1. Además de los criterios utilizados por las ACL extendidas, ¿qué condiciones utiliza un cortafuegos clásico para filtrar el tráfico?
Números de puerto de origen y destino de TCP / UDP
Números de protocolo TCP / IP
Direcciones IP de origen y destino
información de la sesión del protocolo de la capa de aplicación*
Explicación: El cortafuegos clásico proporciona inspección completa, incluidos protocolos que requieren múltiples canales para la comunicación, como FTP y H.323. Los números de protocolo, los números de puerto y las direcciones IP de origen y destino son filtros estándar para las ACL extendidas.
2. Se configuró un enrutador como un firewall clásico y se aplicó una ACL entrante a la interfaz externa. ¿Qué acción toma el enrutador después de que se inspecciona el tráfico entrante a saliente y se crea una nueva entrada en la tabla de estado?
Cuando el tráfico regresa de su destino, se vuelve a inspeccionar y se agrega una nueva entrada a la tabla de estado.
La ACL de la interfaz interna se reconfigura para permitir que la dirección IP del host acceda a Internet.
La entrada permanece en la tabla de estado después de que finaliza la sesión para que el host pueda reutilizarla.
Se agrega una entrada de ACL dinámica a la interfaz externa en la dirección de entrada.*
Explicación: El flujo de tráfico de la red interna a la red pública se inspecciona habitualmente. Los flujos de tráfico hacen que se agreguen entradas dinámicas a la interfaz externa para el tráfico entrante, de modo que el tráfico que se origina en la red interna que va a la red pública pueda regresar a la fuente interna.
3. Consulte la exposición.
CCNA Security v2.0 Capitulo 4 Respuestas del Examen p3
Si un pirata informático de la red externa envía un paquete IP con la dirección de origen 172.30.1.50, la dirección de destino 10.0.0.3, el puerto de origen 23 y el puerto de destino 2447, ¿qué hace el firewall de Cisco IOS con el paquete?
El paquete inicial se descarta, pero los paquetes posteriores se reenvían.
El paquete se reenvía y se genera una alerta.
El paquete se reenvía y no se genera ninguna alerta.
El paquete se descarta.*
Explicación: Esta ACL niega todo el tráfico TCP / IP que ingresa a la interfaz externa. Debido a que la dirección de origen coincide con cualquier parámetro y debido a que la línea de la lista de acceso se filtra en función de la denegación de acceso (denegar), el paquete se descarta.
4. ¿Cuál es una de las ventajas de utilizar un firewall con estado en lugar de un servidor proxy?
capacidad para realizar la autenticación de usuario
mejor presentación*
capacidad para realizar filtrado de paquetes
prevención de ataques de Capa 7
Explicación: Un firewall con estado funciona mejor que un servidor proxy. Un firewall con estado no puede autenticar a los usuarios ni prevenir ataques de Capa 7. Tanto un firewall con estado como un servidor proxy pueden filtrar paquetes.
5. ¿Cuál es una limitación de un firewall con estado?
autenticación de usuario débil
no puede filtrar el tráfico innecesario
no es tan eficaz con el tráfico basado en UDP o ICMP*
información de registro deficiente
Explicación: Las limitaciones de los cortafuegos con estado incluyen las siguientes:
Los cortafuegos con estado no pueden evitar los ataques a la capa de aplicación.
Los protocolos como UDP e ICMP no tienen estado y no generan la información necesaria para una tabla de estado.
A veces, se debe abrir una gama completa de puertos para admitir aplicaciones específicas que abren varios puertos.
Los cortafuegos con estado carecen de autenticación de usuario.
6. ¿Qué enunciado describe una política de seguridad típica para una configuración de firewall DMZ?
El tráfico que se origina en la interfaz interna generalmente se bloquea por completo o se permite de manera muy selectiva a la interfaz externa.
El tráfico que se origina en la interfaz DMZ se permite de forma selectiva a la interfaz exterior.*
El tráfico que se origina en la interfaz exterior puede atravesar el cortafuegos hasta la interfaz interior con pocas o ninguna restricción.
El tráfico de retorno desde el interior que está asociado con el tráfico que se origina desde el exterior puede atravesar desde la interfaz interior a la interfaz exterior.
El tráfico de retorno desde el exterior que está asociado con el tráfico que se origina desde el interior puede atravesar desde la interfaz exterior hasta la interfaz DMZ.
Explicación: Con un diseño de firewall de tres interfaces que tiene conexiones internas, externas y DMZ, las configuraciones típicas incluyen lo siguiente: El
tráfico que se origina en DMZ destinado a la red interna normalmente está bloqueado.
El tráfico que se origina en la DMZ y que está destinado a redes externas generalmente se permite en función de los servicios que se utilizan en la DMZ.
El tráfico que se origina en la red interna con destino a la DMZ normalmente se inspecciona y se permite que regrese.
El tráfico que se origina en redes externas (la red pública) generalmente se permite en la DMZ solo para servicios específicos.
7. Consulte la exposición.
CCNA Security v2.0 Capitulo 4 Respuestas del Examen p7
¿Qué enunciado describe la función de las ACE?
Estas ACE permiten el tráfico de descubrimiento de vecinos IPv6.*
Estas ACE aparecen automáticamente al final de cada ACL de IPv6 para permitir que se produzca el enrutamiento de IPv6.
Estas son ACE opcionales que se pueden agregar al final de una ACL de IPv6 para permitir mensajes ICMP que se definen en grupos de objetos denominados nd-na y nd-ns.
Estas ACE deben agregarse manualmente al final de cada ACL de IPv6 para permitir que se produzca el enrutamiento de IPv6.
Explicación: El protocolo ICMP se utiliza para el descubrimiento de vecinos. Las dos declaraciones de permiso permiten anuncios de vecinos y mensajes de solicitud de vecinos entre dispositivos IPv6.
8. Cuando se implementa una ACL de tráfico de Internet entrante, ¿qué se debe incluir para evitar la suplantación de las redes internas?
ACE para evitar el tráfico de espacios de direcciones privados*
ACE para evitar el tráfico de direcciones de difusión
ACE para prevenir el tráfico ICMP
ACE para evitar el tráfico HTTP
ACE para prevenir el tráfico SNMP
Explicación: Las ACE comunes para ayudar con la eliminación de errores incluyen el bloqueo de paquetes que tienen una dirección de origen en el rango 127.0.0.0/8, cualquier dirección privada o cualquier dirección de multidifusión. Además, el administrador no debe permitir ningún paquete saliente con una dirección de origen que no sea una dirección válida que se utiliza en las redes internas de la organización.
9. Para facilitar el proceso de resolución de problemas, ¿qué mensaje ICMP entrante debería permitirse en una interfaz externa?
solicitud de eco
solicitud de sello de tiempo
respuesta de eco*
respuesta de marca de tiempo
anuncio de enrutador
Explicación: Al permitir que el mensaje de respuesta de eco ICMP llegue a la organización, los usuarios internos pueden hacer ping a direcciones externas (y el mensaje de respuesta puede regresar).
10. ¿Qué comando se usa para activar una ACL IPv6 llamada ENG_ACL en una interfaz para que el enrutador filtre el tráfico antes de acceder a la tabla de enrutamiento?
IPv6 clase de acceso ENG_ACL en
salida ENG_ACL del filtro de tráfico ipv6
filtro de tráfico ipv6 ENG_ACL en*
salida ENG_ACL de clase de acceso ipv6
Explicación: Con el fin de aplicar una lista de acceso a una interfaz en particular, el comando ipv6 traffic-filter IPv6 es equivalente al comando access-group IPv4. También se requiere la dirección en la que se examina el tráfico (dentro o fuera).
11. Cuando se configura un firewall de políticas basado en zonas de Cisco IOS a través de CLI, ¿qué paso se debe realizar después de que se hayan creado las zonas?
Asignar interfaces a zonas.
Establecer políticas entre zonas.*
Identificar subconjuntos dentro de las zonas.
Diseñe la infraestructura física.
Explicación: Los pasos para configurar zonas en un firewall de políticas basado en zonas son los siguientes:
Paso 1. Determine las zonas.
Paso 2. Establecer políticas entre zonas.
Paso 3. Diseñe la infraestructura física.
Paso 4. Identifique subconjuntos dentro de las zonas y combine los requisitos de tráfico.
12. Un administrador de red está implementando un firewall clásico y un firewall basado en zonas al mismo tiempo en un enrutador. ¿Qué enunciado describe mejor esta implementación?
Se debe asignar una interfaz a una zona de seguridad antes de que pueda ocurrir la inspección de IP.
Ambos modelos deben implementarse en todas las interfaces.
Los dos modelos no se pueden implementar en una sola interfaz.*
Un cortafuegos clásico y un cortafuegos basado en zonas no se pueden utilizar al mismo tiempo.
Explicación: Tanto un firewall clásico como un firewall basado en zonas se pueden implementar simultáneamente en un enrutador, pero no se pueden configurar ambos en una sola interfaz.
13. ¿Qué dos reglas sobre interfaces son válidas cuando se implementa un firewall de políticas basado en zonas? (Escoge dos.)
Si una interfaz es miembro de la zona, pero la otra no lo es, se pasará todo el tráfico.
Si ninguna de las interfaces es miembro de la zona, la acción es pasar el tráfico.*
Si ambas interfaces son miembros de la misma zona, se pasará todo el tráfico.*
Si una interfaz es miembro de una zona y existe un par de zonas, se pasará todo el tráfico.
Si ambas interfaces pertenecen al mismo par de zonas y existe una política, se pasará todo el tráfico.
Explicación: Las reglas para el tráfico que transita a través del enrutador son las siguientes:
Si ninguna de las interfaces es miembro de la zona, la acción resultante es pasar el tráfico.
Si ambas interfaces son miembros de la misma zona, la acción resultante es pasar el tráfico.
Si una interfaz es miembro de una zona, pero la otra no lo es, la acción resultante es eliminar el tráfico independientemente de si existe un par de zonas.
Si ambas interfaces pertenecen al mismo par de zonas y existe una política, la acción resultante es inspeccionar, permitir o descartar según lo definido por la política.
14. Si las ACE proporcionadas están en la misma ACL, ¿qué ACE debería aparecer en primer lugar en la ACL de acuerdo con las mejores prácticas?
permitir udp 172.16.0.0 0.0.255.255 host 172.16.1.5 eq snmptrap*
denegar udp cualquier host 172.16.1.5 eq snmptrap
negar tcp any any eq telnet
permitir ip cualquiera
permitir udp cualquier rango 10000 20000
permiso tcp 172.16.0.0 0.0.3.255 cualquiera establecido
Explicación: Una de las mejores prácticas para configurar una ACL extendida es asegurarse de que la ACE más específica se ubique más arriba en la ACL. Considere las dos declaraciones de permisos UDP. Si ambos estuvieran en una ACL, el SNMP ACE es más específico que la declaración UDP que permite un rango de 10,001 números de puerto UDP. El SNMP ACE se ingresaría antes que el otro UDP ACE. Las ACE de la más específica a la menos específica son las siguientes:
permit udp 172.16.0.0 0.0.255.255 host 172.16.1.5 eq snmptrap
deny udp any host 172.16.1.5 eq snmptrap
permit tcp 172.16.0.0 0.0.3.255 any establecido
deny tcp any any eq telnet
permiso udp cualquiera cualquier rango 10000 20000
permiso ip cualquiera cualquiera
15. ¿Qué herramienta de seguridad monitorea el tráfico de la red a medida que ingresa y sale de la organización y determina si los paquetes pertenecen a una conexión existente o provienen de una fuente no autorizada?
dispositivo de seguridad web
sistema de protección contra intrusiones
proxy de la aplicación
cortafuegos con estado*
Explicación: Un firewall con estado filtra los paquetes en función de la información de estado que se mantiene en una tabla de estado. Debido a que utiliza información de estado, el firewall con estado puede analizar el tráfico en las capas 4 y 5 de OSI.
16. Una empresa está implementando un nuevo diseño de red en el que el enrutador de borde tiene tres interfaces. La interfaz Serial0 / 0/0 se conecta al ISP, GigabitEthernet0 / 0 se conecta a la DMZ y GigabitEthernet / 01 se conecta a la red privada interna. ¿Qué tipo de tráfico recibiría la menor cantidad de inspección (tendría la mayor libertad de desplazamiento)?
tráfico que va de la red privada a la DMZ*
tráfico que regresa de la DMZ después de originarse en la red privada
tráfico que se origina en la red pública y que está destinado a la DMZ
tráfico que regresa de la red pública después de originarse en la red privada
Explicación: La mayor parte del tráfico dentro de una organización se origina en una dirección IP privada. La cantidad de inspección realizada a ese tráfico depende de su destino o de si el tráfico que va a esa dirección IP privada originó la conexión. La zona desmilitarizada suele contener servidores. El tráfico destinado a esos servidores se filtra en función de los servicios que proporciona el servidor (HTTP, HTTPS, DNS, etc.).
17. Consulte la exposición.
CCNA Security v2.0 Capitulo 4 Respuestas del Examen p17
La declaración de ACL es la única configurada explícitamente en el enrutador. Con base en esta información, ¿qué dos conclusiones se pueden extraer con respecto a las conexiones de red de acceso remoto? (Escoge dos.)
Se permiten conexiones SSH desde la red 192.168.2.0/24 a la red 192.168.1.0/24.
Se permiten conexiones Telnet desde la red 192.168.1.0/24 a la red 192.168.2.0/24.
Las conexiones Telnet desde la red 192.168.1.0/24 a la red 192.168.2.0/24 están bloqueadas.*
Se permiten conexiones SSH desde la red 192.168.1.0/24 a la red 192.168.2.0/24.*
Las conexiones SSH de la red 192.168.1.0/24 a la red 192.168.2.0/24 están bloqueadas.
Se permiten conexiones Telnet desde la red 192.168.2.0/24 a la red 192.168.1.0/24.
Explicación: La lista de acceso extendida en la exhibición permite el tráfico SSH (puerto TCP 22) que se origina en la red 192.168.1.0/24 y viaja a la red 192.168.2.0/24. Los paquetes que cumplen con estos criterios se registran en el búfer de registro local (el valor predeterminado), un servidor syslog o ambos, dependiendo de cómo esté configurado el enrutador para las configuraciones de syslog. Todo el resto del tráfico se niega debido a la denegación implícita al final de cada ACL.
18. Considere la siguiente lista de acceso.
access-list 100 permit ip host 192.168.10.1 any
access-list 100 deny icmp 192.168.10.0 0.0.0.255 any echo
access-list 100 permit ip any any
¿Cuáles son las dos acciones que se toman si la lista de acceso se coloca de entrada en un enrutador Gigabit Ethernet puerto que tiene asignada la dirección IP 192.168.10.254? (Escoge dos.)
Solo el dispositivo de red asignado a la dirección IP 192.168.10.1 puede acceder al enrutador.
Los dispositivos de la red 192.168.10.0/24 no pueden responder a ninguna solicitud de ping.
Solo se permite realizar conexiones de Capa 3 desde el enrutador a cualquier otro dispositivo de red.
Los dispositivos en la red 192.168.10.0/24 no pueden hacer ping a otros dispositivos en la red 192.168.11.0.*
Se permite una sesión Telnet o SSH desde cualquier dispositivo en 192.168.10.0 en el enrutador con esta lista de acceso asignada.*
Explicación: El primer ACE permite que el dispositivo 192.168.10.1 realice cualquier transacción basada en TCP / IP con cualquier otro destino. El segundo ACE impide que los dispositivos en la red 192.168.10.0/24 emitan pings a cualquier otra ubicación. Todo lo demás está permitido por el tercer ACE. Por lo tanto, se permite una sesión Telnet / SSH o una respuesta de ping desde un dispositivo en la red 192.168.10.0/24.
19. ¿Cuál es la función de la acción de paso en un firewall de políticas basado en zonas de Cisco IOS?
registro de paquetes rechazados o descartados
inspeccionar el tráfico entre zonas para controlar el tráfico
seguimiento del estado de las conexiones entre zonas
reenviar el tráfico de una zona a otra*
Explicación: La acción de paso realizada por Cisco IOS ZPF permite el reenvío de tráfico de una manera similar a la declaración de permiso en una lista de control de acceso.
20. ¿Qué comando verificará una configuración de firewall de política basada en zonas?
mostrar interfaces
mostrar zonas
muestre la configuración en ejecución*
mostrar protocolos
Explicación: La configuración de ZPF se puede verificar con los comandos show running-config, show policy-map, show class-map, show zone security y show zone-pair security.
21. Consulte la exposición.
CCNA Security v2.0 Capitulo 4 Respuestas del Examen p21
La red «A» contiene varios servidores corporativos a los que los hosts acceden desde Internet para obtener información sobre la corporación. ¿Qué término se utiliza para describir la red marcada como «A»?
red interna
red no confiable
límite de seguridad del perímetro
DMZ*
Explicación: Una zona desmilitarizada o DMZ es un área de red protegida por uno o más firewalls. La DMZ normalmente contiene servidores a los que suelen acceder los usuarios externos. Un servidor web suele estar contenido en una DMZ.
22. ¿Qué tipo de paquete no puede ser filtrado por una ACL saliente?
paquete de multidifusión
Paquete ICMP
paquete de transmisión
paquete generado por el enrutador*
Explicación: El tráfico que se origina dentro de un enrutador, como los pings desde un símbolo del sistema, el acceso remoto desde un enrutador a otro dispositivo o las actualizaciones de enrutamiento, no se ven afectados por las listas de acceso saliente. El tráfico debe fluir a través del enrutador para que el enrutador aplique las ACE.
23. Cuando se configura un firewall de políticas basado en zonas de Cisco IOS, ¿qué dos acciones se pueden aplicar a una clase de tráfico? (Escoge dos.)
soltar*
Iniciar sesión
hacia adelante
sostener
inspeccionar*
Copiar
Explicación: Las tres acciones que se pueden aplicar son inspeccionar, gota, y pasan.
Inspeccionar – Este control de tráfico basado en el estado ofrece una acción.
Soltar: esta es la acción predeterminada para todo el tráfico. De manera similar a la denegación implícita cualquiera al final de cada ACL, el IOS aplica una eliminación explícita al final de cada mapa de políticas.
Pasar: esta acción permite que el enrutador reenvíe el tráfico de una zona a otra.
24. Complete el espacio en blanco.
Un firewall con estado monitorea el estado de las conexiones a medida que el tráfico de red entra y sale de la organización.
25. Complete el espacio en blanco.
La acción de aprobación en un firewall de políticas basado en zonas de Cisco IOS es similar a una declaración de permiso en una ACL.
