1. Durante el proceso AAA, ¿cuándo se implementará la autorización?
inmediatamente después de que un cliente AAA envíe información de autenticación a un servidor centralizado
inmediatamente después de la determinación de a qué recursos puede acceder un usuario
inmediatamente después de una autenticación exitosa contra una fuente de datos AAA *
inmediatamente después de que la contabilidad y auditoría AAA reciba informes detallados
Explicación: La autorización AAA se implementa inmediatamente después de que el usuario se autentica frente a una fuente de datos AAA específica.
2. ¿Cuál es la función principal del algoritmo Diffie-Hellman?
para proporcionar integridad de datos
para prevenir ataques de intermediario
para generar y compartir claves públicas
para intercambiar claves secretas compartidas a través de redes que no son de confianza *
Explicación: El algoritmo Diffie-Hellman (DH) es un método moderno de intercambio de claves que permite el intercambio de claves secretas de forma segura en una red que no es de confianza.
3. Al configurar SSH en un enrutador para implementar la administración de red segura, un ingeniero de red ha emitido los comandos login local y transport input ssh line vty. ¿Qué tres acciones de configuración adicionales deben realizarse para completar la configuración SSH? (Elige tres.)
Configure el acceso CLI basado en roles.
Cree una base de datos local válida de nombre de usuario y contraseña. *
Configure el nombre de dominio de IP correcto. *
Habilite SSH manualmente después de que se generen las claves RSA.
Configure los niveles de privilegios del usuario.
Genere las claves RSA asimétricas. *
Explicación: SSH se habilita automáticamente después de que se generan las claves RSA. Establecer niveles de privilegios de usuario y configurar el acceso CLI basado en roles son buenas prácticas de seguridad, pero no son un requisito para implementar SSH.
4. ¿Qué funcionalidad proporciona la palabra clave de conexión única TACACS a los servicios AAA?
mantiene una única conexión UDP durante la vida de la sesión
mejora el rendimiento de la conexión TCP *
cifra la transferencia de datos entre el servidor TACACS + y el cliente AAA
permite el uso de diferentes claves entre el servidor TACACS + y el cliente AAA
Explicación: La palabra clave de conexión única mejora el rendimiento de TCP con TACACS + al mantener una única conexión de TCP durante la duración de la sesión. Sin la palabra clave de conexión única, se abre y se cierra una conexión TCP por sesión.
5. ¿En qué situación es más probable que un administrador de red implemente root guard?
en todos los puertos del conmutador (usados o sin usar)
en todos los puertos del conmutador que se conectan a un dispositivo de capa 3
en todos los puertos del conmutador que se conectan a otro conmutador que no es el puente raíz *
en todos los puertos de conmutador que se conectan a otro conmutador
en todos los puertos del conmutador que se conectan a los dispositivos host
Explicación: La protección de raíz junto con PortFast y la protección de BPDU se utilizan para evitar un ataque de manipulación de STP.
6. ¿Qué tipo de algoritmos requieren que el remitente y el receptor intercambien una clave secreta que se utiliza para garantizar la confidencialidad de los mensajes?
algoritmos simétricos *
algoritmos de clave pública
algoritmos hash
algoritmos asimétricos
Explicación: Los algoritmos simétricos utilizan la misma clave, una clave secreta, para cifrar y descifrar datos. Esta clave debe compartirse previamente antes de que se pueda producir la comunicación. Los algoritmos asimétricos requieren más potencia de procesamiento y sobrecarga en los dispositivos de comunicación porque estas claves pueden ser largas para evitar ser pirateadas.
7. Un administrador de red está configurando un servidor AAA para administrar la autenticación TACACS +. ¿Cuáles son dos atributos de la autenticación TACACS +? (Escoge dos.)
cifrado solo para la contraseña de un usuario
cifrado para todas las comunicaciones *
procesos separados para autenticación y autorización *
proceso único de autenticación y autorización
Puerto UDP 1645
Puerto TCP 40
Explicación: La autenticación TACACS + incluye los siguientes atributos:
Separa los procesos de autenticación y autorización
Cifra todas las comunicaciones, no solo las contraseñas
Utiliza el puerto TCP 49
8. ¿Cuál es una característica de una vista CLI basada en roles de la configuración del enrutador?
Una vista CLI tiene una jerarquía de comandos, con vistas superiores e inferiores.
Cuando se elimina una supervista, se eliminan las vistas CLI asociadas.
Se puede compartir una sola vista CLI en varias supervistas. *
Solo un usuario de supervista puede configurar una nueva vista y agregar o eliminar comandos de las vistas existentes.
Explicación: Una vista CLI no tiene jerarquía de comandos y, por lo tanto, no tiene vistas superiores o inferiores. Eliminar una supervista no elimina las vistas CLI asociadas. Solo un usuario de vista raíz puede configurar una nueva vista y agregar o eliminar comandos de las vistas existentes.
9. ¿En qué servicio o protocolo se basa el Protocolo de copia segura para garantizar que las transferencias de copias seguras procedan de usuarios autorizados?
AAA *
RADIO
IPsec
SNMP
Explicación: El Protocolo de copia segura (SCP) se utiliza para copiar de forma segura imágenes de IOS y archivos de configuración a un servidor SCP. Para realizar esto, SCP utilizará conexiones SSH de usuarios autenticados a través de AAA.
10. ¿Qué tres funciones se proporcionan en la solución de marco de Cisco NAC? (Elige tres.)
conexión segura a servidores
Conexión VPN
Servicios AAA *
prevención de intrusiones
remediación para dispositivos que no cumplen con las normas *
escaneo para el cumplimiento de la política *
Explicación: El objetivo tanto del marco Cisco NAC como del dispositivo Cisco NAC es garantizar que solo los hosts que estén autenticados y que tengan su postura de seguridad examinada y aprobada estén permitidos en la red. Proporcionan cuatro funciones importantes: autenticación, autorización y contabilidad; evaluación de la postura (evaluación de un dispositivo entrante con respecto a las políticas de seguridad), puesta en cuarentena de sistemas no compatibles y reparación de dispositivos no compatibles. No proporcionan conexión VPN ni servicios de detección / prevención de intrusiones.
11. Un administrador de red está configurando un servidor AAA para administrar la autenticación RADIUS. ¿Qué dos funciones están incluidas en la autenticación RADIUS? (Escoge dos.)
cifrado para todas las comunicaciones
cifrado solo para los datos
procesos separados para autenticación y autorización
contraseñas ocultas durante la transmisión *
proceso único de autenticación y autorización *
Explicación: La autenticación RADIUS admite las siguientes funciones:
Autenticación y autorización RADIUS como un proceso
Cifra solo la contraseña
Utiliza UDP
Admite tecnologías de acceso remoto, 802.1X y Protocolo de inicio de sesión (SIP)
12. ¿Cuál es el siguiente paso en el establecimiento de una VPN IPsec después de que se complete la Fase 1 de IKE?
negociación de la política ISAKMP
detección de tráfico interesante
autenticación de pares
negociación de la política de IPsec SA *
Explicación: El establecimiento de un túnel IPsec implica cinco pasos:
detección de tráfico interesante definido por una ACL
IKE Fase 1 en la que los pares negocian la política ISAKMP SA
IKE Fase 2 en la que los pares negocian la política IPsec SA
Creación del túnel IPsec
Terminación del túnel IPsec
13. Un técnico de seguridad utiliza un algoritmo asimétrico para cifrar mensajes con una clave privada y luego reenvía esos datos a otro técnico. ¿Qué clave se debe utilizar para descifrar estos datos?
La clave pública del receptor.
La clave privada del remitente.
La clave pública del remitente. *
La clave privada del receptor.
Explicación: Los algoritmos asimétricos utilizan dos claves. si una clave pública cifra los datos, la clave privada correspondiente descifra los datos. Lo opuesto también es cierto. Si una clave privada cifra los datos, la clave pública correspondiente descifra los datos.
14. ¿Qué tipo de disparador de firma IPS se basa en un perfil definido de actividad de red normal?
detección basada en patrones
detección basada en políticas
detección basada en anomalías *
detección basada en honeypot
Explicación: Hay cuatro tipos de disparadores IPS:
detección basada en patrones detección basada en
anomalías detección basada en
políticas detección basada en
honeypot La detección basada en
anomalías compara la actividad de la red con un perfil predefinido de lo que se considera actividad normal.
15. ¿Qué condición describe una verdadera alarma de firma IPS positiva?
cuando no se genera una alarma en respuesta a un ataque conocido
cuando una alarma no es generada por el tráfico normal
cuando se genera una alarma en respuesta a un ataque conocido *
cuando una alarma es generada por el tráfico normal
Explicación: Hay cuatro alarmas IPS:
Falso positivo: ocurre cuando el tráfico normal activa una alarma
Falso negativo: ocurre cuando el tráfico malicioso conocido que debería activar una alarma no es
Verdadero positivo: ocurre cuando el tráfico que se sabe que es malicioso activa un ataque
Verdadero negativo: ocurre cuando el tráfico normal no activa una alarma.
16. En la implementación de la administración de red segura, ¿cuáles son dos servicios o funciones del plano de administración de un enrutador Cisco que deben configurarse? (Escoge dos.)
inicios de sesión y contraseñas seguros *
acceso SSH seguro *
Reenvío Cisco Express
filtrado de tráfico con ACL
Inspección del firewall de Cisco IOS
Explicación: Cisco Express Forwarding, el filtrado de tráfico con ACL y la inspección del firewall de Cisco IOS son servicios de plano de reenvío que brindan seguridad. La seguridad del plano de gestión incluye estas características:
notificación legal mediante un banner,
contraseña segura y funciones de inicio de sesión,
NTP
seguro, acceso SSH seguro,
servicios de intercepción de TCP
17. ¿Qué dos características describen un virus? (Escoge dos.)
Código malicioso que puede permanecer inactivo antes de ejecutar una acción no deseada. *
Un ataque de autorreplicación que se lanza de forma independiente.
Malware que depende de la acción de un usuario o un programa para activarse. *
Malware que ejecuta código arbitrario e instala copias de sí mismo en la memoria.
Código de programa diseñado específicamente para corromper la memoria en dispositivos de red.
Explicación: Un virus es un código malicioso que se adjunta a programas legítimos o archivos ejecutables. La mayoría de los virus requieren la activación del usuario final, pueden permanecer inactivos durante un período prolongado y luego activarse en una fecha o hora específicas. Por el contrario, un gusano ejecuta código arbitrario e instala copias de sí mismo en la memoria de la computadora infectada. El propósito principal de un gusano es la replicación automática para propagarse rápidamente a través de una red. Un gusano no requiere un programa anfitrión para ejecutarse.
18. ¿Qué ataque a la red se mitiga habilitando la protección BPDU?
Suplantación de direcciones MAC
conmutadores no autorizados en una red *
Ataques de desbordamiento de tablas CAM
servidores DHCP deshonestos en una red
Explicación: Hay varios mecanismos de estabilidad de STP recomendados para ayudar a mitigar los ataques de manipulación de STP:
PortFast: se utiliza para llevar inmediatamente una interfaz configurada como un puerto de acceso o troncal al estado de reenvío desde un estado de bloqueo. Se aplica a todos los puertos de usuario final.
Protección de BPDU: deshabilita inmediatamente un error en un puerto que recibe una BPDU. Se aplica a todos los puertos de usuario final. La recepción de BPDU puede ser parte de un intento no autorizado de agregar un conmutador a la red.
Protección de raíz: evita que un conmutador se convierta en el conmutador de raíz. Se aplica a todos los puertos donde no debería ubicarse el conmutador raíz.
Loop guard: detecta enlaces unidireccionales para evitar que los puertos alternativos o raíz se conviertan en puertos designados. Se aplica a todos los puertos que están o pueden quedar no designados.
19. ¿Cuándo se crea una asociación de seguridad (SA) si se utiliza un túnel VPN IPsec para conectarse entre dos sitios?
durante las Fase 1 y 2 *
después de que se crea el túnel, pero antes de que se envíe el tráfico
solo durante la Fase 2
solo durante la Fase 1
Explicación: Como se ve en la figura 8.4.1.1, una conexión VPN IPsec crea dos SA: (1) al completar la Fase 1 de IKE una vez que los pares negocian la política de SA de IKE, y (2) al final de la Fase 2 de IKE después de la se negocian conjuntos de transformación.
20. ¿Cómo se usa el cifrado asimétrico para brindar confidencialidad al tráfico VPN?
Un remitente cifra el tráfico con la clave pública del receptor y el receptor descifra los datos utilizando la clave privada del receptor. *
Un remitente cifra el tráfico con la clave privada del receptor y el receptor descifra los datos utilizando la clave privada del remitente.
Un remitente cifra el tráfico con la clave privada del receptor y el receptor descifra los datos utilizando la clave pública del remitente.
Un remitente cifra el tráfico con la clave pública del receptor y el receptor descifra los datos utilizando la clave pública del remitente.
21. ¿Qué componente AAA se puede establecer utilizando tarjetas token?
autorización
revisión de cuentas
contabilidad
autenticación*
Explicación: El componente de autenticación de AAA se establece mediante combinaciones de nombre de usuario y contraseña, preguntas de desafío y respuesta y tarjetas simbólicas. El componente de autorización de AAA determina a qué recursos puede acceder el usuario y qué operaciones puede realizar el usuario. El componente de contabilidad y auditoría de AAA realiza un seguimiento de cómo se utilizan los recursos de la red.
22. En la implementación de la seguridad de la red, ¿en qué se diferencia la implementación de un firewall Cisco ASA de un enrutador Cisco IOS?
Los dispositivos ASA no admiten una denegación implícita dentro de las ACL.
Los dispositivos ASA utilizan ACL configuradas con una máscara comodín.
Los dispositivos ASA admiten niveles de seguridad de la interfaz. *
Los dispositivos ASA utilizan ACL que siempre están numeradas.
Explicación: Las diferencias entre los dispositivos ASA y los routers IOS de Cisco incluyen lo siguiente:
Un dispositivo ASA configurado con ACL se configura con una máscara de subred.
Un dispositivo ASA admite niveles de seguridad de interfaz.
Un dispositivo ASA configurado con un ACL siempre se nombra.
Los dispositivos ASA y los enrutadores Cisco IOS son similares en el sentido de que ambos admiten una denegación implícita dentro de una ACL.
23. ¿Qué función realiza el objeto de configuración de mapas de clase en el marco de política modular de Cisco?
restringir el tráfico a través de una interfaz
identificando tráfico interesante *
aplicar una política a una interfaz
aplicar una política al tráfico interesante
Explicación: Hay tres objetos de configuración en el MPF; mapas de clases, mapas de políticas y políticas de servicio. El objeto de configuración de mapas de clase utiliza criterios de coincidencia para identificar el tráfico interesante.
24. En la implementación de la seguridad en varios dispositivos, ¿en qué se diferencian las ACL de ASA de las ACL de Cisco IOS?
Los routers Cisco IOS utilizan ACL numeradas y con nombre y los dispositivos Cisco ASA utilizan solo ACL numeradas.
Las ACL de Cisco IOS se configuran con una máscara comodín y las ACL de Cisco ASA se configuran con una máscara de subred. *
Las ACL de Cisco IOS se procesan secuencialmente de arriba hacia abajo y las ACL de Cisco ASA no se procesan secuencialmente.
Las ACL de Cisco IOS utilizan una denegación total implícita y las ACL de Cisco ASA terminan con un permiso implícito para todos.
Explicación: Las ACL de Cisco IOS se configuran con una máscara comodín y las ACL de Cisco ASA se configuran con una máscara de subred. Ambos dispositivos utilizan una denegación implícita, procesamiento secuencial de arriba hacia abajo y ACL numeradas o con nombre.
25. Al configurar un enrutador Cisco para prepararlo para las funciones de IPS y VPN, un administrador de red abre el archivo realm-cisco.pub.key.txt y copia y pega el contenido en el enrutador en el indicador de configuración global. ¿Cuál es el resultado después de este paso de configuración?
El enrutador se autentica con el servidor web de recursos IPS seguro de Cisco.
Se crea un par de claves públicas / secretas para que el enrutador sirva como servidor SSH.
Se crea una clave criptográfica para que IOS IPS verifique el archivo de firma maestro. *
Se crea un par de claves públicas / secretas para la operación de VPN IPsec.
Explicación: El tercer paso para implementar IOS IPS es configurar la clave pública de Cisco IOS IPS que se encuentra en el archivo realm-cisco.pub.key.txt. Esta clave pública se utiliza para verificar la firma digital del archivo de firma maestro y se puede descargar de cisco.com. Para configurar la clave criptográfica IOS IPS, abra el archivo de texto y copie y pegue el contenido en el enrutador en el indicador de configuración global. Los pares de claves públicas / privadas para IPsec VPN y servidor SSH se generan utilizando diferentes métodos.
26. Cuando se configura NAT dinámica en un ASA, ¿qué dos parámetros deben especificar los objetos de red? (Escoge dos.)
la interfaz NAT exterior
el nivel de seguridad de la interfaz
una variedad de direcciones privadas que serán traducidas *
la interfaz NAT interior
el conjunto de direcciones globales públicas *
Explicación: En un ASA, tanto el conjunto de direcciones que se utilizarán como dirección global interna como el rango de direcciones privadas internas que deben traducirse se configuran a través de objetos de red.
27. Un analista de sistemas está configurando y ajustando un dispositivo IPS recientemente implementado. Al examinar el registro de alarmas del IPS, el analista se da cuenta de que el IPS no genera alarmas para algunos paquetes de ataque conocidos. ¿Qué término describe la falta de alarmas por parte del IPS?
falso negativo*
verdadero positivo
verdadero negativo
falso positivo
Explicación: Las alarmas generadas por un IPS se pueden clasificar en 4 tipos:
Un falso positivo ocurre cuando un IPS genera una alarma sobre el tráfico normal de usuarios que no debería haber disparado una alarma.
Un falso negativo ocurre cuando un IPS no genera una alarma después de procesar el tráfico de ataque que el IPS está configurado para detectar.
Un verdadero positivo ocurre cuando un IPS genera una alarma en respuesta a un tráfico de ataque conocido.
Un verdadero negativo ocurre cuando el tráfico de red normal no genera una alarma.
28. Un administrador está comparando múltiples implementaciones de AAA. ¿Qué método AAA está basado en servidor y se considera el más seguro?
habilitar
RADIO
caso-local
TACACS + *
Explicación: Las implementaciones de AAA basadas en servidor incluyen tanto RADIUS como TACACS +. TACACS + se considera más seguro porque todo el intercambio de protocolo está encriptado, mientras que RADIUS solo encriptará la contraseña del usuario.
29. ¿Qué se puede implementar para ayudar a mitigar la amenaza de que un switch no autorizado se convierta en el puente raíz en un dominio STP?
Guardia de fuente
guardia de raíz *
Guardia BPDU
protector de bucle
Explicación: Hay varios mecanismos de estabilidad STP recomendados para ayudar a mitigar los ataques de manipulación de STP:
PortFast: se utiliza para llevar inmediatamente una interfaz configurada como un puerto de acceso o troncal al estado de reenvío desde un estado de bloqueo. Se aplica a todos los puertos de usuario final.
Protección de BPDU – Inmediatamente deshabilita por error un puerto que recibe una BPDU. Se aplica a todos los puertos de usuario final.
Protector de raíz: evita que un conmutador se convierta en el conmutador de raíz. Se aplica a todos los puertos donde no se debe ubicar el conmutador raíz.
Loop guard: detecta enlaces unidireccionales para evitar que los puertos alternativos o raíz se conviertan en puertos designados. Se aplica a todos los puertos que están o pueden convertirse en no designados.
30. Considere la siguiente configuración en un Cisco ASA:
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
¿Cuál es el propósito de este comando?
para definir los parámetros ISAKMP que se utilizan para establecer el túnel
para definir los algoritmos de encriptación e integridad que se utilizan para construir el túnel IPsec *
para definir qué tráfico está permitido y protegido por el túnel
para definir solo los algoritmos de cifrado permitidos
Explicación: El conjunto de transformación se negocia durante la Fase 2 del proceso de conexión VPN IPsec. El propósito del conjunto de transformación es definir qué esquemas de autenticación y cifrado se pueden utilizar. El dispositivo que realiza la iniciación de VPN ofrece los conjuntos de transformación aceptables en orden de preferencia, en este caso, autenticación ESP usando DES para cifrado o autenticación ESP usando autenticación e integridad SHA-HMAC para la carga útil de datos. Recuerde que ESP proporciona confidencialidad con cifrado e integridad con autenticación. ESP-DES-SHA es el nombre del conjunto de transformación. Los parámetros que siguen (esp-des y esp-sha-hmac) son los tipos específicos de cifrado o autenticación que admite el ASA para el túnel VPN que utiliza este conjunto de transformación.
31. ¿Qué se negocia en el establecimiento de un túnel IPsec entre dos hosts IPsec durante la Fase 1 de IKE?
tráfico interesante
Política de ISAKMP SA *
transformar conjuntos
Grupos DH
Explicación: El establecimiento de un túnel IPsec implica cinco pasos:
Detección de tráfico interesante definido por una ACL
IKE Fase 1 en la que los pares negocian la política ISAKMP SA
IKE Fase 2 en la que los pares negocian la política IPsec SA
Creación del túnel IPsec
Terminación del túnel IPsec
32. ¿Qué tipo de alarma de firma IPS ocurre por el tráfico normal que no debería haber disparado una alarma?
verdadero negativo
falso negativo
verdadero positivo
falso positivo*
Explicación: Hay cuatro alarmas IPS:
Falso positivo: ocurre cuando el tráfico normal activa una alarma
Falso negativo: ocurre cuando el tráfico malicioso conocido que debería activar una alarma no es
Verdadero positivo: ocurre cuando el tráfico que se sabe que es malicioso activa un ataque
Verdadero negativo: ocurre cuando el tráfico normal no activa una alarma
33. ¿Qué dos opciones proporcionan acceso remoto seguro a un enrutador? (Escoge dos.)
HTTP
HTTPS *
CAP
Telnet
SSH *
Explicación: Por motivos de seguridad, todo el tráfico entre la computadora del administrador y el enrutador debe cifrarse mediante HTTPS o SSH en lugar de HTTP o Telnet.
34. ¿Qué acción puede tomar un administrador de red para ayudar a mitigar la amenaza de los ataques de salto de VLAN?
Desactive la negociación automática de enlaces. *
Deshabilite VTP.
Habilite PortFast en todos los puertos del conmutador.
Configure todos los puertos del conmutador para que sean miembros de la VLAN 1.
Explicación: Hay dos métodos para mitigar los ataques de salto de VLAN:
deshabilitar la negociación automática de
enlaces troncales en puertos de conmutación; desactivar el enlace troncal en todos los puertos de conmutación no troncales no utilizados.
35. ¿Qué tipo de datos analiza la función DLP de Cisco Email Security Appliance para evitar que los datos del cliente se filtren fuera de la empresa?
mensajes almacenados en un dispositivo cliente
mensajes almacenados en el servidor de correo electrónico
mensajes salientes *
mensajes entrantes
Explicación: Los ESA de Cisco controlan los mensajes salientes a través de la prevención de pérdida de datos (DLP), el cifrado de correo electrónico y la integración opcional con RSA Enterprise Manager. Este control ayuda a garantizar que los mensajes salientes cumplan con los estándares de la industria y estén protegidos en tránsito.
36. Un especialista en seguridad configura un IPS para que genere una alerta cuando se detecte un ataque por primera vez. Las alertas para la detección posterior del mismo ataque se suprimen durante un período de tiempo predefinido. Se generará otra alerta al final del período indicando el número de ataque detectado. ¿Qué mecanismo de supervisión de alertas IPS está configurado?
alerta atómica
alerta resumida *
alerta de correlación
alerta compuesta
Explicación: Las alertas generadas por un IPS deben monitorearse de cerca para garantizar que se tomen las medidas adecuadas contra ataques maliciosos. Las soluciones IPS incorporan dos tipos de alertas, alertas atómicas y alertas resumidas. Las alertas atómicas se generan cada vez que se activa una firma. Una alerta resumida es una alerta única que indica múltiples ocurrencias de la misma firma desde la misma dirección o puerto de origen. Con un cambio de resumen, la primera detección del ataque desencadena una alerta normal. La detección posterior del mismo ataque se cuenta hasta el final del intervalo de resumen de firmas. Cuando ha transcurrido el tiempo especificado por el intervalo de resumen, se envía una alarma de resumen, indicando el número de alarmas que ocurrieron durante el intervalo de tiempo.
37. ¿Qué conjunto de transformación proporciona la mejor protección?
crypto ipsec transform-set ESP-DES-SHA esp-aes esp-des esp-sha-hmac
conjunto de transformación ipsec criptográfico ESP-DES-SHA esp-3des esp-sha-hmac
conjunto de transformación ipsec criptográfico ESP-DES-SHA esp-aes-256 esp-sha-hmac *
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
Explicación: DES utiliza claves de 56 bits. 3DES usa claves de 56 bits, pero encripta tres veces. AES usa claves de 128 bits. AES-256 usa claves de 256 bits y es el más fuerte.
38. Un servidor syslog ha recibido el mensaje que se muestra.
* 1 de marzo 00: 07: 18.783:% SYS-5-CONFIG_I: Configurado desde la consola por vty0 (172.16.45.1)
¿Qué se puede determinar a partir del mensaje de syslog?
El mensaje es una notificación normal y no debe revisarse.
El mensaje es un mensaje de notificación de Log_Alert.
El mensaje informa al administrador que un usuario con una dirección IP 172.16.45.1 configuró este dispositivo de forma remota. *
La descripción del mensaje muestra que se accedió a la línea de la consola localmente.
Explicación: El mensaje que se muestra es un aviso de registro de nivel 5 y muestra que un usuario con una dirección IP 172.16.45.1 ha configurado este dispositivo de forma remota.
39. ¿Cuáles son los tres atributos de las firmas IPS? (Elige tres.)
acción*
largo
desencadenar*
escribe*
profundidad
función
Explicación: Las firmas IPS tienen tres atributos distintivos:
• tipo
• disparador (alarma)
• acción
40. ¿Qué plan de mitigación es mejor para frustrar un ataque DoS que está creando un desbordamiento del búfer del conmutador?
Habilite la seguridad del puerto. *
Desactive STP.
Desactive DTP.
Coloque los puertos no utilizados en una VLAN no utilizada.
Explicación: Un ataque de desbordamiento de la tabla de direcciones MAC (CAM), el desbordamiento del búfer y la suplantación de direcciones MAC se pueden mitigar configurando la seguridad del puerto. Un administrador de red normalmente no querría deshabilitar STP porque evita los bucles de Capa 2. DTP está deshabilitado para evitar saltos de VLAN. Colocar puertos no utilizados en una VLAN no utilizada evita la conectividad por cable no autorizada.
41. ¿Qué método de mitigación es eficaz contra los ataques de desbordamiento de tablas CAM?
seguridad portuaria *
Espionaje DHCP
Inspección dinámica de ARP
Guardia de fuente
Explicación: La seguridad del puerto es el método más eficaz para prevenir ataques de desbordamiento de tablas CAM. La seguridad del puerto le da al administrador la capacidad de especificar manualmente qué direcciones MAC deben verse en determinados puertos de conmutador. Proporciona un método para limitar la cantidad de direcciones MAC que se pueden aprender dinámicamente a través de un puerto de conmutador.
42. Un administrador asignó un nivel de acceso de enrutador al usuario ADMIN mediante los siguientes comandos.
Router (config) # privilege exec level 14 show ip route Router (config) # enable algorítm-type scrypt secret level 14 cisco-level-10 Router (config) # username ADMIN privilege 14 algorítm-type scrypt secret cisco-level-10
¿Cuál ¿Se permiten dos acciones al usuario ADMIN? (Elija dos.)
El usuario puede ejecutar todos los comandos porque este nivel de privilegios puede ejecutar todos los comandos de Cisco IOS.
El usuario solo puede ejecutar los subcomandos bajo el comando show ip route.
El usuario puede ejecutar el comando show version. *
El usuario puede ejecutar todos los subcomandos bajo el comando show ip interfaces. *
El usuario puede ejecutar el comando ip route.
Explicación: La asignación de un comando como show ip route a un nivel de privilegio específico asigna automáticamente todos los comandos asociados con las primeras palabras clave al nivel de privilegio especificado. Por lo tanto, los comandos show y show ip se configuran automáticamente en el nivel de privilegio donde se configura show ip route, lo cual es necesario porque el comando show ip route no se puede ejecutar sin acceso a los comandos show y show ip. La asignación del comando show ip route permite al usuario ejecutar todos los comandos show, como show version.
43. ¿Qué es una implementación eficaz de dispositivos IPS e IDS en una red corporativa?
Coloque un IPS entre el enrutador de borde y la red interna y un IDS en la misma LAN. *
Coloque un IPS entre el enrutador de borde y la red interna y un IDS entre el enrutador de borde y el ISP.
Coloque tanto un IPS como un IDS dentro de la red DMZ.
Coloque un IDS entre el enrutador de borde y la red interna y un IPS dentro de la red DMZ.
Explicación: Un IPS se implementa en modo en línea, mientras que un IDS se implementa en modo promiscuo. Una implementación eficaz de IPS / IDS es colocar un IPS justo detrás del enrutador de borde para filtrar el tráfico entrante y saliente de la red interna corporativa. Las tecnologías IPS e IDS pueden complementarse entre sí. Aunque un IDS no detendrá un ataque de intrusión inmediatamente, se puede utilizar para validar el funcionamiento del IPS porque el IDS se puede configurar para una inspección más profunda de paquetes fuera de línea. Esto permite que el IPS se centre en menos patrones de tráfico en línea, pero más críticos. Colocar IPS e IDS en la red DMZ no protegerá la red interna corporativa.
44. ¿Qué tecnología anti-falsificación se utiliza para mitigar los ataques DoS?
cifrado
escaneo de puertos
infraestructura conmutada
conmutador de seguridad de puerto *
autenticación fuerte
Explicación: La implementación de la seguridad del puerto del conmutador ayudará a mitigar los ataques DoS. Para mitigar los ataques de reconocimiento, es mejor utilizar una autenticación sólida, una infraestructura conmutada, software antisniffer y cifrado.
45. Un administrador de red se da cuenta de que los intentos fallidos de inicio de sesión han provocado que un enrutador entre en modo silencioso. ¿Cómo puede el administrador mantener el acceso remoto a las redes incluso durante el modo silencioso?
El comportamiento del modo silencioso solo evitará que determinadas cuentas de usuario intenten autenticarse.
El comportamiento del modo silencioso se puede habilitar mediante un comando ip access-group en una interfaz física.
Un administrador puede deshabilitar el comportamiento del modo silencioso mediante SSH para conectarse.
El comportamiento del modo silencioso se puede anular para redes específicas mediante el uso de una ACL. *
Explicación: El modo silencioso evita nuevos intentos de inicio de sesión durante un período de tiempo. El modo silencioso se habilita mediante el comando de clase de acceso en modo silencioso de inicio de sesión. El comportamiento del modo silencioso se puede anular para redes específicas mediante la creación e implementación de una lista de control de acceso (ACL).
46. ¿Qué enunciado describe la función de la herramienta SPAN utilizada en un conmutador Cisco?
Proporciona interconexión entre VLAN a través de varios conmutadores.
Es un canal seguro para que un conmutador envíe registros a un servidor syslog.
Copia el tráfico de un puerto de conmutador y lo envía a otro puerto de conmutador que está conectado a un dispositivo de supervisión. *
Admite la operación de captura SNMP en un conmutador.
Explicación: Para analizar el tráfico de red que pasa a través de un conmutador, se puede utilizar el analizador de puertos conmutados (SPAN). SPAN puede enviar una copia del tráfico de un puerto a otro puerto en el mismo conmutador donde está conectado un analizador de red o dispositivo de monitoreo. SPAN no es necesario para syslog o SNMP. SPAN se utiliza para reflejar el tráfico, mientras que syslog y SNMP están configurados para enviar datos directamente al servidor apropiado.
47. ¿Qué función proporciona la característica de configuración resistente de Cisco IOS?
Bloquea el plano de gestión y los servicios y funciones del plano de reenvío de un enrutador.
Permite a los administradores crear diferentes vistas de las configuraciones del enrutador para diferentes usuarios.
Mantiene una copia segura de la imagen de IOS y la configuración en ejecución que se puede utilizar para una recuperación rápida si se borra la memoria flash o NVRAM. *
Identifica los ataques y las violaciones de las políticas de seguridad que se están produciendo en la red.
Explicación: La función de configuración resistente de Cisco IOS permite almacenar localmente en un enrutador una copia segura del IOS y del archivo de configuración en ejecución. Si la memoria flash o la NVRAM se borran de forma inadvertida o maliciosa, el enrutador se puede restaurar rápidamente utilizando los archivos almacenados.
48. ¿Qué proporciona el protocolo TACACS + en una implementación AAA?
compatibilidad con protocolos TACACS anteriores
cifrado de contraseña sin cifrar el paquete
Conectividad AAA a través de UDP
autorización por usuario o por grupo *
Explicación: TACACS + utiliza el puerto TCP 49, proporciona autorización por usuario o por grupo, cifra todo el paquete y no proporciona compatibilidad con protocolos TACACS anteriores.
49. ¿Qué dos números de puerto UDP se pueden usar para la autenticación RADIUS AAA basada en servidor? (Escoge dos.)
1812 *
1645 *
1813
1646
49
Explicación: La autenticación y contabilidad RADIUS utilizan los siguientes números de puerto UDP:
puerto UDP 1645 o 1812 para autenticación El
puerto UDP 1646 o 1813 para contabilidad
TACACS + usa el puerto TCP 49.
50. ¿Qué dos opciones pueden limitar la información descubierta en el escaneo de puertos? (Escoge dos.)
Sistema de Prevención de Intrusión*
cortafuegos *
autenticación
contraseñas
cifrado
Explicación: El uso de un sistema de prevención de intrusiones (IPS) y un firewall puede limitar la información que se puede descubrir con un escáner de puertos. La autenticación, el cifrado y las contraseñas no brindan protección contra la pérdida de información por el escaneo de puertos.
51. ¿Qué función proporciona el protocolo RADIUS?
RADIUS proporciona cifrado del paquete completo durante la transferencia.
RADIUS proporciona servicios AAA separados.
RADIUS proporciona puertos separados para autorización y contabilidad. *
RADIUS proporciona una comunicación segura mediante el puerto TCP 49.
Explicación: Cuando un usuario AAA está autenticado, RADIUS usa el puerto UDP 1645 o 1812 para autenticación y el puerto UDP 1646 o 1813 para contabilidad. TACACS proporciona servicios de autorización y contabilidad independientes. Cuando un cliente RADIUS está autenticado, también está autorizado. TACACS proporciona conectividad segura mediante el puerto TCP 49. RADIUS oculta las contraseñas durante la transmisión y no cifra el paquete completo.
52. ¿Cuál es la función del agente NAC de Cisco en la implementación de una infraestructura de red segura?
para proporcionar la capacidad a los empleados de la empresa para crear cuentas de invitado
para realizar una inspección profunda de los perfiles de seguridad del dispositivo *
para proporcionar supervisión posterior a la conexión de todos los dispositivos de punto final
para evaluar y hacer cumplir la política de seguridad en el entorno NAC
para definir políticas de seguridad de punto final y acceso de usuario basadas en roles
Explicación: Cisco NAC se utiliza en la arquitectura de red sin fronteras de Cisco para autenticar a los usuarios y garantizar que los dispositivos de los usuarios cumplan con las políticas de seguridad. Cisco NAC Agent es un software de agente opcional que se ejecuta en terminales y realiza una inspección profunda del perfil de seguridad de ese dispositivo.
53. ¿Qué nivel de syslog está asociado con Log_Alert?
1 *
2
4
0
3
Explicación: Los niveles de Syslog varían de 0 a 7: El
nivel 0 es Log_Emerg El
nivel 1 es Log_Alert El
nivel 2 es Log_Crit El
nivel 3 es Log_Err El
nivel 4 es Log_Warning El
nivel 5 es Log_Notice El
nivel 6 es Log_Info El
nivel 7 es Log_Debug
54. Consulte la exposición.
CCNA Security v2.0 Examen Practico de Certificación Respuestas p54
Según los niveles de seguridad de las interfaces en ASA1, ¿qué tráfico se permitirá en las interfaces?
El tráfico de LAN y DMZ puede acceder a Internet. *
El tráfico de Internet y LAN puede acceder a la DMZ.
El tráfico de Internet puede acceder tanto a la DMZ como a la LAN.
El tráfico de Internet y DMZ puede acceder a la LAN.
Explicación: Los dispositivos ASA tienen niveles de seguridad asignados a cada interfaz que no forman parte de una ACL configurada. Estos niveles de seguridad permiten que el tráfico de interfaces más seguras, como el nivel de seguridad 100, acceda a interfaces menos seguras, como el nivel 0. De forma predeterminada, permiten que el tráfico de interfaces más seguras (nivel de seguridad más alto) acceda a interfaces menos seguras (nivel de seguridad más bajo). nivel). El tráfico de las interfaces menos seguras no puede acceder a interfaces más seguras.
55. Consulte la exposición.
CCNA Security v2.0 Examen Practico de Certificación Respuestas p55
Un administrador emite estos comandos de mejora de inicio de sesión de IOS para aumentar la seguridad de las conexiones de inicio de sesión. ¿Qué se puede concluir sobre ellos?
Estas mejoras se aplican a todos los tipos de conexiones de inicio de sesión.
Los hosts identificados en la ACL tendrán acceso al dispositivo. *
El comando login block-for permite al atacante intentar 150 intentos antes de ser detenido para volver a intentarlo.
Debido a que no se utilizó el comando de retraso de inicio de sesión, se supone un retraso de un minuto entre los intentos de inicio de sesión.
Explicación: Cuando se implementa el comando de bloqueo de inicio de sesión, automáticamente invoca un retraso de un segundo entre los intentos de inicio de sesión. El comando login block-for que se presenta significa que el inicio de sesión se desactivará durante 150 segundos, si se producen más de 5 errores de inicio de sesión en 60 segundos. Estas mejoras no se aplican a las conexiones de la consola. Cuando el modo silencioso está habilitado, se niegan todos los intentos de inicio de sesión, excepto los hosts permitidos en la ACL.
56. ¿Cuáles son dos diferencias entre un ASA 5505 y un ASA 5506-X con dispositivo FirePower? (Escoge dos)
configuración del nivel de seguridad
memoria DRAM predeterminada en el dispositivo *
Soporte SSL VPN
funciones de VPN de acceso remoto
tipo de puertos Ethernet en el plano negro *
57. Un analista de redes debe restablecer un dispositivo ASA 5506-X a su estado original de envío después del siguiente reinicio. ¿Cuál es el período mínimo de tiempo que se debe presionar el pin RESET para tomar este efecto?
3 segundos*
5 segundos
10 segundos
15 segundos
