.1.3
anfitrión 192.168.1.3 y anfitrión 192.168.1.4
anfitrión 192.168.1.4 y rango 192.168.1.10 192.168.1.20
Explicación: El comando show running-config object se usa para mostrar o verificar el par de dirección IP/máscara dentro del objeto. Solo puede haber una declaración en el objeto de red. Ingresar un segundo par de dirección IP/máscara reemplazará la configuración existente.
68. Consulte la exposición.
Network Security v1.0 Examen Final p68
De acuerdo con la salida del comando, ¿cuáles son las tres afirmaciones verdaderas acerca de las opciones de DHCP ingresadas en el ASA? (Elige tres.)
El comando dhcpd address [start-of-pool]-[end-of-pool] inside se emitió para habilitar el servidor DHCP.*
El comando dhcpd address [start-of-pool]-[end-of-pool] inside se emitió para habilitar el cliente DHCP.
Se emitió el comando dhcpd enable inside para habilitar el servidor DHCP.*
Se emitió el comando externo de configuración automática dhcpd para habilitar el cliente DHCP.*
Se emitió el comando externo de configuración automática dhcpd para habilitar el servidor DHCP.
Se emitió el comando dhcpd enable inside para habilitar el cliente DHCP.
69. ¿Qué dos afirmaciones describen las características de los algoritmos simétricos? (Escoge dos.)
Se usan comúnmente con el tráfico de VPN.*
Usan un par de clave pública y clave privada.
Se implementan comúnmente en los protocolos SSL y SSH.
Proporcionan confidencialidad, integridad y disponibilidad.
Se les conoce como clave precompartida o clave secreta.*
Explicación: los algoritmos de cifrado simétrico utilizan la misma clave (también llamada secreto compartido) para cifrar y descifrar los datos. Por el contrario, los algoritmos de cifrado asimétrico utilizan un par de claves, una para cifrar y otra para descifrar.
70. Un administrador de un servidor web está configurando los ajustes de acceso para exigir a los usuarios que se autentiquen primero antes de acceder a ciertas páginas web. ¿Qué requisito de seguridad de la información se aborda a través de la configuración?
disponibilidad
integridad
escalabilidad
confidencialidad*
Explicación: La confidencialidad garantiza que solo las personas autorizadas accedan a los datos. La autenticación ayudará a verificar la identidad de las personas.
71. ¿El uso de 3DES dentro del marco de IPsec es un ejemplo de cuál de los cinco componentes básicos de IPsec?
autenticación
no repudio
integridad
Diffie-Hellman
confidencialidad*
Explicación: El marco IPsec consta de cinco bloques de construcción. Cada bloque de construcción realiza una función de seguridad específica a través de protocolos específicos. La función de proporcionar confidencialidad la proporcionan protocolos como DES, 3DES y AES.
72. ¿Qué función proporciona Snort como parte de Security Onion?
para generar alertas de intrusión en la red mediante el uso de reglas y firmas
para normalizar los registros de varios registros de datos de NSM para que se puedan representar, almacenar y acceder a través de un esquema común
para mostrar capturas de paquetes completos para su análisis
para ver las transcripciones de pcap generadas por las herramientas de detección de intrusos*
Explicación: Snort es un sistema de prevención de intrusiones en la red (NIPS) y un sistema de detección de intrusiones en la red (NIDS) de código abierto desarrollado por Sourcefire. Tiene la capacidad de realizar análisis de tráfico en tiempo real y registro de paquetes en redes de Protocolo de Internet (IP) y también se puede utilizar para detectar sondeos o ataques.
73. ¿Cuáles son dos inconvenientes de usar HIPS? (Escoge dos.)
Con HIPS, no se puede determinar fácilmente el éxito o el fracaso de un ataque.
Con HIPS, el administrador de la red debe verificar la compatibilidad con todos los diferentes sistemas operativos utilizados en la red.*
HIPS tiene dificultades para construir una imagen de red precisa o coordinar eventos que ocurren en toda la red.*
Si el flujo de tráfico de la red está encriptado, HIPS no puede acceder a las formas no encriptadas del tráfico.
Las instalaciones de HIPS son vulnerables a ataques de fragmentación o ataques TTL variables.
74. En una red habilitada para AAA, un usuario emite el comando de configuración de terminal desde el modo de operación ejecutivo privilegiado. ¿Qué función AAA está en funcionamiento si se rechaza este comando?
autorización*
autenticación
revisión de cuentas
contabilidad
Explicación: la autenticación debe garantizar que los dispositivos o usuarios finales sean legítimos. La autorización se ocupa de permitir y prohibir el acceso de usuarios autenticados a ciertas áreas y programas en la red. El comando configure terminal se rechaza porque el usuario no está autorizado para ejecutar el comando.
75. Una empresa tiene un servidor de archivos que comparte una carpeta llamada Public. La política de seguridad de la red especifica que a la carpeta pública se le asignan derechos de solo lectura a cualquier persona que pueda iniciar sesión en el servidor, mientras que los derechos de edición se asignan solo al grupo de administración de la red. ¿Qué componente se aborda en el marco de servicio de red AAA?
automatización
contabilidad
autenticación
autorización*
Explicación: después de que un usuario se autentique correctamente (inicie sesión en el servidor), la autorización es el proceso de determinar a qué recursos de red puede acceder el usuario y qué operaciones (como leer o editar) puede realizar.
76. ¿Cuál es una característica de una zona DMZ?
No se permite el tráfico que se origina en la red interna que va a la red DMZ.
El tráfico que se origina en la red exterior que va a la red DMZ se permite de forma selectiva.*
Se permite el tráfico que se origina en la red DMZ y va a la red interna.
Se permite selectivamente el tráfico que se origina en la red interna que va a la red DMZ.
Explicación: Las características de una zona DMZ son las siguientes:
Se permite el tráfico que se origina en la red interna que va a la red DMZ.
El tráfico que se origina en la red externa y va a la red DMZ se permite de forma selectiva.
Se deniega el tráfico que se origina en la red DMZ que va a la red interna.
77. ¿Qué medida puede tomar un analista de seguridad para realizar un monitoreo de seguridad efectivo contra el tráfico de red encriptado por tecnología SSL?
Utilice un servidor Syslog para capturar el tráfico de red.
Implemente un dispositivo SSL de Cisco.
Requiere conexiones de acceso remoto a través de IPsec VPN.*
Implemente un Cisco ASA.
78. Consulte la exposición.
Network Security v1.0 Examen Final p78
La seguridad del puerto se configuró en la interfaz Fa 0/12 del switch S1. ¿Qué acción ocurrirá cuando la PC1 se conecte al switch S1 con la configuración aplicada?
Las tramas de la PC1 se reenviarán debido a que falta el comando de violación de la seguridad del puerto switchport.
Las tramas de la PC1 se reenviarán a su destino y se creará una entrada de registro.
Las tramas de PC1 se reenviarán a su destino, pero no se creará una entrada de registro.
Las tramas de PC1 harán que la interfaz se apague inmediatamente y se realizará una entrada de registro.*
Los marcos de PC1 se eliminarán y no habrá registro de la infracción.
Se eliminarán los marcos de PC1 y se creará un mensaje de registro.
Explicación: Se ingresó la configuración manual de la única dirección MAC permitida para el puerto fa0/12. La PC1 tiene una dirección MAC diferente y, cuando se conecta, hará que el puerto se apague (la acción predeterminada), se creará automáticamente un mensaje de registro y se incrementará el contador de infracciones. Se recomienda la acción predeterminada de apagado porque la opción de restricción puede fallar si se está produciendo un ataque.
79. ¿Qué contramedida de seguridad es efectiva para prevenir ataques de desbordamiento de tablas CAM?
Espionaje de DHCP
Inspección ARP Dinámica
Protección de fuente de IP
seguridad portuaria*
Explicación: La seguridad de puertos es el método más efectivo para prevenir ataques de desbordamiento de tablas CAM. La seguridad de puertos le da a un administrador la capacidad de especificar manualmente qué direcciones MAC deben verse en puertos de switch determinados. Proporciona un método para limitar la cantidad de direcciones MAC que se pueden aprender dinámicamente a través de un puerto de switch.
80. ¿Cuáles son dos ejemplos de ataques DoS? (Escoge dos.)
escaneo de puertos
inyección SQL
ping de la muerte*
suplantación de identidad
desbordamiento de búfer*
Explicación: los ataques DoS de desbordamiento de búfer y ping of death aprovechan fallas relacionadas con la memoria del sistema en un servidor al enviar una cantidad inesperada de datos o datos con formato incorrecto al servidor.
81. ¿Qué método se utiliza para identificar el tráfico interesante necesario para crear un túnel IKE de fase 1?
conjuntos de transformación
una entrada de la lista de permisos de acceso*
algoritmos hash
una asociación de seguridad
82. Cuando la CLI se usa para configurar un ISR para una conexión VPN de sitio a sitio, ¿qué dos elementos se deben especificar para habilitar una política de mapa criptográfico? (Escoge dos.)
el hachís
el par*
cifrado
la política ISAKMP
una lista de acceso válida*
Direcciones IP en todas las interfaces activas
la política IKE Fase 1
Explicación: después de que se haya emitido el comando de mapa criptográfico en el modo de configuración global, el nuevo mapa criptográfico permanecerá deshabilitado hasta que se configure un par y una lista de acceso válida.
83. ¿Cómo maneja un firewall el tráfico cuando se origina en la red pública y viaja a la red DMZ?
El tráfico que se origina en la red pública se inspecciona y permite selectivamente cuando viaja a la red DMZ.*
El tráfico que se origina en la red pública generalmente se permite con poca o ninguna restricción cuando viaja a la red DMZ.
El tráfico que se origina en la red pública generalmente se reenvía sin inspección cuando viaja a la red DMZ.
El tráfico que se origina en la red pública generalmente se bloquea cuando viaja a la red DMZ.
84. Un cliente se conecta a un servidor web. ¿Qué componente de esta conexión HTTP no es examinado por un firewall con estado?
la dirección IP de origen del tráfico del cliente
el número de puerto de destino del tráfico del cliente
el contenido real de la conexión HTTP*
el número de puerto de origen del tráfico del cliente
Explicación: los cortafuegos con estado no pueden evitar los ataques a la capa de aplicación porque no examinan el contenido real de la conexión HTTP.
85. ¿Qué tecnología de monitoreo de red usa VLAN para monitorear el tráfico en conmutadores remotos?
IPS
DNI
GRIFO
RSPAN*
Explicación: SPAN remoto (RSPAN) permite que un administrador de red use la flexibilidad de las VLAN para monitorear el tráfico en conmutadores remotos.
86. ¿Qué acción de regla hará que Snort IPS bloquee y registre un paquete?
Iniciar sesión
soltar*
alerta
gota
Explicación: El modo Snort IPS puede realizar todas las acciones de IDS además de las siguientes:
– Descartar – Bloquear y registrar el paquete.
– Rechazar: bloquee el paquete, regístrelo y luego envíe un restablecimiento de TCP si el protocolo es TCP o un mensaje de puerto ICMP inalcanzable si el protocolo es UDP.
– Sdrop: bloquea el paquete pero no lo registra.
87. ¿Qué se usa normalmente para crear una trampa de seguridad en las instalaciones del centro de datos?
Identificación, biometría y dos puertas de acceso*
monitores de alta resolución
servidores de autenticación redundantes
un servidor sin todos los parches de seguridad aplicados
Explicación: las trampas de seguridad brindan acceso a las salas de datos donde se almacenan los datos del centro de datos. Como se muestra en la siguiente figura, una trampa de seguridad es similar a una esclusa de aire. Primero, una persona debe ingresar a la trampa de seguridad usando su tarjeta de identificación de proximidad. Una vez que la persona está dentro de la trampa de seguridad, se utilizan el reconocimiento facial, las huellas dactilares u otras verificaciones biométricas para abrir la segunda puerta. El usuario debe repetir el proceso para salir de la sala de datos.
88. Una empresa está preocupada por datos corporativos filtrados y robados en copias impresas. ¿Qué técnica de mitigación de pérdida de datos podría ayudar con esta situación?
fuertes configuraciones de seguridad de la PC
contraseñas seguras
trituración*
cifrado
Explicación: Los datos confidenciales deben destruirse cuando ya no se necesiten. De lo contrario, un ladrón podría recuperar informes descartados y obtener información valiosa.
89. Al finalizar un curso de seguridad de redes, un estudiante decide seguir una carrera en criptoanálisis. ¿Qué trabajo estaría haciendo el estudiante como criptoanalista?
descifrar código sin acceso a la clave secreta compartida
crear códigos hash para autenticar datos
hacer y descifrar códigos secretos*
creación de cifrados de transposición y sustitución
90. ¿Qué comando se usa en un conmutador para configurar el tipo de entidad de acceso al puerto de modo que la interfaz actúe solo como un autenticador y no responda a ningún mensaje destinado a un solicitante?
autenticador dot1x pae*
autentificación puerto-control automático
aaa autenticación dot1x radio de grupo predeterminado
control de autorización del sistema dot1x
Explicación: establece el tipo de entidad de acceso al puerto (PAE).
dot1x pae [suplicante | autenticador | ambos]
suplicante: la interfaz actúa solo como suplicante y no responde a los mensajes destinados a un autenticador.
autenticador: la interfaz actúa solo como un autenticador y no responde a ningún mensaje destinado a un solicitante.
ambos: la interfaz se comporta como suplicante y como autenticador y, por lo tanto, responde a todos los mensajes dot1x.
91. ¿Cuáles son dos desventajas de usar un IDS? (Escoge dos.)
El IDS no detiene el tráfico malicioso.*
El IDS funciona sin conexión utilizando copias del tráfico de red.
El IDS no tiene impacto en el tráfico.
El IDS analiza los paquetes reenviados reales.
El IDS requiere otros dispositivos para responder a los ataques.*
Explicación: La desventaja de operar con tráfico duplicado es que el IDS no puede evitar que los ataques maliciosos de un solo paquete alcancen el objetivo antes de responder al ataque. Además, un IDS a menudo requiere la asistencia de otros dispositivos de red, como enrutadores y firewalls, para responder a un ataque. Una ventaja de un IDS es que, al trabajar fuera de línea con tráfico reflejado, no tiene impacto en el flujo de tráfico.
92. Consulte la exposición.
Network Security v1.0 Examen Final p92
El comando de fuente de verificación de ip se aplica en interfaces que no son de confianza. ¿Qué tipo de ataque se mitiga mediante el uso de esta configuración?
Suplantación de DHCP
Inanición de DHCP
manipulación STP
Suplantación de dirección IP y MAC*
Explicación: Para protegerse contra la suplantación de direcciones MAC e IP, aplique la función de seguridad IP Source Guard, utilizando el comando ip verificar fuente , en los puertos que no son de confianza.
93. ¿Qué puertos pueden recibir tráfico reenviado desde un puerto aislado que forma parte de una PVLAN?
otros puertos aislados y puertos comunitarios
solo puertos promiscuos*
todos los demás puertos dentro de la misma comunidad
solo puertos aislados
Explicación: las PVLAN se utilizan para proporcionar aislamiento de capa 2 entre puertos dentro del mismo dominio de difusión. El nivel de aislamiento se puede especificar
con tres tipos de puertos PVLAN:
– Puertos promiscuos que pueden reenviar tráfico a todos los demás puertos
– Puertos aislados que solo pueden reenviar tráfico a puertos promiscuos
– Puertos comunitarios que pueden reenviar tráfico a otros puertos comunitarios y puertos promiscuos
94. Un usuario se queja de que se le bloqueó el acceso a un dispositivo después de demasiados intentos de inicio de sesión AAA fallidos. ¿Qué podría usar el administrador de la red para proporcionar un método de acceso de autenticación seguro sin bloquear a un usuario de un dispositivo?
Utilice el comando de retraso de inicio de sesión para los intentos de autenticación.*
Utilice el comando local de inicio de sesión para autenticar el acceso de los usuarios.
Utilice el comando de modo de configuración global de intentos de autenticación local aaa max-fail con una mayor cantidad de fallas aceptables.
Utilice la palabra clave none al configurar la lista de métodos de autenticación.
Explicación: el comando de retraso de inicio de sesión introduce un retraso entre los intentos de inicio de sesión fallidos sin bloquear la cuenta. Esto proporciona al usuario intentos ilimitados de acceder a un dispositivo sin que la cuenta de usuario se bloquee y, por lo tanto, requiera la intervención del administrador.
95. ¿Cuáles son dos inconvenientes en la asignación de niveles de privilegios de usuario en un enrutador Cisco? (Escoge dos.)
Solo un usuario raíz puede agregar o eliminar comandos.
Los niveles de privilegio deben establecerse para permitir el control de acceso a interfaces, puertos o ranuras de dispositivos específicos.
La asignación de un comando con varias palabras clave permite el acceso a todos los comandos que utilizan esas palabras clave.*
Los comandos de un nivel inferior siempre se pueden ejecutar en un nivel superior.*
AAA debe estar habilitado.
Explicación: Es posible que los niveles de privilegio no brinden la flexibilidad y la especificidad deseadas porque los niveles superiores siempre heredan los comandos de los niveles inferiores y los comandos con varias palabras clave brindan al usuario acceso a todos los comandos disponibles para cada palabra clave. Los niveles de privilegio no pueden especificar el control de acceso a interfaces, puertos o ranuras. No se requiere AAA para establecer niveles de privilegio, pero se requiere para crear vistas basadas en roles. El rol de usuario root no existe en los niveles de privilegio.
96. Consulte la exposición.
Network Security v1.0 Examen Final p96
¿Qué conclusión se puede sacar del resultado del comando show crypto map que se muestra en el R1?
El mapa criptográfico aún no se ha aplicado a una interfaz.*
La dirección IP del par actual debe ser 172.30.2.1.
Hay una discrepancia entre los conjuntos de transformación.
La configuración del túnel se estableció y se puede probar con pings extendidos.
Explicación: De acuerdo con el resultado del comando show crypto map , todas las SA requeridas están en su lugar, pero actualmente ninguna interfaz está usando el mapa criptográfico. Para completar la configuración del túnel, se debe aplicar el mapa criptográfico a la interfaz de salida de cada enrutador.
97. ¿Cuáles son dos razones para habilitar la autenticación del protocolo de enrutamiento OSPF en una red? (Escoge dos.)
para evitar que el tráfico de datos se redirija y luego se descarte*
para garantizar una convergencia de red más rápida
para proporcionar seguridad de datos a través del cifrado
para evitar la redirección del tráfico de datos a un enlace no seguro*
para garantizar un enrutamiento más eficiente
Explicación: la razón para configurar la autenticación OSPF es mitigar los ataques del protocolo de enrutamiento, como la redirección del tráfico de datos a un enlace no seguro y la redirección del tráfico de datos para descartarlo. La autenticación OSPF no proporciona una convergencia de red más rápida, un enrutamiento más eficiente o el cifrado del tráfico de datos.
98. ¿Qué tres funciones proporciona el servicio de registro de syslog? (Elige tres.)
recopilación de información de registro*
autenticar y cifrar los datos enviados a través de la red
retener los mensajes capturados en el enrutador cuando se reinicia un enrutador
especificar dónde se almacena la información capturada*
Distinguir entre la información que debe capturarse y la información que debe ignorarse.*
establecer el tamaño del búfer de registro
Explicación: las operaciones de Syslog incluyen recopilar información, seleccionar qué tipo de información capturar y dirigir la información capturada a una ubicación de almacenamiento. El servicio de registro almacena mensajes en un búfer de registro que tiene un límite de tiempo y no puede retener la información cuando se reinicia un enrutador. Syslog no autentica ni cifra los mensajes.
99. ¿Qué dos tipos de mensajes ICMPv6 se deben permitir a través de las listas de control de acceso de IPv6 para permitir la resolución de direcciones de Capa 3 a direcciones MAC de Capa 2? (Escoge dos.)
solicitudes de vecinos*
solicitudes de eco
anuncios de vecinos*
respuestas de eco
solicitudes de enrutadores
anuncios de enrutador
100. ¿Qué tres servicios se brindan a través de firmas digitales? (Elige tres.)
contabilidad
autenticidad*
compresión
no repudio*
integridad*
cifrado
Explicación: Las firmas digitales utilizan una técnica matemática para proporcionar tres servicios básicos de seguridad: Integridad; Autenticidad; no repudio
101. Un técnico debe documentar las configuraciones actuales de todos los dispositivos de red en una universidad, incluidos los que se encuentran en edificios externos. ¿Qué protocolo sería mejor utilizar para acceder de forma segura a los dispositivos de red?
FTP
HTTP
SSH*
Telnet
Explicación: Telnet envía contraseñas y otra información en texto no cifrado, mientras que SSH cifra sus datos. FTP y HTTP no proporcionan acceso a dispositivos remotos para fines de configuración.
102. Un administrador está tratando de desarrollar una política de seguridad BYOD para los empleados que traen una amplia gama de dispositivos para conectarse a la red de la empresa. ¿Qué tres objetivos debe abordar la política de seguridad BYOD? (Elige tres.)
Todos los dispositivos deben estar asegurados contra responsabilidad civil si se utilizan para comprometer la red corporativa.
Todos los dispositivos deben tener autenticación abierta con la red corporativa.
Se deben definir los derechos y actividades permitidas en la red corporativa.*
Se deben implementar medidas de seguridad para cualquier dispositivo personal que se vea comprometido.*
Se debe definir el nivel de acceso de los empleados al momento de conectarse a la red corporativa.*
Todos los dispositivos deben poder conectarse a la red corporativa sin problemas.
103. ¿Cuál es la función de la acción de aprobación en un Firewall de política basado en zonas de Cisco IOS?
registro de paquetes rechazados o descartados
inspección del tráfico entre zonas para el control del tráfico
seguimiento del estado de las conexiones entre zonas
reenviar el tráfico de una zona a otra*
Explicación: la acción de paso realizada por Cisco IOS ZPF permite el reenvío de tráfico de manera similar a la declaración de permiso en una lista de control de acceso.
104. Consulte la exposición.
Network Security v1.0 Examen Final p104
Según los niveles de seguridad de las interfaces en ASA1, ¿qué tráfico se permitirá en las interfaces?
El tráfico de Internet y DMZ puede acceder a la LAN.
El tráfico de Internet y LAN puede acceder a la DMZ.
El tráfico de Internet puede acceder tanto a la DMZ como a la LAN.
El tráfico de la LAN y DMZ puede acceder a Internet.*
Explicación: Los dispositivos ASA tienen niveles de seguridad asignados a cada interfaz que no forman parte de una ACL configurada. Estos niveles de seguridad permiten que el tráfico de interfaces más seguras, como el nivel de seguridad 100, acceda a interfaces menos seguras, como el nivel 0. De forma predeterminada, permiten que el tráfico de interfaces más seguras (nivel de seguridad más alto) acceda a interfaces menos seguras (nivel de seguridad más bajo). nivel). Se bloquea el tráfico de las interfaces menos seguras para que no acceda a las interfaces más seguras.
105. ¿Qué herramienta de prueba de red se puede usar para identificar los protocolos de capa de red que se ejecutan en un host?
SIEM
Nmap*
L0phtcrack
cable trampa
106. En la implementación de la seguridad en varios dispositivos, ¿en qué se diferencian las ACL de ASA de las ACL de Cisco IOS?
Los enrutadores Cisco IOS utilizan ACL con nombre y numeradas y los dispositivos Cisco ASA utilizan solo ACL numeradas.
Las ACL de Cisco IOS se configuran con una máscara comodín y las ACL de Cisco ASA se configuran con una máscara de subred.*
Las ACL de Cisco IOS se procesan secuencialmente de arriba hacia abajo y las ACL de Cisco ASA no se procesan secuencialmente.
Las ACL de Cisco IOS utilizan una denegación implícita de todo y las ACL de Cisco ASA terminan con un permiso implícito de todo.
Explicación: Las ACL de Cisco IOS están configuradas con una máscara comodín y las ACL de Cisco ASA están configuradas con una máscara de subred. Ambos dispositivos utilizan una denegación implícita, un procesamiento secuencial de arriba hacia abajo y ACL con nombre o numeradas.
107. ¿Qué afirmación describe una característica importante de una VPN de sitio a sitio?
Debe estar configurado estáticamente.*
Es ideal para su uso por trabajadores móviles.
Requiere usar un cliente VPN en la PC host.
Una vez que se establece la conexión inicial, puede cambiar dinámicamente la información de conexión.
Se implementa comúnmente a través de redes de acceso telefónico y módem por cable.
Explicación: Se crea una VPN de sitio a sitio entre los dispositivos de red de dos redes separadas. La VPN es estática y permanece establecida. Los hosts internos de las dos redes no conocen la VPN.
108. ¿Qué dos opciones son las mejores prácticas de seguridad que ayudan a mitigar los riesgos de BYOD? (Escoge dos.)
Use pintura que refleje las señales inalámbricas y vidrio que evite que las señales salgan del edificio.
Mantenga el sistema operativo y el software del dispositivo actualizados.*
Solo permita dispositivos que hayan sido aprobados por el equipo de TI corporativo.
Solo encienda Wi-Fi cuando use la red inalámbrica.*
Disminuya el nivel de ganancia de la antena inalámbrica.
Utilice el filtrado de direcciones MAC inalámbricas.
Explicación: Muchas empresas ahora admiten que los empleados y visitantes conecten y usen dispositivos inalámbricos que se conectan y usan la red inalámbrica corporativa. Esta práctica se conoce como política de traer su propio dispositivo o BYOD. Comúnmente, las prácticas de seguridad BYOD se incluyen en la política de seguridad. Algunas mejores prácticas que mitigan los riesgos de BYOD incluyen las siguientes:
Use contraseñas únicas para cada dispositivo y cuenta.
Apague la conectividad Wi-Fi y Bluetooth cuando no esté en uso. Solo conéctese a redes confiables.
Mantenga actualizado el sistema operativo del dispositivo y otro software.
Copia de seguridad de todos los datos almacenados en el dispositivo.
Suscríbase a un servicio de localización de dispositivos con una función de borrado remoto.
Proporcionar software antivirus para BYOD aprobados.
Use el software de administración de dispositivos móviles (MDM) que permite a los equipos de TI rastrear el dispositivo e implementar configuraciones de seguridad y controles de software.
109. Consulte la exposición.
Network Security v1.0 Examen Final p109
Un administrador de red configura la autenticación AAA en el R1. ¿Qué enunciado describe el efecto de la palabra clave conexión única en la configuración?
R1 abrirá una conexión separada al servidor TACACS+ para cada sesión de autenticación de usuario.
El rendimiento de la autenticación se mejora al mantener abierta la conexión con el servidor TACACS+.*
El servidor TACACS+ solo acepta un intento exitoso para que un usuario se autentique con él.
R1 abrirá una conexión separada al servidor TACACS por dirección IP de origen para cada sesión de autenticación.
Explicación: la palabra clave de conexión única mejora el rendimiento de TCP con TACACS+ al mantener una única conexión TCP durante la duración de la sesión. Sin la palabra clave de conexión única, se abre y se cierra una conexión TCP por sesión.
110. Una ACL creada recientemente no funciona como se esperaba. El administrador determinó que la ACL se había aplicado de forma entrante en la interfaz y esa era la dirección incorrecta. ¿Cómo debería el administrador solucionar este problema?
Elimine la ACL original y cree una nueva ACL, aplicándola saliente en la interfaz.*
Agregue una asociación de la salida de ACL en la misma interfaz.
Corrija las declaraciones de ACE para que funcionen según lo deseado en la interfaz.
Elimine la asociación de entrada de la ACL en la interfaz y vuelva a aplicarla de salida.
111. ¿Qué característica de las suscripciones basadas en términos de Snort es cierta tanto para la comunidad como para los conjuntos de reglas de suscriptores?
Ambos tienen un acceso diferido de 30 días a las firmas actualizadas.
Ambos usan Cisco Talos para brindar cobertura antes de las vulnerabilidades.
Ambos son totalmente compatibles con Cisco e incluyen soporte al cliente de Cisco.
Ambos ofrecen protección contra amenazas contra amenazas de seguridad.*
Explicación: Hay dos tipos de suscripciones basadas en plazos:
– Conjunto de reglas de la comunidad: disponible de forma gratuita, esta suscripción ofrece cobertura limitada contra amenazas. El conjunto de reglas de la comunidad se centra en la respuesta reactiva a las amenazas de seguridad frente al trabajo de investigación proactivo. También hay un retraso de 30 días en el acceso a las firmas actualizadas, lo que significa que la regla más reciente tendrá una antigüedad mínima de 30 días. Además, no hay soporte al cliente de Cisco disponible.
– Conjunto de reglas del suscriptor: disponible por una tarifa, este servicio brinda la mejor protección contra las amenazas. Incluye cobertura de exploits avanzados mediante el uso del trabajo de investigación de los expertos en seguridad de Cisco Talos. El conjunto de reglas del suscriptor también proporciona el acceso más rápido a las firmas actualizadas en respuesta a un incidente de seguridad o al descubrimiento proactivo de una nueva amenaza. Esta suscripción es totalmente compatible con Cisco.
112. Un analista de seguridad está configurando Snort IPS. El analista acaba de descargar e instalar el archivo Snort OVA. ¿Cuál es el próximo paso?
Verifique Snort IPS.
Configure las interfaces del grupo de puertos virtuales.*
Habilite IPS globalmente o en las interfaces deseadas.
Activar los servicios virtuales.
Explicación: Para implementar Snort IPS en dispositivos compatibles, realice los siguientes pasos:
– Paso 1. Descargue el archivo Snort OVA.
– Paso 2. Instalar el archivo OVA.
– Paso 3. Configure las interfaces del grupo de puertos virtuales.
– Paso 4. Activar los servicios virtuales.
– Paso 5. Configurar las especificaciones de Snort.
– Paso 6. Habilite IPS globalmente o en las interfaces deseadas.
– Paso 7. Verificar Snort IPS.
113. La política de seguridad de una empresa especifica que las estaciones de trabajo de los empleados pueden iniciar conexiones HTTP y HTTPS a sitios web externos y se permite el tráfico de retorno. Sin embargo, no se permiten conexiones iniciadas desde hosts externos. ¿Qué parámetro se puede usar en las ACL extendidas para cumplir con este requisito?
dscp
precedencia
equivalente*
establecido
114. Un investigador está comparando las diferencias entre un firewall sin estado y un firewall proxy. ¿Qué dos capas adicionales del modelo OSI son inspeccionadas por un firewall proxy? (Escoge dos.)
Capa 3*
Capa 4*
Capa 5
Capa 6
Capa 7
Explicación: Los cortafuegos de filtrado de paquetes suelen formar parte de un cortafuegos de enrutador, que permite o deniega el tráfico en función de la información de las capas 3 y 4. Son cortafuegos sin estado que utilizan una tabla de políticas de búsqueda simple que filtra el tráfico en función de criterios específicos.
115. Consulte la exposición.
Network Security v1.0 Examen Final p115
Un administrador de red está configurando una VPN entre los enrutadores R1 y R2. ¿Qué comandos configurarían correctamente una clave precompartida para los dos enrutadores?
R1(config)# nombre de usuario R2 contraseña 5tayout!
R2(config)# nombre de usuario R1 contraseña 5tayout!
R1(config)# crypto isakmp key 5tayout! dirección 64.100.0.2
R2(config)# crypto isakmp key 5tayout! dirección 64.100.0.1**
R1(config)# crypto isakmp key 5tayout! hostname R1
R2(config)# crypto isakmp key 5tayout! nombre de host R2
R1(config-if)# ppp pap enviado-nombre de usuario R1 contraseña 5tayout!
R2(config-if)# ppp pap nombre de usuario enviado R2 contraseña 5tayout!
116. Consulte la exposición.
Network Security v1.0 Examen Final p116
¿Qué afirmación es verdadera sobre el efecto de esta configuración de firewall de política basada en zonas de Cisco IOS?
El cortafuegos eliminará automáticamente todo el tráfico HTTP, HTTPS y FTP.
El firewall permitirá automáticamente el tráfico HTTP, HTTPS y FTP de s0/0/0 a g0/0 y rastreará las conexiones. El seguimiento de la conexión permite que solo se permita el tráfico de retorno a través del firewall en la dirección opuesta.
El firewall permitirá automáticamente el tráfico HTTP, HTTPS y FTP de s0/0/0 a g0/0, pero no rastreará el estado de las conexiones. Se debe aplicar una política correspondiente para permitir que se permita el tráfico de retorno a través del firewall en la dirección opuesta.
El firewall permitirá automáticamente el tráfico HTTP, HTTPS y FTP de g0/0 a s0/0/0 y rastreará las conexiones. El seguimiento de la conexión solo permite*
se permita el tráfico de retorno a través del cortafuegos en la dirección opuesta.
El firewall permitirá automáticamente el tráfico HTTP, HTTPS y FTP de g0/0 a s0/0/0, pero no rastreará el estado de las conexiones. Se debe aplicar una política correspondiente para permitir que se permita el tráfico de retorno a través del firewall en la dirección opuesta.
117. ¿Qué nivel de privilegio tiene más acceso a Cisco IOS?
nivel 0
nivel 15*
nivel 7
nivel 16
nivel 1
118. Consulte la exposición.
Network Security v1.0 Examen Final p118
Un administrador de red ha configurado NAT en un dispositivo ASA. ¿Qué tipo de NAT se utiliza?
dentro de NAT
NAT estática
NAT bidireccional*
fuera de NAT
Explicación: NAT se puede implementar en un ASA utilizando uno de estos métodos:
dentro de NAT: cuando un host de una interfaz de mayor seguridad tiene tráfico destinado a una interfaz de menor seguridad y el ASA traduce la dirección del host interno a una dirección global
fuera de NAT – cuando el tráfico de una interfaz de menor seguridad destinada a un host en la interfaz de mayor seguridad se convierte
en NAT bidireccional – cuando tanto la NAT interna como la NAT externa se usan juntas
Porque el comando nat se aplica para que la interfaz interna se asigne al exterior interfaz, el tipo de NAT está dentro. Además, la palabra clave dinámica en el comando nat indica que se trata de una asignación dinámica.
119. Un analista de red está configurando una VPN IPsec de sitio a sitio. El analista ha configurado las políticas ISAKMP e IPsec. ¿Cuál es el próximo paso?
Configure el hash como SHA y la autenticación como precompartida.
Aplique el mapa criptográfico a las interfaces de salida adecuadas.*
Ejecute el comando show crypto ipsec sa para verificar el túnel.
Verifique que la función de seguridad esté habilitada en el IOS.
120. Cuando se implementa una ACL de tráfico de Internet entrante, ¿qué se debe incluir para evitar la suplantación de redes internas?
ACE para evitar el tráfico de espacios de direcciones privadas*
ACE para evitar el tráfico de direcciones de difusión
ACE para evitar el tráfico ICMP
ACE para evitar el tráfico HTTP
ACE para evitar el tráfico SNMP
Explicación: las ACE comunes para ayudar con la suplantación de identidad incluyen el bloqueo de paquetes que tienen una dirección de origen en el rango 127.0.0.0/8, cualquier dirección privada o cualquier dirección de multidifusión. Además, el administrador no debe permitir ningún paquete saliente con una dirección de origen que no sea una dirección válida que se utiliza en las redes internas de la organización.
121. Relaciona el término de seguridad con la descripción apropiada. (No se utilizan todas las opciones).
Network Security v1.0 Examen Final p121
122. ¿Qué dos tipos de ataques son ejemplos de ataques de reconocimiento? (Escoge dos.)
fuerza bruta
escaneo de puertos*
barrido de ping*
hombre en el medio
inundación SYN
Explicación: los ataques de reconocimiento intentan recopilar información sobre los objetivos. Los barridos de ping indicarán qué hosts están activos y respondiendo a los ping, mientras que los escaneos de puertos indicarán en qué puertos TCP y UDP el objetivo está escuchando las conexiones entrantes. Los ataques Man-in-the-middle y de fuerza bruta son ejemplos de ataques de acceso, y una inundación SYN es un ejemplo de un ataque de denegación de servicio (DoS).
123. ¿Qué solución de Cisco ayuda a prevenir ataques de suplantación de identidad y envenenamiento de ARP?
Inspección ARP Dinámica*
Protección de fuente de IP
Espionaje de DHCP
Seguridad Portuaria
124. Cuando el dispositivo Cisco NAC evalúa una conexión entrante desde un dispositivo remoto contra las políticas de red definidas, ¿qué función se utiliza?
evaluación de la postura*
remediación de sistemas no conformes
autenticacion y autorizacion
puesta en cuarentena de sistemas no conformes
125. ¿Qué dos pasos se requieren antes de que se pueda habilitar SSH en un enrutador Cisco? (Escoge dos.)
Asigne al enrutador un nombre de host y un nombre de dominio.*
Cree un banner que se mostrará a los usuarios cuando se conecten.
Genere un conjunto de claves secretas que se utilizarán para el cifrado y descifrado.*
Configure un servidor de autenticación para manejar las solicitudes de conexión entrantes.
Habilite SSH en las interfaces físicas donde se recibirán las solicitudes de conexión entrantes.
Explicación: Hay cuatro pasos para configurar SSH en un enrutador Cisco. Primero, configure el nombre de host y el nombre de dominio. En segundo lugar, genere un conjunto de claves RSA que se utilizarán para cifrar y descifrar el tráfico. En tercer lugar, cree los ID de usuario y las contraseñas de los usuarios que se conectarán. Por último, habilite SSH en las líneas vty del enrutador. No es necesario configurar SSH en ninguna interfaz física, ni es necesario utilizar un servidor de autenticación externo. Si bien es una buena idea configurar un banner para mostrar información legal para conectar a los usuarios, no es necesario habilitar SSH.
126. El administrador de red de un sitio web de comercio electrónico requiere un servicio que evite que los clientes afirmen que los pedidos legítimos son falsos. ¿Qué servicio ofrece este tipo de garantía?
confidencialidad
autenticación
integridad
no repudio*
127. Relaciona la tecnología de seguridad con la descripción.
Network Security v1.0 Examen Final p127
128. ¿Qué funcionalidad proporciona Cisco SPAN en una red conmutada?
Refleja el tráfico que pasa a través de un puerto de switch o VLAN a otro puerto para el análisis del tráfico.*
Evita que el tráfico en una LAN se vea interrumpido por una tormenta de difusión.
Protege la red conmutada de recibir BPDU en puertos que no deberían recibirlos.
Copia el tráfico que pasa a través de una interfaz de conmutador y envía los datos directamente a un servidor syslog o SNMP para su análisis.
Inspecciona los protocolos de voz para garantizar que las solicitudes SIP, SCCP, H.323 y MGCP cumplan con los estándares de voz.
Mitiga los ataques de desbordamiento de direcciones MAC.
Explicación: SPAN es una tecnología de Cisco utilizada por los administradores de red para monitorear el tráfico sospechoso o capturar el tráfico para analizarlo.
129. ¿Cuáles son las tres afirmaciones que generalmente se consideran mejores prácticas en la ubicación de las ACL? (Elige tres.)
Filtre el tráfico no deseado antes de que viaje a un enlace de bajo ancho de banda.*
Coloque las ACL estándar cerca de la dirección IP de destino del tráfico.*
Coloque las ACL estándar cerca de la dirección IP de origen del tráfico.
Coloque las ACL extendidas cerca de la dirección IP de destino del tráfico.
Coloque las ACL extendidas cerca de la dirección IP de origen del tráfico.*
Por cada ACL de entrada colocada en una interfaz, debe haber una ACL de salida coincidente.
Explicación: las ACL extendidas deben colocarse lo más cerca posible de la dirección IP de origen, de modo que el tráfico que debe filtrarse no cruce la red y utilice los recursos de la red. Debido a que las ACL estándar no especifican una dirección de destino, deben colocarse lo más cerca posible del destino. Colocar una ACL estándar cerca de la fuente puede tener el efecto de filtrar todo el tráfico y limitar los servicios a otros hosts. Filtrar el tráfico no deseado antes de que entre en enlaces de bajo ancho de banda conserva el ancho de banda y admite la funcionalidad de la red. Las decisiones sobre la colocación de ACL entrantes o salientes dependen de los requisitos que se deben cumplir.
130. ¿Qué función realiza el objeto de configuración de mapas de clase en el marco de políticas modulares de Cisco?
identificar el tráfico interesante*
aplicar una política a una interfaz
aplicar una política al tráfico interesante
restringir el tráfico a través de una interfaz
Explicación: Hay tres objetos de configuración en MPF; mapas de clases, mapas de políticas y políticas de servicio. El objeto de configuración de mapas de clase utiliza criterios de coincidencia para identificar el tráfico interesante.
131. En un intento por prevenir ataques a la red, los analistas cibernéticos comparten atributos identificables únicos de ataques conocidos con colegas. ¿Qué tres tipos de atributos o indicadores de compromiso son útiles para compartir? (Elige tres.)
Direcciones IP de servidores de ataque*
cambios realizados en el software del sistema final*
Netbios nombres de cortafuegos comprometidos
características de los archivos de malware*
BIOS de sistemas atacantes
ID de sistema de sistemas comprometidos
Explicación: Muchos ataques a la red se pueden prevenir compartiendo información sobre indicadores de compromiso (IOC). Cada ataque tiene atributos identificables únicos. Los indicadores de compromiso son la evidencia de que se ha producido un ataque. Los IOC pueden identificar características de archivos de malware, direcciones IP de servidores que se utilizan en el ataque, nombres de archivo y cambios característicos realizados en el software del sistema final.
132. ¿Qué dos garantías ofrece la firma digital sobre el código que se descarga de Internet? (Escoge dos.)
El código es auténtico y en realidad proviene del editor.*
El código no contiene errores.
El código no ha sido modificado desde que salió del editor de software.*
El código no contiene virus.
El código fue encriptado con una clave privada y pública.
Explicación: el código de firma digital proporciona varias garantías sobre el código:
el código es auténtico y en realidad lo obtiene el editor.
El código no ha sido modificado desde que salió del editor de software.
El editor, sin lugar a dudas, publicó el código. Esto proporciona el no repudio del acto de publicación.
133. Consulte la exposición.
Network Security v1.0 Examen Final p133
¿Qué algoritmo se está utilizando para proporcionar el intercambio de claves públicas?
SHA
RSA
Diffie-Hellman*
AES
Explicación: el marco IPsec utiliza varios protocolos y algoritmos para proporcionar confidencialidad de datos, integridad de datos, autenticación e intercambio seguro de claves. DH (Diffie-Hellman) es un algoritmo utilizado para el intercambio de claves. DH es un método de intercambio de clave pública y permite que dos pares IPsec establezcan una clave secreta compartida a través de un canal no seguro.
134. ¿Qué dos afirmaciones describen el uso de algoritmos asimétricos? (Escoge dos.)
Las claves públicas y privadas se pueden usar indistintamente.
Si se usa una clave pública para cifrar los datos, se debe usar una clave pública para descifrar los datos.
Si se utiliza una clave privada para cifrar los datos, se debe utilizar una clave pública para descifrar los datos.*
Si se utiliza una clave pública para cifrar los datos, se debe utilizar una clave privada para descifrar los datos.*
Si se usa una clave privada para cifrar los datos, se debe usar una clave privada para descifrar los datos.
Explicación: Los algoritmos asimétricos usan dos claves: una clave pública y una clave privada. Ambas claves son capaces del proceso de cifrado, pero se requiere la clave coincidente complementaria para el descifrado. Si una clave pública cifra los datos, la clave privada correspondiente descifra los datos. Lo opuesto también es cierto. Si una clave privada cifra los datos, la clave pública correspondiente descifra los datos.
135. ¿Qué declaración es una característica de HMAC?
HMAC utiliza una clave secreta que solo conoce el remitente y derrota los ataques de intermediarios.
HMAC utiliza protocolos como SSL o TLS para brindar confidencialidad en la capa de sesión.
HMAC utiliza una clave secreta como entrada para la función hash, lo que agrega autenticación a la garantía de integridad.*
HMAC se basa en la función hash RSA.
Explicación: un código de autenticación de mensajes hash con clave (HMAC o KHMAC) es un tipo de código de autenticación de mensajes (MAC). Los HMAC utilizan una clave secreta adicional como entrada para la función hash, lo que agrega autenticación a la garantía de integridad de los datos.
136. ¿Cuál es el propósito de las ACL de tipo web en un ASA?
para inspeccionar el tráfico saliente que se dirige a ciertos sitios web
para restringir el tráfico que está destinado a un ASDM
para monitorear el tráfico de retorno que es en respuesta a las solicitudes del servidor web que se inician desde la interfaz interna
para filtrar el tráfico para usuarios de SSL VPN sin cliente*
Explicación: las ACL de tipo web se usan en una configuración que admite el filtrado para usuarios de VPN SSL sin cliente.
137. ¿Qué dos afirmaciones describen el efecto de la máscara comodín de la lista de control de acceso 0.0.0.15? (Escoge dos.)
Se compararán los primeros 28 bits de una dirección IP suministrada.*
Se compararán los últimos cuatro bits de una dirección IP suministrada.
Se ignorarán los primeros 28 bits de una dirección IP proporcionada.
Se ignorarán los últimos cuatro bits de una dirección IP suministrada.*
Se ignorarán los últimos cinco bits de una dirección IP suministrada.
Se compararán los primeros 32 bits de una dirección IP suministrada.
Explicación: una máscara comodín utiliza ceros para indicar que los bits deben coincidir. Los 0 en los primeros tres octetos representan 24 bits y cuatro ceros más en el último octeto, representan un total de 28 bits que deben coincidir. Los cuatro 1 representados por el valor decimal de 15 representan los cuatro bits a ignorar.
138. ¿Qué tipo de firewall es el más común y permite o bloquea el tráfico según la información de las capas 3, 4 y 5?
cortafuegos sin estado
cortafuegos de filtrado de paquetes*
cortafuegos de última generación
cortafuegos con estado
139. ¿Qué protocolo o medida se debe utilizar para mitigar la vulnerabilidad del uso de FTP para transferir documentos entre un teletrabajador y el servidor de archivos de la empresa?
SCP*
TFTP
ACL en el servidor de archivos
canal de comunicación fuera de banda
Explicación: la transferencia de archivos mediante FTP se transmite en texto sin formato. El nombre de usuario y la contraseña se capturarían fácilmente si se intercepta la transmisión de datos. El protocolo de copia segura (SCP) realiza la autenticación y la transferencia de archivos bajo SSH, por lo que la comunicación está encriptada. Al igual que FTP, TFTP transfiere archivos sin cifrar. Las ACL proporcionan filtrado de tráfico de red pero no cifrado. El uso de un canal de comunicación fuera de banda (OOB) requiere acceso físico al servidor de archivos o, si se hace a través de Internet, no necesariamente cifra la comunicación.
140. Consulte la exposición.
Network Security v1.0 Examen Final p140
La lista de acceso IPv6 LIMITED_ACCESS se aplica en la interfaz S0/0/0 de R1 en la dirección de entrada. ¿Qué paquetes IPv6 del ISP descartará la ACL en el R1?
Paquetes HTTPS a PC1
Paquetes ICMPv6 destinados a PC1*
paquetes destinados a PC1 en el puerto 80
anuncios de vecinos que se reciben del enrutador ISP
Explicación: la lista de acceso LIMITED_ACCESS bloqueará los paquetes ICMPv6 del ISP. Tanto el puerto 80, tráfico HTTP, como el puerto 443, tráfico HTTPS, están explícitamente permitidos por la ACL. Los anuncios de vecinos del enrutador ISP están permitidos implícitamente por el permiso implícito icmp cualquier declaración nd-na al final de todas las ACL de IPv6.
141. ¿Qué herramienta está disponible a través de la CLI de Cisco IOS para iniciar auditorías de seguridad y realizar los cambios de configuración recomendados con o sin intervención del administrador?
Vigilancia del avión de control
Autoseguro de Cisco*
ACS de Cisco
Protocolo Simple de Manejo de Red
142. Consulte la exposición.
Network Security v1.0 Examen Final p142
¿Qué par de comandos de clave crypto isakmp configurarían correctamente PSK en los dos enrutadores?
R1(config)# clave isakmp criptográfica dirección cisco123 209.165.200.227
R2(config)# clave isakmp criptográfica dirección cisco123 209.165.200.226**
R1(config)# clave isakmp criptográfica dirección cisco123 209.165.200.226
R2(config)# clave isakmp criptográfica dirección cisco123 209.165.200.227
R1(config)# clave isakmp criptográfica cisco123 nombre de host R1
R2(config)# clave isakmp criptográfica cisco123 nombre de host R2
R1(config)# clave isakmp criptográfica dirección cisco123 209.165.200.226
R2(config)# clave isakmp criptográfica dirección segura 209.165.200.227
Explicación: La sintaxis correcta del comando crypto isakmp key es la siguiente:
crypto isakmp key keystring address peer-address
o
crypto isakmp keykeystring hostname peer-hostnameEntonces, la respuesta correcta sería la siguiente:
R1(config)# crypto isakmp key cisco123 address 209.165.200.227
R2(config)# crypto isakmp clave cisco123 dirección 209.165.200.226
143. ¿Qué dos tecnologías proporcionan soluciones VPN administradas por empresas? (Escoge dos.)
VPN MPLS de capa 3
Retardo de fotograma
VPN de sitio a sitio*
VPN MPLS de capa 2
VPN de acceso remoto*
144. ¿Cuáles son los tres componentes de una ID de puente STP? (Elige tres.)
la fecha y la hora en que el conmutador se puso en línea
el nombre de host del interruptor
la dirección MAC del conmutador*
el ID del sistema extendido*
el valor de prioridad del puente*
la dirección IP de la VLAN de administración
145. ¿Cuáles son las dos diferencias entre los cortafuegos de estado y de filtrado de paquetes? (Escoge dos.)
Un cortafuegos de filtrado de paquetes evitará la suplantación al determinar si los paquetes pertenecen a una conexión existente, mientras que un cortafuegos con estado sigue conjuntos de reglas preconfiguradas.
Un firewall con estado proporciona un control más estricto sobre la seguridad que un firewall de filtrado de paquetes.*
Un cortafuegos de filtrado de paquetes puede filtrar sesiones que utilizan negociaciones dinámicas de puertos, mientras que un cortafuegos con estado no puede hacerlo.
Un firewall con estado proporcionará más información de registro que un firewall de filtrado de paquetes.*
Un cortafuegos con estado examinará cada paquete individualmente, mientras que un cortafuegos de filtrado de paquetes observa el estado de una conexión.
Explicación: Hay muchas diferencias entre un cortafuegos sin estado y con estado.
Cortafuegos sin estado (cortafuegos de filtrado de paquetes):
– son susceptibles a la suplantación de IP
– no filtran de forma fiable los paquetes fragmentados
– utilizan ACL complejas, que pueden ser difíciles de implementar y mantener
– no pueden filtrar dinámicamente ciertos servicios
– examinan cada paquete individualmente en lugar de en el contexto del estado de una conexión
Firewalls con estado:
– a menudo se usan como un medio principal de defensa al filtrar el tráfico no deseado, innecesario o no deseado
– fortalecen el filtrado de paquetes al proporcionar un control más estricto sobre la seguridad
– mejoran el rendimiento sobre los filtros de paquetes o servidores proxy
– defienden contra la suplantación de identidad y los ataques DoS al Determinar si los paquetes pertenecen a una conexión existente o provienen de una fuente no autorizada
: proporcione más información de registro que un firewall de filtrado de paquetes.
146. ¿Qué parte del encabezado de la regla Snort IPS identifica el puerto de destino?
alerta tcp $HOME_NET cualquiera -> $EXTERNAL_NET $HTTP_PORTS
cualquier
$HTTP_PORTS*
$HOME_NET
tcp
147. Haga coincidir cada operación SNMP con la descripción correspondiente. (No se utilizan todas las opciones).
Network Security v1.0 Examen Final p147
148. ¿Qué estado de puerto utiliza 802.1X si una estación de trabajo falla en la autorización?
discapacitado
abajo
no autorizado*
bloqueando
149. Haga coincidir los módulos de hardware especiales ASA con la descripción.
Network Security v1.0 Examen Final p149
Explicación: Los servicios avanzados de control y contención de amenazas de un firewall ASA se proporcionan mediante la integración de módulos de hardware especiales con la arquitectura ASA. Estos módulos especiales incluyen:
– Módulo de Inspección y Prevención Avanzada (AIP): admite la capacidad IPS avanzada.
– Módulo de seguridad y control de contenido (CSC): admite funciones antimalware.
– Módulo de servicios de seguridad de inspección y prevención avanzada de Cisco (AIP-SSM) y Tarjeta de servicios de seguridad de inspección y prevención avanzada de Cisco (AIP-SSC): brinda protección contra decenas de miles de vulnerabilidades conocidas.
150. Consulte la exposición.
Network Security v1.0 Examen Final p150
¿Qué dos ACL, si se aplican a la interfaz G0/1 de R2, permitirían que solo las dos redes LAN conectadas a R1 accedan a la red que se conecta a la interfaz G0/1 de R2? (Escoge dos.)
access-list 3 permit 192.168.10.128 0.0.0.63
access-list 1 permit 192.168.10.0 0.0.0.127*
access-list 4 permit 192.168.10.0 0.0.0.255
access-list 2 permit host 192.168.10.9
access-list 2 permit host 192.168.10.69
access-list 5 permit 192.168.10.0 0.0.0.63
access-list 5 permit 192.168.10.64 0.0.0.63**
Explicación: El comando permit 192.168.10.0 0.0.0.127 ignora las posiciones de bit 1 a 7, lo que significa que las direcciones 192.168.10.0 a 192.168.10.127 están permitidas. Los dos ACE de permiso 192.168.10.0 0.0.0.63 y permiso 192.168.10.64 0.0.0.63 permiten el mismo rango de direcciones a través del enrutador.
151. ¿Qué dos características se aplican a las supervisiones de acceso CLI basadas en funciones? (Escoge dos.)
Una supervista específica no puede tener comandos agregados directamente.*
Las vistas CLI tienen contraseñas, pero las supervistas no tienen contraseñas.
Una única supervista se puede compartir entre múltiples vistas CLI.
Al eliminar una supervista, se eliminan todas las vistas CLI asociadas.
Los usuarios que iniciaron sesión en una supervista pueden acceder a todos los comandos especificados dentro de las vistas CLI asociadas.*
Explicación: Mediante el uso de una supervista, un administrador puede asignar usuarios o grupos de usuarios a las vistas de CLI que contienen un conjunto específico de comandos a los que pueden acceder esos usuarios. Los comandos no se pueden agregar directamente a una supervista, sino que se deben agregar a una vista CLI y la vista CLI se debe agregar a la supervista.
