stgo Seguridad

On 800 http://view.ceros.com/viavi-solutions/latam-digital-xperience-3/p/1 weinar https://www.cisacad.net/ccna-2-v7-0-s

Views 134 Downloads 11 File size 3MB

Report DMCA / Copyright

DOWNLOAD FILE

Recommend stories
stgo inalambrica
stgo inalambrica

https://support.microsoft.com/es-cl/help/17137/windows-setting-up-wireless-network https://ccnadesdecero.es/ccna2-v7-srw

66 4 195KB Read more

Libro Stgo Urbex.pdf
Libro Stgo Urbex.pdf

59 3 23MB Read more

Presentacion SLIDE-SLIDE3 Stgo
Presentacion SLIDE-SLIDE3 Stgo

1 0 4MB Read more

Hidrogeologia Stgo. del Estero
Hidrogeologia Stgo. del Estero

14 2 175KB Read more

Sentencia Contra Ured en Stgo
Sentencia Contra Ured en Stgo

1 2 312KB Read more

stgo ether channel.docx
stgo ether channel.docx

25 0 811KB Read more

Caso Buena Vision 2011 Stgo
Caso Buena Vision 2011 Stgo

c c c c c c c c c  c c  c c ! " c c c c  c c c c ccc   c  cc  c

13 0 45KB Read more

Mapa Hidrografico Stgo de Ch
Mapa Hidrografico Stgo de Ch

15 0 1MB Read more

Place cia a La Actividad Patricia Stgo.
Place cia a La Actividad Patricia Stgo.

4 0 227KB Read more

Formacion Medicina Placentaria 2018 Stgo Chile
Formacion Medicina Placentaria 2018 Stgo Chile

27 57 452KB Read more

Citation preview

On 800 http://view.ceros.com/viavi-solutions/latam-digital-xperience-3/p/1 weinar

https://www.cisacad.net/ccna-2-v7-0-srwe-examen-final-preguntas-y-respuestas/ leer https://www.cisacad.net/ccna-2-v7-0-srwe-examen-final-preguntas-y-respuestas/ https://www.cisacad.net/ccna-2-v6-0-capitulo-5-preguntas-y-respuestas-del-examen/ https://ccnadesdecero.es/seguridad-switches-ssh-puertos/ https://aplicacionesysistemas.com/seguridad-puerto-switch-cisco/ https://aplicacionesysistemas.com/seguridad-puerto-switch-cisco/ https://www.itesa.edu.mx/netacad/scaling/course/module4/#4.1.1.3

https://ccnadesdecero.es/ataques-lan/

https://ccnadesdecero.es/ccna2-v7-srwe-modulos-7-9-respuestas/ https://www.itesa.edu.mx/netacad/networks/course/module8/8.2.1.3/8.2.1.3.html seg https://es.wikipedia.org/wiki/Protocolo_simple_de_administraci%C3%B3n_de_red https://todopacketracer.com/2017/09/05/diferencias-entre-cdp-y-lldp/ https://translate.google.com/translate? hl=es&sl=en&u=https://en.wikipedia.org/wiki/VLAN_hopping&prev=search&pto=aue

https://www.daypo.com/ccna4-v6-capitulo-5.html seguridad

1.

2.

¿Cuál ataque encripta los datos en los hosts con el propósito de extraer un pago monetario de la victima? Ransomware ¿Cuáles dispositivos han sido diseñados específicamente para proveer seguridad a la red? (Elija tres opciones)

Router habilitado con VPN NGFW NAC 3.

¿Cuál dispositivo monitorea el trafico SMTP para bloquear amenazas y cifrar mensajes salientes para prevenir perdida de datos? ESA

4.

¿Cuál dispositivo monitorea el trafico HTTP para bloquear el acceso a sitios riesgosos y cifrar mensajes salientes? WSA

1.

2.

3.

Cuál componente AAA es responsable de recolectar y reportar el uso de datos para propósitos de auditoria y facturación?

Registro ¿Cuál componente AAA es responsable de controlar quien esta autorizado a acceder a la red?

Autenticación ¿Cuál componente AAA es responsable de determinar que puede acceder un usuario? Autorización

4.

En una implementación 802.1X, ¿qué dispositivo es responsable de retransmitir las respuestas? Autenticador

1.

¿Cuáles de las siguientes técnicas de mitigación son usadas para proteger desde la Capa 3 hasta la Capa 7 del modelo OSI? (Elija tres opciones). ¡Lo tienes! VPN Firewalls

Dispositivos IPS 2. ¿Cuáles de las siguientes técnicas de mitigación evita muchos tipos de ataques, incluidos los ataques de saturación de la tabla MAC y agotamiento de direcciones DHCP?

3.

Seguridad de puertos ¿Cuál de las siguientes técnicas de mitigación previene suplantación de direcciones MAC e IP?

IPSG

Seguridad de puertos 4. ¿Cuál de las siguientes técnicas de mitigación previene ataques de suplantación ARP y envenenamiento ARP? DAI Seguridad de puertos 5. ¿Cuál de las siguientes técnicas de mitigación previene ataques el agotamiento y suplantación DHCP?

DHCP Snooping

1.

¿Cuál es el comportamiento de un SWITCH como resultado de una ataque exitoso a la tabla de direcciones MAC?

¡Lo tienes! El switch reenviará todas las tramas recibidas por todos los otros puertos dentro de la VLAN. 2.

¿Cuál sería el motivo principal por el que un atacante podría lanzar un ataque de saturación de la dirección MAC?

Para que el atacante puede ver tramas que están destinados a otros dispositivos.

3.

Para que los hosts legítimos no puedan obtener una dirección MAC. ¿Que técnica de mitigación se debe implementar para prevenir ataques de saturación de direcciones MAC?

¡ Seguridad de puertos (Port security)

1.

Un atacante cambia la dirección MAC de su dispositivo por la dirección MAC de la puerta de enlace predeterminada. ¿Qué tipo de ataque es este?

¡Lo tienes!

2.

Suplantación de direcciones El atacante envía un mensaje de BPDU con prioridad 0. ¿Qué tipo de ataque es este?

¡Lo tienes!

3.

Ataque de STP Un actor de amenaza solicita todas las direcciones IP disponibles en una subred. ¿Qué tipo de ataque es este?

¡Lo tienes!

4.

Agotamiento DHCP Un atacante envía un mensaje que causa que todos los otros dispositivos crean que la direccion MAC del atacante es la puerta de enlace predeterminada. ¿Qué tipo de ataque es este?

Suplantación ARP Reconocimiento CDP Agotamiento DHCP Ataque de STP

5.

VLAN Hopping Un atacante configura un host con el protocolo 802.1Q y forma un enlace troncal con el switch que tiene conectado. ¿Qué tipo de ataque es este?

¡Lo tienes!

6.

VLAN Hopping Un amenazante descubre la version de IOS y la dirección IP de Switch local. ¿Qué tipo de ataque es este? Reconocimiento CDP

. Estos puntos finales suelen utilizar características de seguridad tradicionales basadas en host, como antivirus/antimalware, firewalls basados en host y sistemas de prevención de intrusiones (HIPS) basados en host. Sin embargo, actualmente los puntos finales están más protegidos por una combinación de NAC, software AMP basado en host, un Dispositivo de Seguridad de Correo Electrónico (ESA) y un Dispositivo de Seguridad Web (WSA). Los productos de Protección Avanzado de Malware (AMP) incluyen soluciones de dispositivos finales como Cisco AMP.

NAC control de acceso a red (del inglés Network Access Control, NAC) es un enfoque de la seguridad en redes de computadoras que intenta unificar la tecnología de seguridad en los

equipos finales (tales como antivirus, prevención de intrusión en hosts, informes de vulnerabilidades), usuario o sistema de autenticación y ...

AMP Obtenga inteligencia global de amenazas, sandboxing avanzado y bloqueo de malware en tiempo real para evitar las vulnerabilidades con Cisco Advanced Malware Protection (AMP). Sin embargo, como no puede depender solo de la prevención, AMP también analiza continuamente la actividad de los archivos en la red extendida, de modo que pueda detectar, contener y eliminar el malware avanzado con rapidez. Firewall de Siguiente Generación (NGFW) - proporciona inspección de paquetes con estado, visibilidad y control de aplicaciones, un Sistema de Prevención de Intrusos de Próxima Generación (NGIPS), Protección Avanzada contra Malware (AMP) y filtrado de URL. Un dispositivo NAC incluye autenticación, autorización y registro (AAA) En empresas más grandes, estos servicios podrían incorporarse en un dispositivo que pueda administrar políticas de acceso en una amplia variedad de usuarios y tipos de dispositivos. El Cisco Identity Services Engine (ISE) en un ejemplo de dispositivo NAC.

Red Privada Virtual (VPN) proporciona una conexión segura para que usuarios remotos se conecten a la red empresarial a través de una red pública. Los servicios VPN pueden ser integrados en el firewall.

WSA NAC control de acceso a red (del inglés Network Access Control, NAC) es un enfoque de la seguridad en redes de computadoras que intenta unificar la tecnología de seguridad en los equipos finales (tales como antivirus, prevención de intrusión en hosts, informes de vulnerabilidades), usuario o sistema de autenticación y ...

AMP Obtenga inteligencia global de amenazas, sandboxing avanzado y bloqueo de malware en tiempo real para evitar las vulnerabilidades con Cisco Advanced Malware Protection (AMP). Sin embargo, como no puede depender solo de la prevención, AMP también analiza continuamente la actividad de los archivos en la red extendida, de modo que pueda detectar, contener y eliminar el malware avanzado con rapidez.

El dispositivo de seguridad de la red de Cisco (WSA) proporciona la defensa más completa del gateway de la industria contra el spyware y el malware basado en web

ESA Cisco ESA descarta el correo con enlaces malos. Un atacante envía un correo electrónico de suplantación de identidad (phishing) desde la nube, destinado a un ejecutivo de la compañía; el firewall lo re-envía al ESA, que lo descarta

WSA Cisco Web Security Appliance (WSA) es una tecnología de mitigación para amenazas basadas en la web. Ayuda a las organizaciones a abordar los desafíos de asegurar y controlar el tráfico web. Cisco WSA combina protección avanzada contra malware, visibilidad y control de aplicaciones, controles de políticas de uso aceptable e informes. NGFW Qué es un Next Generation Firewall? (NextGen o NGFW) Firewall NextGen o de siguiente generación es un sistema de seguridad para redes dentro de un dispositivo de Hardware o en una versión basada en software que es capaz de detectar y prevenir ataques sofisticados a través de forzar políticas de seguridad a nivel de aplicación, así como a nivel de puertos o protocolos de comunicación.

En el tema anterior usted aprendió que un NAC provee servicios AAA. En este tema usted aprenderá mas sobre AAA y las formas de controlar el acceso.

Componentes AAA AAA significa Autenticación, Autorización y Registro El concepto de AAA es similar al uso de una tarjeta de crédito, como se muestra en la imagen La tarjeta de crédito identifica quién la usa y cuánto puede gastar puede el usuario de esta, y mantiene un registro de cuántos elementos o servicios adquirió el usuario.

"AAA" o "triple A", estos servicios proporcionan el marco principal para ajustar el control de acceso en un dispositivo de red. AAA es un modo de controlar quién tiene permitido acceder a una red (autenticar), controlar lo que las personas pueden hacer mientras se encuentran allí (autorizar) y qué acciones realizan mientras acceden a la red (registrar).

Autenticación AAA local

Los AAA locales guardan los nombres de usuario y contraseñas localmente en un dispositivo de red como el router de Cisco. Los usuarios se autentican contra la base de datos local, como se muestra en la figura. AAA local es ideal para las redes pequeñas.

un cliente remoto se conecta a un router AAA, se le solicita un usuario y contraseña, el router revisa su base de datos local antes de permitir acceso a la red corporativa

Autenticación AAA basada en el servidor

Con el método basado en servidor, el router accede a un servidor central de AAA, como se muestra en la imagen El servidor AAA contiene los nombres de usuario y contraseñas de todos los usuarios. El router AAA usa el protocolo de Sistema de Control de Acceso del Controlador de Acceso Terminal Mejorado (TACACS+) o el protocolo de Servicio de Autenticación Remota de Usuario de Discado (RADIUS) para comunicarse con el servidor de AAA. Cuando hay múltiples enrutadores y switches, el método basado en el servidor es más apropiado.

un cliente remoto se conecta a un enrutador AAA, se le consulta su nombre de usuario y contraseña, el enrutador autentica las credenciales utilizando un servidor AAA, y se le da al usuario acceso a la red.

El estándar IEEE 802.1X define un control de acceso y un protocolo de autenticación basados en puertos. Este protocol evita que las estaciones de trabajo no autorizadas se conecten a una LAN a través de puertos de switch de acceso público. El servidor de autenticación autentica cada estación de trabajo, que está conectada a un puerto del switch, antes de habilitar cualquier servicio ofrecido por el switch o la LAN.

Con la autenticación 802.1X basada en puertos, los dispositivos de la red cumplen roles específicos, como se muestra en la figura:

Cliente (suplicante) - Este es un dispositivo ejecutando software de cliente 802.1X, el cual esta disponible para dispositivos conectados por cable o inalámbricos. Switch (Autenticador) –El switch funciona como actúa intermediario (proxy) entre el cliente y el servidor de autenticación. Solicita la identificación de la información del cliente, verifica dicha información al servidor de autenticación y transmite una respuesta al cliente. Otro dispositivo que puede actuar como autenticador es un punto de acceso inalámbrico. Servidor de autenticación El servidor valida la identidad del cliente y notifica al switch o al punto de acceso inalámbrico si el cliente esta o no autorizado para acceder a la LAN y a los servicios del Switch.

Ataques de Capa 2 Leyenda de la tabla Categoría

Ejemplos

Ataques a la tabla MAC Incluye ataques de saturación de direcciones MAC. Ataques de VLAN Incluye ataques VLAN Hopping y VLAN Double-Tagging Esto tambien incluye ataques entre dispositivos en una misma VLAN. Ataques de DHCP Ataques ARP

Incluye ataques de agotamiento y suplantación DHCP.

Incluye la suplantación de ARP y los ataques de envenenamiento de ARP.

Ataques de Suplantación de Direcciones Incluye los ataques de suplantación de direcciones MAC e IP. Ataque de STP Incluye ataques de manipulación al Protocolo de Árbol de Extensión

Mitigación de ataques en Capa 2. Leyenda de la tabla

Solución

Descripción

Seguridad de Puertos Previene muchos tipos de ataques incluyendo ataques MAC address flooding Ataque por agotamiento del DHCP DHCP Snooping Previene ataques de suplantación de identidad y de agotamiento de DHCP Inspección ARP dinámica (DAI) Previene la suplantación de ARP y los ataques de envenenamiento de ARP. Protección de IP de origen (IPSG) IP.

Impide los ataques de suplantación de direcciones MAC e

Un Sistema de Prevención de Intrusos o Intrusion Prevention System ("IPS" en sus siglas en inglés), es un dispositivo de seguridad de red que monitoriza el tráfico de red y/o las actividades de un sistema, en busca de actividad maliciosa.

Utilice siempre variantes seguras de protocolos de administración como SSH, Protocolo de Copia Segura (SCP), FTP Seguro (SFTP) y Seguridad de capa de sockets seguros / capa de transporte (SSL / TLS). Considere usar una red de administración fuera de banda para administrar dispositivos. Usar una VLAN de administración dedicada que solo aloje el tráfico de administración. Use ACL para filtrar el acceso no deseado.

Un ARP Spoofing es una especie de ataque en el que un atacante envía mensajes falsificados ARP (Address Resolution Protocol) a una LAN. Como resultado, el atacante vincula su dirección MAC con la dirección IP de un equipo legítimo (o servidor) en la red.

Revisar la Operación del Switch En este tema el foco esta aun en los switches, específicamente en la tabla de direcciones MAC y como estas tablas son vulnerables a ataques.

Recuerde que para tomar decisiones de reenvío, un Switch LAN de Capa 2 crea una tabla basada en las direcciones MAC de origen que se encuentran en las tramas recibidas. Como se muestra en

la figura, esto es llamado un tabla de direcciones MAC. Tabla de direcciones MAC se guarda en la memoria y son usadas para reenviar tramas de forma eficiente.

S1# show mac address-table dynamic

Saturación de Tablas de Direcciones MAC Todas las tablas MAC tiene un tamaño fijo, por lo que un switch puede quedarse sin espacio para guardar direcciones MAC. Los ataques de saturación de direcciones MAC aprovechan esta limitación al bombardear el switch con direcciones MAC de origen falsas hasta que la tabla de direcciones MAC del switch esté llena.

Cuando esto ocurre, el switch trata la trama como un unicast desconocido y comienza a inundar todo el tráfico entrante por todos los puertos en la misma VLAN sin hacer referencia a la tabla MAC. Esta condición ahora permite que un atacante capture todas las tramas enviadas desde un host a otro en la LAN local o VLAN local.

Nota: El tráfico se satura solo dentro de la LAN o VLAN local. El atacante solo puede capturar el tráfico dentro de la LAN o VLAN local a la que está conectado el atacante.

La figura muestra como el atacante puede fácilmente usar la herramienta de ataque de red llamada macof para desbordar una tabla de direcciones MAC.

Si el atacante detiene la ejecución de macof o si es descubierto y detenido, el switch eventualmente elimina las entradas mas viejas de direcciones MAC de la tabla y empieza a funcionar nuevamente como un switch.

Los punto terminales son particularmente susceptibles a ataques malware que se originan a través de correo electrónico o el navegador web, como DDOS, filtración de datos y malware. Estos puntos terminales suelen utilizar características de seguridad tradicionales basadas en host, como antivirus/antimalware, firewalls basados en host y sistemas de prevención de intrusiones (HIPSs) basados en host. Los puntos terminales están mejor protegidos por una combinación de NAC, software AMP basado en host, un dispositivo de seguridad de correo electrónico (ESA) y un dispositivo de seguridad web (WSA). La WSA puede realizar listas negras de URL, filtrado de URL, escaneo de malware, categorización de URL, filtrado de aplicaciones web y cifrado y descifrado del tráfico web.

AAA es un modo de controlar quién tiene permitido acceder a una red (autenticar), controlar lo que las personas pueden hacer mientras se encuentran allí (autorizar) y qué acciones realizan mientras acceden a la red (registrar). La autorización utiliza un conjunto de atributos que describe el acceso del usuario a la red. Un uso muy implementado del Registro es en combinación con la Autenticación AAA. Los servidores AAA mantienen un registro detallado de lo que el usuario autenticado hace exactamente en el dispositivo. El estándar IEEE 802.1X define un control de acceso y un protocolo de autenticación basado en puertos, que evita que las estaciones de trabajo no autorizadas se conecten a una LAN a través de los puertos de switch acceso público.

Si la Capa 2 se ve comprometida, todas las capas superiores también se ven afectadas. El primer paso para mitigar los ataques a la infraestructura de Capa 2 es comprender el funcionamiento de la Capa 2 y las amenazas de la infraestructura de Capa 2: Port Security, DHCP snooping, DAI, y IPSG. Estos no van a funcionar a menos que los protocolos de administración sean seguros.

Los ataques por saturación de MAC, saturan la tabla de direcciones MAC del switch, con información falsa, hasta que este llena. Cuando esto ocurre, el switch trata la trama como un unicast desconocido, y comienza a reenviar todo el tráfico entrante por todos los puertos en la misma VLAN, sin hacer referencia a la tabla MAC. El atacante puede ahora capturar todas las tramas enviadas desde un host para otro host en una LAN o VLAN local. El atacante usa macof para rapidamente generar, de manera aleatoria, muchas direcciones MAC y IP de origen y destino. Para mitigar los ataques de saturación de la tabla de direcciones MAC, los administradores de red deben implementar la seguridad del puerto.

El VLAN Hopping permite que una VLAN pueda ver el tráfico de otra VLAN sin cruzar primero un router. El atacante configura a un host para actuar como un Switch y tomar ventaja de la característica de puerto troncal habitabilidad por defecto en la mayoría de puertos del switch

Un ataque VLAN Double-Tagging es unidireccional y funciona únicamente cuando el atacante está conectado a un puerto que reside en la misma VLAN que la VLAN nativa del puerto troncal. El Double-Tagging permite al actor de la amenaza enviar datos a los hosts o servidores en una VLAN que de otro modo se bloquearía por algún tipo de configuración de control de acceso El trafico de retorno también sera permitido, dejando que el atacante se comunique con otros dispositivos en la VLAN normalmente bloqueada.

Los ataques de VLAN hopping and VLAN double-tagging se pueden evitar mediante la implementación de las siguientes pautas de seguridad troncal:

Deshabilitar troncal en todos los puertos de acceso. Deshabilitar troncal automático en enlaces troncales para poder habilitarlos de manera manual. Asegurarse de que la VLAN nativa solo se usa para los enlaces troncales. Los servidores DHCP, de manera dinámica, proporcionan la información de configuración de IP a los clientes, como la dirección IP, la máscara de subred, el default gateway, los servidores DNS y más. Los dos tipos de ataques DHCP son agotamiento y suplantación de identidad. Ambos ataques pueden ser mitigados implementando DHCP snooping.

Ataque ARP: un atacante puede enviar un mensaje ARP gratuito al switch y el switch podría actualizar su tabla MAC de acuerdo a esto. Ahora el atacante envía respuestas ARP no solicitadas a otros hosts en la subred con la dirección MAC del actor amenazante y la dirección IP del default gateway. La suplantación de identidad ARP y el envenenamiento ARP son mitigados implementando DAI.

Ataque de suplantación de direcciones: la suplantación de identidad de una direccion IP es cuando un atacante secuestra una direccion IP valida de otro dispositivo en la subred o usa una dirección IP al azar. Los atacantes cambian la dirección MAC de su host para que coincida con otra dirección MAC conocida de un host de destino. La suplantación de identidad de direcciones IP y direcciones MAC puede ser mnitigada implementado IPSG.

Ataque STP: el amenazante manipula STP para conducir un ataque suplantando root bridge y cambiando la topologia de la red. Los atacantes hacen que su host aparezca como un root bridge; por lo tanto capturan todo el trafico para el dominio del Switch inmediato. Este ataque STP es mitigado implementando BPDU guard en todos los puertos de acceso.

La información de CDP se envía por los puertos con CDP habilitado en transmisiones periódicas sin encriptar. La información de CDP incluye la dirección IP del dispositivo, la versión de software de IOS, la plataforma, las funcionalidades y la VLAN nativa. El dispositivo que recibe el mensaje CDP actualiza su base de datos CDP, la información suministrada por el CDP puede también ser usada por un atacante para descubrir vulnerabilidades en la infraestructura de la red. Para mitigar la explotación de CDP, se debe limitar el uso de CDP en los dispositivos o puertos.

¿Qué método de autenticación almacena nombres de usuario y contraseñas en el router y es ideal para redes pequeñas?

AAA local

En una red pequeña con algunos dispositivos de red, la autenticación AAA se puede implementar con la base de datos local y con nombres de usuario y contraseñas almacenados en los dispositivos de red. La autenticación con el protocolo TACACS+ o RADIUS requerirá servidores ACS dedicados, aunque esta solución de autenticación se escala bien en una red grande.

¿Cuáles son dos protocolos que utiliza AAA para autenticar a los usuarios contra una base de datos central de nombres de usuario y contraseña? (Escoja dos opciones).

NTP

TACACS+

RADIUS

CHAP Barra de navegación ¿Cuál es el resultado de un ataque de agotamiento de DHCP?

Los clientes legítimos no pueden arrendar direcciones IP.

. ¿Qué representa una práctica recomendada en relación con protocolos de descubrimiento como CDP y LLDP en dispositivos de red?

Deshabilite ambos protocolos en todas las interfaces donde no sean necesarios. Ambos protocolos de descubrimiento pueden proporcionar a los hackers información confidencial de la red. No deben habilitarse en dispositivos perimetrales y deben deshabilitarse globalmente o por interfaz si no es necesario. CDP está habilitado por defecto.

Qué protocolo se debe usar para mitigar la vulnerabilidad de usar Telnet para administrar dispositivos de red de forma remota?

SSH

Telnet utiliza texto sin formato para comunicarse en una red. El nombre de usuario y la contraseña se pueden capturar si se intercepta la transmisión de datos. SSH cifra las comunicaciones de datos

entre dos dispositivos de red. TFTP y SCP se utilizan para la transferencia de archivos a través de la red. SNMP se utiliza en soluciones de administración de red. Este punto hace referencia al contenido de las siguientes áreas:

6 ¿Qué declaración describe el comportamiento de un conmutador cuando la tabla de direcciones MAC está llena?

Trata las tramas como unidifusión desconocida e inunda todas las tramas entrantes a todos los puertos dentro de la VLAN local.

Cuando la tabla de direcciones MAC está llena, el conmutador trata la trama como una unidifusión desconocida y comienza a inundar todo el tráfico entrante a todos los puertos solo dentro de la VLAN local.

7 ¿Qué característica de un switch lo hace vulnerable a los ataques de salto de VLAN?

la función de puerto troncal automático habilitada para todos los puertos de forma predeterminada El VLAN Hopping permite que una VLAN pueda ver el tráfico de otra VLAN sin cruzar primero un router. En un ataque de salto de VLAN básico, el atacante configura un host para que actúe como un switch, para aprovechar la función de puerto de enlace automático habilitada de forma predeterminada en la mayoría de los puertos del switch.

8 ¿Qué característica o configuración de un switch lo hace vulnerable a ataques de doble etiquetado de VLAN?

modo dúplex mixto habilitado para todos los puertos de forma predeterminada

el tamaño limitado del espacio de memoria direccionable por contenido

la función de puerto troncal automático habilitada para todos los puertos de forma predeterminada

la VLAN nativa del puerto de enlace troncal es la misma que una VLAN de usuario Barra de navegación Observable

Descripción

Valor máx.

correctness of response 2 points for Option 4 0 points for any other option

2

El ataque con salto de VLAN de etiquetado doble (o de encapsulado doble) aprovecha la manera en que el hardware opera en algunos switches. Algunos switches realizan solo un nivel de desencapsulación de 802.1Q, lo que permite que, en ciertas situaciones, un atacante incorpore una segunda etiqueta 802.1Q dentro de la trama. Esta etiqueta permite que la trama se envíe a una VLAN a la cual la etiqueta original 802.1Q no especificó. Una característica importante del ataque de salto de VLAN de doble encapsulado es que funciona incluso si los puertos troncal están deshabilitados, porque un host normalmente envía una trama en un segmento que no es un enlace troncal. Un ataque de VLAN Double-tagging es unicast, y funciona unidireccional, y funciona cuando el atacante está conectado a un puerto que reside en la misma VLAN que la VLAN nativa del puerto troncal.

¿Qué componente de AAA se utiliza para determinar los recursos a los que puede acceder el usuario y las operaciones que tiene permitido realizar?

Autorización

Uno de los componentes de AAA es la Autorización. Una vez que se autentica usuario a través de AAA, los servicios de autorización determinan a qué recursos puede acceder el usuario y qué operaciones tiene permitido realizar.

0 ¿Qué componente de AAA permite que un administrador realice un seguimiento de las personas que acceden a los recursos de la red y de los cambios que se hacen en dichos recursos?

Accesibilidad

Registro

Uno de los componentes de AAA es registro. Después de que un usuario se autentica a través de AAA, los servidores AAA mantienen un registro detallado de las acciones precisas que realiza el usuario autenticado en el dispositivo.

Qué dispositivo se considera un suplicante durante el proceso de autenticación de 802.1x?

el cliente que solicita la autenticación

Los dispositivos involucrados en el proceso de autenticación de 802.1x son los siguientes: El suplicante, que es el cliente que solicita acceso a la red El autenticador, que es el switch al que se conecta el cliente y que está controlando realmente el acceso físico a la red El servidor de autenticación, que realiza la autenticación real

2 El router R1 se conecta al puerto Fa0/24 del switch S1 a través de la interfaz Fa0/1. El puerto S1 Fa0/2 se utiliza para conectar el host etiquetado PC1. Se da la siguiente salida del comando: S1# show port-security Secure Port MaxSecureadDR CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) — Fa0/1 1 0 0 Shutdown Fa0/2 1 1 Shutdown — Total de direcciones en el sistema (excluyendo un mac por puerto): 0 Límite máximo de direcciones en el sistema (excluyendo un mac por puerto): 8192 S1# Consulte la ilustración. La interfaz Fa0/2 del conmutador S1 se ha configurado con el comando switchport port-security mac-address 0023.189d.6456 y se ha conectado una estación de trabajo. ¿Cuál podría ser la razón por la que la interfaz Fa0/2 se apaga?

La dirección MAC de PC1 que se conecta a la interfaz Fa0/2 no es la dirección MAC configurada.

Consulte la exhibición. El puerto Fa0/2 ya se configuró adecuadamente. El teléfono IP y la computadora funcionan de manera correcta. ¿Cuál sería la configuración de switch más adecuada para el puerto Fa0/2 si el administrador de red tuviera los siguientes objetivos? Nadie debe poder desconectar el teléfono IP o la computadora ni conectar otro dispositivo por cable. Si se conecta un dispositivo diferente, el puerto Fa0/2 se debe desactivar. El switch debe detectar automáticamente la dirección MAC del teléfono IP y de la computadora, y agregar esas direcciones a la configuración en ejecución.

SWA(config-if)# switchport port-security SWA(config-if)# switchport port-security maximum 2 SWA(config-if)# switchport port-security mac-address sticky

Consulte la ilustración. La seguridad del puerto se ha configurado en la interfaz Fa 0/12 del conmutador S1. ¿Qué acción ocurrirá cuando PC1 esté conectado al conmutador S1 con la configuración aplicada?

Se eliminarán las tramas de PC1 y se creará un mensaje de registro.

Las tramas de PC1 se eliminarán y no habrá registro de la infracción.

Las tramas de PC1 provocarán que la interfaz se cierre inmediatamente y se realizará una entrada de registro.

Las tramas de PC1 se reenviarán a su destino y se creará una entrada de registro.

Las tramas de PC1 se reenviarán a su destino, pero no se creará una entrada de registro.

Las tramas de PC1 se reenviarán ya que falta el comando switchport port-security violation . Barra de navegación Observable

Descripción

Valor máx.

correctness of response 2 points for Option 3 0 points for any other option

2

Se ha introducido la configuración manual de la única dirección MAC permitida para el puerto fa0/12.PC1 tiene una dirección MAC diferente y cuando está conectado hará que el puerto se cierre (la acción predeterminada), se cree automáticamente un mensaje de registro y se incremente el contador de infracciones. Se recomienda la acción predeterminada de apagado porque la opción restringir podría fallar si se está ejecutando un ataque.

1¿Qué método de autenticación almacena nombres de usuario y contraseñas en el router y es ideal para redes pequeñas?

2¿Cuáles son dos protocolos que utiliza AAA para autenticar a los usuarios contra una base de datos central de nombres de usuario y contraseña? (Escoja dos opciones).

3¿Cuál es el resultado de un ataque de agotamiento de DHCP?

4¿Qué representa una práctica recomendada en relación con protocolos de descubrimiento como CDP y LLDP en dispositivos de red?

5¿Qué protocolo se debe usar para mitigar la vulnerabilidad de usar Telnet para administrar dispositivos de red de forma remota?

6¿Qué declaración describe el comportamiento de un conmutador cuando la tabla de direcciones MAC está llena?

7¿Qué característica de un switch lo hace vulnerable a los ataques de salto de VLAN?

8¿Qué característica o configuración de un switch lo hace vulnerable a ataques de doble etiquetado de VLAN?

9¿Qué componente de AAA se utiliza para determinar los recursos a los que puede acceder el usuario y las operaciones que tiene permitido realizar?

10¿Qué componente de AAA permite que un administrador realice un seguimiento de las personas que acceden a los recursos de la red y de los cambios que se hacen en dichos recursos?

11¿Qué dispositivo se considera un suplicante durante el proceso de autenticación de 802.1x?

12Consulte la ilustración. La interfaz Fa0/2 del conmutador S1 se ha configurado con el comando switchport port-security mac-address 0023.189d.6456 y se ha conectado una estación de trabajo. ¿Cuál podría ser la razón por la que la interfaz Fa0/2 se apaga?El router R1 se conecta al puerto Fa0/24 del switch S1 a través de la interfaz Fa0/1. El puerto S1 Fa0/2 se utiliza para conectar el host etiquetado PC1. Se da la siguiente salida del comando: S1# show port-security Secure Port MaxSecureadDR CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) — Fa0/1 1 0 0 Shutdown Fa0/2 1 1 Shutdown — Total de direcciones en el sistema (excluyendo un mac por puerto): 0 Límite máximo de direcciones en el sistema (excluyendo un mac por puerto): 8192 S1#

13Consulte la exhibición. El puerto Fa0/2 ya se configuró adecuadamente. El teléfono IP y la computadora funcionan de manera correcta. ¿Cuál sería la configuración de switch más adecuada para el puerto Fa0/2 si el administrador de red tuviera los siguientes objetivos?Nadie debe poder desconectar el teléfono IP o la computadora ni conectar otro dispositivo por cable. Si se conecta un dispositivo diferente, el puerto Fa0/2 se debe desactivar. El switch debe detectar automáticamente la dirección MAC del teléfono IP y de la computadora, y agregar esas direcciones a la configuración en ejecución.

14Consulte la ilustración. La seguridad del puerto se ha configurado en la interfaz Fa 0/12 del conmutador S1. ¿Qué acción ocurrirá cuando PC1 esté conectado al conmutador S1 con la configuración aplicada?La exposición consiste en un gráfico con un interruptor etiquetado S1 y un PC etiquetado PC1. El puerto Fa0/12 del conmutador S1 se conecta a PC1. En PC1 está la dirección MAC 000b.bd1b.05ae. Los siguientes comandos están bajo el gráfico: S1 (config) # interface fastethernet 0/12 S1 (config-if) # switchport mode access S1 (config-if) # switchport port-security S1 (config-if) # switchport port-security maximum 1 S1 (config-if) # switchport port-security 000d.bd1b.0245

15Un administrador de red configura la seguridad de puertos en un switch de Cisco. La política de seguridad de la compañía especifica que cuando se produce una violación, los paquetes con direcciones de origen desconocidas deben descartarse y no se debe enviar ninguna notificación. ¿Qué modo de violación se debe configurar en las interfaces? 15 Un administrador de red configura la seguridad de puertos en un switch de Cisco. La política de seguridad de la compañía especifica que cuando se produce una violación, los paquetes con direcciones de origen desconocidas deben descartarse y no se debe enviar ninguna notificación. ¿Qué modo de violación se debe configurar en las interfaces?

protect En un switch de Cisco, se puede configurar una interfaz para uno de tres modos de violación con la acción específica que se debe realizar si se produce una violación: Protección : los paquetes con direcciones de origen desconocidas se descartan hasta que se elimine una cantidad suficiente de direcciones MAC seguras o se aumente la cantidad máxima de direcciones permitidas. No hay ninguna notificación de que se produjo una violación de seguridad.

Restricción : los paquetes con direcciones de origen desconocidas se descartan hasta que se elimine una cantidad suficiente de direcciones MAC seguras o se aumente la cantidad máxima de direcciones permitidas. En este modo, hay una notificación de que se produjo una violación de seguridad. Apagado : la interfaz se inhabilita de inmediato por errores y se apaga el LED del puerto.

¿Qué beneficio de seguridad se obtiene al habilitar la protección BPDU en interfaces habilitadas para PortFast?

evitar que se agreguen conmutadores no fiables a la red

BPDU guard - inmediatamente inhabilita un puerto que recibe un BPDU. Esto evita que se agreguen conmutadores no fiables a la red. La protección BPDU solo debe aplicarse a todos los puertos de usuario final.

¿Qué tipo de ataque de salto de VLAN se puede evitar designando una VLAN no utilizada como VLAN nativa?

DTP spoofing

Suplantación de identidad de DHCP

VLAN double-tagging

Inanición de DHCP Barra de navegación Observable

Descripción

Valor máx.

correctness of response 2 points for Option 3 0 points for any other option

2

La suplantación de mensajes DTP obliga a un conmutador a entrar en modo de enlace troncal como parte de un ataque de salto de VLAN, pero el doble etiquetado de VLAN funciona incluso si los puertos troncales están deshabilitados. Cambiar la VLAN nativa de la predeterminada a una VLAN no utilizada reduce la posibilidad de este tipo de ataque. La suplantación de DHCP y la inanición de DHCP aprovechan las vulnerabilidades en el intercambio de mensajes DHCP.

Consulte la ilustración. La PC1 y la PC2 deberían poder obtener las asignaciones de direcciones IP del servidor DHCP. ¿Cuántos puertos entre los switches se deben asignar como puertos confiables como parte de la configuración de detección DHCP?

1

3

5

7 Barra de navegación

Observable

Descripción

Valor máx.

correctness of response 1 point for Option 4 0 points for any other option

19 Un especialista en seguridad de TI habilita la seguridad de puertos en un puerto de switch de un switch de Cisco. ¿Cuál es el modo de violación predeterminado que se usa hasta que el puerto de switch se configura para que use otro modo de violación?

Restricción

deshabilitado

Protección

Shutdown

Un administrador de red ingresa la siguiente secuencia de comandos en un switch Cisco 1.

SW1 (config) # Interface range fa0/5 — 10 SW1 (config-if) # ip dhcp snooping limit rate 6

¿Cuál es el efecto después de ingresar estos comandos?

Los puertos FastEthernet 5 a 10 pueden recibir hasta 6 mensajes de descubrimiento DHCP por segundo.

Los puertos FastEthernet 5 a 10 pueden recibir hasta 6 mensajes DHCP por segundo de cualquier tipo.

Si alguno de los puertos FastEthernet 5 a 10 recibe más de 6 mensajes DHCP por segundo, el puerto se apagará.

Si alguno de los puertos FastEthernet 5 a 10 recibe más de 6 mensajes DHCP por segundo, el puerto seguirá funcionando y se enviará un mensaje de error al administrador de la red. Barra de navegación Cuando se configura la inspección DHCP, la cantidad de mensajes de descubrimiento de DHCP que los puertos no confiables pueden recibir por segundo debe tener una velocidad limitada mediante el uso del comando ip dhcp snooping limit rate en la nterface. Cuando un puerto recibe más mensajes de los que permite la velocidad, se eliminarán los mensajes adicionales.

Un administrador de red está configurando DAI en un conmutador con el comando ip arp inspection validate src-mac . ¿Cuál es el objetivo de este comando de configuración?

Comprobar la dirección MAC de destino en el encabezado de Ethernet contra la tabla dirección MAC

Comprobar la dirección dirección MAC de destino en el encabezado de Ethernet contra las ACL ARP configuradas por el usuario

Comprueba la dirección de origen L2 en el encabezado de Ethernet contra la dirección de destino L2 en el cuerpo ARP.

Comprueba la dirección de origen L2 en el encabezado de Ethernet contra la dirección del remitente L2 en el cuerpo ARP. Barra de navegación Observable

Descripción

Valor máx.

correctness of response 2 points for Option 4 0 points for any other option

2

DAI se puede configurar para comprobar si hay dirección MAC e IP de destino o de origen: - MAC de destino : comprueba la dirección MAC de destino en el encabezado de Ethernet con la dirección MAC de destino en el cuerpo ARP. MAC de origen Comprueba la dirección MAC de origen en el encabezado de Ethernet con la dirección MAC del remitente en el cuerpo ARP. Direcciones IP - Comprueba el cuerpo ARP para Direcciones IP no válidas e inesperadas, incluidas las direcciones 0.0.0.0, 255.255.255.255 y todas las direcciones de multidifusión IP.

¿Qué dos comandos se pueden usar para habilitar la protección BPDU en un switch? (Escoja dos opciones).

S1(config)# spanning-tree bpduguard default

S1(config-if)# spanning-tree bpduguard enable

S1(config-if)# enable spanning-tree bpduguard

S1(config-if)# spanning-tree portfast bpduguard

S1(config)# spanning-tree portfast bpduguard default Barra de navegación Observable

Descripción

Valor máx.

correctness of response Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required.

2

El comando spanning-tree portfast bpduguard default del modo de configuración global habilita la protección BPDU en todos los puertos con PortFast habilitado. Utilice el comando del modo de configuración de interfaz spanning-tree bpduguard enable para habilitar la protección de BPDU en un puerto.

Como parte de la nueva política de seguridad, todos los switches de la red están configurados para aprender automáticamente las direcciones MAC de cada puerto. Todas las configuraciones en ejecución se guardan en el inicio y cierre de cada día hábil. Una tormenta fuerte causa un corte de energía prolongado varias horas después del cierre de negocio. Cuando los switches se vuelven a activar, estos conservan las direcciones MAC aprendidas dinámicamente. ¿Qué configuración de seguridad de puertos habilitó esto?

direcciones MAC autoprotegidas

direcciones MAC seguras dinámicas

direcciones MAC seguras estáticas

direcciones MAC seguras persistentes Barra de navegación Observable

Descripción

Valor máx.

correctness of response 1 point for Option 4 0 points for any other option

2

Con las direcciones MAC seguras persistentes, las direcciones MAC pueden detectarse de forma dinámica o configurarse de forma manual y luego almacenarse en la tabla de direcciones para agregarse a la configuración en ejecución. En cambio, las direcciones MAC seguras dinámicas posibilitan las direcciones MAC descubiertas dinámicamente que se almacenan solo en la tabla de direcciones.

QUÉ DOS PROTOCOLOS SE UTILIZAN PARA PROPORCIONAR AUTENTICACIÓN AAA BASADA EN SERVIDOR? (ELIGE DOS.) TACACS+ RADIUS

¿QUÉ PROTOCOLO SE UTILIZA PARA ENCAPSULAR LOS DATOS EAP ENTRE EL AUTENTICADOR Y EL SERVIDOR DE AUTENTICACIÓN QUE REALIZA LA AUTENTICACIÓN 802.1X? RADIUS

El modo port violation es el predeterminado para cualquier puerto que tenga activada la seguridad de puerto.

CUÁLES SON LAS TRES TÉCNICAS PARA MITIGAR LOS ATAQUES VLAN? (ELIGE TRES.) Configure la VLAN nativa en una VLAN no utilizada. Habilitar trunking manualmente. Desactivar DTP.

QUÉ PROTOCOLO DEFINE LA AUTENTICACIÓN BASADA EN PUERTOS PARA RESTRINGIR LA CONEXIÓN DE HOSTS NO AUTORIZADOS A LA LAN A TRAVÉS DE PUERTOS DE SWITCH DE ACCESO PÚBLICO? 802.1x

QUÉ DISPOSITIVO SE CONSIDERA UN SOLICITANTE DURANTE EL PROCESO DE AUTENTICACIÓN 802.1X? el cliente que solicita la autenticación

¿CUÁL ES EL INCONVENIENTE DEL MÉTODO DE BASE DE DATOS LOCAL PARA ASEGURAR EL ACCESO A LOS DISPOSITIVOS QUE PUEDE RESOLVERSE UTILIZANDO AAA CON SERVIDORES CENTRALIZADOS? Las cuentas de usuario deben configurarse localmente en cada dispositivo, lo que constituye una solución de autenticación no escalable.

Se configuró una ACL para restringir el acceso SNMP a un administrador SNMP.

¿QUÉ TIPO DE ATAQUE DE SALTO DE VLAN SE PUEDE PREVENIR DESIGNANDO UNA VLAN NO UTILIZADA COMO LA VLAN NATIVA? DTP spoofing DHCP spoofing Doble etiquetado de VLAN DHCP starvation Correcto ! Los mensajes DTP Spoofing obligan a un switch a pasar a modo troncal como parte de un ataque de salto de VLAN, pero el doble etiquetado de VLAN funciona incluso si los puertos troncales están desactivados. Cambiar la VLAN nativa de la predeterminada a una VLAN no utilizada reduce la posibilidad de este tipo de ataque. DHCP spoofing y DHCP starvation explotan las vulnerabilidades en el intercambio de mensajes DHCP.

¿QUÉ DOS SOLUCIONES CISCO AYUDAN A PREVENIR LOS ATAQUES DHCP STARVATION? (ELIJA DOS.) DHCP Snooping Port Security

Cisco proporciona soluciones para ayudar a mitigar los ataques de la capa 2, incluyendo estos:

IP Source Guard (IPSG) - previene los ataques de suplantación de direcciones MAC e IP Dynamic ARP Inspection (DAI) - previene la falsificación del ARP y los ataques de envenenamiento del ARP DHCP Snooping - previene los ataques DHCP starvation y SHCP spoofing Port Security - previene muchos tipos de ataques incluyendo ataques de desbordamiento de tablas MAC y ataques DHCP starvation Web Security Appliance (WSA) es una tecnología de mitigación de las amenazas basadas en la web.

¿QUÉ COMPONENTE DE CONTROL DE ACCESO, IMPLEMENTACIÓN O PROTOCOLO CONTROLA QUIÉN PUEDE ACCEDER A UNA RED? autentificación

UN ADMINISTRADOR DE RED ESTÁ CONFIGURANDO LA SEGURIDAD DEL PUERTO EN UN SWITCH CISCO. LA POLÍTICA DE SEGURIDAD DE LA EMPRESA ESPECIFICA QUE CUANDO SE PRODUCE UNA VIOLACIÓN, LOS PAQUETES CON DIRECCIONES DE ORIGEN DESCONOCIDAS DEBEN SER ELIMINADOS Y NO SE DEBE ENVIAR NINGUNA NOTIFICACIÓN. ¿QUÉ MODO DE VIOLACIÓN DEBE CONFIGURARSE EN LAS INTERFACES? Protect

En un switch Cisco, una interfaz puede ser configurada para uno de los tres modos de violación, especificando la acción a tomar si se produce una violación: Protect - Los paquetes con direcciones de origen desconocido se eliminan hasta que se elimine un número suficiente de direcciones MAC seguras o se aumente el número de direcciones máximas permitidas. No se notifica que se ha producido una violación de la seguridad. Restrict - Los paquetes con direcciones de origen desconocido se eliminan hasta que se elimine un número suficiente de direcciones MAC seguras o se aumente el número de direcciones máximas permitidas. En este modo, se notifica que se ha producido una violación de seguridad. Shutdown - La interfaz se desactiva inmediatamente por error y el LED del puerto se apaga.

¿QUÉ ATAQUE DE CAPA 2 RESULTARÁ EN QUE LOS USUARIOS LEGÍTIMOS NO OBTENGAN DIRECCIONES IP VÁLIDAS? DHCP starvation

DHCP(Dynamic host configuration protocol) es un protocolo cliente/servidor que funciona en una red para asignar dinámicamente IPs. Este protocolo necesita un servidor que posee una lista de direcciones IP dinámicas y las va asignando a los clientes conforme éstas van quedando libres, sabiendo en todo momento quién ha estado en posesión de esa IP. Así los clientes de una red pueden conseguir sus parámetros de configuración automáticamente, utiliza los puertos 67 UDP para el server y 68 UDP para el cliente. Cuenta con un handshake de 4 pasos.

DHCP Discover: Paquete broadcast para ubicar al servidor DHCP DHCP Offer: El servidor DHCP responde ofreciendo la configuración al cliente DHCP Request: El cliente acepta los parámetros recibidos DHCP ACK: El servidor le asigna la IP a esa dirección MAC

DHCP starvation Starvation es un ataque que se realiza contra el servidor DHCP con el fin de inundarlo de peticiones DHCP DISCOVER con Spoofed MAC, dejandolo fuera de juego agotando su espacio de direcciones asignables por un periodo de tiempo. Esto da lugar a un DHCP ROGUE ATTACK.

¿CUÁL ES LA VENTAJA DE LA SSID CLOAKING? . Los clientes tendrán que identificar manualmente el SSID para conectarse a la red. Correcto ! El encubrimiento de SSID es una característica de seguridad débil que realizan los AP y algunos routers inalámbricos al permitir que se desactive la trama de la baliza de SSID. Aunque los clientes tienen que identificar manualmente el SSID para conectarse a la red, el SSID puede ser fácilmente descubierto. La mejor manera de asegurar una red inalámbrica es utilizar sistemas de autenticación y cifrado. El encubrimiento de SSID no proporciona acceso gratuito a la Internet en lugares públicos, pero en esa situación se podría utilizar una autenticación de sistema abierto.

UN INGENIERO DE REDES ESTÁ RESOLVIENDO LOS PROBLEMAS DE UNA RED INALÁMBRICA RECIÉN IMPLEMENTADA QUE ESTÁ USANDO LOS ÚLTIMOS ESTÁNDARES 802.11. CUANDO LOS USUARIOS ACCEDEN A SERVICIOS DE GRAN ANCHO DE BANDA, COMO LA TRANSMISIÓN DE VÍDEO, EL RENDIMIENTO DE LA RED INALÁMBRICA ES DEFICIENTE. PARA MEJORAR EL RENDIMIENTO, EL INGENIERO DE LA RED DECIDE CONFIGURAR UN SSID DE BANDA DE FRECUENCIA DE 5 GHZ Y CAPACITAR A LOS USUARIOS PARA QUE UTILICEN ESE SSID PARA LOS SERVICIOS DE TRANSMISIÓN DE MEDIOS. ¿POR QUÉ ESTA SOLUCIÓN PODRÍA MEJORAR EL RENDIMIENTO DE LA RED INALÁMBRICA PARA ESE TIPO DE SERVICIO? La banda de 5 GHz tiene más canales y está menos saturada que la banda de 2,4 GHz, lo que la hace más adecuada para la transmisión de multimedia. El alcance inalámbrico está determinado por la antena del punto de acceso y la potencia de salida, no por la banda de frecuencia que se utiliza. En este escenario se afirma que todos los usuarios tienen NICs inalámbricas que cumplen con el último estándar, y por lo tanto todos pueden acceder a la banda de 5 GHz. Aunque a algunos usuarios les puede parecer inconveniente cambiar a la banda de 5 Ghz para acceder a los servicios de streaming, lo que mejorará el rendimiento de la red es el mayor número de canales, y no sólo el menor número de usuarios.

¿QUÉ DECLARACIÓN DESCRIBE LA FUNCIÓN DE LA HERRAMIENTA SPAN UTILIZADA EN UN SWITCH CISCO? Copia el tráfico de un puerto de switch y lo envía a otro puerto de switch que está conectado a un dispositivo de monitorización.

Todo el tráfico recibido en la VLAN 10 o transmitido desde la VLAN 20 es reenviado a FastEthernet 0/1.

UN ADMINISTRADOR DE RED INTRODUCE LOS SIGUIENTES COMANDOS EN EL SWITCH SW1.

SW1(CONFIG)# INTERFACE RANGE FA0/5 - 10 SW1(CONFIG-IF)# IP DHCP SNOOPING LIMIT RATE 6 ¿CUÁL ES EL EFECTO DESPUÉS DE INTRODUCIR ESTOS COMANDOS? Los puertos FastEthernet 5 a 10 pueden recibir hasta 6 mensajes DHCP por segundo.

Los estándares 802.11a y 802.11ac funcionan sólo en el rango de 5 GHZ. Las normas 802.11b y 802.11g funcionan sólo en el rango de 2,4 GHz. El estándar 802.11n funciona tanto en el rango de 2,4 como en el de 5 GHz. El estándar 802.11ad funciona en los rangos de 2,4, 5 y 60 GHz.

QUÉ PLAN DE MITIGACIÓN ES MEJOR PARA FRUSTRAR UN ATAQUE DOS QUE ESTÁ CREANDO UN DESBORDAMIENTO DE LA TABLA DE DIRECCIONES MAC? Habilitar port security

CUÁLES SON LAS TRES TÉCNICAS PARA MITIGAR LOS ATAQUES DE VLAN? (ELIJA TRES.) Desactivar DTP. Configurar la VLAN nativa a una VLAN sin usar. Habilitar el trunking manualmente. Debido a que algunos usuarios se quejan de que la red es demasiado lenta, la opción correcta sería dividir el tráfico para que haya dos redes que usen diferentes frecuencias al mismo tiempo. Reemplazar los NICs inalámbricos no corregirá necesariamente que la red sea lenta y podría ser costoso para la compañía. El DHCP frente al direccionamiento estático no debería tener ningún impacto en la lentitud de la red y sería una tarea enorme hacer que a todos los usuarios se les asignara un direccionamiento estático para su conexión inalámbrica. Actualizar el firmware del punto de acceso inalámbrico siempre es una buena idea. Sin embargo, si algunos de los usuarios experimentan una conexión de red lenta, es probable que esto no mejore sustancialmente el rendimiento de la red.

UN ADMINISTRADOR DE RED DESPLIEGA UN ROUTER INALÁMBRICO EN UN PEQUEÑO BUFETE DE ABOGADOS. LAS COMPUTADORAS PORTÁTILES DE LOS EMPLEADOS SE UNEN A LA WLAN Y RECIBEN DIRECCIONES IP EN LA RED 10.0.10.0/24. ¿QUÉ SERVICIO SE UTILIZA EN EL ROUTER INALÁMBRICO PARA PERMITIR QUE LOS PORTÁTILES DE LOS EMPLEADOS ACCEDAN A INTERNET? NAT Un ataque de salto de VLAN de doble etiquetado (o doble encapsulado) aprovecha la forma en que funciona el hardware de la mayoría de los switches. La mayoría de los switches realizan sólo un nivel de des-encapsulado 802.1Q, lo que permite a un atacante incrustar una etiqueta 802.1Q oculta dentro de la trama. Esta etiqueta permite que la trama sea reenviada a una VLAN que la etiqueta 802.1Q original no especificaba. Una característica importante del ataque de salto de la VLAN doblemente encapsulada es que funciona incluso si los puertos troncales están desactivados, porque un host suele enviar una trama en un segmento que no es un enlace troncal. Este tipo de ataque es unidireccional y funciona sólo cuando el atacante está conectado a un puerto que reside en la misma VLAN que la VLAN nativa del puerto troncal.

QUÉ PROTOCOLO SE PUEDE USAR PARA MONITOREAR LA RED? SNMP

¿QUÉ PROTOCOLO O SERVICIO PUEDE CONFIGURARSE PARA ENVIAR MENSAJES NO SOLICITADOS PARA ALERTAR AL ADMINISTRADOR DE LA RED SOBRE UN EVENTO DE RED COMO, POR EJEMPLO, UNA UTILIZACIÓN EXTREMADAMENTE ALTA DE LA CPU EN UN ROUTER? SNMP

CONSULTE LA EXPOSICIÓN. EL PUERTO FA0/2 YA HA SIDO CONFIGURADO APROPIADAMENTE. EL TELÉFONO IP Y EL PC FUNCIONAN CORRECTAMENTE. ¿QUÉ CONFIGURACIÓN DE SWITCH SERÍA LA MÁS APROPIADA PARA EL PUERTO FA0/2 SI EL ADMINISTRADOR DE LA RED TIENE LOS SIGUIENTES OBJETIVOS? NADIE PUEDE DESCONECTAR EL TELÉFONO IP O EL PC Y CONECTAR ALGÚN OTRO DISPOSITIVO CON CABLE. SI SE CONECTA OTRO DISPOSITIVO, EL PUERTO FA0/2 SE CIERRA. EL SWITCH DEBE DETECTAR AUTOMÁTICAMENTE LA DIRECCIÓN MAC DEL TELÉFONO IP Y DEL PC Y AÑADIR ESAS DIRECCIONES A LA CONFIGURACIÓN EN EJECUCIÓN.

SWA(config-if)# switchport port-security SWA(config-if)# switchport port-security maximum 2 SWA(config-if)# switchport port-security mac-address sticky

¿QUÉ COMPONENTE, IMPLEMENTACIÓN O PROTOCOLO DE CONTROL DE ACCESO SE BASA EN LOS ROLES DE DISPOSITIVO DE SUPLICANTE, AUTENTICADOR Y SERVIDOR DE AUTENTICACIÓN? 802.1X

CONSULTE LA EXPOSICIÓN. LA INTERFAZ FA0/2 DEL SWITCH S1 HA SIDO CONFIGURADA CON EL COMANDO SWITCHPORT PORT-SECURITY MAC-ADDRESS 0023.189D.6456 Y SE HA CONECTADO UNA ESTACIÓN DE TRABAJO. ¿CUÁL PODRÍA SER LA RAZÓN DE QUE LA INTERFAZ FA0/2 SE HAYA APAGADO?

La dirección MAC del PC1 que se conecta a la interfaz Fa0/2 no es la dirección MAC configurada.

Seguridad