1. ¿Qué dos afirmaciones describen el marco del protocolo IPsec? (Escoge dos.)
AH usa el protocolo IP 51.*
AH proporciona integridad y autenticación.*
AH proporciona encriptación e integridad.
ESP utiliza el protocolo UDP 51.
AH proporciona autenticación y cifrado.
Explicación: Los dos protocolos principales que se utilizan con IPsec son AH y ESP. AH es el protocolo número 51 y proporciona autenticación e integridad de datos para paquetes IP que se intercambian entre pares. ESP, que es el protocolo número 50, realiza el cifrado de paquetes.
2. ¿Qué tecnología se utiliza para negociar asociaciones de seguridad y calcular claves compartidas para un túnel VPN IPsec?
PSK
SHA
3DES
IKE*
Explicación: El protocolo de intercambio de claves de Internet (IKE) es un protocolo de administración de claves estándar que se utiliza al crear un túnel VPN IPsec. IKE negocia asociaciones de seguridad (SA) y calcula claves compartidas.
3. ¿Cuáles son los dos modos utilizados en IKE Fase 1? (Escoge dos.)
pasivo
primario
principal*
secundario
agresivo*
Explicación: Los dos modos de IKE Phase 1 son principal y agresivo. El modo principal lleva más tiempo porque la identidad de los pares IKE está oculta a los espías.
4. ¿Qué ocurre durante la fase 2 de IKE cuando se establece una VPN IPsec?
El tráfico se intercambia entre pares IPsec.
Se intercambian asociaciones de seguridad IPsec.*
Se intercambian asociaciones de seguridad ISAKMP.
Se identifica tráfico interesante.
Explicación: Durante la fase 2 de IKE, los pares de IPsec intercambian las asociaciones de seguridad (SA) de IPsec que cada par está dispuesto a utilizar para establecer el túnel de IPsec.
5. Debe configurarse una VPN IPsec de sitio a sitio. Coloque los pasos de configuración en orden.
Network Security v1.0 Módulos 18 al 19 Respuestas del Examen p5
6. Consulte la exposición.
Network Security v1.0 Módulos 18 al 19 Respuestas del Examen p6
Se configura un túnel VPN en la WAN entre R1 y R2. ¿En qué interfaces R1 se aplicaría un mapa criptográfico para crear una VPN entre R1 y R2?
G0/0 y G0/1
G0/0
todas las interfaces R1
S0/0/0*
Explicación: El comando crypto map se usa para terminar de crear la política de seguridad IPsec haciendo lo siguiente
vinculando el tráfico interesante ACL y transform set al crypto map
especificando la dirección IP del sitio VPN remoto
configurando el grupo Diffie-Hellman
configurando el túnel IPsec vida útil
El mapa criptográfico está vinculado a la interfaz S0 / 0/0 R1.
7. El enrutador R1 ha configurado políticas ISAKMP numeradas 1, 5, 9 y 203. El enrutador R2 solo tiene políticas predeterminadas. ¿Cómo intentará el R1 negociar el túnel ISAKMP de la fase 1 de IKE con el R2?
R1 y R2 no pueden coincidir con las políticas porque los números de política son diferentes.
R1 intentará hacer coincidir la política n. ° 1 con la política de coincidencia más segura en R2.*
R1 intentará hacer coincidir la política # 203 con la política predeterminada más segura en R2.
R1 comenzará a intentar hacer coincidir la política n. ° 1 con la política n. ° 65514 en R2.
Explicación: Los pares intentarán negociar utilizando la política con el número más bajo (prioridad más alta). Los pares no requieren números de prioridad coincidentes. R1 intentará utilizar la política predeterminada más segura (política n. ° 1). Si R2 tiene una política coincidente, entonces R1 y R2 pueden negociar con éxito el túnel IKE Fase 1 ISAKMP. Si no existe un acuerdo para utilizar la política predeterminada más segura, R1 intentará utilizar la siguiente política más segura.
8. Cuando la CLI se utiliza para configurar un ISR para una conexión VPN de sitio a sitio, ¿cuál es el propósito del comando crypto map en el modo de configuración de interfaz?
para configurar el conjunto de transformación
para vincular la interfaz a la política ISAKMP*
para obligar a que comiencen las negociaciones de la Fase 1 de IKE
negociar la política de SA
Explicación: El comando de mapa de cifrado, junto con el nombre de la política, se utiliza para vincular la interfaz a la política ISAKMP creada anteriormente. Un conjunto de transformación se configura mediante el comando crypto ipsec transform-set . El tráfico interesante entre pares obliga a que comiencen las negociaciones de la Fase 1 de IKE. Los pares negocian la política de ISAKMP SA en el paso 2 de las negociaciones de IPsec.
9. ¿Qué enunciado describe el efecto de la longitud de la clave para disuadir a un atacante de piratear una clave de cifrado?
La longitud de una clave no afecta el grado de seguridad.
Cuanto más corta sea la llave, más difícil será romperla.
La longitud de una clave no variará entre los algoritmos de cifrado.
Cuanto más larga sea la clave, más posibilidades de clave existen.*
Explicación: Si bien se previenen los ataques de fuerza bruta y otros problemas de descifrado forzado, cuanto mayor sea la longitud de la clave, más difícil será romperla. Una clave de 64 bits puede tardar un año en romperse con una computadora sofisticada, mientras que una clave de 128 bits puede tardar 1019 años en descifrarse. Los diferentes algoritmos de cifrado proporcionarán diferentes longitudes de clave para la implementación.
10. ¿Qué dos afirmaciones describen una VPN de acceso remoto? (Escoge dos.)
Puede requerir software de cliente VPN en los hosts.*
Requiere que los hosts envíen tráfico TCP / IP a través de una puerta de enlace VPN.
Conecta redes enteras entre sí.
Se utiliza para conectar hosts individuales de forma segura a la red de una empresa a través de Internet.*
Requiere configuración estática del túnel VPN.
Explicación: Las VPN de acceso remoto se pueden utilizar para satisfacer las necesidades de los teletrabajadores y los usuarios móviles permitiéndoles conectarse de forma segura a las redes de la empresa a través de Internet. Para conectar hosts al servidor VPN en la red corporativa, el software cliente que se ejecuta en los hosts construye dinámicamente el túnel VPN de acceso remoto.
11. ¿Qué protocolo crea una conexión virtual punto a punto para tunelizar el tráfico no cifrado entre los routers Cisco desde una variedad de protocolos?
IKE
IPsec
OSPF
GRE*
Explicación: La encapsulación de enrutamiento genérico (GRE) es un protocolo de tunelización desarrollado por Cisco que encapsula el tráfico multiprotocolo entre enrutadores Cisco remotos. GRE no cifra los datos. OSPF es un protocolo de enrutamiento de código abierto. IPsec es un conjunto de protocolos que permiten el intercambio de información que se puede cifrar y verificar. El intercambio de claves de Internet (IKE) es un estándar de administración de claves que se utiliza con IPsec.
12. ¿Cómo se logra la «tunelización» en una VPN?
Los nuevos encabezados de uno o más protocolos VPN encapsulan los paquetes originales.*
Todos los paquetes entre dos hosts se asignan a un solo medio físico para garantizar que los paquetes se mantengan privados.
Los paquetes se disfrazan para parecerse a otros tipos de tráfico, de modo que los posibles atacantes los ignoren.
Se establece un circuito dedicado entre los dispositivos de origen y destino durante la duración de la conexión.
Explicación: Los paquetes en una VPN se encapsulan con los encabezados de uno o más protocolos VPN antes de enviarse a través de la red de terceros. Esto se conoce como «tunelización». Estos encabezados externos se pueden utilizar para enrutar los paquetes, autenticar la fuente y evitar que usuarios no autorizados lean el contenido de los paquetes.
13. ¿Qué dos escenarios son ejemplos de VPN de acceso remoto? (Escoge dos.)
Todos los usuarios de una sucursal grande pueden acceder a los recursos de la empresa a través de una única conexión VPN.
Una pequeña sucursal con tres empleados tiene un Cisco ASA que se utiliza para crear una conexión VPN a la sede.
Un fabricante de juguetes tiene una conexión VPN permanente con uno de sus proveedores de piezas.
Un agente de ventas móvil se conecta a la red de la empresa a través de la conexión a Internet en un hotel.*
Un empleado que trabaja desde casa usa un software de cliente VPN en una computadora portátil para conectarse a la red de la empresa.*
Explicación: Las VPN de acceso remoto conectan a los usuarios individuales a otra red a través de un cliente VPN que está instalado en el dispositivo del usuario. Las VPN de sitio a sitio son conexiones «siempre activas» que utilizan puertas de enlace VPN para conectar dos sitios juntos. Los usuarios de cada sitio pueden acceder a la red en el otro sitio sin tener que utilizar ningún cliente especial o configuraciones en sus dispositivos individuales.
14. ¿Qué enunciado describe con precisión una característica de IPsec?
IPsec trabaja en la capa de la aplicación y protege todos los datos de la aplicación.
IPsec es un marco de estándares desarrollado por Cisco que se basa en algoritmos OSI.
IPsec es un marco de estándares propietarios que depende de algoritmos específicos de Cisco.
IPsec trabaja en la capa de transporte y protege los datos en la capa de red.
IPsec es un marco de estándares abiertos que se basa en algoritmos existentes.*
Explicación: IPsec puede asegurar una ruta entre dos dispositivos de red. IPsec puede proporcionar las siguientes funciones de seguridad:
Confidencialidad: IPsec garantiza la confidencialidad mediante el uso de cifrado.
Integridad: IPsec garantiza que los datos lleguen sin cambios al destino mediante un algoritmo hash, como MD5 o SHA.
Autenticación: IPsec utiliza Internet Key Exchange (IKE) para autenticar a los usuarios y dispositivos que pueden realizar la comunicación de forma independiente. IKE utiliza varios tipos de autenticación, incluidos nombre de usuario y contraseña, contraseña de un solo uso, datos biométricos, claves precompartidas (PSK) y certificados digitales.
Intercambio seguro de claves: IPsec utiliza el algoritmo Diffie-Hellman (DH) para proporcionar un método de intercambio de claves públicas para que dos pares establezcan una clave secreta compartida.
15. ¿Cuál es un requisito de una VPN de sitio a sitio?
Requiere que los hosts utilicen software de cliente VPN para encapsular el tráfico.
Requiere la colocación de un servidor VPN en el borde de la red de la empresa.
Requiere una puerta de enlace VPN en cada extremo del túnel para cifrar y descifrar el tráfico.*
Requiere una arquitectura cliente / servidor.
Explicación: Las VPN de sitio a sitio son estáticas y se utilizan para conectar redes enteras. Los hosts no tienen conocimiento de la VPN y envían tráfico TCP / IP a las puertas de enlace VPN. La puerta de enlace VPN es responsable de encapsular el tráfico y reenviarlo a través del túnel VPN a una puerta de enlace del mismo nivel en el otro extremo que desencapsula el tráfico.
16. Considere la siguiente configuración en un Cisco ASA:
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
¿Cuál es el propósito de este comando?
para definir los parámetros ISAKMP que se utilizan para establecer el túnel
para definir los algoritmos de encriptación e integridad que se utilizan para construir el túnel IPsec*
para definir qué tráfico está permitido y protegido por el túnel
para definir solo los algoritmos de cifrado permitidos
Explicación: El conjunto de transformación se negocia durante la Fase 2 del proceso de conexión VPN IPsec. El propósito del conjunto de transformación es definir qué esquemas de autenticación y cifrado se pueden utilizar. El dispositivo que realiza la iniciación de VPN ofrece los conjuntos de transformación aceptables en orden de preferencia, en este caso, autenticación ESP usando DES para cifrado o autenticación ESP usando autenticación e integridad SHA-HMAC para la carga útil de datos. Recuerde que ESP proporciona confidencialidad con cifrado e integridad con autenticación. ESP-DES-SHA es el nombre del conjunto de transformación. Los parámetros que siguen (esp-des y esp-sha-hmac) son los tipos específicos de cifrado o autenticación que admite el ASA para el túnel VPN que utiliza este conjunto de transformación.
17. ¿Qué se necesita para definir tráfico interesante en la creación de un túnel IPsec?
asociaciones de seguridad
algoritmo hash
lista de acceso*
transformar conjunto
Explicación: Para abrir un túnel IPsec, se debe configurar una lista de acceso con una declaración de permiso que identificará el tráfico interesante. Una vez que se detecta el tráfico interesante haciendo coincidir la lista de acceso, se pueden negociar las asociaciones de seguridad del túnel.
18. ¿Cuál es una función del protocolo GRE?
para configurar el conjunto de algoritmos de cifrado y hash que se utilizarán para transformar los datos enviados a través del túnel IPsec
para encapsular múltiples tipos de paquetes de protocolo de capa 3 OSI dentro de un túnel IP*
para configurar la vida útil del túnel IPsec
para proporcionar cifrado a través del túnel IPsec
Explicación: El conjunto de transformación es el conjunto de algoritmos de cifrado y hash que se utilizarán para transformar los datos enviados a través del túnel IPsec. GRE admite la tunelización multiprotocolo. Puede encapsular varios tipos de paquetes de protocolo OSI Layer 3 dentro de un túnel IP. Los protocolos de enrutamiento que se utilizan a través del túnel permiten el intercambio dinámico de información de enrutamiento en la red virtual. GRE no proporciona cifrado.
19. Consulte la exposición.
Network Security v1.0 Módulos 18 al 19 Respuestas del Examen p19
¿Qué algoritmo HMAC se utiliza para proporcionar integridad de datos?
MD5
AES
SHA*
DH
Explicación: Dos algoritmos populares que se utilizan para garantizar que los datos no se intercepten ni modifiquen (integridad de los datos) son MD5 y SHA. El comando Router1 (config-isakmp) # hash sha indica que se está utilizando SHA. AES es un protocolo de cifrado y proporciona confidencialidad de los datos. DH (Diffie-Hellman) es un algoritmo que se utiliza para el intercambio de claves. RSA es un algoritmo que se utiliza para la autenticación.
20. Dos corporaciones acaban de completar una fusión. Se le ha pedido al ingeniero de redes que conecte las dos redes corporativas sin el gasto de líneas arrendadas. ¿Qué solución sería el método más rentable para proporcionar una conexión adecuada y segura entre las dos redes corporativas?
Cliente de movilidad segura Cisco AnyConnect con SSL
VPN SSL sin cliente de movilidad segura de Cisco
Retardo de fotograma
VPN de acceso remoto usando IPsec
VPN de sitio a sitio*
Explicación: La VPN de sitio a sitio es una extensión de una red WAN clásica que proporciona una interconexión estática de redes enteras. Frame Relay sería una mejor opción que las líneas arrendadas, pero sería más costoso que implementar VPN de sitio a sitio. Las otras opciones se refieren a VPN de acceso remoto que son más adecuadas para conectar usuarios a la red corporativa en lugar de interconectar dos o más redes.
21. Consulte la exposición.
Network Security v1.0 Módulos 18 al 19 Respuestas del Examen p21
¿Qué comando show muestra si el software securityk9 está instalado en el enrutador y si se ha activado la licencia de EULA?
muestre la configuración en ejecución
mostrar versión*
mostrar interfaces s0 / 0/0
muestre la política criptográfica 1 de isakmp
Explicación: El comando show version muestra el estado de los paquetes de tecnología en el enrutador. Según el resultado parcial que se muestra, el software del enrutador ya incluye ipbasek9 y securityk9. El parámetro EvalRightToUse muestra que la licencia está activa dando acceso a las funciones criptográficas, IPsec e ISAKMP, necesarias para crear una VPN IPsec.
22. ¿Qué tipo de tráfico admite IPsec?
IPsec admite todo el tráfico IPv4.
IPsec admite tráfico de multidifusión de capa 2.
IPsec admite todo el tráfico permitido a través de una ACL.
IPsec solo admite tráfico de unidifusión.*
Explicación: IPsec solo admite tráfico de unidifusión. Si el tráfico de multidifusión necesita viajar a través de un túnel, será necesario configurar un túnel GRE entre los pares.
