1. ¿Por qué los perímetros de seguridad de red tradicionales no son adecuados para los últimos dispositivos de punto final de red basados en el consumidor?
Estos dispositivos no son administrados por el departamento de TI corporativo.
Estos dispositivos no suponen ningún riesgo para la seguridad, ya que no están conectados directamente a la red corporativa.
Estos dispositivos se conectan a la red corporativa a través de redes inalámbricas públicas.
Estos dispositivos son de tipos más variados y portátiles.*
Explicación: La seguridad de red tradicional tiene dos enfoques principales: (1) protección de punto final utilizando software antivirus y habilitando el firewall personal, y (2) protección de borde de red con firewalls, servidores proxy y dispositivos o software de escaneo de paquetes de red. Este tipo de protección no es adecuada para los nuevos dispositivos de red que son móviles, acceden con frecuencia al almacenamiento en la nube y pueden ser un dispositivo personal.
2. ¿Qué dos elementos internos de la LAN deben protegerse? (Escoge dos.)
enrutadores de borde
Teléfonos IP*
conexiones de fibra
interruptores*
hosts basados en la nube
Explicación: La protección de la red interna es tan importante como asegurar el perímetro de la red. Los elementos internos de la LAN se pueden dividir en puntos finales y dispositivos de infraestructura de red. Los puntos finales comunes incluyen computadoras portátiles, computadoras de escritorio, servidores y teléfonos IP. Los dispositivos de infraestructura LAN incluyen conmutadores y puntos de acceso.
3. ¿Cuáles son dos ejemplos de medidas de seguridad tradicionales basadas en host? (Escoge dos.)
IPS basado en host*
NAS
802.1X
software antimalware*
NAC basado en host
Explicación: Las medidas de seguridad tradicionales basadas en host incluyen software antivirus / antimalware, IPS basado en host y firewall basado en host. El software antivirus y antimalware detecta y mitiga virus y malware. Un IPS basado en host se utiliza para monitorear e informar sobre la configuración del sistema y la actividad de la aplicación, eventos de seguridad, cumplimiento de políticas, alertas y detección de rootkit. Un firewall basado en host restringe las conexiones entrantes y salientes para un host en particular.
4. En una implementación de 802.1x, ¿qué dispositivo es un solicitante?
Servidor de radio
punto de acceso
cambiar
estación de usuario final*
Explicación: En 802.1x, un suplicante es el dispositivo del usuario final (como una computadora portátil) que intenta conectarse a la WLAN.
5. Una empresa implementa seguridad 802.1X en la red corporativa. Hay una PC conectada a la red, pero aún no se ha autenticado. ¿Qué estado 802.1X está asociado con esta PC?
err-disabled
discapacitado
no autorizado*
reenvío
Explicación: Cuando un puerto está configurado para 802.1X, el puerto comienza en el estado no autorizado y permanece así hasta que el cliente se haya autenticado exitosamente.
6. Un cliente 802.1X debe autenticarse antes de poder pasar tráfico de datos a la red. Durante el proceso de autenticación, ¿entre qué dos dispositivos se encapsulan los datos EAP en tramas EAPOL? (Escoge dos.)
servidor de no repudio de datos
servidor de autenticación (TACACS)
suplicante (cliente)*
autenticador (conmutador)*
Cortafuegos ASA
Explicación: Cuando un solicitante del cliente está iniciando el intercambio de mensajes 802.1X, se envía un mensaje EAPOL-Start entre el solicitante y el autenticador, que es el conmutador. Los datos EAP entre el solicitante y el autenticador se encapsulan en tramas EAPOL.
7. ¿Qué comando se usa como parte de la configuración 802.1X para designar el método de autenticación que se usará?
dot1x sistema-auth-control
autenticación aaa dot1x*
aaa nuevo modelo
autenticador de pae dot1x
Explicación: El comando aaa authentication dot1x default group radius especifica que RADIUS se usa como método para la autenticación basada en puertos 802.1X.
8. ¿Qué implica un ataque de suplantación de direcciones IP?
Un nodo deshonesto responde a una solicitud de ARP con su propia dirección MAC indicada para la dirección IP de destino.
Se envían mensajes DHCPDISCOVER falsos para consumir todas las direcciones IP disponibles en un servidor DHCP.
Un servidor DHCP no autorizado proporciona parámetros de configuración de IP falsos a los clientes DHCP legítimos.
Una dirección IP de red legítima es secuestrada por un nodo deshonesto.*
Explicación: En un ataque de suplantación de direcciones IP, la dirección IP de un host de red legítimo es secuestrada y utilizada por un nodo deshonesto. Esto permite que el nodo malicioso se haga pasar por un nodo válido en la red.
9. ¿En qué capa del modelo OSI opera el protocolo de árbol de expansión?
Capa 1
Capa 2*
Capa 3
Capa 4
Explicación: El protocolo de árbol de expansión (STP) es una tecnología de capa 2 para prevenir bucles de capa 2 entre rutas de conmutador redundantes.
10. Un administrador de red utiliza el comando de configuración global predeterminado spanning-tree loopguard para habilitar Loop Guard en los conmutadores. ¿Qué componentes de una LAN están protegidos con Loop Guard?
Todos los puertos habilitados para Root Guard.
Todos los puertos habilitados para PortFast.
Todos los enlaces punto a punto entre conmutadores.*
Todos los puertos habilitados para BPDU Guard.
Explicación: Loop Guard se puede habilitar globalmente usando el comando de configuración global predeterminado spanning-tree loopguard . Esto habilita Loop Guard en todos los enlaces punto a punto.
11. ¿Qué procedimiento se recomienda para mitigar las posibilidades de suplantación de ARP?
Habilite la indagación de DHCP en las VLAN seleccionadas.*
Habilite IP Source Guard en puertos confiables.
Habilite DAI en la VLAN de administración.
Habilite la seguridad de los puertos a nivel mundial.
Explicación: Para mitigar las posibilidades de suplantación de ARP, se recomiendan estos procedimientos:
– Implemente la protección contra la suplantación de DHCP habilitando la suplantación de DHCP a nivel mundial.
– Habilite la indagación de DHCP en las VLAN seleccionadas.
– Habilite DAI en las VLAN seleccionadas.
– Configure interfaces confiables para la inspección de DHCP y ARP. Los puertos que no son de confianza están configurados de forma predeterminada.
12. ¿Qué dos puertos pueden enviar y recibir tráfico de Capa 2 desde un puerto comunitario en una PVLAN? (Escoge dos.)
puertos comunitarios pertenecientes a otras comunidades
puertos promiscuos*
puertos aislados dentro de la misma comunidad
Puertos PVLAN con protección de borde
Puertos comunitarios pertenecientes a la misma comunidad.*
Explicación: Los puertos de la comunidad pueden enviar y recibir información con puertos dentro de la misma comunidad o con un puerto promiscuo. Los puertos aislados solo pueden comunicarse con puertos promiscuos. Los puertos promiscuos pueden comunicarse con todas las interfaces. Los puertos con protección de borde PVLAN solo reenvían el tráfico a través de un dispositivo de Capa 3 a otros puertos protegidos.
13. ¿Qué protocolo debería usarse para mitigar la vulnerabilidad de usar Telnet para administrar de forma remota los dispositivos de red?
SNMP
TFTP
SSH*
SCP
Explicación: Telnet utiliza texto sin formato para comunicarse en una red. El nombre de usuario y la contraseña se pueden capturar si se intercepta la transmisión de datos. SSH cifra las comunicaciones de datos entre dos dispositivos de red. TFTP y SCP se utilizan para la transferencia de archivos a través de la red. SNMP se utiliza en soluciones de gestión de redes.
14. ¿Cómo se pueden mitigar los ataques de suplantación de identidad de DHCP?
al deshabilitar las negociaciones DTP en puertos no troncales
implementando seguridad portuaria
mediante la aplicación del comando ip verify source a puertos que no son de confianza
implementando DHCP snooping en puertos confiables*
Explicación: Uno de los procedimientos para prevenir un ataque de salto de VLAN es deshabilitar las negociaciones DTP (auto troncalizado) en los puertos que no son troncales. Los ataques de suplantación de identidad de DHCP se pueden mitigar mediante la inspección de DHCP en puertos de confianza. El comando de configuración de la interfaz de origen de verificación ip se utiliza para habilitar IP Source Guard en puertos que no son de confianza para proteger contra la suplantación de direcciones IP y MAC.
15. Consulte la exposición.
El administrador de la red está configurando la función de seguridad del puerto en el conmutador SWC. El administrador emitió el comando show port-security interface fa 0/2 para verificar la configuración. ¿Qué se puede concluir del resultado que se muestra? (Elige tres.)
Se han detectado tres violaciones de seguridad en esta interfaz.
Este puerto está actualmente activo.*
El puerto está configurado como enlace troncal.
Las violaciones de seguridad harán que este puerto se cierre inmediatamente.*
Actualmente no hay ningún dispositivo conectado a este puerto.
El modo de puerto del conmutador para esta interfaz es el modo de acceso.*
Explicación: debido a que el recuento de violaciones de seguridad es 0, no se ha producido ninguna violación. El sistema muestra que se permiten 3 direcciones MAC en el puerto fa0 / 2, pero solo se ha configurado una y no se han aprendido direcciones MAC fijas. El puerto está activo debido al estado del puerto de protección. El modo de violación es lo que sucede cuando se conecta un dispositivo no autorizado al puerto. Un puerto debe estar en modo de acceso para poder activar y utilizar la seguridad del puerto.
16. Dos dispositivos que están conectados al mismo interruptor deben estar totalmente aislados entre sí. ¿Qué función de seguridad del conmutador Cisco proporcionará este aislamiento?
PVLAN Edge*
DTP
LAPSO
Guardia BPDU
Explicación: La función PVLAN Edge no permite que un dispositivo vea el tráfico generado por otro dispositivo. Los puertos configurados con la función PVLAN Edge también se conocen como puertos protegidos. La protección BPDU evita la conectividad no autorizada a un conmutador de Capa 2 cableado. SPAN es la duplicación de puertos para capturar datos de un puerto o VLAN y enviar esos datos a otro puerto. DTP (Protocolo de enlace dinámico) se habilita automáticamente en algunos modelos de conmutadores para crear un enlace troncal si el dispositivo adjunto está configurado para enlace troncal. Cisco recomienda deshabilitar DTP como práctica recomendada.
17. ¿Cuál es el comportamiento de un conmutador como resultado de un ataque de tabla CAM exitoso?
El conmutador eliminará todas las tramas recibidas.
Las interfaces del conmutador pasarán al estado de desactivación por error.
El conmutador reenviará todas las tramas recibidas a todos los demás puertos.*
El interruptor se apagará.
Explicación: Como resultado de un ataque de tabla CAM, un switch puede quedarse sin recursos de memoria para almacenar direcciones MAC. Cuando esto sucede, no se pueden agregar nuevas direcciones MAC a la tabla CAM y el switch reenviará todas las tramas recibidas a todos los demás puertos. Esto permitiría a un atacante capturar todo el tráfico inundado por el conmutador.
18. ¿Qué protocolo define la autenticación basada en puertos para restringir que hosts no autorizados se conecten a la LAN a través de puertos de conmutador de acceso público?
RADIO
TACACS +
802.1x*
SSH
Explicación: 802.1x es un estándar IEEE que define el control de acceso basado en puertos. Al autenticar a cada cliente que intenta conectarse a la LAN, 802.1x brinda protección contra clientes no autorizados.
19. ¿Qué dispositivo se considera un suplicante durante el proceso de autenticación 802.1X?
el enrutador que sirve como puerta de enlace predeterminada
el servidor de autenticación que realiza la autenticación del cliente
el cliente que solicita autenticación*
el conmutador que controla el acceso a la red
Explicación: Los dispositivos involucrados en el proceso de autenticación 802.1X son los siguientes: El suplicante, que es el cliente que solicita acceso a la red. El autenticador, que es el conmutador al que se conecta el cliente y que en realidad controla el acceso a la red física. El servidor de autenticación, que realiza la autenticación real
20. ¿Qué término describe la función de un conmutador Cisco en el control de acceso basado en puertos 802.1X?
agente
suplicante
autenticador*
servidor de autenticación
Explicación: La autenticación basada en puertos 802.1X define roles específicos para los dispositivos en la red:
Cliente ( solicitante ) : el dispositivo que solicita acceso a los servicios de conmutación y LAN
Conmutador (autenticador) : controla el acceso físico a la red según el estado de autenticación el
servidor de autenticación del cliente : realiza la autenticación real del cliente
21. ¿Qué tipo de datos analiza la función DLP de Cisco Email Security Appliance para evitar que los datos del cliente se filtren fuera de la empresa?
mensajes entrantes
mensajes salientes*
mensajes almacenados en un dispositivo cliente
mensajes almacenados en el servidor de correo electrónico
Explicación: Los ESA de Cisco controlan los mensajes salientes mediante la prevención de pérdida de datos (DLP), el cifrado de correo electrónico y la integración opcional con RSA Enterprise Manager. Este control ayuda a garantizar que los mensajes salientes cumplan con los estándares de la industria y estén protegidos en tránsito.
22. ¿Cuál es el objetivo del marco Cisco NAC y el dispositivo Cisco NAC?
para garantizar que solo los hosts que estén autenticados y cuya postura de seguridad haya sido examinada y aprobada estén permitidos en la red*
para monitorear los datos de la empresa al ISP para construir una base de datos en tiempo real de las amenazas actuales de spam de fuentes internas y externas
para proporcionar escaneo anti-malware en el perímetro de la red para dispositivos autenticados y no autenticados
para brindar protección contra una amplia variedad de amenazas basadas en la web, incluidos programas publicitarios, ataques de suplantación de identidad, caballos de Troya y gusanos
Explicación: El marco NAC utiliza la infraestructura de red de Cisco y software de terceros para garantizar que los puntos finales cableados e inalámbricos que desean obtener acceso a la red cumplan con los requisitos definidos por la política de seguridad. El dispositivo Cisco NAC es el dispositivo que aplica el cumplimiento de la política de seguridad.
23. ¿Qué solución de Cisco ayuda a prevenir ataques de suplantación de direcciones MAC e IP?
Seguridad Portuaria
Indagación DHCP
Guardia de fuente de IP*
Inspección dinámica de ARP
Explicación: Cisco proporciona soluciones para ayudar a mitigar los ataques de Capa 2, que incluyen: IP Source Guard (IPSG): evita los ataques de suplantación de direcciones IP y MAC Inspección dinámica de ARP (DAI): evita la suplantación de ARP y los ataques de envenenamiento de ARP Inspección de DHCP: evita la inanición de DHCP y los ataques de suplantación de SHCP Seguridad del puerto: previene muchos tipos de ataques, incluidos los ataques de desbordamiento de la tabla MAC y los ataques de inanición de DHCP
24. ¿Qué ataque de Capa 2 se mitiga desactivando el Protocolo de enlace dinámico?
Salto de VLAN*
Suplantación de DHCP
Envenenamiento por ARP
Suplantación de ARP
Explicación: Se Puede mitigar un ataque de salto de VLAN deshabilitando el Protocolo de enlace dinámico (DTP) y configurando la VLAN nativa de los enlaces troncales a las VLAN que no están en uso.
25. ¿Cuál es el resultado de un ataque de inanición DHCP?
Los clientes legítimos no pueden alquilar direcciones IP.*
Los clientes reciben asignaciones de direcciones IP de un servidor DHCP deshonesto.
El atacante proporciona información incorrecta sobre el DNS y la puerta de enlace predeterminada a los clientes.
Las direcciones IP asignadas a clientes legítimos son secuestradas.
Explicación: Los ataques de inanición de DCHP son lanzados por un atacante con la intención de crear un DoS para clientes DHCP. Para lograr este objetivo, el atacante utiliza una herramienta que envía muchos mensajes DHCPDISCOVER para ceder todo el grupo de direcciones IP disponibles, negándolas a los hosts legítimos.
26. Un administrador de red está configurando DAI en un conmutador con el comando ip arp Inspection validate dst-mac. ¿Cuál es el propósito de este comando de configuración?
para verificar la dirección MAC de destino en el encabezado de Ethernet con la tabla de direcciones MAC
para verificar la dirección MAC de destino en el encabezado de Ethernet con las ACL ARP configuradas por el usuario
para verificar la dirección MAC de destino en el encabezado de Ethernet con la dirección MAC de destino en el cuerpo de ARP*
para verificar la dirección MAC de destino en el encabezado de Ethernet con la dirección MAC de origen en el cuerpo de ARP
Explicación: DAI se puede configurar para verificar las direcciones MAC e IP de destino o de origen:
MAC de destino: verifica la dirección MAC de destino en el encabezado de Ethernet con la dirección MAC de destino en el cuerpo de ARP.
MAC de origen: compara la dirección MAC de origen en el encabezado de Ethernet con la dirección MAC del remitente en el cuerpo de ARP.
Dirección IP: comprueba el cuerpo de ARP en busca de direcciones IP no válidas e inesperadas, incluidas las direcciones 0.0.0.0, 255.255.255.255 y todas las direcciones IP de multidifusión.
