1. ¿Cuáles son dos características de los sensores IPS e IDS? (Escoge dos.)
ni introducir latencia ni jitter
ambos usan firmas para detectar patrones*
ambos se implementan en línea en el flujo de datos
ambos pueden detener los paquetes de activación
ambos pueden detectar patrones atómicos*
Explicación: Los sensores IDS funcionan fuera de línea y son pasivos. Añaden muy poca latencia, sin embargo, no pueden detener los paquetes de activación. Un IPS puede detener los paquetes de activación, pero debido a que están instalados en línea, agregan algo de latencia y fluctuación al tráfico.
2. ¿Cuál es la ventaja de utilizar un IPS?
Se instala fuera del flujo de tráfico de datos.
No afecta el tráfico de la red si hay una sobrecarga del sensor.
Puede detener los paquetes de activación.*
No tiene ningún impacto en la latencia de la red.
Explicación: Un IPS puede detener los paquetes de activación, pero debido a que están instalados en línea, agregan algo de latencia y fluctuación al tráfico. Los sensores IDS funcionan fuera de línea y son pasivos. Añaden muy poca latencia. Sin embargo, no pueden detener los paquetes de activación.
3. ¿Cuál es una característica de un IDS?
Puede afectar el rendimiento de la red al introducir latencia y jitter.
A menudo, requiere la ayuda de otros dispositivos de red para responder a un ataque.*
Se instala en línea con el flujo de tráfico de la red.
Se puede configurar para descartar paquetes de activación que están asociados con una conexión.
Explicación: un IDS a menudo requiere la ayuda de otros dispositivos de red, como enrutadores y firewalls, para responder a un ataque.
4. ¿Cuáles son dos características de un IPS que funciona en modo promiscuo? (Escoge dos.)
Puede evitar que el tráfico malicioso llegue al objetivo previsto para todo tipo de ataques.
Se encuentra directamente en el camino del flujo de tráfico.
Requiere la ayuda de otro dispositivo de red para responder a un ataque.*
No afecta el flujo de paquetes en el tráfico reenviado.*
Envía alertas y descarta cualquier paquete malicioso.
Explicación: Una ventaja de un IPS que funciona en modo promiscuo es que el sensor no afecta el flujo de paquetes con el tráfico reenviado. Una desventaja es que el sensor no puede evitar que el tráfico malicioso llegue a su objetivo para ciertos tipos de ataques, como los ataques atómicos (ataques de paquete único).
5. ¿Qué herramienta puede realizar análisis de puertos y tráfico en tiempo real, y también puede detectar escaneos de puertos, huellas dactilares y ataques de desbordamiento de búfer?
SIEM
Nmap
Bufido*
Netflow
Explicación: Snort es un sistema de protección contra intrusiones (IPS) de código abierto que es capaz de realizar análisis de puertos y tráfico en tiempo real, registro de paquetes, búsqueda y coincidencia de contenido, así como detectar sondas, ataques, escaneos de puertos, huellas dactilares y desbordamiento de búfer ataques.
6. ¿Qué función de Snort IPS permite a un enrutador descargar conjuntos de reglas directamente desde cisco.com o snort.org?
Snort conjunto de reglas tirar*
Lista de firma permitida
Snort conjunto de reglas push
Actualizaciones del conjunto de reglas de Snort
Explicación: Con la función de extracción de conjuntos de reglas de Snort, un enrutador puede descargar conjuntos de reglas directamente desde cisco.com o snort.org a un servidor local. La descarga puede ocurrir usando comandos únicos o actualizaciones automáticas periódicas.
7. ¿Cuál es el requisito mínimo del sistema para activar la funcionalidad Snort IPS en un enrutador Cisco?
al menos 4 GB de RAM
al menos 4 GB de flash
ISR 2900 o superior
Licencia K9*
Explicación: Los requisitos para ejecutar Snort IPS incluyen ISR 4300 o superior, licencia K9, 8 GB de RAM y 8 GB de flash.
8. ¿Qué es PulledPork?
un IPS de red de código abierto que realiza análisis de tráfico en tiempo real y genera alertas cuando se detectan amenazas en redes IP
una herramienta de administración centralizada para enviar los conjuntos de reglas basados en políticas preconfiguradas a los enrutadores Cisco
un contenedor de servicios virtual que se ejecuta en el sistema operativo del router Cisco ISR
una aplicación de gestión de reglas que se puede utilizar para descargar automáticamente actualizaciones de reglas de Snort*
Explicación: PulledPork es una aplicación de administración de reglas que se puede usar para descargar automáticamente actualizaciones de reglas de Snort. El uso de PulledPork requiere un código de autorización, llamado oinkcode, obtenido de una cuenta de snort.org.
9. ¿Cuáles son las dos acciones que puede realizar un IPS cada vez que una firma detecta la actividad para la que está configurada? (Escoge dos.)
deshabilitar el enlace
reconvergencia de la red
dejar o prevenir la actividad*
permitir la actividad*
reinicia el dispositivo infectado
Explicación: Dependiendo del tipo de firma y la plataforma, siempre que una firma detecta la actividad para la cual está configurada, el IPS puede:
registrar la
caída de la actividad o prevenir la actividad
restablecer una conexión TCP
bloquear la actividad futura
permitir la actividad
10. ¿Qué categoría de disparador de firmas IPS utiliza un servidor señuelo para desviar los ataques de los dispositivos de producción?
detección basada en tarro de miel*
detección basada en políticas
detección basada en patrones
detección basada en anomalías
Explicación: La detección basada en Honey Pot utiliza un servidor señuelo para atraer ataques y desviarlos de los dispositivos de producción. El uso de un bote de miel puede dar a los administradores tiempo para analizar los ataques entrantes y los patrones de tráfico malicioso para ajustar las firmas de los sensores.
11. ¿Qué situación generará un tipo de alarma IPS verdaderamente negativa?
tráfico normal que genera una falsa alarma
un incidente de seguridad verificado que se detecta
un ataque conocido que no se detecta
tráfico normal que se ignora y reenvía correctamente*
Explicación: El tipo de alarma negativa verdadera se utiliza cuando el tráfico de red normal fluye a través de una interfaz. El tráfico normal no debería y no genera una alarma real. Un verdadero negativo indica que el tráfico normal benigno se ignora y reenvía correctamente sin generar una alerta.
12. Haga coincidir cada servicio de protección contra intrusiones con la descripción.
13. Haga coincidir cada acción de la regla Snort IPS con la descripción.
14. ¿Qué proporciona la funcionalidad de falla de apertura y cierre de Snort IPS?
proporciona la capacidad de deshabilitar automáticamente las firmas problemáticas que habitualmente causan falsos positivos y pasan tráfico
bloquea el flujo de tráfico o evita la verificación IPS en caso de una falla del motor IPS*
mantiene Snort actualizado con la última protección contra amenazas y suscripciones basadas en plazos
realiza un seguimiento del estado del motor Snort que se ejecuta en el contenedor de servicio
Explicación: La funcionalidad de apertura y cierre fallidos de Snort IPS se puede configurar para bloquear el flujo de tráfico o para evitar la verificación de IPS en caso de falla del motor de IPS.
15. ¿Cuál es una característica del tipo de conjunto de reglas de la comunidad de suscripciones basadas en términos de Snort?
tiene acceso retrasado de 60 días a las firmas actualizadas
utiliza Cisco Talos para proporcionar cobertura antes de las vulnerabilidades
es totalmente compatible con Cisco
está disponible gratis*
Explicación: Hay dos tipos de suscripciones basadas en términos de Snort: Conjunto de reglas de la comunidad: disponible de forma gratuita y proporciona una cobertura limitada contra amenazas. También hay un acceso diferido de 30 días a las firmas actualizadas y no hay soporte al cliente de Cisco disponible.
Conjunto de reglas de suscriptor: disponible por una tarifa y proporciona la mejor protección contra amenazas. Incluye cobertura antes de las vulnerabilidades mediante el trabajo de investigación de los expertos en seguridad de Cisco Talos. Esta suscripción es totalmente compatible con Cisco.
16. ¿Cuál es una característica de la configuración de la política de conectividad al configurar la protección contra amenazas de Snort?
intenta equilibrar la seguridad de la red con el rendimiento de la red
da prioridad a la seguridad sobre la conectividad
proporciona el nivel más bajo de protección*
permite verificar el mayor número de firmas
Explicación: Una de las funcionalidades de Snort IPS es que proporciona tres niveles de protección de firmas.
Conectividad: la opción menos segura.
Equilibrado: la opción de seguridad de rango medio.
Seguridad: la opción más segura.
17. ¿Qué contiene un archivo OVA?
una recopilación actualizada de amenazas conocidas y mecanismos de prevención
una versión instalable de una máquina virtual*
una lista de firmas atómicas y compuestas
un conjunto de reglas para que un IDS o IPS detecte la actividad de intrusión
Explicación: El paso 1 de la configuración de Snort IPS es descargar un archivo Open Virtualization Archive (OVA). Este archivo contiene una versión comprimida e instalable de una máquina virtual.
18. ¿Qué es una toma de red?
una tecnología de Cisco que proporciona estadísticas sobre los paquetes que fluyen a través de un enrutador o conmutador multicapa
una tecnología utilizada para proporcionar informes en tiempo real y análisis a largo plazo de eventos de seguridad
una función compatible con los conmutadores Cisco que permite que el conmutador copie tramas y las reenvíe a un dispositivo de análisis
un dispositivo pasivo que reenvía todo el tráfico y los errores de la capa física a un dispositivo de análisis*
Explicación: Se utiliza una toma de red para capturar el tráfico para monitorear la red. El tap suele ser un dispositivo de división pasivo implementado en línea en la red y reenvía todo el tráfico, incluidos los errores de la capa física, a un dispositivo de análisis.
19. ¿Qué enunciado describe la función de la herramienta SPAN utilizada en un conmutador Cisco?
Es un canal seguro para que un conmutador envíe registros a un servidor syslog.
Proporciona interconexión entre VLAN a través de varios conmutadores.
Admite la operación de captura SNMP en un conmutador.
Copia el tráfico de un puerto de conmutador y lo envía a otro puerto de conmutador que está conectado a un dispositivo de supervisión.*
Explicación: Para analizar el tráfico de red que pasa a través de un conmutador, se puede utilizar el analizador de puertos conmutados (SPAN). SPAN puede enviar una copia del tráfico de un puerto a otro puerto en el mismo conmutador donde está conectado un analizador de red o dispositivo de monitoreo. SPAN no es necesario para syslog o SNMP. SPAN se utiliza para reflejar el tráfico, mientras que syslog y SNMP están configurados para enviar datos directamente al servidor apropiado.
20. Un administrador de red está intentando descargar un archivo válido de un servidor interno. Sin embargo, el proceso activa una alerta en una herramienta NMS. ¿Qué condición describe esta alerta?
falso negativo
falso positivo*
verdadero negativo
verdadero positivo
Explicación: Las alertas se pueden clasificar de la siguiente manera: Verdadero positivo: se ha verificado que la alerta es un incidente de seguridad real. Verdadero negativo: no se ha producido ningún incidente de seguridad. La actividad es benigna.
Falso positivo: la alerta no indica un incidente de seguridad real. La actividad benigna que da como resultado un falso positivo a veces se denomina desencadenante benigno.
Una situación alternativa es que no se generó una alerta. La ausencia de una alerta se puede clasificar como:
Falso negativo: ha ocurrido un incidente no detectado.
21. ¿Cuál es una ventaja de HIPS que no proporciona IDS?
HIPS proporciona un análisis rápido de eventos a través de un registro detallado.
HIPS despliega sensores en los puntos de entrada de la red y protege los segmentos críticos de la red.
HIPS monitorea los procesos de la red y protege los archivos críticos.
HIPS protege los recursos críticos del sistema y monitorea los procesos del sistema operativo.*
Explicación: Los sensores IDS basados en red (NIDS) generalmente se implementan en modo fuera de línea. No protegen a los hosts individuales. IPS basado en host (HIPS) es un software instalado en un solo host para monitorear y analizar la actividad sospechosa. Puede monitorear y proteger el sistema operativo y los procesos críticos del sistema que son específicos de ese host. Se puede pensar en HIPS como una combinación de software antivirus, software antimalware y un cortafuegos.
22. ¿Qué información debe rastrear un IPS para detectar ataques que coincidan con una firma compuesta?
el número total de paquetes en el ataque
el estado de los paquetes relacionados con el ataque*
el período de ataque utilizado por el atacante
el ancho de banda de la red consumido por todos los paquetes
Explicación: una firma compuesta se denomina firma con estado. Identifica una secuencia de operaciones distribuidas en varios hosts durante un período de tiempo arbitrario. Debido a que este tipo de ataque involucra múltiples paquetes, un sensor IPS debe mantener la información de estado. Sin embargo, un sensor IPS no puede mantener la información de estado de forma indefinida. Una firma compuesta se configura con un período de tiempo para mantener el estado del ataque específico cuando se detecta por primera vez. Por lo tanto, es posible que un IPS no pueda mantener toda la información relacionada con un ataque, como el número total de paquetes, la duración total del tiempo de ataque y la cantidad de ancho de banda consumido por el ataque.
