1. ¿Cuándo se crea una asociación de seguridad (SA) si se utiliza un túnel VPN IPsec para conectarse entre dos sitios?
después de que se crea el túnel, pero antes de que se envíe el tráfico
solo durante la Fase 2
solo durante la Fase 1
durante las Fase 1 y 2 *
Explicación: Como se ve en la Figura 8.4.1.1, una conexión VPN IPsec crea dos SA: (1) al finalizar la Fase 1 de IKE una vez que los pares negocian la política de SA de IKE, y (2) al final de la Fase 2 de IKE después de la se negocian conjuntos de transformación.
2. ¿En qué situación se deshabilitaría el protocolo de descubrimiento de Cisco?
cuando un teléfono Cisco VoIP se conecta a un conmutador Cisco
cuando un conmutador de Cisco se conecta a otro conmutador de Cisco
cuando un conmutador de Cisco se conecta a un enrutador de Cisco
cuando una PC con Cisco IP Communicator instalado se conecta a un conmutador Cisco *
Explicación: El Protocolo de descubrimiento de Cisco debe desactivarse en los puertos que no se conectan a otros dispositivos de Cisco. Aunque la PC tiene instalado un producto de software de Cisco, el puerto al que se conecta la PC debe tener el Protocolo de descubrimiento de Cisco desactivado debido a la información de red que se puede derivar de la captura de mensajes del Protocolo de descubrimiento de Cisco.
3. ¿Qué dos afirmaciones describen con precisión las características de IPsec? (Escoge dos.)
IPsec trabaja en la capa de transporte y protege los datos en la capa de red.
IPsec es un marco de estándares patentados que depende de algoritmos específicos de Cisco.
IPsec es un marco de estándares desarrollado por Cisco que se basa en algoritmos OSI.
IPsec es un marco de estándares abiertos que se basa en algoritmos existentes. *
IPsec funciona en la capa de red y opera sobre todos los protocolos de Capa 2. *
IPsec trabaja en la capa de aplicación y protege todos los datos de la aplicación.
Explicación: IPsec puede asegurar una ruta entre dos dispositivos de red. IPsec puede proporcionar las siguientes funciones de seguridad:
Confidencialidad: IPsec garantiza la confidencialidad mediante el uso de cifrado.
Integridad: IPsec garantiza que los datos lleguen sin cambios al destino mediante un algoritmo hash, como MD5 o SHA.
Autenticación: IPsec utiliza Internet Key Exchange (IKE) para autenticar a los usuarios y dispositivos que pueden llevar a cabo la comunicación de forma independiente. IKE utiliza varios tipos de autenticación, incluidos nombre de usuario y contraseña, contraseña de un solo uso, datos biométricos, claves precompartidas (PSK) y certificados digitales.
Intercambio de clave seguro: IPsec utiliza el algoritmo Diffie-Hellman (DH) para proporcionar un método de intercambio de clave pública para que dos pares establezcan una clave secreta compartida.
4. ¿Qué acción toman los pares IPsec durante el intercambio de la Fase 2 de IKE?
intercambio de claves DH
negociación de la política IPsec *
negociación de conjuntos de políticas IKE
verificación de la identidad de los compañeros
Explicación: El protocolo IKE se ejecuta en dos fases. Durante la Fase 1, las dos partes negocian los conjuntos de políticas IKE, se autentican entre sí y establecen un canal seguro. Durante la segunda fase, IKE negocia asociaciones de seguridad entre los pares.
5. ¿Qué técnica es necesaria para asegurar una transferencia privada de datos usando una VPN?
cifrado *
autorización
virtualización
escalabilidad
Explicación: Las transferencias de datos confidenciales y seguras con VPN requieren cifrado de datos.
6. ¿Qué enunciado describe una VPN?
Las VPN utilizan software de virtualización de código abierto para crear el túnel a través de Internet.
Las VPN utilizan conexiones virtuales para crear una red privada a través de una red pública. *
Las VPN utilizan conexiones físicas dedicadas para transferir datos entre usuarios remotos.
Las VPN utilizan conexiones lógicas para crear redes públicas a través de Internet.
7. ¿Qué conjunto de transformación proporciona la mejor protección?
crypto ipsec transform-set ESP-DES-SHA esp-aes-256 esp-sha-hmac *
conjunto de transformación ipsec criptográfico ESP-DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-DES-SHA esp-aes esp-des esp-sha-hmac
Explicación: DES utiliza claves de 56 bits. 3DES usa claves de 56 bits, pero encripta tres veces. AES usa claves de 128 bits. AES-256 usa claves de 256 bits y es el más fuerte.
8. ¿Qué tres puertos deben estar abiertos para verificar que un túnel VPN IPsec esté funcionando correctamente? (Elige tres.)
168
50 *
169
501
500 *
51 *
9. Consulte la exposición.
CCNA Security v2 Capitulo 8 Respuestas del Examen p9
¿Cómo tratará el enrutador el tráfico que no coincide con el definido por la lista de acceso 101?
Se enviará sin cifrar. *
Se enviará encriptado.
Estará bloqueado.
Será descartado.
Explicación: La lista de acceso 101 es parte de la configuración del mapa criptográfico en el enrutador. El propósito de la lista de acceso es identificar el tráfico interesante que debe enviarse encriptado a través de una VPN. El tráfico que no coincide con la lista de acceso no es interesante y no se envía cifrado, sino que se envía sin cifrar en texto plano.
10. ¿Qué tres protocolos deben permitirse a través del firewall de la empresa para el establecimiento de VPN de sitio a sitio IPsec? (Elige tres.)
HTTPS
SSH
AH *
ISAKMP *
NTP
ESP *
Explicación: Se debe permitir el paso de ESP, AH e ISAKMP a través de los enrutadores perimetrales y los firewalls para que se establezcan las VPN de sitio a sitio IPsec. NTP y HTTPS son protocolos de aplicación y no son necesarios para IPsec.
11. ¿Qué enunciado describe el efecto de la longitud de la clave para disuadir a un atacante de piratear una clave de cifrado?
La longitud de una clave no afecta el grado de seguridad.
Cuanto más corta sea la llave, más difícil será romperla.
La longitud de una clave no variará entre los algoritmos de cifrado.
Cuanto más larga sea la clave, más posibilidades de clave existen. *
Explicación: Si bien se previenen los ataques de fuerza bruta y otros problemas de descifrado forzado, cuanto mayor sea la longitud de la clave, más difícil será romperla. Una clave de 64 bits puede tardar un año en romperse con una computadora sofisticada, mientras que una clave de 128 bits puede tardar 1019 años en descifrarse. Los diferentes algoritmos de cifrado proporcionarán diferentes longitudes de clave para la implementación.
12. ¿Cuál es el propósito de configurar múltiples ACL criptográficas al construir una conexión VPN entre sitios remotos?
Al aplicar la ACL en una interfaz pública, se pueden construir varias ACL criptográficas para evitar que los usuarios públicos se conecten al enrutador habilitado para VPN.
Varias ACL criptográficas pueden definir varios pares remotos para conectarse con un enrutador habilitado para VPN a través de Internet o la red.
Se pueden configurar varias ACL criptográficas para impedir que el tráfico de red específico cruce una VPN.
Cuando se eligen múltiples combinaciones de protección IPsec, múltiples ACL criptográficas pueden definir diferentes tipos de tráfico. *
Explicación: Una ACL criptográfica puede definir «tráfico interesante» que se utiliza para construir una VPN y reenviar ese «tráfico interesante» a través de la VPN a otro enrutador habilitado para VPN. Se utilizan varias ACL criptográficas para definir varios tipos diferentes de tráfico y utilizar diferentes protecciones IPsec correspondientes a los diferentes tipos de tráfico.
13. Considere la siguiente configuración en un Cisco ASA:
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
¿Cuál es el propósito de este comando?
para definir los parámetros ISAKMP que se utilizan para establecer el túnel
para definir los algoritmos de encriptación e integridad que se utilizan para construir el túnel IPsec *
para definir qué tráfico está permitido y protegido por el túnel
para definir solo los algoritmos de cifrado permitidos
Explicación: El conjunto de transformación se negocia durante la Fase 2 del proceso de conexión VPN IPsec. El propósito del conjunto de transformación es definir qué esquemas de autenticación y cifrado se pueden utilizar. El dispositivo que realiza la iniciación de VPN ofrece los conjuntos de transformación aceptables en orden de preferencia, en este caso, autenticación ESP usando DES para el cifrado o autenticación ESP usando autenticación e integridad SHA-HMAC para la carga útil de datos. Recuerde que ESP proporciona confidencialidad con cifrado e integridad con autenticación. ESP-DES-SHA es el nombre del conjunto de transformación. Los parámetros que siguen (esp-des y esp-sha-hmac) son los tipos específicos de cifrado o autenticación que admite el ASA para el túnel VPN que utiliza este conjunto de transformación.
14. ¿Qué protocolo proporciona servicios de autenticación, integridad y confidencialidad y es un tipo de VPN?
ESP
IPsec *
MD5
AES
Explicación: Los servicios IPsec permiten la autenticación, la integridad, el control de acceso y la confidencialidad. Con IPsec, la información intercambiada entre sitios remotos se puede cifrar y verificar. Tanto las VPN de acceso remoto como las de sitio a sitio se pueden implementar mediante IPsec.
15. ¿Qué tres afirmaciones describen el marco del protocolo IPsec? (Elige tres.)
AH proporciona integridad y autenticación. *
ESP proporciona cifrado, autenticación e integridad. *
AH usa el protocolo IP 51. *
AH proporciona encriptación e integridad.
ESP usa el protocolo UDP 50.
ESP requiere autenticación y encriptación.
Explicación: Los dos protocolos principales que se utilizan con IPsec son AH y ESP. AH es el protocolo número 51 y proporciona autenticación e integridad de datos para paquetes IP que se intercambian entre pares. ESP, que es el protocolo número 50, realiza el cifrado de paquetes.
16. ¿Qué enunciado describe con precisión una característica de IPsec?
IPsec trabaja en la capa de aplicación y protege todos los datos de la aplicación.
IPsec es un marco de estándares desarrollado por Cisco que se basa en algoritmos OSI.
IPsec es un marco de estándares patentados que depende de algoritmos específicos de Cisco.
IPsec trabaja en la capa de transporte y protege los datos en la capa de red.
IPsec es un marco de estándares abiertos que se basa en algoritmos existentes. *
Explicación: IPsec puede asegurar una ruta entre dos dispositivos de red. IPsec puede proporcionar las siguientes funciones de seguridad:
Confidencialidad: IPsec garantiza la confidencialidad mediante el uso de cifrado.
Integridad: IPsec garantiza que los datos lleguen sin cambios al destino mediante un algoritmo hash, como MD5 o SHA.
Autenticación: IPsec utiliza Internet Key Exchange (IKE) para autenticar a los usuarios y dispositivos que pueden realizar la comunicación de forma independiente. IKE utiliza varios tipos de autenticación, incluidos nombre de usuario y contraseña, contraseña de un solo uso, datos biométricos, claves precompartidas (PSK) y certificados digitales.
Intercambio seguro de claves: IPsec utiliza el algoritmo Diffie-Hellman (DH) para proporcionar un método de intercambio de claves públicas para que dos pares establezcan una clave secreta compartida.
17. ¿Qué dos protocolos IPsec se utilizan para proporcionar integridad a los datos?
SHA *
AES
DH
MD5 *
RSA
Explicación: El marco de IPsec utiliza varios protocolos y algoritmos para proporcionar confidencialidad, integridad, autenticación e intercambio seguro de claves. Dos algoritmos populares que se utilizan para garantizar que los datos no se intercepten ni modifiquen (integridad de los datos) son MD5 y SHA. AES es un protocolo de cifrado y proporciona confidencialidad de los datos. DH (Diffie-Hellman) es un algoritmo utilizado para el intercambio de claves. RSA es un algoritmo utilizado para la autenticación.
18. ¿Cuál es la función del algoritmo Diffie-Hellman dentro del marco IPsec?
proporciona autenticación
permite a los compañeros intercambiar claves compartidas *
garantiza la integridad del mensaje
proporciona un cifrado de datos sólido
Explicación: El marco de IPsec utiliza varios protocolos y algoritmos para proporcionar confidencialidad, integridad, autenticación e intercambio seguro de claves. DH (Diffie-Hellman) es un algoritmo utilizado para el intercambio de claves. DH es un método de intercambio de claves públicas que permite a dos pares IPsec establecer una clave secreta compartida a través de un canal inseguro.
19. Consulte la exposición.
CCNA Security v2 Capitulo 8 Respuestas del Examen p19
¿Qué algoritmo HMAC se utiliza para proporcionar integridad de datos?
MD5
AES
SHA *
DH
Explicación: Dos algoritmos populares que se utilizan para garantizar que los datos no se intercepten ni modifiquen (integridad de los datos) son MD5 y SHA. El comando Router1 (config-isakmp) # hash sha indica que se está utilizando SHA. AES es un protocolo de cifrado y proporciona confidencialidad de los datos. DH (Diffie-Hellman) es un algoritmo que se utiliza para el intercambio de claves. RSA es un algoritmo utilizado para la autenticación.
20. ¿Qué se necesita para definir tráfico interesante en la creación de un túnel IPsec?
asociaciones de seguridad
algoritmo hash
lista de acceso *
transformar conjunto
Explicación: Para abrir un túnel IPsec, se debe configurar una lista de acceso con una declaración de permiso que identificará el tráfico interesante. Una vez que se detecta el tráfico interesante haciendo coincidir la lista de acceso, se pueden negociar las asociaciones de seguridad del túnel.
21. Consulte la exposición.
CCNA Security v2 Capitulo 8 Respuestas del Examen p21
¿Qué algoritmo se utilizará para brindar confidencialidad?
RSA
Diffie-Hellman
DES
AES *
Explicación: El marco de IPsec utiliza varios protocolos y algoritmos para proporcionar confidencialidad, integridad, autenticación e intercambio seguro de claves. Dos algoritmos populares que se utilizan para garantizar que los datos no se intercepten ni modifiquen (integridad de los datos) son MD5 y SHA. AES es un protocolo de cifrado y proporciona confidencialidad de los datos. DH (Diffie-Hellman) es un algoritmo que se utiliza para el intercambio de claves. RSA es un algoritmo utilizado para la autenticación.
22. ¿Qué dos protocolos se deben permitir para que un túnel VPN IPsec funcione correctamente? (Escoge dos.)
501
500
51 *
168
50 *
169
Explicación: ESP usa el protocolo 50. AH usa el protocolo 51. ISAKMP usa el puerto UDP 500.
23. ¿Cuál es el propósito de NAT-T?
habilita NAT para clientes VPN basados en PC
permite que la VPN funcione cuando se utiliza NAT en uno o ambos extremos de la VPN *
actualiza NAT para IPv4
permite que NAT se utilice para direcciones IPv6
Explicación: Establecer una VPN entre dos sitios ha sido un desafío cuando NAT está involucrado en cualquier extremo del túnel. La versión mejorada de IKE original, IKE versión 2, ahora es compatible con NAT-T. NAT-T tiene la capacidad de encapsular paquetes ESP dentro de UDP para que el túnel VPN se pueda establecer a través de un dispositivo que tenga NAT habilitado.
24. ¿Qué término describe una situación en la que el tráfico VPN que recibe una interfaz se enruta de regreso a esa misma interfaz?
GRE
túnel dividido
MPLS
horquilla *
Explicación: La horquilla permite que el tráfico VPN que se recibe en una única interfaz se enrute de regreso a esa misma interfaz. El túnel dividido permite dividir el tráfico que se origina en un cliente de acceso remoto según el tráfico que debe atravesar una VPN y el tráfico destinado a la Internet pública. MPLS y GRE son dos tipos de VPN de capa 3.
25. ¿Cuál es una característica importante de las VPN de acceso remoto?
La configuración de VPN es idéntica entre los dispositivos remotos.
Los hosts internos no tienen conocimiento de la VPN.
La información necesaria para establecer la VPN debe permanecer estática.
La conexión VPN la inicia el usuario remoto. *
Explicación: Con las VPN de acceso remoto, el usuario remoto no necesariamente tiene la conexión VPN configurada en todo momento. La PC del usuario remoto es responsable de iniciar la VPN. La información requerida para establecer la conexión VPN cambia dinámicamente dependiendo de la ubicación del usuario cuando intenta conectarse.
26. ¿Qué tipo de VPN de sitio a sitio utiliza miembros de grupo de confianza para eliminar túneles IPsec de punto a punto entre los miembros de un grupo?
DMVPN
GRE
GETVPN *
MPLS
Explicación: Group Encrypted Transport VPN (GETVPN) utiliza un grupo de confianza para eliminar los túneles punto a punto y su enrutamiento superpuesto asociado. GETVPN se describe a menudo como «sin túneles». La VPN multipunto dinámica (DMVPN) permite el aprovisionamiento automático de VPN IPsec de sitio a sitio mediante una combinación de tres funciones de Cisco IOS: VPN NHRP, GRE e IPsec. La encapsulación de enrutamiento genérico (GRE) es un protocolo de tunelización desarrollado por Cisco que encapsula el tráfico multiprotocolo entre enrutadores Cisco remotos, pero no cifra los datos. Una VPN MPLS consiste en un conjunto de sitios que están interconectados por medio de una red central de proveedor MPLS.
27. Consulte la exposición.
CCNA Security v2 Capitulo 8 Respuestas del Examen p27
¿Qué par de comandos clave crypto isakmp configuraría correctamente PSK en los dos enrutadores?
R1 (config) # crypto isakmp key cisco123 address 209.165.200.227
R2 (config) # crypto isakmp key cisco123 address 209.165.200.226 *
R1 (config) # crypto isakmp key dirección cisco123 209.165.200.226
R2 (config) # crypto isakmp key dirección cisco123 209.165.200.227
R1 (config) # crypto isakmp key cisco123 hostname R1
R2 (config) # crypto isakmp key cisco123 hostname R2
R1 (config) # crypto isakmp key dirección cisco123 209.165.200.226
R2 (config) # crypto isakmp key dirección segura 209.165.200.227
Explicación: La sintaxis correcta del comando crypto isakmp key es la siguiente:
crypto isakmp key keystring address peer-address
o
crypto isakmp keykeystring hostname peer-hostname Entonces, la respuesta correcta sería la siguiente:
R1 (config) # crypto isakmp key cisco123 address 209.165. 200.227
R2 (config) # crypto isakmp clave cisco123 dirección 209.165.200.226
