1. ¿Qué tres áreas de seguridad del enrutador deben mantenerse para asegurar un enrutador de borde en el perímetro de la red? (Elige tres.)
seguridad física*
seguridad flash
seguridad de acceso remoto
seguridad del sistema operativo *
aislamiento de zona
endurecimiento del enrutador *
Explicación: Hay tres áreas de seguridad del enrutador que se deben mantener:
1) seguridad física
2) refuerzo del enrutador
3) seguridad del sistema operativo
2. ¿Cuál es el propósito de la contabilidad AAA?
para demostrar que los usuarios son quienes dicen ser
para determinar qué operaciones puede realizar el usuario
para determinar a qué recursos puede acceder el usuario
para recopilar y reportar el uso de datos *
Explicación: La contabilidad AAA recopila e informa datos de uso. Estos datos se pueden utilizar para fines tales como auditoría o facturación. La autenticación AAA es el proceso de verificar que los usuarios son quienes dicen ser. La autorización AAA es lo que los usuarios pueden y no pueden hacer en la red una vez autenticados.
3. ¿En qué servicio o protocolo se basa el Protocolo de copia segura para garantizar que las transferencias de copias seguras procedan de usuarios autorizados?
RADIO
SNMP
AAA *
IPsec
Explicación: El Protocolo de copia segura (SCP) se utiliza para copiar de forma segura imágenes de IOS y archivos de configuración a un servidor SCP. Para realizar esto, SCP utilizará conexiones SSH de usuarios autenticados a través de AAA.
4. ¿Qué afirmación describe con precisión el funcionamiento del firewall de políticas basadas en zonas de Cisco IOS?
La acción de pase funciona en una sola dirección.
Las políticas de servicio se aplican en el modo de configuración de la interfaz.
Una interfaz de enrutador puede pertenecer a varias zonas.
Las interfaces de administración del enrutador deben asignarse manualmente a la zona propia.
Explicación: La acción de aprobación en CCP es similar al parámetro de permiso en una entrada de ACL. Pass permite el tráfico solo en una dirección.
5. ¿Qué dos afirmaciones describen el uso de algoritmos asimétricos? (Escoge dos.)
Las claves públicas y privadas se pueden utilizar indistintamente.
Si se utiliza una clave pública para cifrar los datos, se debe utilizar una clave pública para descifrar los datos.
Si se utiliza una clave privada para cifrar los datos, se debe utilizar una clave pública para descifrar los datos. *
Si se utiliza una clave pública para cifrar los datos, se debe utilizar una clave privada para descifrar los datos. *
Si se utiliza una clave privada para cifrar los datos, se debe utilizar una clave privada para descifrar los datos.
Explicación: Los algoritmos asimétricos utilizan dos claves: una clave pública y una clave privada. Ambas claves son capaces de realizar el proceso de cifrado, pero se requiere la clave complementaria coincidente para el descifrado. Si una clave pública cifra los datos, la clave privada correspondiente descifra los datos. Lo opuesto también es cierto. Si una clave privada cifra los datos, la clave pública correspondiente descifra los datos.
6. Consulte la exposición.
CCNA Security v2.0 Practico Final Respuestas del Examen p6
Según la salida generada por el comando show monitor session 1, ¿cómo funcionará SPAN en el switch?
Todo el tráfico recibido en la VLAN 10 o transmitido desde la VLAN 20 se reenvía a FastEthernet 0/1. *
El tráfico de VLAN nativo transmitido desde VLAN 10 o recibido en VLAN 20 se reenvía a FastEthernet 0/1.
Todo el tráfico transmitido desde la VLAN 10 o recibido en la VLAN 20 se reenvía a FastEthernet 0/1.
El tráfico de VLAN nativo recibido en VLAN 10 o transmitido desde VLAN 20 se reenvía a FastEthernet 0/1.
Explicación: El comando show monitor session se utiliza para verificar cómo se configura SPAN (qué puertos están involucrados en la duplicación del tráfico)
7. Consulte la exposición.
CCNA Security v2.0 Practico Final Respuestas del Examen p7
Se configuró la política ISAKMP para el túnel IKE Phase 1, pero el túnel aún no existe. ¿Qué acción se debe tomar a continuación antes de que puedan comenzar las negociaciones de la Fase 1 de IKE?
Configure el conjunto de algoritmos de cifrado y hash que se utilizarán para transformar los datos enviados a través del túnel IPsec.
Vincule el conjunto de transformación con el resto de la política IPsec en un mapa criptográfico.
Configure la vida útil del túnel IPsec.
Configure una ACL para definir el tráfico interesante. *
Explicación: Aunque la política ISAKMP para el túnel de la fase 1 de IKE está configurada, el túnel todavía no existe como se verificó con el comando show crypto isakmp sa. Se debe detectar el tráfico interesante antes de que puedan comenzar las negociaciones de la Fase 1 de IKE. Para definir el tráfico interesante, cada enrutador debe configurarse con una ACL para permitir el tráfico desde la LAN local a la LAN remota.
8. ¿Qué puertos pueden recibir tráfico reenviado desde un puerto aislado que forma parte de una PVLAN?
otros puertos aislados y puertos comunitarios
solo puertos promiscuos *
todos los demás puertos dentro de la misma comunidad
solo puertos aislados
Explicación: Las PVLAN se utilizan para proporcionar aislamiento de Capa 2 entre puertos dentro del mismo dominio de difusión. El nivel de aislamiento se puede especificar
con tres tipos de puertos PVLAN: Puertos
promiscuos que pueden reenviar tráfico a todos los demás puertos Puertos
aislados que solo pueden reenviar tráfico a puertos promiscuos Puertos
comunitarios que pueden reenviar tráfico a otros puertos comunitarios y puertos promiscuos
9. ¿Cuál es el siguiente paso en el establecimiento de una VPN IPsec después de que se complete la Fase 1 de IKE?
negociación de la política ISAKMP
negociación de la política de IPsec SA *
detección de tráfico interesante
autenticación de pares
Explicación: El establecimiento de un túnel IPsec implica cinco pasos:
detección de tráfico interesante definido por una ACL
IKE Fase 1 en la que los pares negocian la política ISAKMP SA
IKE Fase 2 en la que los pares negocian la política IPsec SA
Creación del túnel IPsec
Terminación del túnel IPsec
10. ¿Cuál es una ventaja de HIPS que no proporciona IDS?
HIPS protege los recursos críticos del sistema y monitorea los procesos del sistema operativo. *
HIPS despliega sensores en los puntos de entrada de la red y protege los segmentos críticos de la red.
HIPS proporciona un análisis rápido de eventos a través de un registro detallado.
HIPS monitorea los procesos de la red y protege los archivos críticos.
Explicación: Los sensores IDS basados en red (NIDS) generalmente se implementan en modo fuera de línea. No protegen a los hosts individuales. IPS basado en host (HIPS) es un software instalado en un solo host para monitorear y analizar la actividad sospechosa. Puede monitorear y proteger el sistema operativo y los procesos críticos del sistema que son específicos de ese host. HIPS se puede considerar como una combinación de software antivirus, software antimalware y cortafuegos.
11. ¿Qué configuración de interfaz se puede configurar en ASDM a través de la pestaña Configuración de dispositivo?
seguridad portuaria
EtherChannel
NAT
nivel de seguridad*
Explicación: En la pestaña Configuración del dispositivo, las interfaces ASA Layer 3 se pueden crear, editar o eliminar. El nombre, el nivel de seguridad y la dirección IP son algunas de las opciones que se pueden configurar en una interfaz. No hay configuración de NAT, seguridad de puerto o EtherChannel en esta pestaña.
12. Un técnico de seguridad utiliza un algoritmo asimétrico para cifrar mensajes con una clave privada y luego reenvía esos datos a otro técnico. ¿Qué clave se debe utilizar para descifrar estos datos?
La clave pública del receptor.
La clave pública del remitente. *
La clave privada del receptor.
La clave privada del remitente.
Explicación: Los algoritmos asimétricos utilizan dos claves. si una clave pública cifra los datos, la clave privada correspondiente descifra los datos. Lo opuesto también es cierto. Si una clave privada cifra los datos, la clave pública correspondiente descifra los datos.
13. ¿En qué puertos de conmutador debería habilitarse PortFast para mejorar la estabilidad de STP?
solo los puertos que se eligen como puertos designados
solo puertos que se conectan a un conmutador vecino
todos los puertos troncales que no son puertos raíz
todos los puertos de usuario final *
Explicación: PortFast traerá inmediatamente una interfaz configurada como un acceso o puerto troncal al estado de reenvío desde un estado de bloqueo, omitiendo los estados de escucha y aprendizaje. Si se configura en un enlace troncal, la transición inmediata al estado de reenvío podría conducir a la formación de bucles de Capa 2.
14. ¿Cuál es la función del algoritmo del código de autenticación de mensajes hash (HMAC) al configurar una VPN IPsec?
autentica a los pares IPsec
garantiza la integridad del mensaje *
protege las claves IPsec durante la negociación de la sesión
crea un canal seguro para la negociación de claves
Explicación: El marco de IPsec utiliza varios protocolos y algoritmos para proporcionar confidencialidad, integridad, autenticación e intercambio seguro de claves. El código de autenticación de mensajes hash (HMAC) es un algoritmo de integridad de datos que utiliza un valor hash para garantizar la integridad de un mensaje.
15. ¿Cuáles son las tres características del protocolo RADIUS? (Elige tres.)
utiliza el puerto TCP 49
es un protocolo AAA estándar IETF abierto *
utiliza puertos UDP para autenticación y contabilidad *
es ampliamente utilizado en implementaciones de VOIP y 802.1X *
separa los procesos de autenticación y autorización
cifra todo el cuerpo del paquete
Explicación: RADIUS es un protocolo AAA de estándar abierto que utiliza el puerto UDP 1645 o 1812 para autenticación y el puerto UDP 1646 o 1813 para contabilidad. Combina autenticación y autorización en un solo proceso; por lo tanto, se cifra una contraseña para la transmisión, mientras que el resto del paquete se enviará en texto sin formato. RADIUS ofrece el servicio rápido y la contabilidad más completa deseada por los proveedores de acceso remoto, pero proporciona menor seguridad y menor potencial de personalización que TACACS +.
16. Un administrador de red está configurando un servidor AAA para administrar la autenticación TACACS +. ¿Cuáles son dos atributos de la autenticación TACACS +? (Escoge dos.)
Puerto UDP 1645
cifrado solo para la contraseña de un usuario
cifrado para todas las comunicaciones *
Puerto TCP 40
proceso único de autenticación y autorización
procesos separados para autenticación y autorización *
Explicación: La autenticación TACACS + incluye los siguientes atributos:
Separa los procesos de autenticación y autorización
Cifra todas las comunicaciones, no solo las contraseñas
Utiliza el puerto TCP 49
17. ¿Qué tecnología se utiliza para separar las interfaces físicas del dispositivo ASA 5505 en diferentes zonas de seguridad?
Traducción de Direcciones de Red
calidad de servicio
redes virtuales de área local *
listas de control de acceso
Explicación: Para un ASA 5505, las implementaciones comunes usan una VLAN específica con un nivel de seguridad más alto para una red interna y una VLAN separada con un nivel de seguridad más bajo para la red externa.
18. ¿Cómo se utilizan conjuntamente los componentes del Sistema de prevención de intrusiones (IPS) y del Sistema de detección de intrusiones (IDS)?
El IDS bloquea el tráfico ofensivo y el IPS verifica que se haya bloqueado el tráfico ofensivo.
El IPS enviará mensajes de alerta cuando el IDS envíe tráfico marcado como malicioso.
El IPS bloqueará todo el tráfico que el IDS no marque como legítimo.
El IDS enviará mensajes de alerta sobre el tráfico de «zona gris», mientras que el IPS bloqueará el tráfico malicioso. *
Explicación: Los sensores IDS generalmente se implementan en modo fuera de línea. Aunque no detienen los paquetes activados inmediatamente, no tienen ningún impacto en el rendimiento de la red y, por lo tanto, pueden configurarse para identificar un ámbito más amplio de actividades. Los sensores IPS se pueden configurar para realizar una caída de paquetes para detener el paquete de activación. Sin embargo, debido a que se implementan en línea, la inspección del flujo de tráfico pesado podría tener un impacto negativo en el rendimiento de la red. Las tecnologías IDS e IPS pueden complementarse entre sí. Por ejemplo, se puede implementar un IDS para validar el funcionamiento del IPS porque el IDS se puede configurar para una inspección más profunda de paquetes fuera de línea. Esto permite que el IPS se centre en menos patrones de tráfico en línea, pero más críticos.
19. ¿Cuál es el resultado de un ataque de inanición DHCP?
Los clientes legítimos no pueden arrendar direcciones IP. *
Las direcciones IP asignadas a clientes legítimos son secuestradas.
El atacante proporciona información incorrecta sobre el DNS y la puerta de enlace predeterminada a los clientes.
Los clientes reciben asignaciones de direcciones IP de un servidor DHCP no autorizado.
Explicación: Los ataques de inanición de DCHP son lanzados por un atacante con la intención de crear un DoS para los clientes DHCP. Para lograr este objetivo, el atacante utiliza una herramienta que envía muchos mensajes DHCPDISCOVER para ceder todo el grupo de direcciones IP disponibles, negándolas así a los hosts legítimos.
20. ¿Qué componente del enrutador determina la cantidad de firmas y motores que se pueden admitir en una implementación de IPS?
Disponibilidad de USB
memoria disponible*
número de interfaces
velocidad de la CPU
Explicación: La cantidad de firmas y motores que se pueden admitir adecuadamente depende de la cantidad de memoria disponible.
21. ¿Qué algoritmo se utiliza con IPsec para brindar confidencialidad a los datos?
AES *
RSA
MD5
Diffie-Hellman
SHA
Explicación: El marco de IPsec utiliza varios protocolos y algoritmos para proporcionar confidencialidad, integridad, autenticación e intercambio seguro de claves. Dos algoritmos populares que se utilizan para garantizar que los datos no se intercepten ni modifiquen (integridad de los datos) son MD5 y SHA. AES es un protocolo de cifrado y proporciona confidencialidad de los datos. DH (Diffie-Hellman) es un algoritmo que se utiliza para el intercambio de claves. RSA es un algoritmo que se utiliza para la autenticación.
22. Al configurar SSH en un enrutador para implementar la administración de red segura, un ingeniero de red ha emitido los comandos login local y transport input ssh line vty. ¿Qué tres acciones de configuración adicionales deben realizarse para completar la configuración SSH? (Elige tres.)
Cree una base de datos local válida de nombre de usuario y contraseña. *
Genere las claves RSA asimétricas. *
Configure los niveles de privilegios del usuario.
Configure el acceso CLI basado en roles.
Configure el nombre de dominio de IP correcto. *
Habilite SSH manualmente después de que se generen las claves RSA.
Explicación: SSH se habilita automáticamente después de que se generan las claves RSA. Establecer niveles de privilegios de usuario y configurar el acceso CLI basado en roles son buenas prácticas de seguridad, pero no son un requisito para implementar SSH.
23. ¿Qué se puede utilizar como alternativa al HMAC?
SHA
MD5
algoritmos de cifrado simétrico
firmas digitales*
Explicación: Tanto HMAC como firmas digitales se utilizan para garantizar que los mensajes sean auténticos. MD5 y SHA se consideran algoritmos heredados que deben evitarse porque tienen fallas de seguridad. Los algoritmos de cifrado garantizan la confidencialidad de los datos en lugar de la autenticación.
24. ¿Cómo se pueden mitigar los ataques de suplantación de identidad de DHCP?
al deshabilitar las negociaciones de DTP en puertos no troncales
implementando seguridad portuaria
mediante la aplicación del comando ip verify source a puertos que no son de confianza
implementando DHCP snooping en puertos confiables *
Explicación: Uno de los procedimientos para evitar un ataque de salto de VLAN es deshabilitar las negociaciones DTP (auto trunking) en los puertos no troncales. Los ataques de suplantación de identidad de DHCP se pueden mitigar mediante la inspección de DHCP en puertos de confianza. El comando de configuración de la interfaz de origen de verificación ip se utiliza para habilitar IP Source Guard en puertos que no son de confianza para proteger contra la suplantación de direcciones IP y MAC.
25. Un administrador de red está configurando un servidor AAA para administrar la autenticación RADIUS. ¿Qué dos funciones están incluidas en la autenticación RADIUS? (Escoge dos.)
proceso único de autenticación y autorización *
contraseñas ocultas durante la transmisión *
cifrado solo para los datos
cifrado para todas las comunicaciones
procesos separados para autenticación y autorización
Explicación: La autenticación RADIUS admite las siguientes funciones:
Autenticación y autorización RADIUS como un proceso
Cifra solo la contraseña
Utiliza UDP
Admite tecnologías de acceso remoto, 802.1X y Protocolo de inicio de sesión (SIP)
26. Un servidor syslog ha recibido el mensaje que se muestra.
* 1 de marzo 00: 07: 18.783:% SYS-5-CONFIG_I: Configurado desde la consola por vty0 (172.16.45.1)
¿Qué se puede determinar a partir del mensaje de syslog?
El mensaje es una notificación normal y no debe revisarse.
El mensaje informa al administrador que un usuario con una dirección IP 172.16.45.1 configuró este dispositivo de forma remota. *
El mensaje es un mensaje de notificación de Log_Alert.
La descripción del mensaje muestra que se accedió a la línea de la consola localmente.
Explicación: El mensaje que se muestra es un aviso de registro de nivel 5 y muestra que un usuario con una dirección IP 172.16.45.1 ha configurado este dispositivo de forma remota.
27. ¿Cuál es el nivel de seguridad preconfigurado predeterminado para la interfaz de red externa en un Cisco ASA 5505?
255
1
0 *
100
Explicación: De forma predeterminada, Cisco ASA se envía con dos interfaces preconfiguradas: interfaz VLAN 1 para la red interna con un nivel de seguridad de 100 y VLAN 2 para la red externa con un nivel de seguridad de 0.
28. ¿Qué término describe un conjunto de reglas utilizadas por un IDS o IPS para detectar una actividad de intrusión típica?
definición
desencadenar
firma*
archivo de eventos
Explicación: Una firma es un conjunto de reglas que utilizan un IDS y un IPS para detectar la actividad de intrusión típica, como los ataques DoS. Estas firmas identifican de forma única gusanos, virus, anomalías de protocolo y tráfico malicioso específicos.
29. ¿Qué tipo de ataque de salto de VLAN se puede prevenir designando una VLAN no utilizada como la VLAN nativa?
Etiquetado doble de VLAN *
Hambre de DHCP
Suplantación de DHCP
Suplantación de identidad DTP
Explicación: La suplantación de mensajes DTP obliga a un conmutador al modo de enlace troncal como parte de un ataque de salto de VLAN, pero el etiquetado doble de VLAN funciona incluso si los puertos troncales están desactivados. Cambiar la VLAN nativa de la VLAN predeterminada a una VLAN no utilizada reduce la posibilidad de este tipo de ataque. La suplantación de DHCP y la inanición de DHCP aprovechan las vulnerabilidades en el intercambio de mensajes DHCP.
30. ¿Qué enunciado describe Cisco Cloud Web Security?
Es un servidor web seguro diseñado específicamente para la computación en nube.
Es un servicio de seguridad basado en la nube para escanear el tráfico en busca de malware y aplicación de políticas. *
Es una solución de firewall avanzada para proteger los servidores web contra amenazas a la seguridad.
Es un dispositivo de seguridad que proporciona una solución todo en uno para proteger y controlar el tráfico web.
Explicación: Cisco Cloud Web Security (CWS) es un servicio de seguridad basado en la nube que utiliza proxies web en el entorno de la nube de Cisco para escanear el tráfico en busca de malware y aplicación de políticas. No es una solución de servidor de seguridad o web. Cisco Web Security Appliance (WSA) combina varias soluciones de seguridad para proporcionar una solución todo en uno en una sola plataforma para abordar los desafíos de proteger y controlar el tráfico web.
31. ¿Por qué normalmente se evita el algoritmo Diffie-Hellman para cifrar datos?
DH se ejecuta demasiado rápido para implementarse con un alto nivel de seguridad.
La mayor parte del tráfico de datos se cifra mediante algoritmos asimétricos.
Los grandes números utilizados por DH hacen que sea demasiado lento para las transferencias de datos masivas. *
DH requiere una clave compartida que se intercambia fácilmente entre el remitente y el receptor.
Explicación: Diffie-Hellman (DH) es un algoritmo matemático asimétrico que es demasiado lento para cifrar grandes cantidades de datos. La mayor longitud de la clave y la complejidad de DH lo hacen ideal para generar las claves utilizadas por los algoritmos simétricos. Los algoritmos simétricos suelen cifrar los datos, mientras que DH crea las claves que utilizan.
32. ¿Qué información proporciona la herramienta de gestión de seguridad de red SIEM a los administradores de red?
informes y análisis en tiempo real de eventos de seguridad *
evaluación de las configuraciones de seguridad del sistema
un mapa de sistemas y servicios de red
detección de puertos TCP y UDP abiertos
Explicación: SIEM, que es una combinación de productos de gestión de información de seguridad y gestión de eventos de seguridad, se utiliza para análisis forenses y proporciona informes en tiempo real de eventos de seguridad.
33. ¿Qué se puede configurar como parte de un objeto de red?
Tipo de interfaz
Dirección IP y máscara *
protocolo de capa superior
dirección MAC de origen y destino
Explicación: Hay dos tipos de objetos que se pueden configurar en Cisco ASA 5505: objetos de red y objetos de servicio. Los objetos de red se pueden configurar con una dirección IP y una máscara. Los objetos de servicio se pueden configurar con un protocolo o rangos de puertos.
34. Un usuario se queja de no poder acceder a la red. ¿Qué comando usaría el administrador de red para determinar qué lista de métodos AAA se está usando para este usuario en particular cuando el usuario inicia sesión?
depurar contabilidad aaa
depurar autorización aaa
depurar autenticación aaa *
depurar protocolo aaa
Explicación: En la salida del comando debug aaa authentication, para identificar rápidamente qué lista de métodos se está utilizando, busque los mensajes de estado GETUSER y GETPASS.
35. ¿Cuál es una limitación para usar la administración OOB en una red empresarial grande?
El tráfico de producción comparte la red con el tráfico de gestión.
Los servidores de terminales pueden tener conexiones de consola directas a los dispositivos de usuario que necesitan administración.
La gestión de OOB requiere la creación de VPN.
Todos los dispositivos parecen estar conectados a una única red de administración. *
Explicación: La gestión OOB proporciona una red de gestión dedicada sin tráfico de producción. Los dispositivos dentro de esa red, como los servidores de terminales, tienen acceso directo a la consola para fines de administración. Debido a que la administración en banda se ejecuta en la red de producción, es posible que se necesiten túneles seguros o VPN. Es posible que las fallas en la red de producción no se comuniquen al administrador de la red OOB porque la red de administración OOB puede no verse afectada
36. Una empresa implementa un IPS basado en red. ¿Qué afirmación describe una alarma de falso negativo emitida por el sensor IPS?
Pasa un paquete de usuario normal y no se genera ninguna alarma.
Pasa un paquete de usuario normal y se genera una alarma.
Pasa un paquete de ataque y se genera una alarma.
Pasa un paquete de ataque y no se genera ninguna alarma. *
Explicación: Los cuatro tipos de alarma IDS / IPS son:
Falso positivo: pasa un paquete de usuario normal y se genera una alarma.
Falso negativo: pasa un paquete de ataque y no se genera ninguna alarma.
Verdadero positivo: pasa un paquete de ataque y se genera una alarma.
Verdadero negativo: pasa un paquete de usuario normal y no se genera ninguna alarma.
37. ¿Qué tipo de ACL ofrece mayor flexibilidad y control sobre el acceso a la red?
flexible
estándar nombrado
extendido*
estándar numerado
Explicación: Los dos tipos de ACL son estándar y extendidos. Ambos tipos se pueden nombrar o numerar, pero las ACL extendidas ofrecen una mayor flexibilidad.
38. ¿Qué documento de seguridad incluye detalles de implementación, generalmente con instrucciones paso a paso y gráficos?
documento de resumen
documento de procedimiento *
documento de la directriz
documento estándar
Explicación: De los tres tipos de documentos de política de seguridad (estándares, directrices y procedimientos), es el documento de procedimiento el que incluye detalles como instrucciones paso a paso y gráficos.
39. ¿Cuál es una característica de una zona DMZ?
No se permite el tráfico que se origina en la red interior que va a la red DMZ.
El tráfico que se origina en la red exterior que va a la red DMZ está permitido de forma selectiva. *
Se permite el tráfico que se origina en la red DMZ y que se dirige a la red interna.
El tráfico que se origina en la red interior que va a la red DMZ se permite de forma selectiva.
Explicación: Las características de una zona DMZ son las siguientes:
Se permite el tráfico que se origina en la red interior que va a la red DMZ.
El tráfico que se origina en la red exterior que va a la red DMZ se permite de forma selectiva.
Se deniega el tráfico que se origina en la red DMZ y que va a la red interna.
40. ¿Qué tipo de conexión ASDM proporcionaría acceso remoto seguro para usuarios remotos a redes corporativas?
Lanzador de ASDM
AnyConnect SSL VPN *
VPN de sitio a sitio
VPN de Java Web Start
Explicación: El lanzador de ASDM es una opción que se utiliza para ejecutar Cisco ASDM como una aplicación local en lugar de a través de un navegador. La otra opción es ejecutar ASDM como una aplicación Java Web Start a través de un navegador. La opción VPN de sitio a sitio se utiliza para conectar un ASA a un enrutador ASA o ISR remoto. Cisco AnyConnect SSL VPN proporciona a los usuarios remotos un acceso seguro a las redes corporativas.
41. ¿Qué tres servicios y funciones del plano de reenvío están habilitados por la función Cisco AutoSecure? (Elija tres).
acceso SSH seguro
Inspección del firewall de Cisco IOS *
Reenvío Cisco Express (CEF) *
filtrado de tráfico con ACL *
funciones seguras de contraseña e inicio de sesión
notificación legal mediante banner
Explicación: Cisco Express Forwarding, el filtrado de tráfico mediante ACL y la inspección del firewall de Cisco IOS son servicios y funciones del plano de reenvío. SSH seguro, contraseña segura y funciones de inicio de sesión y notificación legal mediante un banner son servicios y funciones del plano de gestión.
42. ¿Qué característica del marco de Cisco Network Foundation Protection evita que un procesador de ruta se vea abrumado por tráfico innecesario?
Vigilancia del plano de control *
Guardia de fuente de IP
seguridad portuaria
listas de control de acceso
Explicación: Control Plane Policing proporciona un método para que un administrador controle la cantidad de tráfico que maneja el procesador de ruta. Esta medida de seguridad evita que un procesador de ruta se vea abrumado por tráfico innecesario. IP Source Guard y las listas de control de acceso se utilizan para proteger el plano de datos de los dispositivos de red.
43. ¿Qué tres tareas puede realizar un administrador de red con las herramientas de prueba de seguridad de Nmap y Zenmap? (Elige tres.)
detección de puertos UDP y TCP abiertos *
huellas dactilares del sistema operativo *
recuperación de contraseña
análisis e informes de eventos de seguridad
evaluación de la compatibilidad con el protocolo de capa 3 en hosts *
desarrollo de firmas IDS
Explicación: Nmap es un escáner de red de bajo nivel que está disponible para el público y que tiene la capacidad de realizar un escaneo de puertos, para identificar puertos TCP y UDP abiertos, y que también puede realizar la identificación del sistema. También se puede utilizar para identificar protocolos de Capa 3 que se ejecutan en un sistema. Zenmap es la versión GUI de Nmap.
44. ¿Qué dos puntos finales pueden estar en el otro lado de una VPN de sitio a sitio ASA configurada usando ASDM? (Escoge dos.)
otro ASA *
Conmutador Frame Relay
interruptor multicapa
Conmutador DSL
Enrutador ISR *
Explicación: ASDM admite la creación de una VPN de sitio a sitio ASA entre dos ASA o entre un ASA y un enrutador ISR.
45. Una empresa despliega una topología VPN de concentrador y radio en la que el dispositivo de seguridad es el concentrador y las redes VPN remotas son los radios. ¿Qué método de VPN se debe utilizar para que un radio se comunique con otro radio a través de la interfaz pública única del dispositivo de seguridad?
horquilla *
GRE
túnel dividido
MPL
46. ¿Qué dos tipos de piratas informáticos se clasifican normalmente como piratas informáticos de sombrero gris? (Escoge dos.)
script para niños
hacktivistas *
piratas informáticos patrocinados por el estado
corredores de vulnerabilidades *
delincuentes cibernéticos
Explicación: Los hackers de sombrero gris pueden hacer cosas ilegales o no éticas, pero no para beneficio personal o para causar daño. Los hacktivistas utilizan su pirateo como una forma de protesta política o social, y los corredores de vulnerabilidades piratean para descubrir debilidades e informarlas a los proveedores. Dependiendo de la perspectiva que uno posea, los piratas informáticos patrocinados por el estado son operadores de sombrero blanco o de sombrero negro. Los niños de scripts crean scripts de piratería para causar daños o interrupciones. Los ciberdelincuentes utilizan la piratería para obtener beneficios económicos por medios ilegales.
47. ¿Qué implementación de seguridad proporcionará protección en el plano de administración para un dispositivo de red?
antiproyección
autenticación de protocolo de enrutamiento
control de acceso basado en roles *
listas de control de acceso
Explicación: Los procesos del plano de gestión suelen utilizar protocolos como Telnet y SSH. El control de acceso basado en roles asegura que solo los usuarios autorizados tengan privilegios de administración. Las ACL realizan funciones de filtrado y eliminación de errores en el plano de datos para proteger los paquetes generados por los usuarios. La autenticación del protocolo de enrutamiento en el plano de control garantiza que un enrutador no acepte actualizaciones de enrutamiento falsas de enrutadores vecinos.
48. Un técnico de seguridad está evaluando una nueva propuesta de seguridad de operaciones diseñada para limitar el acceso a todos los servidores. ¿Cuál es la ventaja de utilizar las pruebas de seguridad de la red para evaluar la nueva propuesta?
Las pruebas de seguridad de la red están diseñadas específicamente para evaluar las tareas administrativas que involucran el acceso a servidores y estaciones de trabajo.
La prueba de seguridad de la red es simple porque solo requiere una prueba para evaluar la nueva propuesta.
Las pruebas de seguridad de la red son más efectivas cuando se implementan nuevas propuestas de seguridad.
Las pruebas de seguridad de la red evalúan de manera proactiva la efectividad de la propuesta antes de que ocurra una amenaza real. *
Explicación: Las pruebas de seguridad de la red pueden evaluar la efectividad de una solución de seguridad de operaciones sin tener que esperar a que ocurra una amenaza real. Sin embargo, este tipo de prueba debe realizarse periódicamente, en lugar de una sola vez. Es eficaz evaluar muchas tareas diferentes cuando se lleva a cabo durante las etapas operativa y de implementación.
49. ¿Qué característica es específica de la licencia de actualización Security Plus de un ASA 5505 y proporciona una mayor disponibilidad?
conexiones ISP redundantes *
modo transparente
modo enrutado
inspección de paquetes con estado
50. ¿Cuál es una característica de una VPN de sitio a sitio ASA?
Las VPN de sitio a sitio de ASA crean una conexión segura de un solo usuario a la LAN.
El protocolo IPsec protege los datos transmitidos a través del túnel de sitio a sitio. *
Las VPN de sitio a sitio ASA solo se pueden establecer entre dispositivos ASA.
El primer paquete de solicitud de eco enviado para probar el establecimiento del túnel siempre tiene éxito.
Explicación: Una VPN de sitio a sitio ASA crea una conexión segura de LAN a LAN. La VPN se puede establecer con otro enrutador ASA o ISR. Se pueden emitir pings para probar el túnel establecido entre dispositivos. El primer paquete de solicitud de eco enviado al host remoto falla, pero luego los demás tienen éxito porque los dispositivos deben negociar los parámetros del túnel.
51. ¿Cuál es el resultado de habilitar la función de resistencia de imagen de Cisco IOS?
Los archivos protegidos se pueden ver en la salida de un comando emitido por la CLI.
Se puede acceder a varios archivos de bootset primarios.
La función solo se puede desactivar mediante una sesión de consola. *
Las imágenes de un servidor TFTP se pueden proteger.
Explicación: La función de resistencia de la imagen de Cisco IOS crea una copia de la imagen de IOS y la configuración en ejecución (conjunto de arranque principal) y las almacena localmente en un archivo oculto. Una vez que la función está habilitada, solo se puede deshabilitar a través de una sesión de consola. Las imágenes que se cargan desde una ubicación remota, como un servidor TFTP, no se pueden proteger. El sistema de archivos de Cisco IOS evita que los archivos protegidos se incluyan en la salida del comando.
52. ¿Qué especifica la palabra clave predeterminada cuando se usa con el comando de inicio de sesión de autenticación aaa?
La autenticación debe establecerse específicamente para todas las líneas; de lo contrario, se deniega el acceso y no se realiza ninguna autenticación.
La autenticación se habilita automáticamente para las líneas vty utilizando la contraseña de habilitación.
Se accede a la base de datos local de nombre de usuario / contraseña para autenticación.
La autenticación se aplica automáticamente a las líneas con 0, aux y vty. *
Explicación: La palabra clave predeterminada aplica la autenticación AAA a todas las líneas de consola, auxiliares y vty. La autenticación AAA se puede configurar para utilizar un servidor AAA o nombres de usuario / contraseñas locales para autenticar a los usuarios.
53. ¿Cuáles son los dos protocolos que utiliza AAA para autenticar a los usuarios frente a una base de datos central de nombres de usuario y contraseñas? (Escoge dos.)
RADIO*
SSH
HTTPS
CAP
NTP
TACACS + *
Explicación: Al utilizar TACACS + o RADIUS, AAA puede autenticar a los usuarios a partir de una base de datos de nombres de usuario y contraseñas almacenadas de forma centralizada en un servidor como un servidor Cisco ACS.
54. ¿Qué servicio debe desactivarse en un enrutador para evitar que un host malintencionado responda falsamente a las solicitudes de ARP con la intención de redirigir las tramas de Ethernet?
LLDP
ARP inverso
proxy ARP *
CDP
Explicación: Proxy ARP es una técnica utilizada en un dispositivo en una red para responder consultas ARP para un dispositivo en otra red. Este servicio debe desactivarse en un enrutador y debe configurarse la dirección de puerta de enlace predeterminada correcta (manualmente o mediante DHCP) para el proceso normal de acceso a la red remota. CDP y LLDP son protocolos de descubrimiento de dispositivos. ARP inverso se utiliza para resolver direcciones IP.
55. ¿Cuál es una característica de los algoritmos asimétricos?
La gestión de claves es más difícil con algoritmos asimétricos que con algoritmos simétricos.
Se utilizan longitudes de clave muy largas. *
Tanto el remitente como el receptor conocen la clave antes de que se comparta la comunicación.
Los algoritmos asimétricos son más fáciles de acelerar para el hardware.
Explicación: Los algoritmos asimétricos no requieren una clave previamente compartida, lo que simplifica la administración de claves. Las longitudes de clave más largas que utilizan los algoritmos asimétricos dan como resultado una ejecución más lenta por parte de los dispositivos.
56. ¿Cuáles son dos inconvenientes en la asignación de niveles de privilegios de usuario en un enrutador Cisco? (Escoge dos.)
Solo un usuario root puede agregar o eliminar comandos.
Los niveles de privilegio deben configurarse para permitir el control de acceso a interfaces, puertos o ranuras de dispositivos específicos.
La asignación de un comando con varias palabras clave permite el acceso a todos los comandos que utilizan esas palabras clave. *
Los comandos de un nivel inferior siempre se pueden ejecutar en un nivel superior. *
AAA debe estar habilitado.
Explicación: Es posible que los niveles de privilegios no proporcionen la flexibilidad y la especificidad deseadas porque los niveles superiores siempre heredan los comandos de los niveles inferiores, y los comandos con varias palabras clave dan al usuario acceso a todos los comandos disponibles para cada palabra clave. Los niveles de privilegio no pueden especificar el control de acceso a interfaces, puertos o ranuras. No se requiere AAA para establecer niveles de privilegios, pero es necesario para crear vistas basadas en roles. El rol de usuario root no existe en los niveles de privilegios.
57. ¿Qué servicio agrega el ASA 5500-X a Cisco ASA 5500?
Virtualización ASA
Servicio FirePOWER *
alta disponibilidad con conmutación por error
servicios de control y contención de amenazas
Explicación: La serie Cisco ASA 5500-X con el servicio FirePOWER fusiona los dispositivos de la serie ASA 5500 con algunas características nuevas, como protección avanzada contra malware, así como control de aplicaciones y filtrado de URL. Los servicios de virtualización ASA, alta disponibilidad con conmutación por error y servicios de control y contención de amenazas ya los proporcionan los dispositivos ASA 5500.
58. Un analista de redes inserta una unidad USB en un dispositivo ASA 5506-X. ¿Cómo trata el IOS el almacenamiento externo?
Está montado como disk0.
Está montado como disk1.
Está montado como diska.
Está montado como diskb.
