1. ¿Qué tipo de ataque de salto de VLAN se puede prevenir designando una VLAN no utilizada como la VLAN nativa?
Suplantación de identidad DTP
Suplantación de DHCP
Etiquetado doble de VLAN *
Hambre de DHCP
Explicación: La suplantación de mensajes DTP obliga a un cambio al modo de enlace troncal como parte de un ataque de salto de VLAN, pero el etiquetado doble de VLAN funciona incluso si los puertos troncales están desactivados. Cambiar la VLAN nativa de la VLAN predeterminada a una VLAN no utilizada reduce la posibilidad de este tipo de ataque. La suplantación de DHCP y la inanición de DHCP aprovechan las vulnerabilidades en el intercambio de mensajes DHCP.
2. ¿Qué componente de Cisco NAC es responsable de realizar una inspección profunda de los perfiles de seguridad de los dispositivos?
Generador de perfiles de Cisco NAC
Agente de Cisco NAC *
Administrador de Cisco NAC
Servidor Cisco NAC
Explicación: Cisco NAC Agent es un agente ligero que se ejecuta en dispositivos de punto final. La función de este agente es realizar una inspección profunda del perfil de seguridad de los puntos finales. Esto incluye inspeccionar la configuración, los servicios y los archivos del registro.
3. ¿Qué tres funciones se proporcionan en la solución de marco de Cisco NAC? (Elige tres.)
Conexión VPN
Servicios AAA *
prevención de intrusiones
escaneo para el cumplimiento de la política *
conexión segura a servidores
remediación para dispositivos que no cumplen con las normas *
Explicación: El objetivo tanto del marco Cisco NAC como del dispositivo Cisco NAC es garantizar que solo los hosts que estén autenticados y que tengan su postura de seguridad examinada y aprobada estén permitidos en la red. Proporcionan cuatro funciones importantes: autenticación, autorización y contabilidad; evaluación de la postura (evaluación de un dispositivo entrante con respecto a las políticas de seguridad), puesta en cuarentena de sistemas no compatibles y reparación de dispositivos no compatibles. No proporcionan conexión VPN ni servicios de detección / prevención de intrusiones.
4. ¿Qué función forma parte de la solución de seguridad Antimalware Protection?
retrospección de archivos *
autenticación y autorización de usuario
prevención de pérdida de datos
bloqueo de spam
Explicación: La solución de seguridad Antimalware Protection (AMP) puede habilitar la detección y el bloqueo de malware, el análisis continuo y las alertas retrospectivas con lo siguiente:
Reputación de archivos: análisis de archivos en línea y bloqueo o aplicación de políticas
Sandboxing de archivos: análisis de archivos desconocidos para comprender el comportamiento real de los archivos
Retrospección de archivos: continuar analizando archivos para detectar cambios en los niveles de amenaza
5. ¿Qué protocolo debe desactivarse para ayudar a mitigar los ataques de salto de VLAN?
STP
ARP
CDP
DTP *
Explicación: Se puede mitigar un ataque de salto de VLAN deshabilitando el Protocolo de enlace dinámico (DTP) y configurando la VLAN nativa de los enlaces troncales en una VLAN que no esté en uso.
6. ¿Qué ataque de red busca crear un DoS para los clientes evitando que puedan obtener una concesión de DHCP?
Suplantación de DHCP
Ataque de mesa CAM
Suplantación de direcciones IP
Hambre de DHCP *
Los ataques de inanición de DCHP son lanzados por un atacante con la intención de crear un DoS para los clientes DHCP. Para lograr este objetivo, el atacante utiliza una herramienta que envía muchos mensajes DHCPDISCOVER con el fin de ceder todo el grupo de direcciones IP disponibles, negándolas a los hosts legítimos.[/alert-announce]
7. ¿Cuál es el único tipo de puerto al que un puerto aislado puede reenviar tráfico en una VLAN privada?
un puerto comunitario
un puerto promiscuo *
otro puerto aislado
cualquier puerto de acceso en el mismo PVLAN
Explicación: Las PVLAN se utilizan para proporcionar aislamiento de Capa 2 entre puertos dentro del mismo dominio de difusión. El nivel de aislamiento se puede especificar
con tres tipos de puertos PVLAN: Puertos
promiscuos que pueden reenviar tráfico a todos los demás puertos Puertos
aislados que solo pueden reenviar tráfico a puertos promiscuos Puertos
comunitarios que pueden reenviar tráfico a otros puertos comunitarios y puertos promiscuos
8. ¿Qué contramedida de seguridad es eficaz para prevenir ataques de desbordamiento de tablas CAM?
Espionaje DHCP
Inspección dinámica de ARP
Guardia de fuente de IP
seguridad portuaria *
Explicación: La seguridad del puerto es el método más eficaz para prevenir ataques de desbordamiento de tablas CAM. La seguridad del puerto le da al administrador la capacidad de especificar manualmente qué direcciones MAC deben verse en determinados puertos de conmutador. Proporciona un método para limitar la cantidad de direcciones MAC que se pueden aprender dinámicamente a través de un puerto de conmutador.
9. ¿En qué situación es más probable que un administrador de red implemente root guard?
en todos los puertos del conmutador (usados o sin usar)
en todos los puertos del conmutador que se conectan a un dispositivo de capa 3
en todos los puertos del conmutador que se conectan a los dispositivos host
en todos los puertos de conmutador que se conectan a otro conmutador
en todos los puertos del conmutador que se conectan a otro conmutador que no es el puente raíz *
Explicación: La protección de raíz junto con PortFast y la protección de BPDU se utilizan para evitar un ataque de manipulación de STP.
10. Consulte la exposición.
CCNA Security v2.0 Capitulo 6 Respuestas del Examen p10
La interfaz Fa0 / 2 en el switch S1 se ha configurado con el comando switchport port-security mac-address 0023.189d.6456 y se ha conectado una estación de trabajo. ¿Cuál podría ser la razón por la que se apaga la interfaz Fa0 / 2?
La conexión entre S1 y PC1 se realiza mediante un cable cruzado.
La interfaz Fa0 / 24 de S1 está configurada con la misma dirección MAC que la interfaz Fa0 / 2.
S1 se ha configurado con un comando de envejecimiento de seguridad de puerto de switchport.
La dirección MAC de la PC1 que se conecta a la interfaz Fa0 / 2 no es la dirección MAC configurada. *
Explicación: El contador de violaciones de seguridad para Fa0 / 2 se ha incrementado (evidenciado por el 1 en la columna SecurityViolation). La dirección más segura permitida en el puerto Fa0 / 2 es 1 y esa dirección se ingresó manualmente. Por lo tanto, la PC1 debe tener una dirección MAC diferente a la configurada para el puerto Fa0 / 2. Las conexiones entre los dispositivos finales y el conmutador, así como las conexiones entre un enrutador y un conmutador, se realizan con un cable directo.
11. Dos dispositivos que están conectados al mismo interruptor deben estar totalmente aislados entre sí. ¿Qué función de seguridad del conmutador Cisco proporcionará este aislamiento?
PVLAN Edge *
DTP
LAPSO
Guardia BPDU
Explicación: La función PVLAN Edge no permite que un dispositivo vea el tráfico generado por otro dispositivo. Los puertos configurados con la función PVLAN Edge también se conocen como puertos protegidos. La protección BPDU evita la conectividad no autorizada a un conmutador de Capa 2 cableado. SPAN es la duplicación de puertos para capturar datos de un puerto o VLAN y enviar esos datos a otro puerto. El DTP (Protocolo de enlace dinámico) se habilita automáticamente en algunos modelos de conmutadores para crear un enlace troncal si el dispositivo conectado está configurado para enlace troncal. Cisco recomienda deshabilitar DTP como práctica recomendada.
12. ¿Qué dos funciones proporciona Network Admission Control? (Escoge dos.)
proteger un conmutador de ataques de desbordamiento de la tabla de direcciones MAC
hacer cumplir la política de seguridad de la red para los hosts que se conectan a la red *
Asegurarse de que solo los hosts autenticados puedan acceder a la red *
evitar que las transmisiones excesivas interrumpan el tráfico de la red
limitar la cantidad de direcciones MAC que se pueden aprender en un solo puerto de conmutador
Explicación: La función de seguridad del puerto se puede utilizar para limitar la cantidad de direcciones MAC que se pueden aprender en un puerto de conmutador y ayudar a prevenir ataques de desbordamiento de la tabla de direcciones MAC. El control de tormentas es una función que puede evitar que las difusiones y multidifusiones excesivas interrumpan el tráfico de la LAN. Estas funciones no las proporciona Network Admission Control (NAC).
13. ¿Qué mejora del árbol de expansión evita que la topología del árbol de expansión cambie al bloquear un puerto que recibe una BPDU superior?
Filtro BDPU
PortFast
Guardia BPDU
guardia de raíz *
Explicación: La protección contra la raíz evita que cambie la ubicación del puente raíz al bloquear cualquier puerto que reciba una BPDU superior. Una BPDU superior es aquella con un ID de puente raíz más alto que el que tiene el puente raíz seleccionado actualmente.
14. ¿Cuál es la función de Cisco NAC Manager en la implementación de una infraestructura de red segura?
para definir políticas de seguridad de punto final y acceso de usuario basadas en roles *
para evaluar y hacer cumplir la política de seguridad en el entorno NAC
para realizar una inspección profunda de los perfiles de seguridad del dispositivo
para proporcionar supervisión posterior a la conexión de todos los dispositivos de punto final
Explicación: Cisco NAC autentica a los usuarios y evalúa el cumplimiento de las políticas del dispositivo que el usuario está utilizando para conectarse a la red. La función de Cisco NAC Manager es definir las políticas de seguridad de acceso de usuarios y las políticas de seguridad de terminales.
15. ¿Cuál es la función del servidor NAC de Cisco dentro de la arquitectura de red sin fronteras segura de Cisco?
proporcionando la capacidad para que los empleados de la empresa creen cuentas de invitado
Proporcionar monitoreo posterior a la conexión de todos los dispositivos de punto final.
Definición de políticas de seguridad de punto final y acceso de usuario basado en roles
evaluar y hacer cumplir la política de seguridad en el entorno NAC *
Explicación: Cisco NAC se utiliza en la arquitectura de red sin fronteras de Cisco para autenticar a los usuarios y garantizar que los dispositivos de los usuarios cumplan con las políticas de seguridad. El servidor Cisco NAC evalúa y aplica el cumplimiento de las políticas de seguridad.
16. ¿Cuál es la función del servidor invitado de Cisco NAC dentro de la arquitectura de la red sin fronteras de Cisco?
Define el acceso de usuarios basado en roles y las políticas de seguridad de terminales.
Brinda la capacidad de crear y reportar cuentas de invitados. *
Proporciona supervisión posterior a la conexión de todos los dispositivos de punto final.
Realiza una inspección profunda de los perfiles de seguridad de los dispositivos.
Explicación: Cisco NAC se utiliza en la arquitectura de red sin fronteras de Cisco para autenticar a los usuarios y garantizar que los dispositivos de los usuarios cumplan con las políticas de seguridad. El servidor invitado de Cisco NAC administra el acceso a la red de invitados y la capacidad de crear cuentas de invitado.
17. ¿Qué función de seguridad debe habilitarse para evitar que un atacante desborde la tabla de direcciones MAC de un conmutador?
guardia de raíz
seguridad portuaria *
control de tormentas
Filtro BPDU
Explicación: La seguridad del puerto limita la cantidad de direcciones MAC de origen permitidas a través de un puerto de conmutador. Esta función puede evitar que un atacante inunde un conmutador con muchas direcciones MAC falsificadas.
18. ¿Cuál es el comportamiento de un conmutador como resultado de un ataque de tabla CAM exitoso?
El conmutador reenviará todas las tramas recibidas a todos los demás puertos. *
El conmutador eliminará todas las tramas recibidas.
Las interfaces del conmutador pasarán al estado de desactivación por error.
El interruptor se apagará.
Explicación: Como resultado de un ataque de tabla CAM, un conmutador puede quedarse sin recursos de memoria para almacenar direcciones MAC. Cuando esto sucede, no se pueden agregar nuevas direcciones MAC a la tabla CAM y el switch reenviará todas las tramas recibidas a todos los demás puertos. Esto permitiría a un atacante capturar todo el tráfico inundado por el conmutador.
19. ¿Qué medida de seguridad adicional debe habilitarse junto con IP Source Guard para proteger contra la suplantación de direcciones?
seguridad portuaria
Guardia BPDU
guardia de raíz
Espionaje DHCP *
Explicación: Al igual que la inspección ARP dinámica (DAI), IP Source Guard (IPSG) necesita determinar la validez de los enlaces de dirección MAC a dirección IP. Para hacer esto, IPSG usa la base de datos de enlaces construida por DHCP snooping.
20. ¿Qué técnica de mitigación evitaría que los servidores no autorizados proporcionen parámetros de configuración de IP falsos a los clientes?
activar el espionaje DHCP *
implementación de seguridad portuaria
implementación de seguridad de puerto en puertos de borde
deshabilitar CDP en los puertos de borde
Explicación: Cuando la indagación de DHCP está habilitada, un conmutador denegará los paquetes que contengan mensajes del servidor DHCP no autorizados que provengan de un puerto que no sea de confianza.
21. ¿Cuáles son las tres técnicas para mitigar los ataques de salto de VLAN? (Elige tres.)
Configure la VLAN nativa en una VLAN no utilizada. *
Desactivar DTP. *
Habilite Source Guard.
Habilite el enlace troncal manualmente. *
Habilite la protección BPDU.
Utilice VLAN privadas.
Explicación: Se puede mitigar un ataque de salto de VLAN deshabilitando el Protocolo de enlace dinámico (DTP), configurando manualmente los puertos en modo de enlace troncal y configurando la VLAN nativa de los enlaces troncales a las VLAN que no están en uso.
22. ¿Qué dos mecanismos utiliza la inspección ARP dinámica para validar paquetes ARP para direcciones IP que se asignan dinámicamente o direcciones IP que son estáticas? (Escoge dos.)
Enlaces de dirección MAC a dirección IP *
RARP
ACL de ARP *
ACL de IP
Guardia de fuente
Explicación: La inspección dinámica de ARP (DAI) puede utilizar dos métodos para determinar la validez de los enlaces de dirección MAC a dirección IP. Una es una base de datos de enlaces creada por el espionaje DHCP. El otro método es mediante el uso de ACL ARP configuradas por el usuario.
23. ¿Qué mecanismo de estabilidad STP se utiliza para evitar que un conmutador no autorizado se convierta en el conmutador raíz?
Guardia de fuente
Guardia BPDU
guardia de raíz *
protector de bucle
24. ¿Cómo puede un usuario conectarse directamente al servicio Cisco Cloud Web Security?
a través del conector que está integrado en cualquier conmutador Cisco de capa 2
mediante el uso de un archivo de configuración automática de proxy en el dispositivo final *
accediendo a un servidor Cisco CWS antes de visitar el sitio web de destino
estableciendo una conexión VPN con Cisco CWS
Explicación: Un cliente puede conectarse al servicio Cisco CWS directamente mediante un archivo de configuración automática de proxy (PAC) instalado en el dispositivo final. El conector Cisco CWS es un componente de software integrado en cuatro productos Cisco, incluidos Cisco ASA, Cisco WSA y Cisco AnyConnect Secure Mobility Client. Un cliente puede utilizar el servicio Cisco CWS a través de estos productos.
25. ¿Qué beneficio de seguridad se obtiene al habilitar la protección BPDU en las interfaces habilitadas para PortFast?
hacer cumplir la colocación de puentes radiculares
prevenir ataques de desbordamiento de búfer
evitar que se agreguen conmutadores no autorizados a la red *
protección contra bucles de capa 2
Explicación: La protección de BPDU inhabilita inmediatamente un error: un puerto que recibe una BPDU. Esto evita que se agreguen conmutadores no autorizados a la red. La protección BPDU solo debe aplicarse a todos los puertos de usuario final.
26. Complete el espacio en blanco.
La indagación de DHCP es una técnica de mitigación para evitar que los servidores DHCP no autorizados proporcionen parámetros de configuración de IP falsos.
