1. Un analista de redes quiere monitorear la actividad de todos los nuevos pasantes. ¿Qué tipo de prueba de seguridad rastrearía cuando los pasantes inician y cierran sesión en la red?
escaneo de vulnerabilidades
descifrado de contraseñas
escaneo de red
verificador de integridad*
Explicación: Un sistema de verificación de integridad puede informar de las actividades de inicio y cierre de sesión. El escaneo de red puede detectar nombres de usuarios, grupos y recursos compartidos escaneando los puertos TCP de escucha. El descifrado de contraseñas se utiliza para probar y detectar contraseñas débiles. El escaneo de vulnerabilidades puede detectar posibles debilidades en un sistema, como configuraciones incorrectas, contraseñas predeterminadas u objetivos de ataque DoS.
2. ¿Cuáles son las tres características del SIEM? (Elige tres.)
se puede implementar como software o como un servicio*
Herramienta de escaneo de puertos de Microsoft diseñada para Windows
examina registros y eventos de sistemas y aplicaciones para detectar amenazas a la seguridad*
consolida datos de eventos duplicados para minimizar el volumen de datos recopilados*
utiliza pruebas de penetración para determinar la mayoría de las vulnerabilidades de la red
proporciona informes en tiempo real para el análisis de eventos de seguridad a corto plazo
Explicación: La gestión de eventos de información de seguridad (SIEM) es una tecnología que proporciona informes en tiempo real y análisis a largo plazo de los eventos de seguridad. SIEM brinda la capacidad de buscar registros y eventos de sistemas o aplicaciones dispares para detectar amenazas. SIEM agrega eventos duplicados para reducir el volumen de datos de eventos. SIEM se puede implementar como software o como un servicio gestionado. SuperScan es una herramienta de escaneo de puertos de Microsoft Windows que se ejecuta en la mayoría de las versiones de Windows. Las herramientas, como Nmap y SuperScan, pueden proporcionar pruebas de penetración efectivas en una red y determinar las vulnerabilidades de la red al tiempo que ayudan a anticipar posibles mecanismos de ataque.
3. ¿Qué herramienta de prueba está disponible para los administradores de red que necesitan una versión GUI de Nmap?
SuperScan
SIEM
Nessus
Zenmap*
Explicación: Nmap y Zenmap son escáneres de red de bajo nivel disponibles para el público. Zenmap es la versión GUI de Nmap. SuperScan es un software de escaneo de puertos de Microsoft que detecta puertos TCP y UDP abiertos en los sistemas. Nessus puede escanear sistemas en busca de vulnerabilidades de software. SIEM se utiliza para proporcionar informes en tiempo real de eventos de seguridad.
4. ¿Cuál es el objetivo de las pruebas de penetración de la red?
Determinar la viabilidad y las posibles consecuencias de un ataque exitoso.*
detectar posibles debilidades en los sistemas
detectar cambios de configuración en sistemas de red
detectar contraseñas débiles
Explicación: Hay muchas pruebas de seguridad que se pueden utilizar para evaluar una red. Las pruebas de penetración se utilizan para determinar las posibles consecuencias de ataques exitosos en la red. El escaneo de vulnerabilidades puede detectar posibles debilidades en los sistemas. El descifrado de contraseñas puede detectar contraseñas débiles. Los verificadores de integridad pueden detectar e informar cambios de configuración.
5. ¿Cómo ayuda el escaneo en red a evaluar la seguridad de las operaciones?
Puede detectar puertos TCP abiertos en sistemas de red.*
Puede detectar contraseñas débiles o en blanco.
Puede simular ataques de fuentes maliciosas.
Puede registrar actividad anormal.
Explicación: El escaneo de red puede ayudar a un administrador de red a fortalecer la seguridad de la red y los sistemas al identificar puertos TCP y UDP abiertos que podrían ser objetivos de un ataque.
6. ¿Cuáles son las tres características del modo enrutado ASA? (Elige tres.)
Este modo se conoce como un «golpe en el cable».
En este modo, el ASA es invisible para un atacante.
Las interfaces de ASA separan las redes de Capa 3 y requieren diferentes direcciones IP en diferentes subredes.*
Es el modo de implementación de firewall tradicional.*
Este modo no admite VPN, QoS ni retransmisión DHCP.
NAT se puede implementar entre redes conectadas.*
Explicación: El modo enrutado es el modo tradicional para implementar un firewall donde hay dos o más interfaces que separan las redes de Capa 3. El ASA se considera un salto de enrutador en la red y puede realizar NAT entre redes conectadas. El modo enrutado admite múltiples interfaces. Cada interfaz está en una subred diferente y requiere una dirección IP en esa subred.
7. ¿En qué dos casos se denegará el tráfico cuando cruce el dispositivo ASA 5505? (Escoge dos.)
tráfico que se origina en la red interior que va a la red DMZ
tráfico que se origina en la red interior que va a la red exterior
tráfico que se origina en la red exterior que va a la red DMZ
tráfico que se origina en la red DMZ que va a la red interna*
tráfico que se origina en la red exterior que va a la red interior*
Explicación: Cuando se utiliza un dispositivo ASA 5505, se niega el tráfico a medida que viaja desde una zona de menor seguridad a una de mayor seguridad. La zona de mayor seguridad es la red interna, la DMZ suele ser la siguiente más alta y la red externa es la más baja. Solo se permite que el tráfico pase de un nivel de seguridad más bajo a uno más alto si es en respuesta al tráfico que se origina dentro de la zona de seguridad más alta.
8. Consulte la exposición.
Network Security v1.0 Módulos 18 al 19 Respuestas del Examen p8
Según los niveles de seguridad de las interfaces en el ASA, ¿qué declaración describe correctamente el flujo de tráfico permitido en las interfaces?
El tráfico que se envía desde la LAN e Internet a la DMZ se considera entrante.
El tráfico que se envía desde DMZ e Internet a la LAN se considera saliente.
El tráfico que se envía desde la LAN a la DMZ se considera entrante.
El tráfico que se envía desde la LAN a la DMZ se considera entrante.
El tráfico que se envía desde la DMZ y la LAN a Internet se considera saliente.*
Explicación: Cuando el tráfico pasa de una interfaz con un nivel de seguridad más alto a una interfaz con un nivel de seguridad más bajo, se considera tráfico saliente. Por el contrario, el tráfico que pasa de una interfaz con un nivel de seguridad más bajo a una interfaz con un nivel de seguridad más alto se considera tráfico entrante.
9. Consulte la exposición.
Network Security v1.0 Módulos 18 al 19 Respuestas del Examen p9
Un administrador de red está configurando el nivel de seguridad para el ASA. ¿Qué enunciado describe el resultado predeterminado si el administrador intenta asignar la interfaz interna con el mismo nivel de seguridad que la interfaz DMZ?
El ASA permite el tráfico entrante iniciado en Internet a la DMZ, pero no a la interfaz interior.
La consola ASA mostrará un mensaje de error.
El ASA no permitirá el tráfico en ninguna dirección entre la interfaz interior y la DMZ.*
El ASA permite el tráfico del interior al DMZ, pero bloquea el tráfico iniciado en el DMZ a la interfaz interior.
Explicación: Se puede asignar el mismo nivel de seguridad a varias interfaces en un ASA. Para permitir la conectividad entre interfaces con los mismos niveles de seguridad, se requiere el comando de configuración global entre interfaces same-security-traffic permit. El tráfico desde la red de nivel superior a la red de nivel inferior está permitido de forma predeterminada. Sin embargo, al tráfico iniciado en la red de nivel inferior se le niega el acceso a la red de nivel superior de forma predeterminada.
10. ¿Qué se puede configurar como parte de un objeto de red?
Tipo de interfaz
Máscara y dirección IP*
protocolo de capa superior
dirección MAC de origen y destino
Explicación: Hay dos tipos de objetos que se pueden configurar en Cisco ASA 5505: objetos de red y objetos de servicio. Los objetos de red se pueden configurar con una dirección IP y una máscara. Los objetos de servicio se pueden configurar con un protocolo o rangos de puertos.
11. ¿Cuál es la función de una configuración de mapa de políticas cuando se configura un firewall ASA?
vincular una política de servicio a una interfaz
vincular mapas de clases con acciones*
identificando tráfico interesante
el uso de ACL para hacer coincidir el tráfico
Explicación: Los mapas de políticas se utilizan para vincular mapas de clases con acciones. Los mapas de clases se configuran para identificar el tráfico de Capa 3 y 4. Las políticas de servicio están configuradas para adjuntar el mapa de políticas a una interfaz.
12. ¿Cuál es el propósito de configurar una dirección IP en un dispositivo ASA en modo transparente?
administración*
enrutamiento
NAT
Conectividad VPN
Explicación: Un dispositivo ASA configurado en modo transparente funciona como un dispositivo de Capa 2 y no admite protocolos de enrutamiento dinámico, VPN, QoS o DHCP.
13. ¿Qué licencia proporciona hasta 50 usuarios de VPN IPsec en un dispositivo ASA 5506-X?
la licencia Base preinstalada más comúnmente
una licencia de actualización de Security Plus comprada*
una licencia base comprada
una licencia AnyConnect Premium comprada
Explicación: El ASA 5506-X comúnmente tiene una licencia Base preinstalada que tiene la opción de actualizar a la licencia Security Plus. La licencia Security Plus admite una mayor capacidad de conexión y hasta 50 usuarios de VPN IPsec.
14. ¿Qué mecanismo utiliza un dispositivo ASA para permitir que el tráfico saliente inspeccionado regrese al remitente de origen que se encuentra en una red interna?
listas de control de acceso
Traducción de Direcciones de Red
zonas de seguridad
inspección de paquetes con estado*
Explicación: La inspección de paquetes con estado permite que el remitente de origen en la red interna reciba el tráfico de retorno que se origina en la red externa.
15. Al configurar interfaces en un ASA, ¿qué dos piezas de información deben incluirse? (Escoge dos.)
asociación de grupo
nivel de servicio
Versión FirePower
nivel de seguridad*
lista de acceso
nombre*
Explicación: Al configurar un ASA, cada interfaz operativa debe tener un nombre y un nivel de seguridad de 0 (más bajo) a 100 (más alto) asignado.
16. Consulte la exposición.
Network Security v1.0 Módulos 18 al 19 Respuestas del Examen p16
Un administrador de red está verificando la configuración de seguridad de un ASA. ¿Qué comando produce la salida mostrada?
mostrar vlan
muestre el resumen de la interfaz ip
muestre el resumen del IP de la interfaz*
mostrar switch vlan
Explicación: Utilice el comando show interface ip brief para verificar la asignación de la dirección IP y el estado de la interfaz en un ASA.
17. ¿Qué comando de configuración de interfaz se utiliza en un ASA para solicitar una dirección IP de un dispositivo DSL ascendente?
dirección IP dirección IP máscara de red
dirección ip dhcp setroute
dhcpd dirección IP_address1 [-IP_address2] if_name
dirección ip pppoe*
Explicación: La configuración de direcciones IP en las interfaces se puede realizar manualmente mediante el comando ip address . También se puede lograr mediante DHCP cuando una interfaz se conecta a un dispositivo ascendente que proporciona servicios DHCP. PPPoE se utiliza cuando una interfaz se conecta a un dispositivo DSL ascendente que proporciona conectividad punto a punto a través de servicios Ethernet. El comando dhcpd address IP_address1 [-IP_address2] if_name se utiliza para establecer el grupo de direcciones IP en un servidor DHCP.
18. Consulte la exposición.
Network Security v1.0 Módulos 18 al 19 Respuestas del Examen p18
¿Qué tipo de NAT se configura en el dispositivo ASA?
NAT dinámica
Dos veces NAT
PAT dinámica*
NAT estática
Explicación: A partir de la configuración, la fuente de traducción de la dirección IP es la subred 192.168.5.0/27 y la dirección asignada es la interfaz exterior. Este es un ejemplo de PAT dinámico. La NAT dinámica, la PAT dinámica y la NAT estática se denominan “NAT de objeto de red” porque la configuración requiere que se configuren los objetos de red. Dos veces NAT identifica tanto la dirección de origen como la de destino en una sola regla ( comando nat ), y se usa al configurar IPsec de acceso remoto y VPN SSL.
19. ¿Cuál es el propósito de la herramienta de prueba de red Tripwire?
para realizar un escaneo de vulnerabilidades
para proporcionar información sobre vulnerabilidades y ayudar en las pruebas de penetración y el desarrollo de firmas IDS
para evaluar la configuración con respecto a las políticas establecidas, las mejores prácticas recomendadas y los estándares de cumplimiento*
para detectar el acceso no autorizado a la red por cable
para proporcionar auditoría y recuperación de contraseñas
Explicación: La herramienta Nesus proporciona un análisis de vulnerabilidades remoto que se centra en el acceso remoto, la configuración incorrecta de contraseñas y DoS contra la pila TCP / IP. L0phtcrack proporciona auditoría y recuperación de contraseñas. Metasploit proporciona información sobre vulnerabilidades y ayuda en las pruebas de penetración y el desarrollo de firmas IDS.
20. Un analista de redes está probando la seguridad de los sistemas y redes de una corporación. ¿Qué herramienta se puede utilizar para auditar y recuperar contraseñas?
L0phtCrack*
SuperScan
Nessus
Metasploit
Explicación: Algunas de las herramientas de software que se pueden utilizar para realizar pruebas de red incluyen:
SuperScan: software de escaneo de puertos diseñado para detectar puertos TCP y UDP abiertos y para determinar qué servicios se están ejecutando en esos puertos
Nessus: software de escaneo de vulnerabilidades que se enfoca en el acceso remoto , configuraciones incorrectas y DoS contra la pila TCP / IP
L0phtCrack – una aplicación de recuperación y auditoría de contraseñas
Metasploit – proporciona información sobre vulnerabilidades y ayuda en las pruebas de penetración y el desarrollo de firmas IDS
21. ¿En qué dos casos se denegará el tráfico cuando cruce el dispositivo ASA 5506-X? (Escoge dos.)
tráfico que se origina en la red interior que va a la red exterior
tráfico que se origina en la red interior que va a la red DMZ
tráfico que se origina en la red exterior que va a la red interior*
tráfico que se origina en la red exterior que va a la red DMZ
tráfico que se origina en la red DMZ que va a la red interna*
Explicación: Cuando se utiliza un dispositivo ASA 5506-X, se deniega el tráfico mientras viaja desde una zona de menor seguridad a una de mayor seguridad. La zona de mayor seguridad es la red interna, la DMZ suele ser la siguiente más alta y la red externa es la más baja. Solo se permite que el tráfico pase de un nivel de seguridad más bajo a uno más alto si es en respuesta al tráfico que se origina dentro de la zona de seguridad más alta.
