CCNA Security Corregir

CCNA Security: Implementación Implementación de Seguridad de Red (Versión 2.0) - CCNA Security (IINS) Examen de Prácticas de Certificación

 A continuación se muestra la información información sobre elementos elementos para los que no recibió todo el el crédito. Algunos Algunos elementos interactivos pueden no mostrar su respuesta.

subpuntuación:

¿Qué dos características describen un virus? (Escoge dos.)

1

Un ataque auto-replicante que se puso en marcha de forma independiente. El malware que se basa en la acción de un usuario o un programa para activar. El código malicioso que puede pe rmanecer inactiva antes de ejecutar una acción no desead código de programa específicamente diseñado para dañar la memoria de los dispositivos de Malware que ejecuta código arbitrario e instala copias de sí mismo en la memoria.  A virus is malicious malicious code that that is attached attached to legitimate programs or executable executable files. Most Most viruses r  replication to spread quickly across a network. A worm does not require a host program to run.

This item references content from the following areas: CCNA Security: Implementing Network Security 

2

1.2.3 Malware

Which two options can limit the information discovered from port scanning? encryption intrusion prevention system authentication firewall passwords Using an intrusion prevention system (IPS) and firewall can limit the information that can be discovered with a port

This item references content from the following areas: CCNA Security: Implementing Network Security



3

1.3.4 Mitigating Common Network  Attacks

Which two options provide secure remote access to a router? (Choose two.) CHAP HTTP Telnet SSH HTTPS For security, all traffic between the administrator computer and the router should be encrypted by using HTTPS or SSH instead of HTTP or Telnet.

This item references content from the following areas: CCNA Security: Implementing Network Security 

2.1.1 Securing the Edge Router

4

The graphic contains the following configuration information:Router(config)# information:Rou ter(config)# login block-for 150 attempts 5 within 60Router(config)# 60Router(config )# ip access-list standard RULE_ADMINRouter(config-std-nacl)# RULE_ADMINRout er(config-std-nacl)# permit 192.168.2 192.168.20.10 0.10 Router(config-std-nacl)# Router(config-std -nacl)# permit 192.168.21 192.168.21.10Router(con .10Router(config)# fig)# login quiet-mode access-class RULE_ADMIN Refer to the exhibit. An administrator issues these IOS login enhancement commands commands to increase the security for login connections. connection s. What can be concluded about them? The login block-for command permits the attacker to try 150 attempts before being stopped to try again. Because the login delay command was not u sed, a one-minute delay between login attempts is assumed. These enhancements apply to all types of login connections.

The hosts that are identified in the ACL will have access to the device. When the login block-for command is implemented, it automatically invokes a one-second delay between login attempts. The login block-for command that is p resented means that login will b e disabled for 150 seconds, if more than 5 login failures occur within 60 seconds. These enhancements do not apply to console connections. When quiet mode is enabled, all login attempts are denied except for the hosts permitted in the ACL.

This item references content from the following areas: CCNA Security: Implementing Network Security 

6

2.1.3 Configuring Enhanced Security for Virtual Logins

When configuring SSH on a router to implement secure network management, a network engineer has issued the login local and transport input ssh line vty commands. What three additional configuration actions have to be performed to complete the SSH configuration? (Choose three.) Create a valid local username and password database. Set the user privilege levels. Configure the correct IP domain name. Generate the asymmetric RSA keys. Configure role-based CLI access. Manually enable SSH after the RSA keys are generated. SSH is automatically enabled after the RSA keys are g enerated. Setting user privilege levels and configuring role-based CLI access are good security practices but are n ot a requirement of implementing SSH.

This item references content from the following areas: CCNA Security: Implementing Network Security 

7

2.1.4 Configuring SSH

An administrator assigned a level of router access to the user  ADMIN using the commands below. Router(config)# privilege exec level 14 show ip routeRouter(config)# enable algorithm-type scrypt secret level 14 cisco-level-10Router(config)# username ADMIN privilege 14 algorithm-type scrypt secret cisco-level-10

Which two actions are permitted to the user ADMIN? (Choose two.) The user can issue the show version command. The user can issue the ip route command. The user can execute all subcommands under the show ip interfaces command. The user can only execute the subcommands under the show ip route command. The user can issue all commands because this privilege level can execute all Cisco IOS commands.  Asignación de un comando como show ip ruta a un nivel de privilegio específica asigna automáticamente todos los comandos asociados con las primeras palabras clave en el nivel de privilegio especificado. Por lo tanto, el de l os comandos show ip espectáculo y se establecen automáticamente en el nivel de privilegio, donde se establece show ip route, que es necesario porque el comando show ip route no puede ejecutarse sin acceso a los comandos show ip y espectáculo. Asignación del comando show ip route permite al usuario emitir todos los comandos show, como la versión de la demostración.

Este punto hace referencia al contenido de las siguientes áreas: CCNA Security: Implementación de Seguridad de Red 

8

2.2.1 Configuración de los niveles de privilegios

Lo que es una característica de una vista CLI basada en funciones de configuración del router? Una vista CLI tiene una jerarquía de mando, con vistas superiores e inferiores. When a superview is deleted, the associated CLI views are deleted. Only a superview user can configure a new view and add or remove commands from the existing views.  A single CLI view can be shared within multiple superviews.  A CLI view has no command hierarchy, and therefore, no higher or lower views. Deleting a superview does not delete the associated CLI views. Only a root view user can configure a new view and add or remove commands from the existing views.

This item references content from the following areas: CCNA Security: Implementing Network Security 

9

2.2.2 Configuring RoleBased CLI

What function is provided by the Cisco IOS Resilient Configuration feature?

It allows administrators to create different views of router configurations for different users. It locks down the management plane and the forwarding plane services and functions of a router. It identifies attacks and security policy violations that are occurring on the network. It maintains a secure copy of the IOS image and running configuration that can b e used for fast recovery if flash or NVRAM is erased. The Cisco IOS Resilient Configuration feature allows a secure copy of the IOS and running configuration file to be stored locally on a router. If flash memory or NVRAM is inadvertently or maliciously erased, the router can be quickly restored using the stored files.

This item references content from the following areas: CCNA Security: Implementing Network Security 

10

2.3.1 Securing Cisco IOS Image and Configuration Files

What service or protocol does the Secure Copy Protocol rely on to ensure that secure copy transfers are from authorized users? IPsec  AAA RADIUS SNMP Secure Copy Protocol (SCP) is used to securely copy IOS images and configuration files to a SCP server. To perform this, SCP will use SSH connections from users authenticated through  AAA.

This item references content from the following areas: CCNA Security: Implementing Network Security 

11

2.3.1 Securing Cisco IOS Image and Configuration Files

What level of syslog is associated with Log_Alert? 1 3 0 4 2

Syslog levels range from 0 to 7:Level 0 is Log_EmergLevel 1 is Log_AlertLevel 2 is Log_CritLevel 3 is Log_ErrLevel 4 is Log_WarningLevel 5 is Log_NoticeLevel 6 is Log_InfoLevel 7 is Log_Debug

This item references content from the following areas: CCNA Security: Implementing Network Security 

12

2.3.3 Using Syslog for Network Security

A syslog server has received the message shown. *Mar 1 00:07:18.783: %SYS-5-CONFIG_I: Configured from console by vty0 (172.16.45.1) What can be determined from the syslog message? The message informs the administrator that a user with an IP address of 172.16.45.1 configured this device remotely. The message description displays that the console line was accessed locally. The message is a Log_Alert notification message. The message is a normal notification and should not be reviewed. The message shown is a level 5 Log_Notice and displays that a user with an IP address of 172.16.45.1 has configured this de vice remotely.

This item references content from the following areas: CCNA Security: Implementing Network Security 

13

2.3.3 Using Syslog for Network Security

En la implementación de la gestión de red segura, ¿cuáles son dos servicios o funciones del plano de gestión de un router Cisco que deben ser configurados? (Escoge dos.) inicios de sesión y contraseñas seguras Cisco IOS firewall de inspección acceso SSH seguro filtrado de tráfico con las ACL Cisco Express Forwarding Cisco Express Forwarding, filtrado de tráfico con ACL, y Cisco IOS firewall de inspección están reenviando los servicios planas que proporcionan seguridad. Plano de gestión d e seguridad incluye las siguientes características:

notificación legal el uso de una bandera  funciones de contraseña de inicio de sesión y seguras  asegurar NTP  acceso SSH seguro  servicios de TCP interceptar 

Este punto hace referencia al contenido de las siguientes áreas: CCNA Security: Implementación de Seguridad de Red 

15

2.4.2 Bloqueos de seguridad en un router con AutoSecure

Durante el proceso de AAA, cuando se llevará a cabo la autorización? inmediatamente después de la autenticación exitosa contra una fuente de datos de AAA inmediatamente después de la determinación de los recursos que un usuario puede acceder inmediatamente después de un cliente AAA envía información de autenticación a un servidor centralizado inmediatamente después de AAA contabilidad y auditoría recibe informes detallados autorización AAA se implementa inmediatamente después de que el usuario es autenticado contra una fuente de datos AAA específico.

Este punto hace referencia al contenido de las siguientes áreas: CCNA Security: Implementación de Seguridad de Red 

3.1.2 Características AAA

diecisé Qué función se proporciona por el protocolo RADIUS? is RADIUS proporciona una comunicación segura utilizando el puerto TCP 49. RADIUS proporciona cifrado del paquete completa durante la transferencia. RADIUS proporciona puertos separados para la autorización y contabilidad. RADIUS AAA proporciona servicios independientes. When an AAA user is authenticated, RADIUS uses UDP port 1645 or 1812 for authentication and UDP port 1646 or 1813 for accounting. TACACS provides separate authorization and accounting services. When a RADIUS client is authenticated, it is also authorized. TACACS provides secure connectivity using TCP port 49. RADIUS hides passwords during transmission and does not encrypt the complete packet.

This item references content from the following areas: CCNA Security: Implementing Network Security 

18

3.3.2 Server-Based AAA Communications Protocols

A network administrator is configuring an AAA server to manage RADIUS authentication. Which two features are included in RADIUS authentication? (Choose two.) encryption for all communication separate processes for authentication and authorization hidden passwords during transmission encryption for only the data single process for authentication and authorization RADIUS authentication supports the following features: RADIUS authentication and authorization as one process  Encrypts only the password  Utilizes UDP  Supports remote-access technologies, 802.1X, and Session Initiation Protocol (SIP) 

This item references content from the following areas: CCNA Security: Implementing Network Security 

19

3.3.2 Server-Based AAA Communications Protocols

An administrator is comparing multiple implementations of AAA. Which AAA method is server-based and considered the most secure? local-case enable TACACS+ RADIUS Server-based implementations of AAA include both RADIUS and TACACS+. TACACS+ is considered more secure because the entire protocol exchange is encrypted whereas RADIUS will only encrypt the password of the user.

This item references content from the following areas: CCNA Security: Implementing Network Security



20

3.3.2 Server-Based AAA Communications Protocols

A network administrator is configuring an AAA server to manage TACACS+ authentication. What are two attributes of TACACS+ authentication? (Choose two.) TCP port 40 encryption for only the password of a user UDP port 1645 single process for authentication and authorization separate processes for authentication and authorization encryption for all communication TACACS+ authentication includes the following attributes: Separa los procesos de autenticación y autorización  Cifra toda la comunicación, no sólo las contraseñas  Utiliza el puerto TCP 49 

Este punto hace referencia al contenido de las siguientes áreas: CCNA Security: Implementación de Seguridad de Red 

21

Protocolos de comunicaciones AAA basado en servidor 3.3.2

¿Qué dos números de puerto UDP se puede utilizar para la autenticación RADIUS AAA basada en servidor? (Escoge dos.) 1813 1812 49 1645 1646 la autenticación RADIUS y contabilidad utilizan los siguientes números de puerto UDP: el puerto UDP 1645 o 1812 para la autenticación  el puerto UDP 1646 o 1813 para la contabilidad 

TACACS + utiliza el puerto TCP 49.

Este punto hace referencia al contenido de las siguientes áreas: CCNA Security: Implementación de Seguridad de Red 

22

Protocolos de comunicaciones AAA basado en servidor 3.3.2

¿Qué funcionalidad tiene la palabra clave única conexión TACACS proporcionar a los servicios de AAA? permite el uso de diferentes claves entre el servidor TACACS + y el cliente AAA mantiene una única conexión UDP para la vida de la sesión mejora el rendimiento de la conexión TCP cifra la transferencia de datos entre el servidor TACACS + y el cliente AAA La palabra clave única conexión TCP mejora el rendimiento con TACACS + mediante el mantenimiento de una única conexión TCP para la vida de la sesión. Sin la palabra clave única conexión, una conexión TCP se abre y cierra por sesión.

Este punto hace referencia al contenido de las siguientes áreas: CCNA Security: Implementación de Seguridad de Red 

23

3.4.1 Configuración de la autenticación basada en servidor

¿Qué es un despliegue efectivo de IPS e IDS aparatos en una red corporativa? Coloque un IDS entre el router de borde y la red interna y una IPS dentro de la red DMZ. Coloque un SIP entre el router de borde y la red interna y un IDS en la misma LAN. Colocar tanto un IPS y un IDS dentro de la red DMZ. Place an IPS between the border router and the internal network and an IDS between the border router and the ISP.  An IPS is deployed in inline mode whereas an IDS is deployed in promiscuous mode. An effective deployment of IPS/IDS is to place an IPS right behind the border router to filter the traffic inbound to and outbound from the corporate internal network. IPS and IDS technologies can complement each other. Although an IDS will not stop an intrusion attack immediately, it can be used to validate IPS operation because the IDS can be configured for deeper packet inspection offline. This allows the IPS to focus on fewer but more critical traffic patterns inline. Placing IPS and IDS in the DMZ network will not protect the corporate internal network.

This item references content from the following areas: CCNA Security: Implementing Network Security 

5.1.2 Network-Based IPS Implementations

24

Which statement describes the function of the SPAN tool used in a Cisco switch? It copies the traffic from one switch port and sends it to another switch port that is connected to a monitoring device. It supports the SNMP trap operation on a switch. It is a secure channel for a switch to send logging to a syslog server. It provides interconnection between VLANs o ver multiple switches. To analyze network traffic passing through a switch, switched port analyzer (SPAN) can be used. SPAN can send a copy of traffic from one port to another port on the same switch where a network analyzer or monitoring device is connected. SPAN is not require d for syslog or SNMP. SPAN is used to mirror traffic, while syslog and SNMP are configured to send data directly to the appropriate server.

This item references content from the following areas: CCNA Security: Implementing Network Security 

26

5.1.3 Cisco Switched Port  Analyzer

A system analyst is configuring and tuning a recently deployed IPS appliance. By examining the IPS alarm log, the analyst notices that the IPS does not generate alarms for a few known attack packets. Which term describes the lack of alarms by the IPS? true negative false positive false negative true positive The alarms generated by an IPS can be classified into 4 types:  A false positive occurs when an IPS generates an alarm on normal user traffic that should not have triggered an alarm.  A false negative occurs when an IPS fails to generate an alarm after processing attack traffic the IPS is configured to detect.  A true positive occurs when an IPS generates an alarm in response to known attack traffic.  A true negative occurs when normal network traffic does not generate an alarm. 

This item references content from the following areas: CCNA Security: Implementing Network Security



29

5.2.2 IPS Signature  Alarms

Which condition describes a true positive IPS signature alarm? when an alarm is not generated in response to a known attack when an alarm is generated by normal traffic when an alarm is not generated by normal traffic when an alarm is generated in response to a known attack There are four IPS alarms: False positive - occurs when normal traffic triggers an alarm False negative - occurs when known malicious traffic that should trigger an alarm does not  True positive - occurs when traffic that is known to be malicious triggers an attack  True negative - occurs when normal traffic does not trigger an alarm  

This item references content from the following areas: CCNA Security: Implementing Network Security 

30

5.2.2 IPS Signature  Alarms

Un especialista en seguridad configura un IPS de modo que se genere una alerta cuando se detecta un ataque primero. Alertas para la detección posterior de la misma ataque se suprimen por un período predefinido de tiempo. Otra alerta se genera al final del período que indica el número del ataque detectado. ¿Qué IPS mecanismo de seguimiento de alerta se configura? compuesta de alerta alerta atómica resumen de alerta alerta de correlación  Alertas generadas por un IPS deben ser vigilados estrechamente para asegurar acciones apropiadas se toman contra ataques maliciosos. soluciones IPS incorporan dos tipos de alertas, avisos y alertas atómicas de resumen. alertas atómicas se generan cada vez que una firma activa. Una alerta de resumen es una sola alerta que indica múltiples ocurrencias de la misma firma de la misma dirección de origen o puerto. Con un resumen altera, la primera detección del ataque desencadena una alerta de lo normal. la detección posterior de la misma ataque se contó hasta el final del intervalo de resumen firma. Cuando ha transcurrido el período de tiempo especificado por el intervalo resumen, una alarma de resumen se envía, lo que indica el número de alarmas que se produjeron durante el intervalo de tiempo.

Este punto hace referencia al contenido de las siguientes áreas: CCNA Security: Implementación de Seguridad de Red 

31

5.2.3 acciones de la firma IPS

En la configuración de un router Cisco para prepararse para funciones IPS y VPN, un administrador de red se abre el archivo reino-cisco.pub.key.txt, y copia y pega el contenido al enrutador en el indicador de configuración global. ¿Cuál es el resultado después de este paso de configuración? Un par de claves públicas / secretas se crea para el router para servir como un servidor SSH. Un par de claves públicas / secretas se crea para el funcionamiento de IPsec VPN. El router se autentica con el servidor web seguras IPS recursos de Cisco. Se crea una clave de cifrado para IOS IPS para verificar el archivo de firma maestro. El tercer paso en la aplicación IOS IPS es configurar la clave pública de Cisco IOS IPS que se encuentra en el archivo-reino cisco.pub.key.txt. Este clave pública se utiliza para verificar la firma digital para el a rchivo de la firma principal, y se puede descargar desde cisco.com. Para configurar la clave de cifrado IOS IPS, abra el archivo de texto, y copiar y pegar el contenido en el router en el indicador de configuración global. Los pares de claves públicas / privadas para IPSec VPN y el servidor SSH se generan utilizando diferentes métodos.

Este punto hace referencia al contenido de las siguientes áreas: CCNA Security: Implementación de Seguridad de Red 

33

5.3.1 Configurar Cisco IOS IPS con la CLI

¿Cuál es el papel del agente NAC de Cisco en la implementación de una infraestructura de red segura? para proporcionar la capacidad de los empleados de la compañía para crear cuentas de invitados to perform deep inspection of device security profiles to provide post-connection monitoring of all endpoint devices to define role-based user access and endpoint security policies to assess and enforce security policy compliance in the NAC environment Cisco NAC is used in the Cisco Borderless Network Architecture to authenticate users and ensure user devices are compliant with security policies. The Cisco NAC Agent is optional agent software that runs on endpoints and performs deep inspection of the security profile of that device.

This item references content from the following areas: CCNA Security: Implementing Network Security 

34

6.1.4 Controlling Network  Access

Which three functions are provided under Cisco NAC framework solution? (Choose three.) intrusion prevention secure connection to servers VPN connection  AAA services scanning for policy compliance remediation for noncompliant devices The goal of both the Cisco NAC framework and the Cisco NAC Appliance is to ensure that only hosts that are authenticated and have their security posture examined and approved are permitted onto the network. They provide four important functions: authentication, authorization, and accounting; posture assessment (evaluating an incoming device against the security policies), quarantining of non-compliant systems, and remediation of noncompliant devices. They do not provide VPN connection or intrusion detection/prevention services.

This item references content from the following areas: CCNA Security: Implementing Network Security 

36

6.1.4 Controlling Network  Access

What mitigation method is effective against CAM table overflow attacks? port security DHCP snooping Source Guard Dynamic ARP Inspection Port security is the most effective method for preventing CAM table overflow attacks. Port security gives an administrator the ability to manually specify what MAC addresses should be seen on given switch ports. It provides a method for limiting the number of MAC addr esses that can be dynamically learned over a switch port.

This item references content from the following areas: CCNA Security: Implementing Network Security



37

6.2.3 Mitigating CAM Table  Attacks

Which antispoofing technology is used to mitigate DoS attacks? switched infrastructure encryption strong authentication switch port-security port scanning La implementación de interruptor de puerto de seguridad ayudará a mitigar los ataques de denegación de servicio. Con el fin de mitigar los ataques de reconocimiento, lo mejor es utilizar una autenticación fuerte, una infraestructura conmutada, antisniffer software, y el cifrado.

Este punto hace referencia al contenido de las siguientes áreas: CCNA Security: Implementación de Seguridad de Red 

38

6.2.5 Ataques Mitigación de DHCP

¿Qué medidas puede tomar un administrador de red para ayudar a mitigar la amenaza de ataques de VLAN hopping? Desactivar la negociación automática de trunking. Configurar todos los puertos de switch a ser miembros de la VLAN 1. Desactivar VTP. Habilitar PortFast en todos los puertos del conmutador. Hay dos métodos para mitigar los ataques de salto de VLAN: 1. 2.

deshabilitar la negociación automática de trunking switchports girando trunking apagado en todo el switchport nontrunk sin usar

Este punto hace referencia al contenido de las siguientes áreas: CCNA Security: Implementación de Seguridad de Red 

39

6.2.4 Ataques Mitigación de VLAN

¿En qué situación sería un administrador de red más probable es aplicar protección de raíz? en todos los puertos de conmutación que conectan a un dispositivo de Capa 3 en todos los puertos de conmutación que conectan a otro interruptor que no es el puente raíz en todos los puertos del conmutador (usado o sin usar) en todos los puertos de conmutación que conectan a la sede d e dispositivos en todos los puertos de conmutación que conectan a otro conmutador protección de raíz en conjunción con PortFast, y el protector de BPDU se usa para prevenir un ataque de manipulación STP.

Este punto hace referencia al contenido de las siguientes áreas: CCNA Security: Implementación de Seguridad de Red 

41

6.2.9 Ataques Mitigación de STP

Que atacan la red se mitiga al permitir que la guardia BPDU? Falsificación de direcciones MAC servidores DHCP falsos en una red CAM ataques de desbordamiento de la tabla interruptores falso en una red Hay varios mecanismos de estabilidad STP recomendada para ayudar a mitigar los ataques de manipulación STP: PortFast - utiliza para lograr de inmediato una interfaz configurada como un puerto de enlace troncal de acceso o al estado de envío de un estado de bloqueo. Se aplica a todos los puertos de usuario final.  BPDU guardia - inmediatamente a errores deshabilita un puerto que recibe una BPDU. Se aplica a todos ports.The la recepción del usuario final de BPDU puede ser parte de un intento no autorizado para agregar un interruptor a la red.  protección de raíz - impide un cambio de convertirse en el interruptor de la raíz. Se aplica a todos los puertos en los que no se debe ubicar e l switch raíz.  guardia loop - detecta enlaces unidireccionales para prevenir puertos alternativos o de raíz se conviertan en puertos designados. Se aplica a todos los puertos que son o pueden llegar a ser no designado. 

Este punto hace referencia al contenido de las siguientes áreas: CCNA Security: Implementing Network Security



42

6.2.9 Mitigating STP  Attacks

What type of algorithms require sender and receiver to exchange a secret key that is used to ensure the confidentiality of messages? public key algorithms asymmetric algorithms symmetric algorithms hashing algorithms Symmetric algorithms use the same key, a secret key, to encrypt and decrypt data. This key must be pre-shared before communication can occur. Asymmetric algorithms require more processing power and overhead on the communicating devices because these keys can be long in order to avoid being hacked.

This item references content from the following areas: CCNA Security: Implementing Network Security 

43

7.3.1 Encryption

What is the primary function of the Diffie-Hellman algorithm? to prevent man-in-the middle attacks to provide data integrity to generate and share public keys to exchange shared secret keys over untrusted networks The Diffie-Hellman (DH) algorithm is a modern key exchange method that allows the exchange of secret keys securely over an untrusted network.

This item references content from the following areas: CCNA Security: Implementing Network Security 

44

7.3.4 Diffie-Hellman Key Exchange

How is asymmetric encryption used to provide confidentiality for VPN traffic?  A sender encrypts traffic with the private key of the receiver and the receiver decrypts the data using the private key of the sender.

 A sender encrypts traffic with the public key of the receiver and the receiver decrypts the data using the private key of the receiver.  A sender encrypts traffic with the private key of the receiver and the receiver decrypts the data using the public key of the sender. Un remitente cifra el tráfico con la clave pública del receptor y el receptor descifra los datos utilizando la clave pública del remitente. Los algoritmos asimétricos utilizan dos claves. si una clave pública encripta los datos, la clave privada correspondiente descifra los datos. Lo opuesto también es cierto. Si una clave privada encripta los datos, la clave pública correspondiente descifra los datos.

Este punto hace referencia al contenido de las siguientes áreas: CCNA Security: Implementación de Seguridad de Red 

45

7.4.1 simétrica Versus cifrado asimétrico

Un técnico de seguridad utiliza un algoritmo asimétrico para cifrar mensajes con una clave privada y luego envía los datos al otro técnico. Lo clave deberá ser utilizada para descifrar estos datos? La clave privada del remitente. La clave privada del receptor. La clave pública del remitente. La clave pública del receptor. Los algoritmos asimétricos utilizan dos claves. si una clave pública encripta los datos, la clave privada correspondiente descifra los datos. Lo opuesto también es cierto. Si una clave privada encripta los datos, la clave pública correspondiente descifra los datos.

Este punto hace referencia al contenido de las siguientes áreas: CCNA Security: Implementación de Seguridad de Red 

48

7.4.1 simétrica Versus cifrado asimétrico

Lo que se negocia en el establecimiento de un túnel IPSec entre dos hosts IPsec IKE durante la Fase 1? grupos DH política de ISAKMP SA transformar conjuntos tráfico interesante El establecimiento de un túnel IPsec consiste en cinco pasos:

La detección de tráfico interesante definido por una ACL  IKE fase 1 en el que pares negocian la política de ISAKMP SA  IKE fase 2 en el que pares negocian directiva IPsec SA  Creación del túnel IPsec  Terminación del túnel IPsec 

Este punto hace referencia al contenido de las siguientes áreas: CCNA Security: Implementación de Seguridad de Red 

50

8.3.1 Configuración de un sitio a sitio VPN IPsec

Considere la siguiente configuración en un Cisco ASA: ipsec crypto transform-set-ESP DES-SHA-des esp esp-shahmac ¿Cuál es el propósito de este comando? para definir sólo los algoritmos de cifrado permitidos para definir qué tráfico se permite a través de y protegida por el túnel para definir los algoritmos de cifrado y de integridad que se utilizan para construir el túnel IPsec para definir los parámetros de ISAKMP que se utilizan para establecer el túnel El conjunto de transformación se negocia durante la fase 2 del proceso de conexión VPN IPsec. El propósito del conjunto de transformación es definir lo que el cifrado y la autenticación de los esquemas se pueden utilizar. El dispositivo haciendo la iniciación VPN ofrece la transformada aceptable conjuntos en orden de preferencia, en este caso, la a utenticación ESP utilizando DES para el cifrado o la autenticación ESP mediante la autenticación e integridad SHA-HMAC para la carga de datos. Recuerde que el ESP proporciona confidencialidad e integridad con el cifrado con autenticación. El ESP-DES-SHA es el nombre del conjunto de transformación. Los parámetros que siguen (esp-des y esp-sha-HMAC) son los tipos específicos de cifrado o de a utenticación que está soportado por el ASA para el túnel VPN que utiliza este conjunto de transformación.

Este punto hace referencia al contenido de las siguientes áreas: CCNA Security: Implementación de Seguridad de Red 

52

8.3.3 Política de IPsec

En la implementación de la seguridad en múltiples dispositivos, cómo hacer ASA ACL difieren de Cisco IOS ACL?

Cisco IOS ACL se procesan de forma secuencial desde la parte superior hacia abajo y secuencialmente Cisco ASA ACL no se procesan. Cisco IOS ACL utilizan un implícito niegan todo y el fin Cisco ASA ACL con un permiso implícito todo. routers Cisco IOS utilizan ambos ACL nombradas y numeradas y dispositivos Cisco ASA utilizan solamente ACL numeradas. Cisco IOS ACL están configurados con una máscara wildcard y Cisco ASA ACL están configurados con una máscara de subred. Las ACL IOS de Cisco están configurados con una máscara wildcard y las ACL Cisco ASA están configurados con una máscara de subred. Ambos dispositivos utilizan una tapa implícita negar, hasta el procesamiento secuencial, y las ACL nombradas o numeradas.

Este punto hace referencia al contenido de las siguientes áreas: CCNA Security: Implementación de Seguridad de Red 9.2.4 ACL



54

Cuando se configura NAT dinámico en un ASA, ¿qué dos parámetros deben darse por objetos de red? (Escoge dos.) la interfaz NAT fuera un rango de direcciones privadas que se traducirá el nivel de seguridad de la interfaz la interfaz NAT dentro de el conjunto de direcciones globales públicos En un ASA, tanto en el conjunto de direcciones que se utilizarán como en el interior d e direcciones global y el rango de direcciones privadas internas que se deben traducir se configuran a través de objetos de red.

Este punto hace referencia al contenido d e las siguientes áreas: CCNA Security: Implementación de Seguridad de Red 

9.2.5 Servicios de NAT en u n ASA