CCNA Securi
Short Description
preguntas...
Description
CCNA Security: Implementación de Seguridad de Red (versión 2.0) - CCNA Security (IINS) Examen de Prácticas de Certificación ______________________ ___________________________________ __________________ _____ A Continuación se Muestra La Información Sobre Elementos para Los Que no recibio Todo el crédito. Interactivos algunos adj adj adj Elementos pueden No mostrar su Respuesta. subpuntuación: 1
¿QUE DOS: Características describen el virus de la ONU? (Escoge dos). Un ataque auto-replicante Que se Puso en Marcha de forma independiente. El software malicioso Que se basa en la acción de las Naciones Unidas ONU usuario o Programa para Activar. El código malicioso Que PUEDE Permanecer inactiva los Antes de ejecutar el pecado Una Acción Deseada. código de programa especificamente Diseñado para danar la Memoria de los Dispositivos de rojo. Que el malware ejecuta código arbitrario e Instala Copias de sí Mismo en la Memoria.
Un virus es un código malicioso que se adjunta a programas legítimos o archivos ejecutables. La mayoría de los virus requieren la activación del usuario final, pueden permanecer inactivos durante un período prolongado y luego activarse en una fecha o hora específica. Por el contrario, un gusano ejecuta código arbitrario e instala copias de sí mismo en la memoria de la computadora infectada. El objetivo principal de un gusano es la replicación automática para propagarse rápidamente a través de una red. Un gusano no requiere un programa host para ejecutarse. Este punto hace referencia al contenido de las siguientes áreas: CCNA Security: Implementación de Seguridad de Red 1.2.3 malware
•
2
¿Qué dos opciones puede limitar la información descubierta a partir de la exploración de puertos? (Escoge dos.) encriptación Sistema de Prevención de Intrusión autenticación cortafuegos contraseñas
Using an intrusion prevention system (IPS) and firewall can limit the information that can be discovered with a port scanner. Authentication, encryption, and passwords provide no protection from loss of information from port scanning.This item references content from the following areas: CCNA Security: Implementing Network Security 1.3.4 Mitigating Common Network Attacks
•
3
Which two options provide secure remote access to a router? (Choose two.) CHAP HTTP Telnet SSH HTTPS
For security, all traffic between the administrator computer and the router should be encrypted by using HTTPS or SSH instead of HTTP or Telnet. This item references content from the following areas: CCNA Security: Implementing Network Security 2.1.1 Securing the Edge Router
•
4
The graphic contains the following configuration information:Router(config)# login block-for 150 attempts 5 within 60Router(config)# ip access-list standard RULE_ADMINRouter(config-std-nacl)# permit 192.168.20.10 Router(config-std-nacl)# permit 192.168.21.10Router(config)# login quiet-mode access-class RULE_ADMIN Refer to the exhibit. An administrator issues these IOS login enhancement commands to increase the security for login connections. What can be concluded about them?
The login block-for command permits the attacker to try 150 attempts before being stopped to try again. Because the login delay command was not used, a one-minute delay between login attempts is assumed. These enhancements apply to all types of login connections. The hosts that are identified in the ACL will have access to the device.
When the login block-for command is implemented, it automatically invokes a one-second delay between login attempts. The login block-for command that is presented means that login will be disabled for 150 seconds, if more than 5 login failures occur within 60 seconds. These enhancements do not apply to console connections. When quiet mode is enabled, all login attempts are denied except for the hosts permitted in the ACL. This item references content from the following areas: CCNA Security: Implementing Network Security 2.1.3 Configuring Enhanced Security for Virtual Logins
•
6
When configuring SSH on a router to implement secure network management, a network engineer has issued the login local and transport input ssh line vty commands. What three additional configuration actions have to be performed to complete the SSH configuration? (Choose three.) Create a valid local username and password database. Set the user privilege levels. Configure the correct IP domain name. Generate the asymmetric RSA keys. Configure role-based CLI access. Manually enable SSH after the RSA keys are generated.
SSH is automatically enabled after the RSA keys are generated. Setting user privilege levels and configuring role-based CLI access are good security practices but are not a requirement of implementing SSH. This item references content from the following areas: CCNA Security: Implementing Network Security 2.1.4 Configuring SSH
•
7
An administrator assigned a level of router access to the user ADMIN using the commands below. Router(config)# privilege exec level 14 show ip routeRouter(config)# enable algorithmtype scrypt secret level 14 cisco-level-10Router(config)# username ADMIN privilege 14 algorithm-type scrypt secret cisco-level-10 Which two actions are permitted to the user ADMIN? (Choose two.) The user can issue the show version command. The user can issue the ip route command. The user can execute all subcommands under the show ip interfaces command. The user can only execute the subcommands under the show ip route command. The user can issue all commands because this privilege level can execute all Cisco IOS commands.
Asignación de ruta de la ONU comando show ip Como una ONU Nivel de privilegio Específica Asigna automaticamente todos los Comandos asociados con las Primeras Palabras clave en El Nivel de privilegio Especificado. Por lo Tanto, el de los Comandos show ip Espectáculo y se establecen automaticamente en El Nivel de privilegio, Donde se Establece show ip route, Que es Necesario Porque el comando show ip ruta No Puede ejecutarse el pecado humano Acceso a los Comandos show ip y Espectáculo. Asignación del comando show ip ruta permite al usuario Emitir todos los Comandos muestran, Como la versión de la Demostración. Este Punto de HACE Referencia al contenido de las Siguientes Áreas: CCNA Security: Implementación de Seguridad de Red 2.2.1 configuracion de los Niveles de Privilegios
•
8
Lo Que Es Una Característica De Una vista CLI Basada en Funciones de configuration del router? Una vista CLI TIENE UNA jerarquía de mando, con vistas Superiores e Inferiores. Cuando Se Elimina La ONU supervista, se eliminan los puntos de vista de la CLI asociados. Solo un Usuario PUEDE Configurar supervista Una Nueva Visión y anadir O ELIMINAR Comandos de los existentes puntos de vista. superviews Una Vista Única de la CLI Puede Ser Compartida Dentro De múltiples.
Una vista de la CLI de No Tiene Ninguna jerarquía de mando, y por lo del del tanto, no hay vistas de heno Superiores o Inferiores. La eliminacion de la ONU supervista pecado Elimina los Puntos de Vista de la CLI Asociados. Sólo un usuario PUEDE Configurar Vista Raíz de Una Nueva Visión y anadir O ELIMINAR Comandos de los existentes puntos de vista. Este Punto de Referencia HACE al contenido de las Siguientes Áreas: CCNA Security: Implementación de Seguridad de Red 2.2.2 Configuracion de CLI BASADO EN papeles
•
9
Qué función se proporciona mediante la característica de configuración de resistencia de Cisco IOS? Permite a los administradores crear diferentes vistas de configuraciones del router para diferentes usuarios. It locks down the management plane and the forwarding plane services and functions of a router. It identifies attacks and security policy violations that are occurring on the network. It maintains a secure copy of the IOS image and running configuration that can be used for fast recovery if flash or NVRAM is erased.
The Cisco IOS Resilient Configuration feature allows a secure copy of the IOS and running configuration file to be stored locally on a router. If flash memory or NVRAM is inadvertently or maliciously erased, the router can be quickly restored using the stored files. This item references content from the following areas: CCNA Security: Implementing Network Security
2.3.1 Securing Cisco IOS Image and Configuration Files
•
10 What service or protocol does the Secure Copy Protocol rely on to ensure that secure copy transfers are from authorized users? IPsec AAA RADIUS SNMP
Secure Copy Protocol (SCP) is used to securely copy IOS images and configuration files to a SCP server. To perform this, SCP will use SSH connections from users authenticated through AAA. This item references content from the following areas: CCNA Security: Implementing Network Security 2.3.1 Securing Cisco IOS Image and Configuration Files
•
11 What level of syslog is associated with Log_Alert? 1 3 0 4 2
Syslog levels range from 0 to 7:Level 0 is Log_EmergLevel 1 is Log_AlertLevel 2 is Log_CritLevel 3 is Log_ErrLevel 4 is Log_WarningLevel 5 is Log_NoticeLevel 6 is Log_InfoLevel 7 is Log_Debug This item references content from the following areas: CCNA Security: Implementing Network Security 2.3.3 Using Syslog for Network Security
•
12 A syslog server has received the message shown. *Mar 1 00:07:18.783: %SYS-5-CONFIG_I: Configured from console by vty0 (172.16.45 .1) What can be determined from the syslog message?
The message informs the administrator that a user with an IP address of 172.16.45.1 configured this device remotely. The message description displays that the console line was accessed locally. The message is a Log_Alert notification message. The message is a normal notification and should not be reviewed. The message shown is a level 5 Log_Notice and displays that a user with an IP address of 172.16.45.1 has configured this device remotely. This item references content from the following areas:
CCNA Security: Implementing Network Security •
2.3.3 Using Syslog for Network Security
13 En la implementación de la gestión de red segura, ¿cuáles son dos servicios o funciones del plano de gestión de un router Cisco que deben ser configurados? (Escoge dos.) inicios de sesión y contraseñas seguras Cisco IOS firewall de inspección acceso SSH seguro filtrado de tráfico con las ACL Cisco Express Forwarding
Cisco Express Forwarding, filtrado de tráfico con ACL, y Cisco IOS firewall de inspección están reenviando los servicios planas que proporcionan seguridad. Plano de gestión de seguridad incluye las siguientes características: •
notificación legal el uso de una bandera
•
funciones de contraseña de inicio de sesión y seguras
•
asegurar NTP
•
acceso SSH seguro
•
servicios de TCP interceptar
Este punto hace referencia al contenido de las siguientes áreas: CCNA Security: Implementación de Seguridad de Red •
2.4.2 Bloqueos de seguridad en un router con AutoSecure
14 Durante el Proceso de AAA, Cuando Se Llevara ONU Cabo de la autorización f f? INMEDIATAMENTE Despues de la Autenticación Exitosa Contra Una fuente de Datos de AAA INMEDIATAMENTE Despues de la determinacion de los Recursos Que Un usuario PUEDE Acceder INMEDIATAMENTE DESPUÉS DE UN cliente AAA Envía Información de Autenticación ONU Servidor Centralizado ONU INMEDIATAMENTE DESPUÉS de AAA Contabilidad y Auditoria Informes detallados Recibir Estafadores
Autorización AAA SE IMPLEMENTA INMEDIATAMENTE Despues De Que El usuario es autenticado Contra Una fuente de Datos AAA Específico. Este Punto de Referencia HACE al contenido de las Siguientes Áreas: CCNA Security: Implementación de Seguridad de Red •
3.1.2 Características AAA
15 Qué función f ff se proporciona por el Protocolo RADIUS? Una RADIUS proporciona Comunicación Segura utilizando el puerto TCP 49. RADIUS proporciona cifrado del paquete completa Durante la transferencia. RADIUS proporciona puertos Separados Para La Autorización y Contabilidad. RADIUS AAA proporciona Servicios Independientes.
Cuando Se autentica unidad ONU usuario AAA, RADIUS utilizació el puerto UDP 1645 o 1812 para la Autenticación y el puerto UDP 1646 o 1813 para la contabilidad. TACACS proporciona Servicios de Autorización y Contabilidad Separadas. Cuando Se autentica unidad ONU cliente RADIUS, es también Autorizado. TACACS proporciona conectividad segura utilizando el puerto TCP 49. RADIUS Esconde las Contraseñas Durante la transmisión y no cifra el paquete completo. Este Punto de Referencia HACE al contenido de las Siguientes Áreas: CCNA Security: Implementación de Seguridad de Red •
Protocolos de Comunicaciones AAA BASADO en Servidor 3.3.2 16 Un administrador de red es la configuración de un servidor AAA para administrar la autenticación RADIUS. ¿Qué dos características se incluyen en la autenticación RADIUS? (Escoge dos.) encriptación para todas las comunicaciones procesos separados para la autenticación y autorización contraseñas ocultas durante la transmisión cifrado de sólo los datos single process for authentication and authorization
RADIUS authentication supports the following features: •
RADIUS authentication and authorization as one process
•
Encrypts only the password
•
Utilizes UDP
•
Supports remote-access technologies, 802.1X, and Session Initiation Protocol (SIP) This item references content from the following areas:
CCNA Security: Implementing Network Security •
3.3.2 Server-Based AAA Communications Protocols
17 An administrator is comparing multiple implementations of AAA. Which AAA method is serverbased and considered the most secure? local-case enable TACACS+ RADIUS
Server-based implementations of AAA include both RADIUS and TACACS+. TACACS+ is considered more secure because the entire protocol exchange is encrypted whereas RADIUS will only encrypt the password of the user. This item references content from the following areas: CCNA Security: Implementing Network Security 3.3.2 Server-Based AAA Communications Protocols
•
20 A network administrator is configuring an AAA server to manage TACACS+ authentication. What are two attributes of TACACS+ authentication? (Choose two.)
TCP port 40 encryption for only the password of a user UDP port 1645 single process for authentication and authorization separate processes for authentication and authorization encryption for all communication
TACACS+ authentication includes the following attributes: Separa los procesos de autenticación y autorización Cifra toda la comunicación, no sólo las contraseñas Utiliza el puerto TCP 49
Este punto hace referencia al contenido de las siguientes áreas: CCNA Security: Implementación de Seguridad de Red Protocolos de comunicaciones AAA basado en servidor 3.3.2
•
1. ¿Qué dos números de puerto UDP se puede utilizar para la autenticación RADIUS AAA basada en servidor? (Escoge dos.) 1813 1812 49 1645 1646
la autenticación RADIUS y contabilidad utilizan los siguientes números de puerto UDP:
el puerto UDP 1645 o 1812 para la autenticación el puerto UDP 1646 o 1813 para la contabilidad
TACACS + utiliza el puerto TCP 49. Este punto hace referencia al contenido de las siguientes áreas: CCNA Security: Implementación de Seguridad de Red
•
Protocolos de comunicaciones AAA basado en servidor 3.3.2
22 ¿Qué funcionalidad tiene la palabra clave única conexión TACACS proporcionar a los servicios de AAA?
permite el USO de Diferentes claves Entre el Servidor TACACS + y el cliente AAA Mantiene Una Única Conexión UDP Para la Vida de la Sesión TCP Mejora el Rendimiento de la Conexión La cifra transferencia de Datos Entre el Servidor TACACS + y el cliente AAA
La palabra clave sueltas Conexión TCP Mejora el Rendimiento TACACS con + Mediante el mantenimiento de Una Única Conexión TCP Para la Vida de la Sesión. Sin La Palabra Clave de Conexión Única, Una Conexión TCP se abre y cierra la Sesión por. Este Punto de Referencia HACE al contenido de las Siguientes Áreas: CCNA Security: Implementación de Seguridad de Red •
3.4.1 configuracion de la Autenticación Basada en Servidor
23
WHAT ES UN Despliegue Efectivo de IPS e IDS Aparatos En Una corporativa roja?
IDS ONU Coloque Entre el enrutador de borde y la roja interna y Una IPS Dentro de la zona de distensión rojo. Coloque la unidad ONU SIP Entre el enrutador de borde y la roja interna y Un IDS en La Misma LAN. Colocar Tanto IPS de la ONU y Un IDS Dentro de la zona de distensión rojo. Coloque la ONU SIP Entre el enrutador de borde y la Red Interna IDS y Un Entre el enrutador de borde y el ISP.
Un IPS se implementa en el modo en línea mientras que un IDS se implementa en el modo promiscuo. Un despliegue efectivo de IPS / IDS es colocar un IPS justo detrás del router de borde para filtrar el tráfico entrante y saliente de la red interna corporativa. IPS y tecnologías IDS pueden complementarse entre sí. A pesar de un IDS no detendrá un ataque de intrusión de inmediato, que puede ser utilizado para validar la operación IPS porque el IDS se puede configurar para más profunda de paquetes de inspección fuera de línea. Esto permite que el IPS para centrarse en un número menor pero más crítica patrones de tráfico en línea. La colocación de IPS e IDS en la red DMZ no protege la red interna corporativa. Este punto hace referencia al contenido de las siguientes áreas: CCNA Security: Implementación de Seguridad de Red •
5.1.2 basadas en red IPS Implementaciones
24
¿Qué enunciado describe la función de la herramienta de ajuste utilizado en un switch Cisco?
Copia el tráfico de un puerto del switch y lo envía a otro puerto del conmutador que está conectado a un dispositivo de vigilancia. Es compatible con la operación de captura SNMP en un interruptor. Es un canal seguro para un interruptor para enviar el registro a un servidor syslog. Se proporciona interconexión entre las VLAN a través de múltiples interruptores.
Para analizar el tráfico de red que pasa a través de un interruptor, se cambió analizador de puerto (SPAN) se puede utilizar. SPAN puede enviar una copia del tráfico de un puerto a o tro puerto en el mismo conmutador al que está conectado un dispositivo analizador o supervisión de la red. SPAN no es necesario para syslog o SNMP. SPAN se utiliza para reflejar el tráfico, mientras Syslog y SNMP están configurados para enviar los datos directamente al servidor apropiado. Este punto hace referencia al contenido de las siguientes áreas: CCNA Security: Implementing Network Security •
5.1.3 Cisco Switched Port Analyzer
26 A system analyst is configuring and tuning a recently deployed IPS appliance. By examining the IPS alarm log, the analyst notices that the IPS does not generate alarms for a few known attack packets. Which term describes the lack of alarms by the IPS?
true negative false positive false negative true positive
The alarms generated by an IPS can be classified into 4 types: • • • •
A false positive occurs when an IPS generates an alarm on normal user traffic that should not have triggered an alarm. A false negative occurs when an IPS fails to generate an alarm after processing attack traffic the IPS is configured to detect. A true positive occurs when an IPS generates an alarm in response to known attack traffic. A true negative occurs when normal network traffic does not generate an alarm. This item references content from the following areas:
CCNA Security: Implementing Network Security •
5.2.2 IPS Signature Alarms
29
Which condition describes a true positive IPS signature alarm? • • • •
when an alarm is not generated in response to a known attack when an alarm is generated by normal traffic when an alarm is not generated by normal traffic when an alarm is generated in response to a known attack
There are four IPS alarms: • • • •
False positive - occurs when normal traffic triggers an alarm False negative - occurs when known malicious traffic that should trigger an alarm does not True positive - occurs when traffic that is known to be malicious triggers an attack True negative - occurs when normal traffic does not trigger an alarm
This item references content from the following areas: CCNA Security: Implementing Network Security 5.2.2 IPS Signature Alarms
•
30 Un especialista en seguridad configura un IPS de modo que se genere una alerta cuando se detecta un ataque primero. Alertas para la detección posterior de la misma ataque se suprimen por un período predefinido de tiempo. Otra alerta se genera al final del período que indica el número del ataque detectado. ¿Qué IPS mecanismo de seguimiento de alerta se configura? • • • •
compuesta de alerta alerta atómica resumen de alerta alerta de correlación
Alertas generadas por un IPS deben ser vigilados estrechamente para asegurar acciones apropiadas se toman contra ataques maliciosos. soluciones IPS incorporan dos tipos de alertas, avisos y alertas atómicas de resumen. alertas atómicas se generan cada vez que una firma activa. Una alerta de resumen es una sola alerta que indica múltiples ocurrencias de la misma firma de la misma dirección de origen o puerto. Con un resumen altera, la primera detección del ataque desencadena una alerta de lo normal. la detección posterior de la misma ataque se contó hasta el final del intervalo de resumen firma. Cuando ha transcurrido el período de tiempo especificado por el intervalo resumen, una alarma de resumen se envía, lo que indica el número de alarmas que se produjeron durante el intervalo de tiempo. Este Punto de Referencia HACE al contenido de las Siguientes Áreas: CCNA Security: Implementación de Seguridad de Red 5.2.3 Acciones de la firma IPS
•
31 En La configuración De un router Cisco Parr Funciones prepararse Parr IPS y VPN, Administrador de la unidad ONU roja se abre el archivo reino-cisco.pub.key.txt, y copia y pega el contenido al enrutador en el indicador de configuración global. ¿Cual es el resultado m m Despues De Este Paso de configuración? • • • •
Un par de claves Públicas / secretas se crea para el enrutador para servir Como un Servidor SSH. Un par de claves Públicas / secretas se crea para el Funcionamiento de IPSec VPN. El enrutador se autentica con el Servidor Web seguras con IPS con Recursos de Cisco. Se crea Una clave de cifrado para IOS IPS para verificar el archivo de firma del Maestro.
El tercer paso es la Aplicación IOS IPS es Configurar La Clave Pública de Cisco IOS IPS Que SE Encuentra en el archivo cisco.pub.key.txt-Reino. Este clave pública se utilizació para verificar la firma digital, para el Archivo de la firma director, Y SE Puede descargar desde cisco.com. Para Configurar la clave de cifrado IOS IPS, abra el archivo de texto, y Copiar y pegar el contenido en el enrutador en el indicador de configuración global. Los pares de claves Públicas / Privadas para VPN IPSec y el Servidor SSH se generan utilizando Diferentes Métodos.
Este Punto de Referencia HACE al contenido de las Siguientes Áreas: CCNA Security: Implementación de Seguridad de Red 5.3.1 Configurar Cisco IOS IPS con la CLI
•
33 ¿Cual es el papel del agente NAC de Cisco En La Implementación De Una infraestructura de segura roja? para proporcionar la Capacidad de los Empleados de la Compañía para crear de de de cuentas de invitados Para Llevar ONU Cabo Una inspección minuciosa de los Perfiles de seguridad del Dispositivo para proporcionar Una monitorización post-Conexión de Todos los Dispositivos de Punto Final Definir para el acceso de usuario Basada en Papeles y las Políticas de Seguridad de Punto Final para evaluar v vy Hacer Cumplir las Políticas de Seguridad en el entorno de la NAC
• • • • •
Cisco NAC se utilizació en la Arquitectura Cisco Borderless Network para autenticar Usuarios y Asegurar los Dispositivos de Usuario hijo compatibles con las Políticas de Seguridad. El agente NAC de Cisco es el software de la unidad ONU agente opcional Que se ejecuta en los puntos y los episodios finales Realiza Una inspección minuciosa del Perfil de Seguridad de Dispositivo ESE. Este punto hace referencia al contenido de las siguientes áreas: CCNA Security: Implementación de Seguridad de Red •
6.1.4 Control de Acceso a la Red
34
Los cuales tres funciones se realizan bajo el marco de la solución Cisco NAC? (Elige tres.) • • • • • •
prevención de intrusiones conexión segura a los servidores conexión VPN servicios de AAA de exploración para el cumplimiento de la política remediación para dispositivos no cumplen las normas
El objetivo tanto de la tecnología Cisco NAC y el Cisco NAC Appliance es asegurar que sólo los hosts que se autentican y tienen su postura de seguridad examinados y aprobados son permitidos en la red. Ellos proporcionan cuatro funciones importantes: autenticación, autorización y contabilidad; evaluación de la postura (la evaluación de un dispositivo entrante contra las políticas de seguridad), poner en cuarentena de los sistemas que no cumplen, y la remediación de los dispositivos no compatibles. No proporcionan conexión VPN o servicios de detección / prevención de intrusiones. Este punto hace referencia al contenido de las siguientes áreas: CCNA Security: Implementación de Seguridad de Red •
6.1.4 Control de Acceso a la Red
36
What mitigation method is effective against CAM table overflow attacks? • • • •
port security DHCP snooping Source Guard Dynamic ARP Inspection
Port security is the most effective method for preventing CAM table overflow attacks. Port security gives an administrator the ability to manually specify what MAC addresses should be seen on given switch ports. It provides a method for limiting the number of MAC addresses that can be dynamically learned over a switch port. This item references content from the following areas: CCNA Security: Implementing Network Security •
6.2.3 Mitigating CAM Table Attacks
37
Which antispoofing technology is used to mitigate DoS attacks? • • • • •
switched infrastructure encryption strong authentication switch port-security port scanning
La implementación de interruptor de puerto de seguridad ayudará a mitigar los ataques de denegación de servicio. Con el fin de mitigar los ataques de reconocimiento, lo mejor es utilizar una autenticación fuerte, una infraestructura conmutada, antisniffer software, y el cifrado. Este punto hace referencia al contenido de las siguientes áreas: CCNA Security: Implementación de Seguridad de Red •
6.2.5 Ataques Mitigación de DHCP
38 ¿Qué medidas puede tomar un administrador de red para ayudar a mitigar la amenaza de ataques de VLAN hopping? • • • •
Desactivar la negociación automática de trunking. Configurar todos los puertos de switch a ser miembros de la VLAN 1. Desactivar VTP. Habilitar PortFast en todos los puertos del conmutador.
Hay dos métodos para mitigar los ataques de salto de VLAN: 1. deshabilitar la negociación automática de trunking switchports 2. Girando trunking Apagado en Todo el switchport nontrunk pecado USAR
Este Punto de Referencia HACE al contenido de las Siguientes Áreas: CCNA Security: Implementación de Seguridad de Red •
6.2.4 Mitigación de Ataques de VLAN
39 ¿En que Seria Situación De La ONU Administrador de Color Rojo Mas es probable APLICAR Protección de Raíz? • en todos los puertos de conmutación Que conectan Una unidad ONU Dispositivo de Capa 3 • en todos los puertos de conmutación Que conectan ONU interruptor Otro Que No Es El
Puente Raíz • en todos los puertos del conmutador (USADO O pecado USAR) • en todos los puertos de conmutación Que conectan a la sede de Dispositivos • en todos los puertos de conmutación Que conectan ONU conmutador Otro Protección de Raíz en conjunción con PortFast, y el protector de BPDU SE EE.UU. para Prevenir la ONU ataque de Manipulación STP. Este Punto de Referencia HACE al contenido de las Siguientes Áreas: CCNA Security: Implementación de Seguridad de Red •
6.2.9 Mitigación de Ataques STP
41
Que atacan la roja se Mitiga al permitir Que La Guardia BPDU? • • • •
Falsificación de Direcciones MAC Servidores DHCP falsos En Una roja CAM Ataques de desbordamiento de la tabla Interruptores falso En Una roja
Hay Varios Mecanismos de Estabilidad STP Recomendada Para Ayudar a mitigar los Ataques de Manipulación STP: • PortFast - utilizació para lograr v de Inmediato Una Interfaz configurada Como un puerto de
enlace troncal de acceso o al Estado de Envío de la ONU Estado de bloqueo. SE APLICA a todos los puertos de usuario final. • BPDU Guardia - INMEDIATAMENTE un Errores deshabilita la ONU Puerto Que Una recibir con BPDU. SE APLICA a todos ports.The la recepción ¿Te del Usuario definitiva de BPDU Puede Ser Parte de la ONU Intento no Autorizado para la ONU para contactar interruptor a la roja. • Protección de Raíz - impide la ONU Cambio de Convertirse en el interruptor de la raíz. SE APLICA a todos los puertos en Los Que No Se Dę be ubicar el interruptor de Raiz. • bucle de guardia - Detecta enlaces unidireccionales para Prevenir Puertos Alternativos o de Raíz se conviertan en puertos Designados. SE APLICA a todos los puertos Que Son o pueden Llegar a Ser Pecado Designado. Este Punto de Referencia HACE al contenido de las Siguientes Áreas: CCNA Security: Implementación de Seguridad de Red
•
6.2.9 Mitigación de Ataques STP
42 requieren ¿Que Tipo de Algoritmos emisor y receptor Para El Intercambio El De Una Clave Secreta Que Se utilizació Parr Asegurar La confidencialidad de los Mensajes? • • • •
Algoritmos de clave pública Algoritmos asimétricos Algoritmos simétricos Algoritmos de hash de
Los algoritmos simétricos utilizan la misma clave, una clave secreta, para cifrar y descifrar datos. Esta clave debe ser pre-compartida antes de que ocurra la comunicación. Los algoritmos asimétricos requieren más potencia de procesamiento y la sobrecarga en los dispositivos de comunicación debido a que estas teclas pueden ser largas con el fin de evitar ser cortado. Este punto hace referencia al contenido de las siguientes áreas: CCNA Security: Implementación de Seguridad de Red •
7.3.1 cifrado
43
¿Cuál es la función principal del algoritmo Diffie-Hellman? • • • •
para evitar que el hombre en los ataques medias para proporcionar integridad de los datos para generar y compartir las claves públicas para el intercambio de claves secretas compartidas a través de redes no confiables
El Diffie-Hellman (DH) algoritmo es un método de intercambio de claves moderna que permite el intercambio de claves secretas segura a través de una red insegura. Este punto hace referencia al contenido de las siguientes áreas: CCNA Security: Implementación de Seguridad de Red •
7.3.4 Diffie-Hellman de intercambio de claves
44
How is asymmetric encryption used to provide confidentiality for VPN traffic? • A sender encrypts traffic with the private key of the receiver and the receiver decrypts the
data using the private key of the sender. • A sender encrypts traffic with the public key of the receiver and the receiver decrypts the data using the private key of the receiver. • A sender encrypts traffic with the private key of the receiver and the receiver decrypts the data using the public key of the sender. • Un remitente cifra el tráfico con la clave pública del receptor y el receptor descifra los datos utilizando la clave pública del remitente.
Los algoritmos asimétricos utilizan dos claves. si una clave pública encripta los datos, la clave privada correspondiente descifra los datos. Lo opuesto también es cierto. Si una clave privada encripta los datos, la clave pública correspondiente descifra los datos. Este punto hace referencia al contenido de las siguientes áreas: CCNA Security: Implementación de Seguridad de Red •
7.4.1 simétrica Versus cifrado asimétrico
45 Un técnico de seguridad utiliza un algoritmo asimétrico para cifrar mensajes con una clave privada y luego envía los datos al otro técnico. Lo clave deberá ser utilizada para descifrar estos datos? • • • •
La clave privada del remitente. La clave privada del receptor. La clave pública del remitente. La clave pública del receptor.
Los Algoritmos asimétricos utilizan dos claves. Si Una clave pública encripta los Datos, La Clave Privada Correspondiente descifra los Datos. Lo Opuesto también es Cierto. Si Una clave privada encripta los Datos, la clave pública descifra Correspondiente los Datos. Este Punto de HACE Referencia al contenido de las Siguientes Áreas: CCNA Security: Implementación de Seguridad de Red •
7.4.1 simétrica Versus cifrado asimétrico
48 Lo que sé Negocia En El Establecimiento de ONU túnel IPSec Entre dos equipos IPsec IKE Durante la Fase 1? • • • •
Grupos DH Política de ISAKMP SA Transformar conjuntos tráfico interesante
El Establecimiento De Un Túnel IPsec Consiste ES Cinco Pasos: • La detection de tráfico interesante Definido Por una ACL • IKE fase 1 en El que pela Negocian la Política de ISAKMP SA • IKE fase 2 en El que pela directiva IPsec SA Negocian • Creación del túnel IPsec • Terminación del Túnel IPsec
Este Punto de HACE Referencia al contenido de las Siguientes Áreas: CCNA Security: Implementación de Seguridad de Red •
8.3.1 Configuracion de Sitio de la ONU un sitio VPN IPsec
50
Considère la siguiente configuration En un Cisco ASA:
ipsec crypto Transform-set-ESP DES-SHA-des esp esp-sha-hmac ¿Cual es el propósito m of this comando? • Definir párrafo Sólo Los Algoritmos de cifrado Permitidos • Definir párrafo Qué tráfico permite en sí un Través de y Protegida por El Túnel • párrafo Definir los Algoritmos de cifrado y de integridad Que se utilizan para Construir El
Túnel IPsec • párrafo Definir los Parámetros de ISAKMP Que se utilizan para establecer el túnel El conjunto de transformación se negocia durante la fase 2 del proceso de conexión VPN IPsec. El propósito del conjunto de transformación es definir lo que el cifrado y la autenticación de los esquemas se pueden utilizar. El dispositivo haciendo la iniciación VPN ofrece la transformada aceptable conjuntos en orden de preferencia, en este caso, la autenticación ESP utilizando DES para el cifrado o la autenticación ESP mediante la autenticación e integridad SHA-HMAC para la carga de datos. Recuerde que el ESP proporciona confidencialidad e integridad con el cifrado con autenticación. El ESP-DES-SHA es el nombre del conjunto de transformación. Los parámetros que siguen (esp-des y esp-sha-HMAC) son los tipos específicos de cifrado o de autenticación que está soportado por el ASA para el túnel VPN que utiliza este conjunto de transformación. Este Punto de Referencia HACE al contenido de las Siguientes Áreas: CCNA Security: Implementación de Seguridad de Red •
8.3.3 Política de IPsec
52 En La Implementación de la Seguridad en Múltiples Dispositivos, difieren Como hacer ASA ACL de Cisco IOS ACL? • Cisco IOS ACL se Procesan de forma secuencial desde la parte superior, Hacia Abajo y
secuencialmente Cisco ASA ACL no se Procesan. • Cisco IOS ACL utilizan ONU implícito niegan Todo y El Fin de Cisco ASA ACL Con Un Permiso implícito TODO. • routers Cisco IOS utilizan AMBOS ACL nombradas numeradas YY Dispositivos Cisco ASA utilizan Solamente numeradas ACL. • Cisco IOS ACL ESTÁN configurados con Una máscara comodín y Cisco ASA ACL ESTÁN configurados con Una máscara de subred. Las ACL de Cisco IOS ESTÁN configurados con Una máscara wildcard y Las ACL Cisco ASA ESTÁN configurados con Una máscara de subred. Ambos utilizan Dispositivos Una tapa implícita Negar, Hasta el Procesamiento secuencial, y Las ACL nombradas o numeradas. Este Punto de HACE Referencia al contenido de las Siguientes Áreas: CCNA Security: Implementación de Seguridad de Red •
9.2.4 ACL
54 Cuando Se Establecer como NAT dinámico En un ASA, ¿QUÉ DOS Parámetros Deben darse por Objetos de color rojo? (Escoge dos). • • • • •
Fuera La Interfaz NAT ONU Rango de Direcciones Privadas Que se traducirá El Nivel de Seguridad de la Interfaz La Interfaz NAT Dentro De El Conjunto de Direcciones Globales Públicos
En ASA ONU, del del del tanto en el conjunto de Direcciones Que se utilizarán Como en el interior de Direcciones y el Rango de Direcciones Privadas internas Que se Deben translate sí configuran ONU Través de Objetos de rojo global. Este Punto de Referencia HACE al contenido de las Siguientes Áreas: CCNA Security: Implementación de Seguridad de Red •
9.2.5 Servicios de NAT En ONU ASA
View more...
Comments