CCNA Security: Implementacin de Seguridad de Red (versin 2.

0) - CCNA
Security (IINS) Examen de Prcticas de Certificacin
________________________________________
A Continuacin se Muestra La Informacin Sobre Elementos para Los Que no recibio Todo el crdito.
Interactivos algunos adj adj adj Elementos pueden No mostrar su Respuesta.
subpuntuacin:
1 QUE DOS: Caractersticas describen el virus de la ONU? (Escoge dos).
Un ataque auto-replicante Que se Puso en Marcha de forma independiente.
El software malicioso Que se basa en la accin de las Naciones Unidas ONU usuario o
Programa para Activar.
El cdigo malicioso Que PUEDE Permanecer inactiva los Antes de ejecutar el pecado Una
Accin Deseada.
cdigo de programa especificamente Diseado para danar la Memoria de los Dispositivos de
rojo.
Que el malware ejecuta cdigo arbitrario e Instala Copias de s Mismo en la Memoria.

Un virus es un cdigo malicioso que se adjunta a programas legtimos o archivos ejecutables. La

mayora de los virus requieren la activacin del usuario final, pueden permanecer inactivos durante un
perodo prolongado y luego activarse en una fecha o hora especfica. Por el contrario, un gusano
ejecuta cdigo arbitrario e instala copias de s mismo en la memoria de la computadora infectada. El
objetivo principal de un gusano es la replicacin automtica para propagarse rpidamente a travs de
una red. Un gusano no requiere un programa host para ejecutarse.

Este punto hace referencia al contenido de las siguientes reas:

CCNA Security: Implementacin de Seguridad de Red
1.2.3 malware

2 Qu dos opciones puede limitar la informacin descubierta a partir de la exploracin de

puertos? (Escoge dos.)
encriptacin
Sistema de Prevencin de Intrusin
autenticacin
cortafuegos
contraseas
Using an intrusion prevention system (IPS) and firewall can limit the information that can be
discovered with a port scanner. Authentication, encryption, and passwords provide no protection from
loss of information from port scanning.This item references content from the following areas:
CCNA Security: Implementing Network Security
1.3.4 Mitigating Common Network Attacks

3 Which two options provide secure remote access to a router? (Choose two.)
CHAP
HTTP
Telnet
SSH
HTTPS

For security, all traffic between the administrator computer and the router should be encrypted by
using HTTPS or SSH instead of HTTP or Telnet.

This item references content from the following areas:

CCNA Security: Implementing Network Security
2.1.1 Securing the Edge Router

The graphic contains the following configuration information:Router(config)# login block-for 150
attempts 5 within 60Router(config)# ip access-list standard RULE_ADMINRouter(config-std-nacl)#
permit 192.168.20.10 Router(config-std-nacl)# permit 192.168.21.10Router(config)# login quiet-mode
access-class RULE_ADMIN Refer to the exhibit. An administrator issues these IOS login enhancement
commands to increase the security for login connections. What can be concluded about them?

The login block-for command permits the attacker to try 150 attempts before being stopped to
try again.
Because the login delay command was not used, a one-minute delay between login attempts
is assumed.
These enhancements apply to all types of login connections.
The hosts that are identified in the ACL will have access to the device.
When the login block-for command is implemented, it automatically invokes a one-second delay
between login attempts. The login block-for command that is presented means that login will be
disabled for 150 seconds, if more than 5 login failures occur within 60 seconds. These enhancements
do not apply to console connections. When quiet mode is enabled, all login attempts are denied
except for the hosts permitted in the ACL.

This item references content from the following areas:

CCNA Security: Implementing Network Security
2.1.3 Configuring Enhanced Security for Virtual Logins

6 When configuring SSH on a router to implement secure network management, a network

engineer has issued the login local and transport input ssh line vty commands. What three
additional configuration actions have to be performed to complete the SSH configuration?
(Choose three.)
Create a valid local username and password database.
Set the user privilege levels.
Configure the correct IP domain name.
Generate the asymmetric RSA keys.
Configure role-based CLI access.
Manually enable SSH after the RSA keys are generated.

SSH is automatically enabled after the RSA keys are generated. Setting user privilege levels and
configuring role-based CLI access are good security practices but are not a requirement of
implementing SSH.

This item references content from the following areas:

CCNA Security: Implementing Network Security
2.1.4 Configuring SSH

7 An administrator assigned a level of router access to the user ADMIN using the commands
below. Router(config)# privilege exec level 14 show ip routeRouter(config)# enable algorithm-
type scrypt secret level 14 cisco-level-10Router(config)# username ADMIN privilege 14
algorithm-type scrypt secret cisco-level-10 Which two actions are permitted to the user
ADMIN? (Choose two.)

The user can issue the show version command.

The user can issue the ip route command.
The user can execute all subcommands under the show ip interfaces command.
The user can only execute the subcommands under the show ip route command.
The user can issue all commands because this privilege level can execute all Cisco IOS
commands.
Asignacin de ruta de la ONU comando show ip Como una ONU Nivel de privilegio Especfica Asigna
automaticamente todos los Comandos asociados con las Primeras Palabras clave en El Nivel de
privilegio Especificado. Por lo Tanto, el de los Comandos show ip Espectculo y se establecen
automaticamente en El Nivel de privilegio, Donde se Establece show ip route, Que es Necesario Porque
el comando show ip ruta No Puede ejecutarse el pecado humano Acceso a los Comandos show ip y
Espectculo. Asignacin del comando show ip ruta permite al usuario Emitir todos los Comandos
muestran, Como la versin de la Demostracin.

Este Punto de HACE Referencia al contenido de las Siguientes reas:

CCNA Security: Implementacin de Seguridad de Red
2.2.1 configuracion de los Niveles de Privilegios

8 Lo Que Es Una Caracterstica De Una vista CLI Basada en Funciones de configuration del
router?
Una vista CLI TIENE UNA jerarqua de mando, con vistas Superiores e Inferiores.
Cuando Se Elimina La ONU supervista, se eliminan los puntos de vista de la CLI asociados.
Solo un Usuario PUEDE Configurar supervista Una Nueva Visin y anadir O ELIMINAR
Comandos de los existentes puntos de vista.
superviews Una Vista nica de la CLI Puede Ser Compartida Dentro De mltiples.
Una vista de la CLI de No Tiene Ninguna jerarqua de mando, y por lo del del tanto, no hay vistas de
heno Superiores o Inferiores. La eliminacion de la ONU supervista pecado Elimina los Puntos de Vista
de la CLI Asociados. Slo un usuario PUEDE Configurar Vista Raz de Una Nueva Visin y anadir O
ELIMINAR Comandos de los existentes puntos de vista.

Este Punto de Referencia HACE al contenido de las Siguientes reas:

CCNA Security: Implementacin de Seguridad de Red
2.2.2 Configuracion de CLI BASADO EN papeles

9 Qu funcin se proporciona mediante la caracterstica de configuracin de resistencia de Cisco

IOS?
Permite a los administradores crear diferentes vistas de configuraciones del router para
diferentes usuarios.
It locks down the management plane and the forwarding plane services and functions of a
router.
It identifies attacks and security policy violations that are occurring on the network.
It maintains a secure copy of the IOS image and running configuration that can be used for fast
recovery if flash or NVRAM is erased.
The Cisco IOS Resilient Configuration feature allows a secure copy of the IOS and running configuration
file to be stored locally on a router. If flash memory or NVRAM is inadvertently or maliciously erased,
the router can be quickly restored using the stored files.

This item references content from the following areas:

CCNA Security: Implementing Network Security
 2.3.1 Securing Cisco IOS Image and Configuration Files

10 What service or protocol does the Secure Copy Protocol rely on to ensure that secure copy
transfers are from authorized users?
IPsec
AAA
RADIUS
SNMP
Secure Copy Protocol (SCP) is used to securely copy IOS images and configuration files to a SCP server.
To perform this, SCP will use SSH connections from users authenticated through AAA.

This item references content from the following areas:

CCNA Security: Implementing Network Security
2.3.1 Securing Cisco IOS Image and Configuration Files

11 What level of syslog is associated with Log_Alert?

1
3
0
4
2
Syslog levels range from 0 to 7:Level 0 is Log_EmergLevel 1 is Log_AlertLevel 2 is Log_CritLevel 3 is
Log_ErrLevel 4 is Log_WarningLevel 5 is Log_NoticeLevel 6 is Log_InfoLevel 7 is Log_Debug
This item references content from the following areas:
CCNA Security: Implementing Network Security
2.3.3 Using Syslog for Network Security

12 A syslog server has received the message shown.

*Mar 1 00:07:18.783: %SYS-5-CONFIG_I: Configured from console by vty0 (172.16.45.1)
What can be determined from the syslog message?

The message informs the administrator that a user with an IP address of 172.16.45.1
configured this device remotely.
The message description displays that the console line was accessed locally.
The message is a Log_Alert notification message.
The message is a normal notification and should not be reviewed.

The message shown is a level 5 Log_Notice and displays that a user with an IP address of
172.16.45.1 has configured this device remotely.

This item references content from the following areas:

CCNA Security: Implementing Network Security
2.3.3 Using Syslog for Network Security

13 En la implementacin de la gestin de red segura, cules son dos servicios o funciones del
plano de gestin de un router Cisco que deben ser configurados? (Escoge dos.)
inicios de sesin y contraseas seguras
Cisco IOS firewall de inspeccin
acceso SSH seguro
filtrado de trfico con las ACL
Cisco Express Forwarding
Cisco Express Forwarding, filtrado de trfico con ACL, y Cisco IOS firewall de inspeccin estn
reenviando los servicios planas que proporcionan seguridad. Plano de gestin de seguridad incluye las
siguientes caractersticas:
notificacin legal el uso de una bandera
funciones de contrasea de inicio de sesin y seguras
asegurar NTP
acceso SSH seguro
servicios de TCP interceptar

Este punto hace referencia al contenido de las siguientes reas:

CCNA Security: Implementacin de Seguridad de Red
2.4.2 Bloqueos de seguridad en un router con AutoSecure

14 Durante el Proceso de AAA, Cuando Se Llevara ONU Cabo de la autorizacin f f?

INMEDIATAMENTE Despues de la Autenticacin Exitosa Contra Una fuente de Datos de
AAA
INMEDIATAMENTE Despues de la determinacion de los Recursos Que Un usuario PUEDE
Acceder
INMEDIATAMENTE DESPUS DE UN cliente AAA Enva Informacin de Autenticacin ONU
Servidor Centralizado ONU
INMEDIATAMENTE DESPUS de AAA Contabilidad y Auditoria Informes detallados Recibir
Estafadores

Autorizacin AAA SE IMPLEMENTA INMEDIATAMENTE Despues De Que El usuario es

autenticado Contra Una fuente de Datos AAA Especfico.
Este Punto de Referencia HACE al contenido de las Siguientes reas:
CCNA Security: Implementacin de Seguridad de Red
3.1.2 Caractersticas AAA
 15 Qu funcin f ff se proporciona por el Protocolo RADIUS?
Una RADIUS proporciona Comunicacin Segura utilizando el puerto TCP 49.
RADIUS proporciona cifrado del paquete completa Durante la transferencia.
RADIUS proporciona puertos Separados Para La Autorizacin y Contabilidad.
RADIUS AAA proporciona Servicios Independientes.
Cuando Se autentica unidad ONU usuario AAA, RADIUS utilizaci el puerto UDP 1645 o 1812 para la
Autenticacin y el puerto UDP 1646 o 1813 para la contabilidad. TACACS proporciona Servicios de
Autorizacin y Contabilidad Separadas. Cuando Se autentica unidad ONU cliente RADIUS, es tambin
Autorizado. TACACS proporciona conectividad segura utilizando el puerto TCP 49. RADIUS Esconde las
Contraseas Durante la transmisin y no cifra el paquete completo.

Este Punto de Referencia HACE al contenido de las Siguientes reas:

CCNA Security: Implementacin de Seguridad de Red
Protocolos de Comunicaciones AAA BASADO en Servidor 3.3.2
16 Un administrador de red es la configuracin de un servidor AAA para administrar la
autenticacin RADIUS. Qu dos caractersticas se incluyen en la autenticacin RADIUS?
(Escoge dos.)
encriptacin para todas las comunicaciones
procesos separados para la autenticacin y autorizacin
contraseas ocultas durante la transmisin
cifrado de slo los datos
single process for authentication and authorization
RADIUS authentication supports the following features:
RADIUS authentication and authorization as one process
Encrypts only the password
Utilizes UDP
Supports remote-access technologies, 802.1X, and Session Initiation Protocol (SIP)

This item references content from the following areas:

CCNA Security: Implementing Network Security
3.3.2 Server-Based AAA Communications Protocols

17 An administrator is comparing multiple implementations of AAA. Which AAA method is server-

based and considered the most secure?
local-case
enable
TACACS+
RADIUS
Server-based implementations of AAA include both RADIUS and TACACS+. TACACS+ is considered
more secure because the entire protocol exchange is encrypted whereas RADIUS will only encrypt the
password of the user.

This item references content from the following areas:

CCNA Security: Implementing Network Security
3.3.2 Server-Based AAA Communications Protocols

20 A network administrator is configuring an AAA server to manage TACACS+ authentication.

What are two attributes of TACACS+ authentication? (Choose two.)
TCP port 40
encryption for only the password of a user
UDP port 1645
single process for authentication and authorization
separate processes for authentication and authorization
encryption for all communication
TACACS+ authentication includes the following attributes:
Separa los procesos de autenticacin y autorizacin
Cifra toda la comunicacin, no slo las contraseas
Utiliza el puerto TCP 49

Este punto hace referencia al contenido de las siguientes reas:

CCNA Security: Implementacin de Seguridad de Red
Protocolos de comunicaciones AAA basado en servidor 3.3.2

1. Qu dos nmeros de puerto UDP se puede utilizar para la autenticacin RADIUS AAA basada
en servidor? (Escoge dos.)
1813
1812
49
1645
1646

la autenticacin RADIUS y contabilidad utilizan los siguientes nmeros de puerto UDP:

el puerto UDP 1645 o 1812 para la autenticacin
el puerto UDP 1646 o 1813 para la contabilidad
TACACS + utiliza el puerto TCP 49.

Este punto hace referencia al contenido de las siguientes reas:

CCNA Security: Implementacin de Seguridad de Red
 Protocolos de comunicaciones AAA basado en servidor 3.3.2

22 Qu funcionalidad tiene la palabra clave nica conexin TACACS proporcionar a los servicios
de AAA?

permite el USO de Diferentes claves Entre el Servidor TACACS + y el cliente AAA

Mantiene Una nica Conexin UDP Para la Vida de la Sesin
TCP Mejora el Rendimiento de la Conexin
La cifra transferencia de Datos Entre el Servidor TACACS + y el cliente AAA
La palabra clave sueltas Conexin TCP Mejora el Rendimiento TACACS con + Mediante el
mantenimiento de Una nica Conexin TCP Para la Vida de la Sesin. Sin La Palabra Clave de Conexin
nica, Una Conexin TCP se abre y cierra la Sesin por.

Este Punto de Referencia HACE al contenido de las Siguientes reas:

CCNA Security: Implementacin de Seguridad de Red
3.4.1 configuracion de la Autenticacin Basada en Servidor
23 WHAT ES UN Despliegue Efectivo de IPS e IDS Aparatos En Una corporativa roja?
IDS ONU Coloque Entre el enrutador de borde y la roja interna y Una IPS Dentro de la zona
de distensin rojo.
Coloque la unidad ONU SIP Entre el enrutador de borde y la roja interna y Un IDS en La
Misma LAN.
Colocar Tanto IPS de la ONU y Un IDS Dentro de la zona de distensin rojo.
Coloque la ONU SIP Entre el enrutador de borde y la Red Interna IDS y Un Entre el
enrutador de borde y el ISP.
Un IPS se implementa en el modo en lnea mientras que un IDS se implementa en el modo promiscuo.
Un despliegue efectivo de IPS / IDS es colocar un IPS justo detrs del router de borde para filtrar el
trfico entrante y saliente de la red interna corporativa. IPS y tecnologas IDS pueden complementarse
entre s. A pesar de un IDS no detendr un ataque de intrusin de inmediato, que puede ser utilizado
para validar la operacin IPS porque el IDS se puede configurar para ms profunda de paquetes de
inspeccin fuera de lnea. Esto permite que el IPS para centrarse en un nmero menor pero ms crtica
patrones de trfico en lnea. La colocacin de IPS e IDS en la red DMZ no protege la red interna
corporativa.

Este punto hace referencia al contenido de las siguientes reas:

CCNA Security: Implementacin de Seguridad de Red
5.1.2 basadas en red IPS Implementaciones

24 Qu enunciado describe la funcin de la herramienta de ajuste utilizado en un switch Cisco?

Copia el trfico de un puerto del switch y lo enva a otro puerto del conmutador que est
conectado a un dispositivo de vigilancia.
Es compatible con la operacin de captura SNMP en un interruptor.
Es un canal seguro para un interruptor para enviar el registro a un servidor syslog.
Se proporciona interconexin entre las VLAN a travs de mltiples interruptores.
Para analizar el trfico de red que pasa a travs de un interruptor, se cambi analizador de puerto
(SPAN) se puede utilizar. SPAN puede enviar una copia del trfico de un puerto a otro puerto en el
mismo conmutador al que est conectado un dispositivo analizador o supervisin de la red. SPAN no
es necesario para syslog o SNMP. SPAN se utiliza para reflejar el trfico, mientras Syslog y SNMP estn
configurados para enviar los datos directamente al servidor apropiado.

Este punto hace referencia al contenido de las siguientes reas:

CCNA Security: Implementing Network Security
5.1.3 Cisco Switched Port Analyzer

26 A system analyst is configuring and tuning a recently deployed IPS appliance. By examining the
IPS alarm log, the analyst notices that the IPS does not generate alarms for a few known attack
packets. Which term describes the lack of alarms by the IPS?
true negative
false positive
false negative
true positive

The alarms generated by an IPS can be classified into 4 types:

A false positive occurs when an IPS generates an alarm on normal user traffic that should not have
triggered an alarm.
A false negative occurs when an IPS fails to generate an alarm after processing attack traffic the
IPS is configured to detect.
A true positive occurs when an IPS generates an alarm in response to known attack traffic.
A true negative occurs when normal network traffic does not generate an alarm.

This item references content from the following areas:

CCNA Security: Implementing Network Security
5.2.2 IPS Signature Alarms

29 Which condition describes a true positive IPS signature alarm?

when an alarm is not generated in response to a known attack
when an alarm is generated by normal traffic
when an alarm is not generated by normal traffic
when an alarm is generated in response to a known attack
There are four IPS alarms:
False positive - occurs when normal traffic triggers an alarm
False negative - occurs when known malicious traffic that should trigger an alarm does not
True positive - occurs when traffic that is known to be malicious triggers an attack
True negative - occurs when normal traffic does not trigger an alarm
 This item references content from the following areas:
CCNA Security: Implementing Network Security
5.2.2 IPS Signature Alarms

30 Un especialista en seguridad configura un IPS de modo que se genere una alerta cuando se
detecta un ataque primero. Alertas para la deteccin posterior de la misma ataque se suprimen por un
perodo predefinido de tiempo. Otra alerta se genera al final del perodo que indica el nmero del
ataque detectado. Qu IPS mecanismo de seguimiento de alerta se configura?
compuesta de alerta
alerta atmica
resumen de alerta
alerta de correlacin
Alertas generadas por un IPS deben ser vigilados estrechamente para asegurar acciones apropiadas se
toman contra ataques maliciosos. soluciones IPS incorporan dos tipos de alertas, avisos y alertas
atmicas de resumen. alertas atmicas se generan cada vez que una firma activa. Una alerta de
resumen es una sola alerta que indica mltiples ocurrencias de la misma firma de la misma direccin
de origen o puerto. Con un resumen altera, la primera deteccin del ataque desencadena una alerta
de lo normal. la deteccin posterior de la misma ataque se cont hasta el final del intervalo de
resumen firma. Cuando ha transcurrido el perodo de tiempo especificado por el intervalo resumen,
una alarma de resumen se enva, lo que indica el nmero de alarmas que se produjeron durante el
intervalo de tiempo.

Este Punto de Referencia HACE al contenido de las Siguientes reas:

CCNA Security: Implementacin de Seguridad de Red
5.2.3 Acciones de la firma IPS

31 En La configuracin De un router Cisco Parr Funciones prepararse Parr IPS y VPN,

Administrador de la unidad ONU roja se abre el archivo reino-cisco.pub.key.txt, y copia y pega el
contenido al enrutador en el indicador de configuracin global. Cual es el resultado m m Despues De
Este Paso de configuracin?
Un par de claves Pblicas / secretas se crea para el enrutador para servir Como un Servidor
SSH.
Un par de claves Pblicas / secretas se crea para el Funcionamiento de IPSec VPN.
El enrutador se autentica con el Servidor Web seguras con IPS con Recursos de Cisco.
Se crea Una clave de cifrado para IOS IPS para verificar el archivo de firma del Maestro.
El tercer paso es la Aplicacin IOS IPS es Configurar La Clave Pblica de Cisco IOS IPS Que SE Encuentra
en el archivo cisco.pub.key.txt-Reino. Este clave pblica se utilizaci para verificar la firma digital, para
el Archivo de la firma director, Y SE Puede descargar desde cisco.com. Para Configurar la clave de
cifrado IOS IPS, abra el archivo de texto, y Copiar y pegar el contenido en el enrutador en el indicador
de configuracin global. Los pares de claves Pblicas / Privadas para VPN IPSec y el Servidor SSH se
generan utilizando Diferentes Mtodos.
 Este Punto de Referencia HACE al contenido de las Siguientes reas:
CCNA Security: Implementacin de Seguridad de Red
5.3.1 Configurar Cisco IOS IPS con la CLI

33 Cual es el papel del agente NAC de Cisco En La Implementacin De Una infraestructura de

segura roja?
para proporcionar la Capacidad de los Empleados de la Compaa para crear de de de
cuentas de invitados
Para Llevar ONU Cabo Una inspeccin minuciosa de los Perfiles de seguridad del Dispositivo
para proporcionar Una monitorizacin post-Conexin de Todos los Dispositivos de Punto
Final
Definir para el acceso de usuario Basada en Papeles y las Polticas de Seguridad de Punto
Final
para evaluar v vy Hacer Cumplir las Polticas de Seguridad en el entorno de la NAC
Cisco NAC se utilizaci en la Arquitectura Cisco Borderless Network para autenticar Usuarios y
Asegurar los Dispositivos de Usuario hijo compatibles con las Polticas de Seguridad. El agente NAC de
Cisco es el software de la unidad ONU agente opcional Que se ejecuta en los puntos y los episodios
finales Realiza Una inspeccin minuciosa del Perfil de Seguridad de Dispositivo ESE.

Este punto hace referencia al contenido de las siguientes reas:

CCNA Security: Implementacin de Seguridad de Red
6.1.4 Control de Acceso a la Red

34 Los cuales tres funciones se realizan bajo el marco de la solucin Cisco NAC? (Elige tres.)
prevencin de intrusiones
conexin segura a los servidores
conexin VPN
servicios de AAA
de exploracin para el cumplimiento de la poltica
remediacin para dispositivos no cumplen las normas

El objetivo tanto de la tecnologa Cisco NAC y el Cisco NAC Appliance es asegurar que slo los hosts
que se autentican y tienen su postura de seguridad examinados y aprobados son permitidos en la red.
Ellos proporcionan cuatro funciones importantes: autenticacin, autorizacin y contabilidad;
evaluacin de la postura (la evaluacin de un dispositivo entrante contra las polticas de seguridad),
poner en cuarentena de los sistemas que no cumplen, y la remediacin de los dispositivos no
compatibles. No proporcionan conexin VPN o servicios de deteccin / prevencin de intrusiones.

Este punto hace referencia al contenido de las siguientes reas:

CCNA Security: Implementacin de Seguridad de Red
6.1.4 Control de Acceso a la Red
36 What mitigation method is effective against CAM table overflow attacks?
port security
DHCP snooping
Source Guard
Dynamic ARP Inspection
Port security is the most effective method for preventing CAM table overflow attacks. Port security
gives an administrator the ability to manually specify what MAC addresses should be seen on given
switch ports. It provides a method for limiting the number of MAC addresses that can be dynamically
learned over a switch port.

This item references content from the following areas:

CCNA Security: Implementing Network Security
6.2.3 Mitigating CAM Table Attacks

37 Which antispoofing technology is used to mitigate DoS attacks?

switched infrastructure
encryption
strong authentication
switch port-security
port scanning

La implementacin de interruptor de puerto de seguridad ayudar a mitigar los ataques de denegacin

de servicio. Con el fin de mitigar los ataques de reconocimiento, lo mejor es utilizar una autenticacin
fuerte, una infraestructura conmutada, antisniffer software, y el cifrado.

Este punto hace referencia al contenido de las siguientes reas:

CCNA Security: Implementacin de Seguridad de Red
6.2.5 Ataques Mitigacin de DHCP

38 Qu medidas puede tomar un administrador de red para ayudar a mitigar la amenaza de

ataques de VLAN hopping?
Desactivar la negociacin automtica de trunking.
Configurar todos los puertos de switch a ser miembros de la VLAN 1.
Desactivar VTP.
Habilitar PortFast en todos los puertos del conmutador.
Hay dos mtodos para mitigar los ataques de salto de VLAN:
1. deshabilitar la negociacin automtica de trunking switchports
2. Girando trunking Apagado en Todo el switchport nontrunk pecado USAR
 Este Punto de Referencia HACE al contenido de las Siguientes reas:
CCNA Security: Implementacin de Seguridad de Red
6.2.4 Mitigacin de Ataques de VLAN

39 En que Seria Situacin De La ONU Administrador de Color Rojo Mas es probable APLICAR
Proteccin de Raz?
en todos los puertos de conmutacin Que conectan Una unidad ONU Dispositivo de Capa 3
en todos los puertos de conmutacin Que conectan ONU interruptor Otro Que No Es El
Puente Raz
en todos los puertos del conmutador (USADO O pecado USAR)
en todos los puertos de conmutacin Que conectan a la sede de Dispositivos
en todos los puertos de conmutacin Que conectan ONU conmutador Otro
Proteccin de Raz en conjuncin con PortFast, y el protector de BPDU SE EE.UU. para Prevenir la ONU
ataque de Manipulacin STP.

Este Punto de Referencia HACE al contenido de las Siguientes reas:

CCNA Security: Implementacin de Seguridad de Red
6.2.9 Mitigacin de Ataques STP

41 Que atacan la roja se Mitiga al permitir Que La Guardia BPDU?

Falsificacin de Direcciones MAC
Servidores DHCP falsos En Una roja
CAM Ataques de desbordamiento de la tabla
Interruptores falso En Una roja

Hay Varios Mecanismos de Estabilidad STP Recomendada Para Ayudar a mitigar los Ataques de
Manipulacin STP:
PortFast - utilizaci para lograr v de Inmediato Una Interfaz configurada Como un puerto de
enlace troncal de acceso o al Estado de Envo de la ONU Estado de bloqueo. SE APLICA a todos
los puertos de usuario final.
BPDU Guardia - INMEDIATAMENTE un Errores deshabilita la ONU Puerto Que Una recibir con
BPDU. SE APLICA a todos ports.The la recepcin Te del Usuario definitiva de BPDU Puede Ser
Parte de la ONU Intento no Autorizado para la ONU para contactar interruptor a la roja.
Proteccin de Raz - impide la ONU Cambio de Convertirse en el interruptor de la raz. SE APLICA
a todos los puertos en Los Que No Se Dbe ubicar el interruptor de Raiz.
bucle de guardia - Detecta enlaces unidireccionales para Prevenir Puertos Alternativos o de Raz
se conviertan en puertos Designados. SE APLICA a todos los puertos Que Son o pueden Llegar a
Ser Pecado Designado.

Este Punto de Referencia HACE al contenido de las Siguientes reas:

CCNA Security: Implementacin de Seguridad de Red
 6.2.9 Mitigacin de Ataques STP

42 requieren Que Tipo de Algoritmos emisor y receptor Para El Intercambio El De Una Clave
Secreta Que Se utilizaci Parr Asegurar La confidencialidad de los Mensajes?
Algoritmos de clave pblica
Algoritmos asimtricos
Algoritmos simtricos
Algoritmos de hash de

Los algoritmos simtricos utilizan la misma clave, una clave secreta, para cifrar y descifrar datos. Esta
clave debe ser pre-compartida antes de que ocurra la comunicacin. Los algoritmos asimtricos
requieren ms potencia de procesamiento y la sobrecarga en los dispositivos de comunicacin debido
a que estas teclas pueden ser largas con el fin de evitar ser cortado.

Este punto hace referencia al contenido de las siguientes reas:

CCNA Security: Implementacin de Seguridad de Red
7.3.1 cifrado

43 Cul es la funcin principal del algoritmo Diffie-Hellman?

para evitar que el hombre en los ataques medias
para proporcionar integridad de los datos
para generar y compartir las claves pblicas
para el intercambio de claves secretas compartidas a travs de redes no confiables
El Diffie-Hellman (DH) algoritmo es un mtodo de intercambio de claves moderna que permite el
intercambio de claves secretas segura a travs de una red insegura.

Este punto hace referencia al contenido de las siguientes reas:

CCNA Security: Implementacin de Seguridad de Red
7.3.4 Diffie-Hellman de intercambio de claves

44 How is asymmetric encryption used to provide confidentiality for VPN traffic?

A sender encrypts traffic with the private key of the receiver and the receiver decrypts the
data using the private key of the sender.
A sender encrypts traffic with the public key of the receiver and the receiver decrypts the
data using the private key of the receiver.
A sender encrypts traffic with the private key of the receiver and the receiver decrypts the
data using the public key of the sender.
Un remitente cifra el trfico con la clave pblica del receptor y el receptor descifra los datos
utilizando la clave pblica del remitente.
Los algoritmos asimtricos utilizan dos claves. si una clave pblica encripta los datos, la clave privada
correspondiente descifra los datos. Lo opuesto tambin es cierto. Si una clave privada encripta los
datos, la clave pblica correspondiente descifra los datos.

Este punto hace referencia al contenido de las siguientes reas:

CCNA Security: Implementacin de Seguridad de Red
7.4.1 simtrica Versus cifrado asimtrico

45 Un tcnico de seguridad utiliza un algoritmo asimtrico para cifrar mensajes con una clave
privada y luego enva los datos al otro tcnico. Lo clave deber ser utilizada para descifrar estos datos?
La clave privada del remitente.
La clave privada del receptor.
La clave pblica del remitente.
La clave pblica del receptor.
Los Algoritmos asimtricos utilizan dos claves. Si Una clave pblica encripta los Datos, La Clave Privada
Correspondiente descifra los Datos. Lo Opuesto tambin es Cierto. Si Una clave privada encripta los
Datos, la clave pblica descifra Correspondiente los Datos.

Este Punto de HACE Referencia al contenido de las Siguientes reas:

CCNA Security: Implementacin de Seguridad de Red
7.4.1 simtrica Versus cifrado asimtrico

48 Lo que s Negocia En El Establecimiento de ONU tnel IPSec Entre dos equipos IPsec IKE
Durante la Fase 1?
Grupos DH
Poltica de ISAKMP SA
Transformar conjuntos
trfico interesante
El Establecimiento De Un Tnel IPsec Consiste ES Cinco Pasos:
La detection de trfico interesante Definido Por una ACL
IKE fase 1 en El que pela Negocian la Poltica de ISAKMP SA
IKE fase 2 en El que pela directiva IPsec SA Negocian
Creacin del tnel IPsec
Terminacin del Tnel IPsec

Este Punto de HACE Referencia al contenido de las Siguientes reas:

CCNA Security: Implementacin de Seguridad de Red
8.3.1 Configuracion de Sitio de la ONU un sitio VPN IPsec
50 Considre la siguiente configuration En un Cisco ASA:
ipsec crypto Transform-set-ESP DES-SHA-des esp esp-sha-hmac
Cual es el propsito m of this comando?
Definir prrafo Slo Los Algoritmos de cifrado Permitidos
Definir prrafo Qu trfico permite en s un Travs de y Protegida por El Tnel
prrafo Definir los Algoritmos de cifrado y de integridad Que se utilizan para Construir El
Tnel IPsec
prrafo Definir los Parmetros de ISAKMP Que se utilizan para establecer el tnel
El conjunto de transformacin se negocia durante la fase 2 del proceso de conexin VPN IPsec. El
propsito del conjunto de transformacin es definir lo que el cifrado y la autenticacin de los
esquemas se pueden utilizar. El dispositivo haciendo la iniciacin VPN ofrece la transformada
aceptable conjuntos en orden de preferencia, en este caso, la autenticacin ESP utilizando DES para el
cifrado o la autenticacin ESP mediante la autenticacin e integridad SHA-HMAC para la carga de
datos. Recuerde que el ESP proporciona confidencialidad e integridad con el cifrado con autenticacin.
El ESP-DES-SHA es el nombre del conjunto de transformacin. Los parmetros que siguen (esp-des y
esp-sha-HMAC) son los tipos especficos de cifrado o de autenticacin que est soportado por el ASA
para el tnel VPN que utiliza este conjunto de transformacin.

Este Punto de Referencia HACE al contenido de las Siguientes reas:

CCNA Security: Implementacin de Seguridad de Red
8.3.3 Poltica de IPsec

52 En La Implementacin de la Seguridad en Mltiples Dispositivos, difieren Como hacer ASA ACL

de Cisco IOS ACL?
Cisco IOS ACL se Procesan de forma secuencial desde la parte superior, Hacia Abajo y
secuencialmente Cisco ASA ACL no se Procesan.
Cisco IOS ACL utilizan ONU implcito niegan Todo y El Fin de Cisco ASA ACL Con Un Permiso
implcito TODO.
routers Cisco IOS utilizan AMBOS ACL nombradas numeradas YY Dispositivos Cisco ASA
utilizan Solamente numeradas ACL.
Cisco IOS ACL ESTN configurados con Una mscara comodn y Cisco ASA ACL ESTN
configurados con Una mscara de subred.
Las ACL de Cisco IOS ESTN configurados con Una mscara wildcard y Las ACL Cisco ASA ESTN
configurados con Una mscara de subred. Ambos utilizan Dispositivos Una tapa implcita Negar, Hasta
el Procesamiento secuencial, y Las ACL nombradas o numeradas.

Este Punto de HACE Referencia al contenido de las Siguientes reas:

CCNA Security: Implementacin de Seguridad de Red
9.2.4 ACL
54 Cuando Se Establecer como NAT dinmico En un ASA, QU DOS Parmetros Deben darse por
Objetos de color rojo? (Escoge dos).
Fuera La Interfaz NAT
ONU Rango de Direcciones Privadas Que se traducir
El Nivel de Seguridad de la Interfaz
La Interfaz NAT Dentro De
El Conjunto de Direcciones Globales Pblicos

En ASA ONU, del del del tanto en el conjunto de Direcciones Que se utilizarn Como en el interior de
Direcciones y el Rango de Direcciones Privadas internas Que se Deben translate s configuran ONU
Travs de Objetos de rojo global.

Este Punto de Referencia HACE al contenido de las Siguientes reas:

CCNA Security: Implementacin de Seguridad de Red
9.2.5 Servicios de NAT En ONU ASA