Explicación: Los ataques de agotamiento de DHCP los realiza un atacante con la intención de crear un DoS para los clientes de DHCP. Para lograr este objetivo, el atacante usa una herramienta que envía muchos mensajes de DHCPDISCOVER para arrendar el conjunto completo de direcciones IP disponibles, para así negárselas a los hosts legítimos.

Explicación: Ambos protocolos de descubrimiento pueden proporcionar a los hackers información confidencial de la red. No deben habilitarse en dispositivos perimetrales y deben deshabilitarse globalmente o por interfaz si no es necesario. CDP está habilitado por defecto.

Explicación: Cuando la tabla de direcciones MAC está llena, el conmutador trata la trama como una unidifusión desconocida y comienza a inundar todo el tráfico entrante a todos los puertos solo dentro de la VLAN local.

Explicación: El VLAN Hopping permite que una VLAN pueda ver el tráfico de otra VLAN sin cruzar primero un router. En un ataque de salto de VLAN básico, el atacante configura un host para que actúe como un switch, para aprovechar la función de puerto de enlace automático habilitada de forma predeterminada en la mayoría de los puertos del switch.

Explicación: Uno de los componentes de AAA es la Autorización. Una vez que se autentica usuario a través de AAA, los servicios de autorización determinan a qué recursos puede acceder el usuario y qué operaciones tiene permitido realizar.

Explicación: Se ha introducido la configuración manual de la única dirección MAC permitida para el puerto fa0/12.PC1 tiene una dirección MAC diferente y cuando está conectado hará que el puerto se cierre (la acción predeterminada), se cree automáticamente un mensaje de registro y se incremente el contador de infracciones. Se recomienda la acción predeterminada de apagado porque la opción restringir podría fallar si se está ejecutando un ataque.

Explicación: En un switch de Cisco, se puede configurar una interfaz para uno de tres modos de violación con la acción específica que se debe realizar si se produce una violación:
Protección : los paquetes con direcciones de origen desconocidas se descartan hasta que se elimine una cantidad suficiente de direcciones MAC seguras o se aumente la cantidad máxima de direcciones permitidas. No hay ninguna notificación de que se produjo una violación de seguridad.
Restricción : los paquetes con direcciones de origen desconocidas se descartan hasta que se elimine una cantidad suficiente de direcciones MAC seguras o se aumente la cantidad máxima de direcciones permitidas. En este modo, hay una notificación de que se produjo una violación de seguridad.
Apagado : la interfaz se inhabilita de inmediato por errores y se apaga el LED del puerto.

Explicación: BPDU guard – inmediatamente inhabilita un puerto que recibe un BPDU. Esto evita que se agreguen conmutadores no fiables a la red. La protección BPDU solo debe aplicarse a todos los puertos de usuario final.

Explicación: La suplantación de mensajes DTP obliga a un conmutador a entrar en modo de enlace troncal como parte de un ataque de salto de VLAN, pero el doble etiquetado de VLAN funciona incluso si los puertos troncales están deshabilitados. Cambiar la VLAN nativa de la predeterminada a una VLAN no utilizada reduce la posibilidad de este tipo de ataque. La suplantación de DHCP y la inanición de DHCP aprovechan las vulnerabilidades en el intercambio de mensajes DHCP.

Explicación: Cuando se configura la inspección DHCP, la cantidad de mensajes de descubrimiento de DHCP que los puertos no confiables pueden recibir por segundo debe tener una velocidad limitada mediante el uso del comando ip dhcp snooping limit rate en la nterface. Cuando un puerto recibe más mensajes de los que permite la velocidad, se eliminarán los mensajes adicionales.

Explicación: El comando spanning-tree portfast bpduguard default del modo de configuración global habilita la protección BPDU en todos los puertos con PortFast habilitado. Utilice el comando del modo de configuración de interfaz spanning-tree bpduguard enable para habilitar la protección de BPDU en un puerto.

Explicación: Un dispositivo inalámbrico puede utilizar dos métodos para descubrir un punto de acceso y registrarse en él: el modo pasivo y el modo activo. En el modo pasivo, el AP envía una trama de señal de difusión que contiene el SSID y otros parámetros de configuración inalámbrica. En el modo activo, el dispositivo inalámbrico se debe configurar manualmente para el SSID y, a continuación, el dispositivo transmite por difusión una solicitud de sondeo.

Explicación: El modo ad hoc (también conocido como conjunto de servicios básicos independientes o IBSS) se utiliza en una red inalámbrica peer-to-peer cuando se utiliza la tecnología Bluetooth, por ejemplo. Se produce una variación de la topología ad hoc cuando se permite que un smartphone o una tablet PC con acceso celular a datos creen una zona de cobertura inalámbrica personal. El modo mixto permite que las NIC inalámbricas más antiguas se conecten a un punto de acceso que puede utilizar un estándar inalámbrico más nuevo.

Explicación: Existen dos tipos de WPA y WPA2: Personal y Enterprise. Personal se utiliza en redes domésticas y de oficinas pequeñas. La clave compartida admite tres técnicas de autenticación diferentes: (1) WEP, (2) WPA y (3) 802.11i/WPA2. WEP es un método de cifrado.

Explicación: Los canales 1, 6 y 11 se seleccionan porque son cinco canales separados, lo que minimiza la interferencia con los canales adyacentes. La frecuencia de canal puede interferir con los canales a cada lado de la frecuencia principal. Todos los dispositivos inalámbricos deben utilizarse en canales no adyacentes.

Explicación: El estándar 802.11ac proporciona velocidades de datos de hasta 1,3 Gb/s y sigue siendo compatible con dispositivos 802.11a/b/g/n. 802.11g y 802.11n son estándares más antiguos que no pueden alcanzar velocidades superiores a 1 Gb/s. 802.11ad es un estándar más reciente que puede ofrecer velocidades teóricas de hasta 7 Gb/s.

Explicación: El panel WLC 3504 de Cisco se muestra cuando un usuario inicia sesión en el WLC. La mayoría de los WLC tienen configuraciones básicas y menús que los usuarios pueden accesar rápidamente para implementar una variedad de configuraciones comunes. Al hacer clic en el botón Avanzado , el usuario accederá a la página Resumen avanzado y accederá a todas las funciones del WLC.

Explicación: El protocolo simple de administración de redes (SNMP) es un protocolo de capa de aplicación utilizado para monitorear y administrar la red.

Explicación: Muchos routers inalámbricos tienen una opción para configurar la Calidad de Servicio (QoS). Al configurar la QoS, puede garantizar que ciertos tipos de tráfico, como voz y video, tengan prioridad respecto del tráfico sin plazos, como el correo electrónico y la navegación web.

Explicación: Cada nueva WLAN configurada en un WLC de la serie 3500 de Cisco necesita su propia interfaz VLAN. Por lo tanto, es necesario que se cree primero una nueva interfaz VLAN antes de que se pueda crear una nueva WLAN.

Explicación: Los routers y APs de doble banda usan el mismo nombre de red tanto en la banda de 2.4 Ghz como en la de 5 Ghz de manera predeterminada. La manera mas sencilla de segmentar el trafico es renombrar una de las redes inalámbricas.

Explicación: El protocolo RADIUS utiliza características de seguridad para proteger las comunicaciones entre el servidor RADIUS y los clientes. Esta es la contraseña que se usa entre el WLC y el servidor RADIUS. No es para usuarios finales.

Explicación: Cisco proporciona soluciones para ayudar a mitigar los ataques de la capa 2 incluyendo:
IP Source Guard (IPSG) – previene los ataques de suplantación de direcciones MAC e IP
La inspección dinámica de ARP (DAI) previene la suplantación de ARP y los ataques de envenenamiento de ARP.
La detección DHCP – impide el agotamiento de direcciones DHCP y los ataques de suplantación de DHCP.
Seguridad de puertos (Port Security) – previene muchos tipos de ataques, incluidos los ataques de desbordamiento de la tabla MAC y los ataques de agotamiento de DHCP
Cisco Web Security Appliance (WSA) es una tecnología de mitigación para amenazas basadas en la web.

Explicación: La mitigación de un ataque de VLAN puede realizarse deshabilitando el protocolo de enlace troncal dinámico (DTP), configurando manualmente los puertos en modo de enlace troncal y estableciendo la VLAN nativa de enlaces troncales a las VLAN que no están en uso.

Explicación: La línea de seguridad de puertos muestra simplemente un estado Enabled (Habilitado) si se ingresó el comando switchport port-security (sin opciones) para un puerto de switch en particular. Si se ha producido una violación de seguridad de puertos, aparece otro mensaje de error, por ejemplo, Secure-shutdown (Apagado seguro). El número máximo de direcciones MAC admitido es 50. La línea Maximum MAC Addresses (Cantidad máxima de direcciones MAC) se utiliza para mostrar cuántas direcciones MAC pueden descubrirse (2 en este caso). La línea Sticky MAC Addresses (Direcciones MAC persistentes) muestra que el switch solo detectó automáticamente un dispositivo que se ha conectado. Esta configuración podría utilizarse cuando un puerto es compartido por los empleados que comparten dos cubículos que incorporan equipos portátiles diferentes.

Explicación: El Servicio de usuario de acceso telefónico de autenticación remota (RADIUS) es un protocolo y software de servidor que proporciona autenticación basada en usuarios para una organización. Cuando se configura una WLAN para utilizar un servidor RADIUS, los usuarios introducirán las credenciales de nombre de usuario y contraseña verificadas por el servidor RADIUS antes de permitir la WLAN.

Explicación: Dividir el tráfico inalámbrico entre la banda 802.11n 2.4 GHz y la banda 5 GHz permitirá que el 802.11n utilice las dos bandas como dos redes inalámbricas separadas para ayudar a administrar el tráfico, mejorando así el rendimiento inalámbrico.

Explicación: Los ataques por denegación de servicio pueden ser el resultado de la configuración incorrecta de los dispositivos, lo que puede deshabilitar la WLAN. La interferencia accidental de dispositivos como los hornos de microondas y los teléfonos inalámbricos puede afectar la seguridad y el rendimiento de una WLAN. Los ataques man-in-the-middle (intermediario) pueden permitir que un atacante intercepte datos. Los puntos de acceso no autorizados pueden permitir que accedan usuarios sin autorización a la red inalámbrica.

Explicación: CAPWAP es un protocolo estándar IEEE que permite que un WLC administre múltiples AP y WLANs. CAPWAP también es responsable de la encapsulación y el reenvío del tráfico del cliente WLAN entre un AP y un WLC.

Explicación: El modo de violación puede verse emitiendo el comando show port-security interface . <int> command. La interfaz FastEthernet 0/1 se configura con el modo de violación de protección. Si hay una violación, la interfaz FastEthernet 0/1 descartará los paquetes con direcciones MAC desconocidas.

Explicación: En una red pequeña con algunos dispositivos de red, la autenticación AAA se puede implementar con la base de datos local y con nombres de usuario y contraseñas almacenados en los dispositivos de red. La autenticación con el protocolo TACACS+ o RADIUS requerirá servidores ACS dedicados, aunque esta solución de autenticación se escala bien en una red grande.

Explicación: Telnet utiliza texto sin formato para comunicarse en una red. El nombre de usuario y la contraseña se pueden capturar si se intercepta la transmisión de datos. SSH cifra las comunicaciones de datos entre dos dispositivos de red. TFTP y SCP se utilizan para la transferencia de archivos a través de la red. SNMP se utiliza en soluciones de administración de red.

Explicación: Los dispositivos involucrados en el proceso de autenticación de 802.1x son los siguientes:
El suplicante, que es el cliente que solicita acceso a la red
El autenticador, que es el switch al que se conecta el cliente y que está controlando realmente el acceso físico a la red
El servidor de autenticación, que realiza la autenticación real

Explicación: El contador de infracciones de seguridad para Fa0/2 se ha incrementado (como prueba 1 en la columna SecurityViolation). Las direcciones más seguras permitidas en el puerto Fa0/2 es 1 y esa dirección se introdujo manualmente. Por lo tanto, PC1 debe tener una dirección MAC diferente a la configurada para el puerto Fa0/2. Las conexiones entre los dispositivos finales y el conmutador, así como las conexiones entre un enrutador y un conmutador, se realizan con un cable directo.

Explicación: La configuración de detección DHCP incluye la creación de la base de datos de vinculación a la detección DHCP y la asignación de los puertos confiables que sean necesarios en los switches. Un puerto confiable se dirige a los servidores DHCP legítimos. En este diseño de red, ya que el servidor DHCP está conectado a AS3, se deben asignar siete puertos de switch como puertos confiables, uno en AS3 dirigido al servidor DHCP, otro en DS1 hacia AS3, otro en DS2 hacia AS3 y dos conexiones en AS1 y AS2 (hacia DS1 y DS2), para sumar un total de siete.

Explicación: DAI se puede configurar para comprobar si hay dirección MAC e IP de destino o de origen:
– MAC de destino : comprueba la dirección MAC de destino en el encabezado de Ethernet con la dirección MAC de destino en el cuerpo ARP.
MAC de origen Comprueba la dirección MAC de origen en el encabezado de Ethernet con la dirección MAC del remitente en el cuerpo ARP.
Direcciones IP – Comprueba el cuerpo ARP para Direcciones IP no válidas e inesperadas, incluidas las direcciones 0.0.0.0, 255.255.255.255 y todas las direcciones de multidifusión IP.

Explicación: Con las direcciones MAC seguras persistentes, las direcciones MAC pueden detectarse de forma dinámica o configurarse de forma manual y luego almacenarse en la tabla de direcciones para agregarse a la configuración en ejecución. En cambio, las direcciones MAC seguras dinámicas posibilitan las direcciones MAC descubiertas dinámicamente que se almacenan solo en la tabla de direcciones.

Explicación: Las antenas omnidireccionales envían las señales de radio en un patrón de 360º alrededor de la antena. Esto brinda cobertura a los dispositivos ubicados en cualquier lugar alrededor del punto de acceso. Las antenas parabólicas, direccionales y Yagi dirigen las señales de radio en una única dirección, por lo que son menos adecuadas para cubrir áreas extensas y abiertas.

Explicación: El modo activo se utiliza para configurar un punto de acceso de modo que los clientes deban conocer el SSID para conectarse a dicho AP. Los AP y los routers inalámbricos pueden funcionar en modo mixto, lo que significa que admiten varios estándares inalámbricos. El modo abierto es un modo de autenticación para un punto de acceso que no afecta la lista de redes inalámbricas disponibles para un cliente. Cuando un punto de acceso está configurado en modo pasivo, el SSID se transmite por difusión de modo que el nombre de la red inalámbrica aparezca en la lista de redes disponibles para los clientes.

Explicación: La pestaña WLANs en la página de Summary de Cisco 3504 WLC le permite al usuario acceder a la configuración de WLAN incluyendo seguridad, QoS y mapeo de políticas.

Explicación: Cualquier dirección con el 10 en el primer octeto es una dirección IPv4 privada y no se puede enrutar en Internet. El router utilizará un proceso llamado Traducción de direcciones de red (NAT) para convertir las direcciones IPv4 privadas en direcciones IPv4 enrutables por Internet.

Explicación: El alcance inalámbrico está determinado por la antena y la potencia de salida del punto de acceso, no por la banda de frecuencia que se utiliza. En esta situación, se indica que todos los usuarios tienen NIC inalámbricas que cumplen con los estándares más recientes, por lo que todos pueden acceder a la banda de 5 Ghz. Aunque es posible que para algunos usuarios cambiar a la banda de 5 Ghz para acceder a los servicios de transmisión sea engorroso, lo que mejora el rendimiento de la red no es solo la disminución de la cantidad de usuarios, sino la mayor cantidad de canales.

Explicación: Tan pronto como se saca un AP de una caja, se deben establecer la contraseña predeterminada del dispositivo, el SSID y los parámetros de seguridad (contraseña de red inalámbrica). La frecuencia de una antena inalámbrica se puede ajustar, pero no es necesario hacerlo. La hora del indicador no está configurada normalmente. La contraseña del sistema operativo del cliente inalámbrico no se ve afectada por la configuración de una red inalámbrica doméstica.

Explicación: Uno de los componentes de AAA es registro. Después de que un usuario se autentica a través de AAA, los servidores AAA mantienen un registro detallado de las acciones precisas que realiza el usuario autenticado en el dispositivo.

Explicación: El ataque con salto de VLAN de etiquetado doble (o de encapsulado doble) aprovecha la manera en que el hardware opera en algunos switches. Algunos switches realizan solo un nivel de desencapsulación de 802.1Q, lo que permite que, en ciertas situaciones, un atacante incorpore una segunda etiqueta 802.1Q dentro de la trama. Esta etiqueta permite que la trama se envíe a una VLAN a la cual la etiqueta original 802.1Q no especificó. Una característica importante del ataque de salto de VLAN de doble encapsulado es que funciona incluso si los puertos troncal están deshabilitados, porque un host normalmente envía una trama en un segmento que no es un enlace troncal. Un ataque de VLAN Double-tagging es unicast, y funciona unidireccional, y funciona cuando el atacante está conectado a un puerto que reside en la misma VLAN que la VLAN nativa del puerto troncal.

Explicación: El ocultamiento del SSID es una característica de seguridad poco eficaz que llevan a cabo los AP y algunos routers inalámbricos por medio de permitir que se deshabilite la trama de señal SSID. Si bien los clientes deben identificar el SSID de forma manual para que se conecte a la red, se puede detectar fácilmente. La mejor forma de proporcionar seguridad a una red inalámbrica es utilizar sistemas de autenticación y de cifrado. El ocultamiento del SSID no proporciona acceso gratuito a Internet en lugares públicos, pero en ese caso se puede utilizar una autenticación de sistema abierto.

Explicación: Debido a que algunos usuarios se quejan de que la red es muy lenta, la opción correcta sería dividir el tráfico de modo que haya dos redes que utilicen diferentes frecuencias al mismo tiempo. El reemplazo de la NIC inalámbrica no necesariamente soluciona el problema de lentitud de la red y podría ser costoso para la empresa. DHCP en comparación con el direccionamiento estático no debería modificar la lentitud de la red, y sería demasiado trabajo asignar direcciones estáticas a todos los usuarios para que obtengan una conexión inalámbrica. Siempre es una buena idea actualizar el firmware en el punto de acceso inalámbrico. Sin embargo, si algunos usuarios experimentan una conexión de red lenta, es probable que esto no mejore considerablemente el rendimiento de la red.

Explicación: Si no se especifica ningún modo de violación cuando se habilita la seguridad de puertos en un puerto de switch, el modo de violación de seguridad se establece de forma predeterminada en apagado.

Explicación: Generalmente, las computadoras portátiles inalámbricas no poseen antenas conectadas, a menos que se le haya hecho una reparación recientemente. Si se habilita la NIC inalámbrica, se utilizarán los medios correctos, es decir, la radio. Cuando la NIC detecta un punto de acceso, se utiliza la frecuencia correcta automáticamente.

Explicación: La primera acción que debe realizar un técnico para aportar seguridad a una red inalámbrica nueva es cambiar el nombre de usuario y contraseña predeterminados en el router inalámbrico. Por lo general, la siguiente acción sería configurar la encriptación. Una vez que el grupo inicial de hosts inalámbricos se conecta a la red, se habilitaría el filtrado de direcciones MAC y se deshabilitaría la transmisión del SSID. Esto evita que nuevos hosts no autorizados encuentren la red inalámbrica y se conecten a ella.

Explicación: Mediante el uso de TACACS+ o RADIUS, AAA puede autenticar a los usuarios desde una base de datos de nombres de usuario y contraseñas almacenadas de forma centralizada en un servidor, como un servidor Cisco ACS.

Explicación: Los estándares 802.11a y 802.11ac funcionan solo en el rango de 5 GHz. Los estándares 802.11b y 802.11g funcionan solo en el rango de 2,4 GHz. El estándar 802.11n funciona en los rangos de 2,4 y 5 GHz. El estándar 802.11ad funciona en los rangos de 2,4, 5 y 60 GHz.

Explicación: Las señales son las únicas tramas de administración que un AP puede transmitir en forma regular. Las tramas de sondeo, autenticación y asociación se utilizan solamente durante el proceso de asociación (o reasociación).

Explicación: El modo predeterminado para una violación de seguridad de puertos es apagar el puerto para que el comando switchport port-security violation no sea necesario. El comando switchport port-security se debe introducir sin opciones adicionales para habilitar la seguridad del puerto. Luego, pueden agregarse opciones adicionales de seguridad de puertos.