1. Al configurar un enrutador Cisco para prepararlo para las funciones de IPS y VPN, un administrador de red abre el archivo realm-cisco.pub.key.txt y copia y pega el contenido en el enrutador en el indicador de configuración global. ¿Cuál es el resultado después de este paso de configuración?
El enrutador se autentica con el servidor web de recursos IPS seguro de Cisco.
Se crea un par de claves públicas / secretas para la operación de VPN IPsec.
Se crea una clave criptográfica para que IOS IPS verifique el archivo de firma maestro. *
Se crea un par de claves públicas / secretas para que el enrutador sirva como servidor SSH.
Explicación: El tercer paso en la implementación de IOS IPS es configurar la clave pública de Cisco IOS IPS que se encuentra en el archivo realm-cisco.pub.key.txt. Esta clave pública se utiliza para verificar la firma digital del archivo de firma maestro y se puede descargar de cisco.com. Para configurar la clave criptográfica IOS IPS, abra el archivo de texto y copie y pegue el contenido en el enrutador en el indicador de configuración global. Los pares de claves públicas / privadas para IPsec VPN y servidor SSH se generan utilizando diferentes métodos.
2. ¿Qué dos ventajas ofrece el formato de firma IPS versión 5.x sobre el formato de firma de la versión 4.x? (Escoge dos.)
soporte para protocolos IPX y AppleTalk
adición de micro motores exclusivos
soporte para la importación de datos delimitados por comas
soporte para parámetros de firma encriptados *
adición de una calificación de riesgo de firma *
Explicación: Desde IOS 12.4 (11) T, Cisco introdujo el formato de firma IPS de la versión 5.x. La nueva versión admite parámetros de firma cifrada y otras características como la clasificación de riesgo de firma, que califica la firma en función del riesgo de seguridad.
3. ¿Qué información debe rastrear un IPS para detectar ataques que coincidan con una firma compuesta?
el número total de paquetes en el ataque
el período de ataque utilizado por el atacante
el ancho de banda de la red consumido por todos los paquetes
el estado de los paquetes relacionados con el ataque *
Explicación: Una firma compuesta se llama firma con estado. Identifica una secuencia de operaciones distribuidas en varios hosts durante un período de tiempo arbitrario. Debido a que este tipo de ataque involucra múltiples paquetes, un sensor IPS debe mantener la información de estado. Sin embargo, un sensor IPS no puede mantener la información de estado de forma indefinida. Una firma compuesta se configura con un período de tiempo para mantener el estado del ataque específico cuando se detecta por primera vez. Por lo tanto, es posible que un IPS no pueda mantener toda la información relacionada con un ataque, como el número total de paquetes, la duración total del tiempo de ataque y la cantidad de ancho de banda consumido por el ataque.
4. ¿Cuál es la desventaja de un mecanismo de detección basado en patrones?
Primero se debe perfilar el patrón de tráfico de red normal.
No puede detectar ataques desconocidos. *
Es difícil de implementar en una red grande.
Su configuración es compleja.
Explicación: Un IDS / IPS con detección basada en patrones, también conocida como detección basada en firmas, compara el tráfico de red con una base de datos de ataques conocidos (archivos de firmas) y activa una alarma o evita la comunicación si se encuentra una coincidencia. Las firmas deben crearse primero. Por tanto, este tipo de detección de intrusos no puede detectar ataques desconocidos. Es fácil de configurar e implementar. Su funcionamiento no depende de la información del comportamiento normal de la red (o línea de base).
5. ¿Qué tipo de detección de firmas IPS se utiliza para distraer y confundir a los atacantes?
detección basada en honeypot *
detección basada en políticas
detección basada en patrones
detección basada en anomalías
Explicación: El método de detección basado en honeypot utiliza servidores ficticios para atraer ataques. El propósito del enfoque Honey Pot es distraer los ataques de los dispositivos de red reales. Después de capturar las actividades de ataque en los servidores honeypot, los administradores de red pueden analizar los tipos de ataques entrantes y los patrones de tráfico malicioso.
6. ¿Cuál es el propósito de configurar una clave criptográfica IOS IPS cuando se habilita IOS IPS en un enrutador Cisco?
para asegurar la imagen de IOS en flash
para permitir que Cisco Configuration Professional se inicie de forma segura
para cifrar el archivo de firma maestro
para verificar la firma digital del archivo de firma maestro *
Explicación: La clave criptográfica verifica la firma digital del archivo de firma maestro (sigdef-default.xml). El contenido del archivo está firmado por una clave privada de Cisco para garantizar su autenticidad e integridad.
7. Consulte la exposición.
¿Cuál es el resultado de emitir los comandos IPS de Cisco IOS en el router R1?
Todo el tráfico permitido por la ACL está sujeto a inspección por parte del IPS. *
Una ACL con nombre determina el tráfico que se inspeccionará.
Todo el tráfico denegado por la ACL está sujeto a inspección por parte del IPS.
Se aplica una ACL numerada a S0 / 0/0 en la dirección de salida
Explicación: Al configurar IOS IPS con el comando ip ips, se puede utilizar una ACL estándar o extendida opcional para filtrar el tráfico escaneado. Todo el tráfico permitido por la ACL está sujeto a inspección por parte del IPS. El tráfico denegado por la ACL no es inspeccionado por el IPS.
8. Un analista de sistemas está configurando y ajustando un dispositivo IPS recientemente implementado. Al examinar el registro de alarmas del IPS, el analista se da cuenta de que el IPS no genera alarmas para algunos paquetes de ataque conocidos. ¿Qué término describe la falta de alarmas por parte del IPS?
verdadero negativo
falso positivo
falso negativo*
verdadero positivo
Explicación: Las alarmas generadas por un IPS se pueden clasificar en 4 tipos:
Un falso positivo ocurre cuando un IPS genera una alarma sobre el tráfico normal de usuarios que no debería haber disparado una alarma.
Un falso negativo ocurre cuando un IPS no genera una alarma después de procesar el tráfico de ataque que el IPS está configurado para detectar.
Un verdadero positivo ocurre cuando un IPS genera una alarma en respuesta a un tráfico de ataque conocido.
Un verdadero negativo ocurre cuando el tráfico normal de la red no genera una alarma.
9. Un especialista en seguridad configura un IPS para que genere una alerta cuando se detecte un ataque por primera vez. Las alertas para la detección posterior del mismo ataque se suprimen durante un período de tiempo predefinido. Se generará otra alerta al final del período indicando el número de ataque detectado. ¿Qué mecanismo de supervisión de alertas IPS está configurado?
alerta compuesta
alerta atómica
alerta de correlación
alerta resumida *
Explicación: Las alertas generadas por un IPS deben monitorearse de cerca para garantizar que se tomen las medidas adecuadas contra ataques maliciosos. Las soluciones IPS incorporan dos tipos de alertas, alertas atómicas y alertas resumidas. Las alertas atómicas se generan cada vez que se activa una firma. Una alerta resumida es una alerta única que indica múltiples ocurrencias de la misma firma desde la misma dirección o puerto de origen. Con un cambio de resumen, la primera detección del ataque desencadena una alerta normal. La detección posterior del mismo ataque se cuenta hasta el final del intervalo de resumen de firmas. Cuando ha transcurrido el tiempo especificado por el intervalo de resumen, se envía una alarma de resumen, indicando el número de alarmas que ocurrieron durante el intervalo de tiempo.
10. ¿Qué afirmación es verdadera sobre una alerta atómica generada por un IPS?
Es una alerta que se usa solo cuando ha comenzado un ataque de registro.
Es una sola alerta enviada para múltiples ocurrencias de la misma firma.
Es una alerta que se genera cada vez que se encuentra una firma específica. *
Es tanto una alarma normal como una alarma resumida que se envían simultáneamente a intervalos establecidos.
Explicación: Los dos principales mecanismos de generación de alertas para dispositivos IDS / IPS son alertas atómicas y resumidas. Las alertas atómicas se generan cada vez que se activa una firma. Con una alerta resumida, se genera una única alerta atómica para la primera detección de un ataque. Luego, las alarmas duplicadas se cuentan, pero no se envían, durante un período de tiempo específico. Cuando llega al período de tiempo especificado, se envía una alerta que indica el número de alarmas que ocurrieron durante el intervalo de tiempo.
11. Consulte la exposición.
Según la configuración, ¿qué tráfico examinará el IPS configurado en el enrutador R1?
tráfico destinado a LAN 1 y LAN 2
devolver el tráfico del servidor web
tráfico que se inicia desde LAN 1 y LAN 2
no se inspeccionará el tráfico *
tráfico http que se inicia desde LAN 1
Explicación: Debido a que la inspección de IPS está configurada en la interfaz S0 / 0/0 con dirección de entrada, pero el rango de direcciones de origen de ACL es 192.168.0.0/16 y el tipo de tráfico es http establecido, no habrá tráfico que coincida con estos criterios (nota, no hay servidor web en LAN 1 o LAN 2). Por tanto, no se llevará a cabo ninguna inspección de tráfico.
12. Un administrador de red sospecha que la configuración predeterminada del comando ip ips notify sdee ha causado una degradación del rendimiento en el enrutador Cisco IOS IPS. El administrador de la red ingresa el comando ip sdee events 50 en un intento de remediar los problemas de rendimiento. ¿Cuál es el efecto inmediato de este comando?
Todos los eventos que se almacenaron en el búfer original se guardan, mientras que se crea un nuevo búfer para almacenar nuevos eventos.
Todos los eventos que se almacenaron en el búfer anterior se pierden. *
Los 50 eventos más recientes del búfer original se guardan y todos los demás se eliminan.
Se eliminan los 50 eventos más antiguos del búfer original.
Explicación: Al enviar una notificación IPS con formato SDEE, el búfer del enrutador almacena hasta 200 eventos de forma predeterminada. Si se solicita un búfer más pequeño, todos los eventos almacenados se pierden. Si se solicita un búfer más grande, se guardan todos los eventos almacenados. El búfer predeterminado se puede modificar con el comando ip sdee events. Todos los eventos almacenados se pierden cuando se deshabilita la notificación de Cisco SDEE. Se asigna un nuevo búfer cuando se vuelven a habilitar las notificaciones.
13. ¿Verdadero o falso?
Un Cisco IDS no afecta el flujo de tráfico cuando opera en modo promiscuo
verdadero*
falso
Explicación: En el modo promiscuo, también conocido como modo pasivo, el flujo de tráfico no se ve afectado porque el sensor IDS analiza copias de tráfico en lugar de paquetes reenviados reales.
14. ¿Cuál es una condición necesaria para habilitar la generación de informes de actividad de IPS utilizando el formato SDEE?
Cree un directorio de configuración de IOS IPS en flash.
Habilite un servicio HTTP o HTTPS en el enrutador. *
Configure la categoría de la firma.
Ejecute el comando ip ips notify log.
Explicación: Para habilitar el formato de informe de actividad IPS utilizando SDEE, primero se debe habilitar el servidor HTTP o HTTPS en el enrutador. Si el servidor HTTP no está habilitado, el enrutador no puede responder a los clientes SDEE porque no puede ver las solicitudes. El comando ip ips notify log enviará una notificación mediante syslog. Las tareas de configurar la categoría de firma y crear un directorio de configuración de IOS IPS en flash son necesarias para implementar IOS IPS, pero no están directamente asociadas con la función SDEE.
15. Consulte la exposición.
¿Qué enunciado describe mejor cómo se maneja el tráfico entrante en la serie 0/0?
El tráfico que proviene de cualquier fuente que no sea 172.31.235.0/24 será escaneado y reportado.
Se eliminará el tráfico que no coincida con la ACL 100.
El tráfico que no coincida con ACL 100 será escaneado y reportado.
El tráfico que se origina en 172.31.235.0/24 se enviará directamente a su destino sin ser escaneado ni informado.
El tráfico que coincida con ACL 100 será escaneado e informado. *
El tráfico que se origina en 172.31.235.0/24 será escaneado y reportado.
Explicación: A partir de la configuración, la ACL 100 se utiliza para identificar los paquetes coincidentes que se van a inspeccionar. Sin embargo, dado que se desconoce la configuración de ACL 100 (no se muestra), la única conclusión que podemos sacar con certeza es que «el tráfico que coincida con ACL 100 será escaneado y reportado».
16. Consulte la exposición.
Según la configuración de IPS proporcionada, ¿qué conclusión se puede sacar?
Las firmas de todas las categorías se compilarán en la memoria y serán utilizadas por el IPS.
Las firmas de todas las categorías serán retiradas y no serán utilizadas por el IPS.
Solo las firmas de la categoría básica ios_ips serán compiladas en la memoria y utilizadas por el IPS. *
Las firmas en la categoría básica ios_ips serán retiradas y las firmas restantes serán compiladas en la memoria y utilizadas por el IPS.
Explicación: La firma IPS en la categoría de todos se retira, lo que significa que no se compilan firmas en la memoria. La categoría básica ios_ips de la firma IPS no se retira (mediante el comando retirado falso), lo que hace que las firmas en el ios_ips básico se compilen en la RAM para la inspección del tráfico.
17. Un administrador de red está configurando un IOS IPS con el comando
R1 (config) # ip ips signature-definition
¿Qué tarea de configuración se puede lograr con este comando?
Retirar o cancelar la categoría de firma básica ios_ips.
Retirar o anular el retiro de una firma individual. *
Retirar o cancelar la categoría de todas las firmas.
Retirar o cancelar la categoría de todas las firmas atómicas.
Explicación: El comando IOS ip ips signature-definition se utiliza para configurar una firma específica, incluida la retirada / anulación y la acción del evento. Para configurar una categoría de firma, se utiliza el comando ip ips signature-category.
18. ¿Cuáles son dos desventajas de usar un IDS? (Escoge dos.)
El IDS analiza los paquetes reenviados reales.
El IDS no detiene el tráfico malicioso. *
El IDS no tiene ningún impacto en el tráfico.
El IDS funciona sin conexión utilizando copias del tráfico de la red.
El IDS requiere otros dispositivos para responder a los ataques. *
Explicación: La desventaja de operar con tráfico reflejado es que el IDS no puede evitar que los ataques maliciosos de un solo paquete lleguen al objetivo antes de responder al ataque. Además, un IDS a menudo requiere la asistencia de otros dispositivos de red, como enrutadores y firewalls, para responder a un ataque. Una ventaja de un IDS es que, al trabajar sin conexión con tráfico reflejado, no tiene ningún impacto en el flujo de tráfico.
19. ¿Cuáles son las dos características compartidas del IDS y el IPS? (Escoge dos.)
Ambos usan firmas para detectar tráfico malicioso. *
Ambos analizan copias del tráfico de la red.
Ambos tienen un impacto mínimo en el rendimiento de la red.
Ambos dependen de un dispositivo de red adicional para responder al tráfico malicioso.
Ambos se implementan como sensores. *
Explicación: Tanto el IDS como el IPS se implementan como sensores y usan firmas para detectar tráfico malicioso. El IDS analiza copias del tráfico de la red, lo que tiene un impacto mínimo en el rendimiento de la red. El IDS también se basa en un IPS para detener el tráfico malicioso.
20. Consulte la exposición.
Un administrador de red ingresa el comando en un enrutador Cisco IOS IPS. Cual es el efecto?
Los mensajes de alerta se envían en formato syslog. *
Los mensajes de alerta se envían en formato de archivo de seguimiento.
Los mensajes de alerta se envían en formato Security Device Event Exchange (SDEE).
Los mensajes de alerta se envían en formato de registro de eventos.
Explicación: El comando de notificación ip ips se utiliza para configurar la notificación de eventos IPS. Este comando tiene dos opciones, log y sdee. La opción de registro es para especificar que las notificaciones se envíen en formato syslog. La opción sdee es especificar que las notificaciones se envíen en formato SDEE. Si no se especifica ninguna opción, de forma predeterminada, las notificaciones se envían en formato syslog.
21. ¿Cuál es la desventaja de los IPS basados en red en comparación con los IPS basados en host?
El IPS basado en red es menos rentable.
IPS basado en red no debe usarse con múltiples sistemas operativos.
El IPS basado en red no puede examinar el tráfico cifrado. *
IPS basado en red no detecta eventos de red de nivel inferior.
Explicación: Los dispositivos IPS basados en red se implementan como modo en línea para monitorear activamente el tráfico en las redes. Pueden tomar acciones inmediatas cuando los criterios de seguridad coinciden. Una limitación de ellos es que no pueden monitorear / inspeccionar paquetes encriptados.
22. Un sensor IPS ha detectado que la cadena es confidencial en varios paquetes en una sesión TCP. ¿Qué tipo de disparador de firma y tipo de firma describe esto?
Activador: Detección basada en políticas
Tipo: Firma atómica
Activador: detección basada en políticas
Tipo: firma compuesta
Activador: Detección basada en anomalías
Tipo: Firma atómica
Activador: Detección basada en anomalías
Tipo: Firma compuesta
Activador: Detección basada en patrones
Tipo: Firma atómica
Activador: Detección basada en patrones
Tipo: Firma compuesta *
Explicación: La detección basada en patrones (también denominada detección basada en firmas) busca un patrón específico que puede ser textual, binario o una serie de llamadas a funciones. Puede detectarse en un solo paquete (atómico) o en una secuencia de paquetes (compuesto).
23. ¿Cuáles son los dos inconvenientes de usar HIPS? (Escoge dos.)
Con HIPS, el éxito o el fracaso de un ataque no se puede determinar fácilmente.
Con HIPS, el administrador de la red debe verificar la compatibilidad con todos los diferentes sistemas operativos utilizados en la red. *
HIPS tiene dificultades para construir una imagen de red precisa o coordinar eventos que ocurren en toda la red. *
Si el flujo de tráfico de la red está encriptado, HIPS no puede acceder a formas no encriptadas del tráfico.
Las instalaciones de HIPS son vulnerables a ataques de fragmentación o ataques TTL variables
