1. Consulte la exposición.
CCNA Security v2 Capitulo 9 Respuestas del Examen p1
Un administrador de red está configurando el nivel de seguridad para el ASA. ¿Cuál es la mejor práctica para asignar el nivel de seguridad en las tres interfaces?
Fuera de 40, dentro de 100, DMZ 0
Fuera 0, interior 35, DMZ 90
Fuera de 100, dentro de 10, DMZ 40
Fuera 0, interior 100, DMZ 50*
Explicación: Cisco ASA asigna niveles de seguridad para distinguir entre las diferentes redes que conecta. Los niveles de seguridad definen el nivel de confiabilidad de una interfaz. Cuanto mayor sea el nivel, más confiable será la interfaz. Los números de nivel de seguridad oscilan entre 0 (poco confiable) y 100 (muy confiable). Por lo tanto, a la interfaz que se conecta a Internet se le debe asignar el nivel más bajo. A la interfaz que se conecta a la red interna se le debe asignar el nivel más alto. La interfaz que se conecta a la red DMZ debe tener asignado un nivel entre ellos.
2. Consulte la exposición.
CCNA Security v2 Capitulo 9 Respuestas del Examen p2
Un administrador de red está configurando el nivel de seguridad para el ASA. ¿Qué enunciado describe el resultado predeterminado si el administrador intenta asignar la interfaz interna con el mismo nivel de seguridad que la interfaz DMZ?
El ASA permite el tráfico entrante iniciado en Internet a la DMZ, pero no a la interfaz interior.
La consola ASA mostrará un mensaje de error.
El ASA no permitirá el tráfico en ninguna dirección entre la interfaz interior y la DMZ.*
El ASA permite el tráfico del interior al DMZ, pero bloquea el tráfico iniciado en el DMZ a la interfaz interior.
Explicación: Se puede asignar el mismo nivel de seguridad a varias interfaces en un ASA. Para permitir la conectividad entre interfaces con los mismos niveles de seguridad, se requiere el comando de configuración global entre interfaces same-security-traffic permit. El tráfico desde la red de nivel superior a la red de nivel inferior está permitido de forma predeterminada. Sin embargo, al tráfico iniciado en la red de nivel inferior se le niega el acceso a la red de nivel superior de forma predeterminada.
3. ¿Cuál es la diferencia entre las ACL ASA IPv4 y las ACL IOS IPv4?
Las ACL de ASA siempre se nombran, mientras que las ACL de IOS siempre están numeradas.
Se pueden aplicar varias ACL de ASA en una interfaz en la dirección de entrada, mientras que solo se puede aplicar una ACL de IOS.
Las ACL de ASA utilizan la máscara de subred para definir una red, mientras que las ACL de IOS utilizan la máscara comodín.*
Las ACL de ASA no tienen una denegación implícita al final, mientras que las ACL de IOS sí.
Las ACL de ASA utilizan ACE de reenvío y eliminación, mientras que las ACL de IOS utilizan ACE de permiso y denegación.
Explicación: Hay muchas similitudes entre las ACL de ASA y las ACL de IOS, que incluyen:
En ambas, existe una denegación implícita de cualquier
Solo se aplica una ACL por interfaz, por protocolo y por dirección.
Ambos utilizan denegar y permitir ACE.
Las ACL pueden tener un nombre o una numeración.
Las ACL de ASA se diferencian de las ACL de IOS en que utilizan una máscara de red (por ejemplo, 255.255.255.0) en lugar de una máscara comodín (por ejemplo, 0.0.0.255). Aunque la mayoría de las ACL de ASA tienen nombre, también se pueden numerar.
4. ¿Cuál es uno de los inconvenientes de utilizar la operación en modo transparente en un dispositivo ASA?
sin soporte para direccionamiento IP
sin apoyo para la gestión
no se admite el uso de un ASA como conmutador de capa 2
sin soporte para QoS*
Explicación: En modo transparente, el ASA funciona como un dispositivo de Capa 2. Un dispositivo ASA puede tener una dirección IP asignada en la red local con fines de administración. Los inconvenientes de usar el modo transparente incluyen la falta de compatibilidad con protocolos de enrutamiento dinámico, VPN, QoS o retransmisión DHCP.
5. ¿Qué comando define un grupo de DHCP que utiliza el número máximo de direcciones de cliente DHCP disponibles en un ASA 5505 que utiliza la licencia base?
CCNAS-ASA (config) # dirección dhcpd 192.168.1.20-192.168.1.50 dentro
CCNAS-ASA (config) # dirección dhcpd 192.168.1.10-192.168.1.100 dentro
CCNAS-ASA (config) # dirección dhcpd 192.168.1.25-192.168.1.56 dentro*
CCNAS-ASA (config) # dirección dhcpd 192.168.1.30-192.168.1.79 dentro
Explicación: La licencia ASA 5505 Base es una licencia de 10 usuarios y, por lo tanto, el número máximo de clientes DHCP admitidos es 32. El único grupo que contiene 32 direcciones es el grupo con rango 192.168.1.25-192.168.1.56
6. Consulte la exposición.
CCNA Security v2 Capitulo 9 Respuestas del Examen p6
Un administrador crea tres zonas (A, B y C) en un ASA que filtra el tráfico. El tráfico que se origina en la Zona A que va a la Zona C está denegado y el tráfico que se origina en la Zona B que va a la Zona C está denegado. ¿Cuál es un escenario posible para las zonas A, B y C?
A – DMZ, B – Interior, C – Exterior
A – Interior, B – DMZ, C – Exterior
A – Exterior, B – Interior, C – DMZ
A – DMZ, B – Exterior, C – Interior*
Explicación: ASA protege la red / zona C (interior) del acceso no autorizado de usuarios en una red / zona B (exterior). También niega el tráfico de la Red / Zona A (DMZ) para acceder a la Red / Zona C (Interior).
7. ¿Qué dos afirmaciones son verdaderas sobre las ACL estándar de ASA? (Escoge dos.)
Son el tipo más común de LCA.
Se aplican a interfaces para controlar el tráfico.
Por lo general, solo se usan para rutas OSPF.*
Especifican la dirección MAC de origen y de destino.
Identifican solo la dirección IP de destino.*
Explicación: Las ACL estándar de ASA se utilizan para identificar las direcciones IP de destino, a diferencia de las ACL de IOS, en las que una ACL estándar identifica la red o el host de origen. Por lo general, solo se usan para rutas OSPF y se pueden usar en un mapa de ruta para la redistribución de OSPF. Las listas de acceso estándar no se pueden aplicar a interfaces para controlar el tráfico.
8. ¿Cuál es una característica de los niveles de seguridad ASA?
Una ACL debe configurarse para permitir explícitamente el tráfico desde una interfaz con un nivel de seguridad más bajo a una interfaz con un nivel de seguridad más alto.*
Cada interfaz operativa debe tener un nombre y tener asignado un nivel de seguridad de 0 a 200.
Cuanto menor sea el nivel de seguridad en una interfaz, más confiable será la interfaz.
El tráfico entrante se identifica como el tráfico que se mueve desde una interfaz con un nivel de seguridad más alto a una interfaz con un nivel de seguridad más bajo.
Explicación: El ASA asigna niveles de seguridad para distinguir entre redes internas y externas. Cuanto mayor sea el nivel, más confiable será la interfaz. Los números del nivel de seguridad oscilan entre 0 y 100. Cuando el tráfico pasa de una interfaz con un nivel de seguridad más alto a una interfaz con un nivel de seguridad más bajo, se considera tráfico saliente.
9. ¿Qué se debe configurar en un dispositivo Cisco ASA para admitir la autenticación local?
AAA*
la dirección IP del servidor RADIUS o TACACS +
contraseñas encriptadas
SSHv2
Claves RSA
Explicación: Un ASA puede configurarse para autenticarse utilizando una base de datos de usuarios local o un servidor externo, o ambos. La autenticación local en un Cisco ASA requiere la configuración de AAA en el ASA.
10. ¿Qué enunciado describe una diferencia entre la función CLI del IOS de Cisco ASA y la función CLI del IOS del router?
ASA utiliza el? mientras que un enrutador usa el comando help para recibir ayuda sobre una breve descripción y la sintaxis de un comando.
Para usar un comando show en un modo de configuración general, ASA puede usar el comando directamente mientras que un enrutador deberá ingresar el comando do antes de ejecutar el comando show.*
Para completar un comando parcialmente escrito, ASA usa la combinación de teclas Ctrl + Tab, mientras que un enrutador usa la tecla Tab.
Para indicar el modo CLI EXEC, ASA usa el símbolo% mientras que un enrutador usa el símbolo #.
Explicación: ASA CLI es un sistema operativo propietario que tiene una apariencia similar al IOS del router Cisco. Aunque comparte algunas características comunes con el IOS del enrutador, tiene sus características únicas. Por ejemplo, un comando ASA CLI se puede ejecutar independientemente del indicador del modo de configuración actual. El comando IOS do no es necesario ni reconocido. Tanto la CLI ASA como la CLI del router utilizan el símbolo # para indicar el modo EXEC. Ambas CLI usan la tecla Tab para completar un comando parcialmente escrito. A diferencia del IOS del router, el ASA proporciona un comando de ayuda que proporciona una descripción breve del comando y una sintaxis para ciertos comandos.
11. ¿Cuáles son las dos configuraciones predeterminadas de fábrica en un ASA 5505? (Escoge dos.)
La VLAN 2 está configurada con el nombre dentro.
El servidor web interno está desactivado.
El servicio DHCP está habilitado para que los hosts internos obtengan una dirección IP y una puerta de enlace predeterminada desde el dispositivo ascendente.
PAT está configurado para permitir que los hosts internos accedan a redes remotas a través de una interfaz Ethernet.*
A la VLAN 1 se le asigna un nivel de seguridad de 100.*
Explicación: El ASA 5505 se envía con una configuración predeterminada que incluye lo siguiente:
VLAN 1: para la red interna con nivel de seguridad 100.
VLAN 2: para la red externa con nivel de seguridad 0 y debe adquirir su dirección IP y ruta predeterminada desde un dispositivo ascendente .
PAT está configurado para que las direcciones de host internas se traduzcan utilizando la dirección IP de la interfaz externa.
El acceso HTTP para ASDM está habilitado.
Los servicios DHCP se proporcionan a los hosts internos.
12. Consulte la exposición.
CCNA Security v2 Capitulo 9 Respuestas del Examen p12
Se configuraron dos tipos de interfaces VLAN en un ASA 5505 con una licencia básica. El administrador desea configurar una tercera interfaz VLAN con funcionalidad limitada. ¿Qué acción debe realizar el administrador para configurar la tercera interfaz?
Debido a que el ASA 5505 no admite la configuración de una tercera interfaz, el administrador no puede configurar la tercera VLAN.
El administrador debe ingresar el comando no forward interface vlan antes del comando nameif en la tercera interfaz.*
El administrador configura la tercera interfaz VLAN de la misma manera que se configuraron las otras dos, porque la licencia Base admite la acción propuesta.
El administrador debe adquirir la licencia Security Plus, porque la licencia Base no es compatible con la acción propuesta.
Explicación: Un ASA 5505 con una licencia base no permite la creación de tres interfaces VLAN en pleno funcionamiento, pero se puede crear una tercera interfaz VLAN «limitada» si se configura primero con el comando no forward interface vlan. Cuando se configuran las interfaces VLAN internas y externas, se debe ingresar el comando no forward interface vlan number antes de ingresar el comando nameif en la tercera interfaz. Se requiere la licencia Security Plus para lograr la funcionalidad completa.
13. ¿Cuál es el propósito de las ACL de tipo web en un ASA?
para inspeccionar el tráfico saliente dirigido a ciertos sitios web
para restringir el tráfico destinado a un ASDM
para monitorear el tráfico de retorno que es en respuesta a las solicitudes del servidor web que se inician desde la interfaz interna
para filtrar el tráfico para usuarios de VPN SSL sin cliente*
Explicación: Las ACL de tipo web se utilizan en una configuración que admite el filtrado para usuarios de VPN SSL sin cliente.
14. Consulte la exposición.
CCNA Security v2 Capitulo 9 Respuestas del Examen p14
Un administrador de red ha configurado NAT en un dispositivo ASA. ¿Qué tipo de NAT se utiliza?
dentro de NAT*
NAT estática
NAT bidireccional
fuera de NAT
Explicación: NAT se puede implementar en un ASA utilizando uno de estos métodos:
dentro de NAT: cuando un host de una interfaz de mayor seguridad tiene tráfico destinado a una interfaz de menor seguridad y el ASA traduce la dirección del host interno a una dirección global
fuera de NAT, cuando el tráfico de una interfaz de menor seguridad destinada a un host en la interfaz de mayor seguridad se traduce como
NAT bidireccional, cuando tanto el NAT interno como el NAT externo se utilizan juntos
Debido a que el comando nat se aplica para que la interfaz interna se asigne a la interfaz externa, el tipo de NAT está adentro. Además, la palabra clave dinámica en el comando nat indica que es una asignación dinámica.
15. Consulte la exposición.
CCNA Security v2 Capitulo 9 Respuestas del Examen p15
Un administrador de red está configurando un grupo de objetos en un dispositivo ASA. ¿Qué palabra clave de configuración debe usarse después del nombre del grupo de objetos SERVICE1?
icmp
ip
udp
tcp*
Explicación: Dado que se trata de un grupo de objetos de servicio, la palabra clave debe indicar qué protocolo se utiliza. Las opciones son tcp, udp, tcp-udp, icmp e icmpv6. Los comandos siguientes indican que los servicios del grupo son WWW, FTP y SMTP. Debido a que todos estos protocolos usan TCP, la palabra clave en el grupo de objetos de servicio debe ser tcp.
16. Cuando se configura NAT dinámica en un ASA, ¿qué dos parámetros deben especificar los objetos de red? (Escoge dos.)
una variedad de direcciones privadas que serán traducidas*
el nivel de seguridad de la interfaz
el grupo de direcciones globales públicas*
la interfaz NAT interior
la interfaz NAT exterior
Explicación: En un ASA, tanto el conjunto de direcciones que se utilizarán como dirección global interna como el rango de direcciones privadas internas que deben traducirse se configuran a través de objetos de red.
17. ¿Qué función realiza el objeto de configuración de mapas de clase en el marco de política modular de Cisco?
identificando tráfico interesante*
aplicar una política a una interfaz
aplicar una política al tráfico interesante
restringir el tráfico a través de una interfaz
Explicación: Hay tres objetos de configuración en el MPF; mapas de clases, mapas de políticas y políticas de servicio. El objeto de configuración de mapas de clase utiliza criterios de coincidencia para identificar el tráfico interesante.
18. Consulte la exposición.
CCNA Security v2 Capitulo 9 Respuestas del Examen p18
Según los niveles de seguridad de las interfaces en ASA1, ¿qué tráfico se permitirá en las interfaces?
El tráfico de Internet y DMZ puede acceder a la LAN.
El tráfico de Internet y LAN puede acceder a la DMZ.
El tráfico de Internet puede acceder tanto a la DMZ como a la LAN.
El tráfico de la LAN y DMZ puede acceder a Internet.*
Explicación: Los dispositivos ASA tienen niveles de seguridad asignados a cada interfaz que no forman parte de una ACL configurada. Estos niveles de seguridad permiten que el tráfico de interfaces más seguras, como el nivel de seguridad 100, acceda a interfaces menos seguras, como el nivel 0. De forma predeterminada, permiten que el tráfico de interfaces más seguras (nivel de seguridad más alto) acceda a interfaces menos seguras (nivel de seguridad más bajo). nivel). El tráfico de las interfaces menos seguras no puede acceder a interfaces más seguras.
19. ¿Cuáles son las tres características del modo enrutado ASA? (Elige tres.)
Este modo se conoce como un «golpe en el cable».
En este modo, el ASA es invisible para un atacante.
Las interfaces de ASA separan las redes de Capa 3 y requieren diferentes direcciones IP en diferentes subredes.*
Es el modo de implementación de firewall tradicional.*
Este modo no admite VPN, QoS ni retransmisión DHCP.
NAT se puede implementar entre redes conectadas.*
Explicación: El modo enrutado es el modo tradicional para implementar un firewall donde hay dos o más interfaces que separan las redes de Capa 3. El ASA se considera un salto de enrutador en la red y puede realizar NAT entre redes conectadas. El modo enrutado admite múltiples interfaces. Cada interfaz está en una subred diferente y requiere una dirección IP en esa subred.
20. Consulte la exposición.
CCNA Security v2 Capitulo 9 Respuestas del Examen p20
Un administrador ha configurado un ASA 5505 como se indica, pero aún no puede hacer ping a la interfaz interna desde un host interno. Cual es la causa de este problema?
El comando de no apagado debe ingresarse en la interfaz Ethernet 0/1.*
La VLAN 1 debe ser la interfaz externa y la VLAN 2 debe ser la interfaz interna.
La VLAN 1 debe asignarse a la interfaz Ethernet 0/0 y la VLAN 2 a Ethernet 0/1.
El nivel de seguridad de la interfaz interna debe ser 0 y la interfaz externa debe ser 100.
Se debe configurar una dirección IP en las interfaces Ethernet 0/0 y 0/1.
Explicación: VLAN 1 y VLAN 2 se han configurado correctamente. No se han activado ni e 0/0 ni e 0/1. Para que un host interno haga ping a la interfaz interna, sería necesario activar la interfaz e 0/1.
21. Consulte la exposición.
CCNA Security v2 Capitulo 9 Respuestas del Examen p21
Según el resultado del comando, ¿qué tres afirmaciones son verdaderas sobre las opciones de DHCP ingresadas en el ASA 5505? (Elige tres.)
Se emitió el comando interno dhcpd address [start-of-pool] – [end-of-pool] para habilitar el cliente DHCP.
Se emitió el comando dhcpd auto-config outside para habilitar el servidor DHCP.
Se emitió el comando dhcpd address [start-of-pool] – [end-of-pool] inside para habilitar el servidor DHCP.*
Se emitió el comando dhcpd auto-config outside para habilitar el cliente DHCP.*
Se emitió el comando dhcpd enable inside para habilitar el cliente DHCP.
Se emitió el comando dhcpd enable inside para habilitar el servidor DHCP.*
22. Consulte la exposición.
CCNA Security v2 Capitulo 9 Respuestas del Examen p22
¿Qué se mostrará en el resultado del comando show running-config object después de ingresar los comandos de configuración exhibidos en un ASA 5505?
host 192.168.1.4
host 192.168.1.3, host 192.168.1.4 y rango 192.168.1.10 192.168.1.20
host 192.168.1.4 y rango 192.168.1.10 192.168.1.20
host 192.168.1.3 y host 192.168.1.4
rango 192.168.1.10 192.168.1.20*
host 192.168.1.3
Explicación: El comando show running-config object se utiliza para mostrar o verificar el par de dirección IP / máscara dentro del objeto. Solo puede haber una declaración en el objeto de red. La introducción de un segundo par de dirección IP / máscara reemplazará la configuración existente.
23. ¿Qué tipo de NAT se utilizaría en un ASA donde las direcciones internas 10.0.1.0/24 deben traducirse solo si el tráfico de estas direcciones está destinado a la red 198.133.219.0/24?
política NAT*
NAT dinámica
NAT estática
PAT dinámica
Explicación: La política NAT se basa en reglas que determinan cuándo se traducirán direcciones de origen específicas. Esas direcciones de origen están destinadas a direcciones de destino específicas o para puertos específicos o tanto para una dirección de destino como para un puerto específico.
24. ¿Qué enunciado describe una característica de AAA en un dispositivo ASA?
La contabilidad se puede utilizar sola.*
La autorización está habilitada de forma predeterminada.
Si la autorización está deshabilitada, todos los usuarios autenticados tendrán un acceso muy limitado a los comandos.
Tanto la autorización como la contabilidad requieren que un usuario se autentique primero.
Explicación: Los servicios AAA (autenticación, autorización y contabilidad) están deshabilitados de forma predeterminada. La autenticación se puede utilizar sola o con autorización y contabilidad. La autorización siempre requiere que un usuario se autentique primero. La contabilidad se puede utilizar sola o con autenticación y autorización. La autorización controla los servicios y comandos que están disponibles para cada usuario autenticado. Si la autorización no está habilitada, la autenticación proporcionaría el mismo acceso a los servicios para todos los usuarios autenticados.
25. Un administrador de red está trabajando en la implementación del marco de políticas modular de Cisco en un dispositivo ASA. El administrador emite un comando de política de servicio claro. ¿Cuál es el efecto después de ingresar este comando?
Se eliminan todas las configuraciones de mapas de clases.
Se eliminan todos los datos de las estadísticas de la política de servicio.*
Se eliminan todas las políticas de servicio.
Se eliminan todas las configuraciones de mapas de políticas.
Explicación: En una implementación de MPF, el comando clear service-policy borra las estadísticas de la política de servicio. El comando clear configure service-policy en el modo de configuración global elimina todas las políticas de servicio.
26. ¿Qué se necesita para permitir que el tráfico específico que se origina en la red externa de un firewall ASA llegue a una red interna?
ACL*
NAT
protocolos de enrutamiento dinámico
fuera de la zona de seguridad nivel 0
Explicación: Para permitir explícitamente el tráfico desde una interfaz con un nivel de seguridad más bajo a una interfaz con un nivel de seguridad más alto, se debe configurar una ACL. De forma predeterminada, el tráfico solo fluirá de un nivel de seguridad más alto a uno más bajo.
