1. Un usuario se queja de no poder acceder a un dispositivo de red configurado con AAA. ¿Cómo determinaría el administrador de la red si el acceso de inicio de sesión para la cuenta de usuario está deshabilitado?
Utilice el comando show aaa local user lockout. *
Utilice el comando show running-configuration.
Utilice el comando show aaa sessions.
Utilice el comando show aaa user.
Explicación: El comando show aaa local user lockout proporciona al administrador una lista de las cuentas de usuario que están bloqueadas y que no pueden usarse para la autenticación. Este comando también proporciona la fecha y la marca de tiempo de la ocurrencia del bloqueo.
2. Cuando se configura una lista de métodos para la autenticación AAA, ¿cuál es el efecto de la palabra clave local?
El inicio de sesión se realiza correctamente, incluso si todos los métodos devuelven un error.
Utiliza la contraseña de habilitación para la autenticación.
Acepta un nombre de usuario configurado localmente, independientemente del caso *
De forma predeterminada, la contraseña de la línea vty para la autenticación.
Explicación: Al definir la lista de métodos de autenticación AAA, una opción es utilizar una base de datos local preconfigurada. Hay dos palabras clave, cualquiera de las cuales habilita la autenticación local a través de la base de datos local preconfigurada. La palabra clave local acepta un nombre de usuario independientemente de las mayúsculas y minúsculas, y la palabra clave local-case distingue entre mayúsculas y minúsculas tanto para los nombres de usuario como para las contraseñas.
3. ¿Qué solución admite AAA para servidores RADIUS y TACACS +?
Implemente Cisco Secure Access Control System (ACS) únicamente. *
Los servidores RADIUS y TACACS + no pueden ser compatibles con una única solución.
Implementa una base de datos local.
Implemente una base de datos local y Cisco Secure
Sistema de control de acceso (ACS).
Explicación: Cisco Secure Access Control System (ACS) es compatible con los servidores TACACS + y RADIUS. Las bases de datos locales no utilizan estos servidores.
4. ¿Qué diferencia existe al utilizar Windows Server como servidor AAA, en lugar de Cisco Secure ACS?
Windows Server requiere más comandos de Cisco IOS para configurar.
Windows Server solo admite AAA mediante TACACS.
Windows Server utiliza su propio controlador de Active Directory (AD) para la autenticación y autorización. *
Windows Server no se puede utilizar como servidor AAA.
Explicación: La configuración de Cisco IOS es la misma si se comunica con un servidor AAA de Windows o con cualquier otro servidor RADIUS.
5. Al utilizar la autenticación 802.1X, ¿qué dispositivo controla el acceso físico a la red, según el estado de autenticación del cliente?
el enrutador que sirve como puerta de enlace predeterminada
el servidor de autenticación
el conmutador al que está conectado el cliente *
el suplicante
Explicación: Los dispositivos involucrados en el proceso de autenticación 802.1X son los siguientes:
El solicitante, que es el cliente que solicita acceso a la red
El autenticador, que es el conmutador que el cliente está conectando y que en realidad controla el acceso a la red física
El servidor de autenticación, que realiza la autenticación real
6. Debido a los controles de seguridad implementados, un usuario solo puede acceder a un servidor con FTP. ¿Qué componente AAA logra esto?
contabilidad
accesibilidad
revisión de cuentas
autorización*
autenticación
Explicación: Uno de los componentes de AAA es la autorización. Después de que un usuario se autentica a través de AAA, los servicios de autorización determinan a qué recursos puede acceder el usuario y qué operaciones puede realizar.
7. ¿Por qué se prefiere la autenticación con AAA a un método de base de datos local?
Proporciona un método de autenticación alternativo si el administrador olvida el nombre de usuario o la contraseña. *
Utiliza menos ancho de banda de red.
Especifica una contraseña diferente para cada línea o puerto.
Requiere una combinación de inicio de sesión y contraseña en la consola, líneas vty y puertos auxiliares.
Explicación: El método de autenticación de la base de datos local no proporciona un método de autenticación alternativo si un administrador olvida el nombre de usuario o la contraseña. La recuperación de la contraseña será la única opción. Cuando se usa la autenticación con AAA, se puede configurar un método alternativo para permitir que un administrador use uno de los muchos métodos de autenticación de respaldo posibles.
8. ¿Cuál es una característica de TACACS +?
TACACS + usa el puerto UDP 1645 o 1812 para autenticación y el puerto UDP 1646 o 1813 para contabilidad.
TACACS + es compatible con versiones anteriores de TACACS y XTACACS.
TACACS + es un estándar IETF abierto.
TACACS + proporciona autorización de los comandos del enrutador por usuario o por grupo. *
Explicación: El protocolo TACACS + proporciona flexibilidad en los servicios AAA. Por ejemplo, con TACACS +, los administradores pueden seleccionar políticas de autorización que se aplicarán por usuario o por grupo.
9. Consulte la exposición.
CCNA Security v2.0 Capitulo 3 Respuestas del Examen p9
El enrutador R1 se ha configurado como se muestra, con el mensaje de registro resultante. Sobre la base de la información que se presenta, ¿qué dos declaraciones describen el resultado de la operación de autenticación AAA? (Escoge dos.)
El usuario bloqueado permanece bloqueado hasta que se emite el comando de administrador de nombre de usuario de bloqueo de usuario local aaa clear. *
El usuario bloqueado permanece bloqueado hasta que la interfaz se apaga y luego se vuelve a habilitar.
El usuario bloqueado está bloqueado durante 10 minutos de forma predeterminada.
El usuario bloqueado debería haber utilizado el nombre de usuario admin y la contraseña Str0ngPa55w0rd.
El usuario bloqueado falló la autenticación. *
Explicación: El comando aaa local authentication tries max-fail asegura las cuentas de usuario AAA bloqueando las cuentas que tienen demasiados intentos fallidos. Una vez que se alcanza la condición, la cuenta de usuario se bloquea. En efecto, la cuenta de usuario permanece bloqueada hasta que un administrador borra el estado.
10. Un usuario se queja de que se le bloquea el acceso a un dispositivo después de demasiados intentos fallidos de inicio de sesión de AAA. ¿Qué podría utilizar el administrador de red para proporcionar un método de acceso de autenticación seguro sin bloquear a un usuario en un dispositivo?
Utilice el comando de retraso de inicio de sesión para los intentos de autenticación. *
Utilice el comando de inicio de sesión local para autenticar el acceso de los usuarios.
Utilice el comando del modo de configuración global aaa intentos de autenticación local max-fail con un mayor número de fallas aceptables.
Utilice la palabra clave none al configurar la lista de métodos de autenticación.
Explicación: El comando de retraso de inicio de sesión introduce un retraso entre los intentos fallidos de inicio de sesión sin bloquear la cuenta. Esto proporciona al usuario intentos ilimitados de acceder a un dispositivo sin que la cuenta del usuario se bloquee y, por lo tanto, requiera la intervención del administrador.
11. ¿Qué comando de depuración se usa para enfocarse en el estado de una conexión TCP cuando se usa TACACS + para la autenticación?
depurar eventos tacacs *
depurar tacacs
depurar contabilidad tacacs
depurar autenticación aaa
Explicación: El comando debug tacacs events muestra la apertura y el cierre de una conexión TCP a un servidor TACACS +, los bytes que se leen y escriben en la conexión y el estado de la conexión TCP.
12. ¿Qué característica es un aspecto importante de la autorización en un dispositivo de red habilitado para AAA?
La función de autorización mejora el rendimiento de la red.
El acceso del usuario está restringido a ciertos servicios. *
Las acciones del usuario se registran para su uso en auditorías y eventos de resolución de problemas.
Se debe identificar a un usuario antes de que se le conceda el acceso a la red.
Explicación: La autorización es la capacidad de controlar el acceso de los usuarios a servicios específicos. La autenticación se utiliza para verificar la identidad del usuario. La función de contabilidad registra las acciones del usuario una vez que el usuario está autenticado y autorizado.
13. ¿Cuál es el resultado de ingresar el comando de red de contabilidad aaa en un enrutador?
El enrutador recopila e informa datos de uso relacionados con las solicitudes de servicio relacionadas con la red. *
El enrutador genera datos contables para todas las sesiones de shell EXEC.
El enrutador proporciona datos solo para solicitudes de servicio internas.
El enrutador genera datos contables para todas las conexiones salientes, como SSH y Telnet.
Explicación: Los tres parámetros que se pueden utilizar con la contabilidad aaa son:
red : ejecuta la contabilidad de todas las solicitudes de servicio relacionadas con la red, incluidos los
ejecutivos de PPP, ejecuta la contabilidad de todas las
conexiones de sesión de shell EXEC : ejecuta la contabilidad en todas las conexiones salientes, como SSH y Telnet
14. ¿Cuál es una característica de la contabilidad AAA?
Los posibles desencadenantes del comando predeterminado aaa Accounting Exec incluyen start-stop y stop-only. *
La contabilidad solo se puede habilitar para conexiones de red.
La contabilidad se ocupa de permitir y no permitir el acceso de usuarios autenticados a ciertas áreas y programas en la red.
No es necesario que los usuarios estén autenticados antes de que la contabilidad AAA registre sus actividades en la red.
Explicación: La contabilidad AAA permite el seguimiento del uso, como el acceso telefónico y la sesión de shell EXEC, para registrar los datos recopilados en una base de datos y producir informes sobre los datos recopilados. La configuración de la contabilidad AAA con la palabra clave Start-Stop desencadena el proceso de enviar un aviso de contabilidad de «inicio» al comienzo de un proceso y un aviso de contabilidad de «detención» al final de un proceso. La contabilidad AAA no se limita a las actividades de conexión a la red. La contabilidad AAA está en vigor, si está habilitada, después de que un usuario se haya autenticado correctamente. Permitir y no permitir el acceso de los usuarios es el alcance de la autorización de la AAA.
15. ¿Qué método de autenticación almacena nombres de usuario y contraseñas en el enrutador y es ideal para redes pequeñas?
AAA local sobre TACACS +
AAA basado en servidor sobre TACACS +
AAA local *
AAA local sobre RADIUS
AAA basado en servidor sobre RADIUS
AAA basada en servidor
16. ¿Qué componente de AAA permite que un administrador rastree a las personas que acceden a los recursos de la red y cualquier cambio que se realice en esos recursos?
contabilidad*
accesibilidad
autenticación
autorización
Explicación: Uno de los componentes de AAA es la contabilidad. Después de que un usuario se autentica a través de AAA, los servidores AAA mantienen un registro detallado de exactamente qué acciones realiza el usuario autenticado en el dispositivo.
17. ¿Qué dos funciones están incluidas en los protocolos TACACS + y RADIUS? (Escoge dos.)
Soporte 802.1X
procesos separados de autenticación y autorización
Soporte SIP
cifrado de contraseña *
utilización de protocolos de capa de transporte *
Explicación: Tanto TACACS + como RADIUS admiten el cifrado de contraseña (TACACS + cifra todas las comunicaciones) y utilizan el protocolo de capa 4 (TACACS + utiliza TCP y RADIUS utiliza UDP). TACACS + admite la separación de los procesos de autenticación y autorización, mientras que RADIUS combina la autenticación y la autorización como un solo proceso. RADIUS admite tecnología de acceso remoto, como 802.1xy SIP; TACACS + no lo hace.
18. ¿Qué protocolo de autenticación basado en servidor sería mejor para una organización que desea aplicar políticas de autorización por grupo?
SSH
RADIO
ACS
TACACS + *
Explicación: Se considera que TACACS + es más seguro que RADIUS porque todo el tráfico TACACS + está encriptado en lugar de solo la contraseña del usuario cuando se usa RADIUS.
19. Consulte la exposición.
CCNA Security v2.0 Capitulo 3 Respuestas del Examen p19
¿Qué enunciado describe la configuración de los puertos para Server1?
La configuración que utiliza los puertos predeterminados para un enrutador Cisco.
La configuración de los puertos requiere el uso de 1812 para los puertos de autenticación y autorización.
La configuración no estará activa hasta que se guarde y se reinicie Rtr1.
Los puertos configurados para Server1 en el enrutador deben ser idénticos a los configurados en el servidor RADIUS. *
Explicación: Los routers Cisco, de forma predeterminada, utilizan el puerto 1645 para la autenticación y el puerto 1646 para la contabilidad. En el resultado de la configuración, la configuración de los puertos de autorización y autenticación RADIUS debe coincidir tanto en el router Rtr1 como en el Server1.
20. ¿Verdadero o falso?
La palabra clave de conexión única evita la configuración de varios servidores TACACS + en un enrutador habilitado para AAA.
falso*
cierto
Explicación: La palabra clave de conexión única mejora el rendimiento de TCP al mantener una única conexión de TCP durante toda la sesión. La palabra clave no impide la configuración de varios servidores TACACS +.
21. ¿Por qué un administrador de red incluiría una configuración de nombre de usuario local, cuando el enrutador habilitado para AAA también está configurado para autenticarse usando varios servidores ACS?
Debido a que los servidores ACS solo admiten el acceso de usuarios remotos, los usuarios locales solo pueden autenticarse utilizando una base de datos de nombre de usuario local.
Se requiere una base de datos de nombre de usuario local al configurar la autenticación mediante servidores ACS.
La base de datos de nombre de usuario local proporcionará una copia de seguridad para la autenticación en caso de que los servidores ACS se vuelvan inaccesibles. *
Sin una base de datos de nombre de usuario local, el enrutador requerirá una autenticación exitosa con cada servidor ACS.
Explicación: La base de datos de nombre de usuario local puede servir como método de respaldo para la autenticación si no hay servidores ACS disponibles.
22. ¿Qué método de autenticación almacena nombres de usuario y contraseñas en el enrutador y es ideal para redes pequeñas?
AAA local *
AAA basada en servidor
AAA basado en servidor sobre TACACS +
AAA local sobre TACACS +
AAA local sobre RADIUS
AAA basado en servidor sobre RADIUS
Explicación: En una red pequeña con algunos dispositivos de red, la autenticación AAA se puede implementar con la base de datos local y con nombres de usuario y contraseñas almacenados en los dispositivos de red. La autenticación mediante el protocolo TACACS + o RADIUS requerirá servidores ACS dedicados, aunque esta solución de autenticación se adapta bien a una red grande.
23. ¿Qué dispositivo se considera un suplicante durante el proceso de autenticación 802.1X?
el cliente que solicita autenticación *
el conmutador que controla el acceso a la red
el enrutador que sirve como puerta de enlace predeterminada
el servidor de autenticación que realiza la autenticación del cliente
Explicación: Los dispositivos involucrados en el proceso de autenticación 802.1X son los siguientes:
El solicitante, que es el cliente que solicita acceso a la red
El autenticador, que es el conmutador al que se conecta el cliente y que en realidad controla el acceso a la red física
El servidor de autenticación, que realiza la autenticación real
24. ¿Qué protocolo se utiliza para encapsular los datos EAP entre el autenticador y el servidor de autenticación que realiza la autenticación 802.1X?
SSH
MD5
TACACS +
RADIO*
Explicación: La encapsulación de los datos EAP entre el autenticador y el servidor de autenticación se realiza mediante RADIUS.
