Bienvenido a Cisco Networking Academy CCNAv7: Bridging SRWE Course.

Este curso está

diseñado para los estudiantes que toman CCNAv6 que deseen adquirir los conocimientos y
habilidades adicionales presentados en los módulos del CCNAv7: SRWE Bridging Course.
Este curso contiene cuatro módulos del curso CCNAv7 SRWE:

Módulo 10 : Conceptos de seguridad LAN

Módulo 11 : Configuración de seguridad del conmutador

Módulo 12 : Conceptos WLAN

Módulo 13 : Configuración WLAN

El curso Bridging SRWE amplía su conocimiento de las LAN para incluir varios tipos de
ataques y formas de mitigar estas amenazas a través de la seguridad de los endpoints y el
control de acceso. Aprenderá a configurar la seguridad en los conmutadores para mitigar aún
más las amenazas de ataque a la LAN. Las LAN inalámbricas (WLAN) y su seguridad se
explican en detalle, después de lo cual, usted aprenderá a configurar y resolver problemas los
WLAN.
1 ¿Qué ataque cifra los datos de los anfitriones en un intento de extraer un pago monetario de
la víctima?

2 ¿Qué dispositivos están diseñados específicamente para la seguridad de la red? (Elija tres)

3 Which device monitors SMTP traffic to block threats and encrypt outgoing messages to
prevent data loss?

4 ¿Qué dispositivo supervisa el tráfico HTTP para bloquear el acceso a sitios de riesgo y cifrar
los mensajes salientes?
¿Qué componente AAA es responsable de recopilar y notificar datos de uso para fines de
auditoría y facturación?

¿Qué componente AAA es responsable de controlar a quién se le permite acceder a la red?

¿Qué componente AAA es responsable de determinar a qué puede acceder el usuario?

En una implementación 802.1X, ¿qué dispositivo es responsable de retransmitir respuestas?

¿Cuál de las siguientes técnicas de mitigación se utiliza para proteger la Capa 3 a través de la
Capa 7 del Modelo OSI? (Elija tres.

¿Cuál de las siguientes técnicas de mitigación previene muchos tipos de ataques, incluyendo
el desbordamiento de la tabla de direcciones MAC y los ataques de inanición DHCP?

¿Cuál de las siguientes técnicas de mitigación previene la suplantación de direcciones MAC e

IP?

¿Cuál de las siguientes técnicas de mitigación previene la suplantación de ARP y los ataques
de envenenamiento de ARP?

¿Cuál de las siguientes técnicas de mitigación evita la inanición DHCP y los ataques de
suplantación de DHCP?
¿Cuál es el comportamiento de un Switch como resultado de un ataque exitoso de la tabla de
la dirección MAC?

¿Cuál sería la razón principal por la que un actor de amenazas lanzaría un ataque de
desbordamiento de dirección MAC?

¿Qué técnica de mitigación se debe implementar para evitar ataques de desbordamiento de

direcciones MAC?
Un actor de amenazas cambia la dirección MAC del dispositivo del actor de la amenaza a la
dirección MAC de la puerta de enlace predeterminada. ¿Qué tipo de ataque es éste?

Un actor de amenaza envía un mensaje BPDU con la prioridad 0. ¿Qué tipo de ataque es
éste?

Un actor de amenazas alquila todas las direcciones IP disponibles en una subred. ¿Qué tipo
de ataque es éste?

Un actor de amenaza envía un mensaje que hace que todos los demás dispositivos crean que
la dirección MAC del dispositivo del actor de la amenaza es la puerta de enlace
predeterminada. ¿Qué tipo de ataque es éste?
Un actor de la amenaza configura un host con el protocolo 802.1Q y forma un trunk con el
Switch conectado. ¿Qué tipo de ataque es éste?

Un actor de la amenaza descubre la versión IOS y las direcciones IP del Switch local. ¿Qué
tipo de ataque es éste?
1. ¿Qué ataque de la capa 2 dará lugar a que los usuarios legítimos no obtienen las direcciones
IP válidas?

Hambre de DHCP

2. ¿Qué plan de mitigación es mejor para frustrar un ataque DoS que está creando un
desbordamiento de tabla de direcciones MAC?

Habilite la seguridad del puerto.

3. ¿Qué tres productos de Cisco se centran en las soluciones de seguridad del punto final? (Elija
tres.)

Dispositivo de seguridad web

Dispositivo de seguridad de correo electrónico

Dispositivo NAC

4. ¿Verdadero o Falso?
En el estándar 802.1X, el cliente que intenta acceder a la red se refiere como el supplicant.

Verdad

5. ¿Por qué la autenticación con AAA se prefiere sobre un método de base de datos local?

Proporciona un método de autenticación de reserva si el administrador olvida el nombre de

usuario o la contraseña.
6. ¿Qué implica un ataque de suplantación de dirección IP?

Una dirección IP de red legítima es secuestrada por un nodo no autorizado.

.
.
7. ¿En una implementación AAA basada en servidor, qué protocolo permitirá que el router
comunique con éxito con el servidor AAA?

Radio

8. ¿Qué tres servicios proporciona el marco AAA? (Elija tres.)

Contabilidad

Autorización

Autenticación

9. ¿Qué dos protocolos se soportan en los dispositivos de Cisco para las comunicaciones AAA?
(Elija dos.)

Radio

TACACS+

10. ¿Qué servicio se habilita en un router Cisco por abandono que pueda revelar la información
significativa sobre el router y potencialmente lo hace más vulnerable al ataque?

Cdp

11. ¿Cuál es el propósito de la contabilidad AAA?

para recopilar e informar sobre el uso de la aplicación

12. Cuando la seguridad es una preocupación, ¿qué capa OSI se considera el link más débil en
un sistema de red?

Capa 2

13. ¿Qué ataque de la capa 2 dará lugar a un Switch inundando las tramas entrantes a todos los
puertos?

Inundación de direcciones MAC

14. Debido a los controles de seguridad implementados, un usuario solo puede acceder a un
servidor con FTP. ¿Qué componente AAA logra esto?

Autorización

15. ¿Qué solución de Cisco ayuda a prevenir los ataques de suplantación de dirección MAC y IP?

IP Source Guard
 Prueba del módulo - Configuración de
seguridad del Switch
1.
¿Cuál es una mejor práctica recomendada al tratar con el VLAN nativo?

Tema 11.2.0 - La seguridad del puerto no se puede habilitar en un trunk y los trunks son los
únicos tipos de puertos que tienen una VLAN nativa. Aunque apagar el DTP en un trunk es una
mejor práctica, no tiene nada que ver con los riesgos nativos del VLA N. Para prevenir las brechas
de seguridad que se aprovechan del VLAN nativo, coloque el VLAN nativo en una VLAN no
utilizada con distinta VLAN 1. El VLA N de la administración debe también ser un VLA N no
utilizado que sea diferente del VLAN nativo y algo con respecto al VLAN1.

Asignarlo a un VLA N no utilizado.

2. ¿En qué puertos del switch debe habilitarse PortFast para mejorar la estabilidad STP?

Tema 11.5.0 - PortFast traerá inmediatamente una interfaz configurada como puerto de
acceso o tronco al estado de reenvío desde un estado de bloqueo, omitiendo los estados de
escucha y aprendizaje. Si se configura en un link troncal, la transición inmediata al estado
de reenvío podría llevar a la formación de los loopes de la capa 2.

todos los puertos de usuario final

3. ¿Qué comando sería mejor utilizar en un puerto del switch no utilizado si una compañía se
adhiere a las mejores prácticas según lo recomendado por Cisco?

Tema 11.1.0 - A diferencia de los puertos Ethernet del router, los puertos del switch están
habilitados de forma predeterminada. Cisco recomienda inhabilitar cualquier puerto que no
se utilice. El comando ip dhcp snooping habilita globalmente el snooping DHCP en un
Switch. La configuración adicional permite definir los puertos que pueden responder a las
peticiones DHCP. El comando switchport port-security se utiliza para proteger la red de
la conexión no identificada o no autorizada de los dispositivos de red.

Apagado
4. ¿Qué dos características en un switch Cisco Catalyst se pueden utilizar para mitigar la
inanición DHCP y los ataques de suplantación de DHCP? (Elija dos.)

Tema 11.3.0 - En los ataques de inanición DHCP, un atacante inunda el servidor DHCP con
solicitudes DHCP para utilizar todas las direcciones IP disponibles que el servidor DHCP
puede emitir. En los ataques de suplantación DHCP, un atacante configura un servidor
DHCP falso en la red para que proporcione a los clientes direcciones de servidor DNS
falsas. La característica de seguridad del puerto puede limitar el número de direcciones
MAC aprendidas dinámicamente por puerto o permitir que solamente las NIC válidas
conocidas sean conectadas vía sus direcciones MAC específicas. La función de snooping
DHCP puede identificar los servidores DHCP legítimos y bloquear servidores DHCP falsos
para que no emitan información de dirección IP. Estas dos características pueden ayudar a
luchar contra los ataques DHCP.

seguridad portuaria

Snooping DHCP

5. ¿Cuál es la mejor manera de prevenir un ataque de salto VLAN?

Tema 11.2.0 - Los ataques de salto VLAN dependen de que el atacante pueda crear un link
troncal con un Switch. Deshabilitar DTP y configurar puertos orientados al usuario como
puertos de acceso estáticos puede ayudar a prevenir estos tipos de ataques. La desactivación
del Spanning Tree Protocol (STP) no eliminará los ataques de salto VLAN.

Inhabilite la negociación troncal para los puertos troncales y fije estáticamente los puertos
notrunk como puertos de acceso.
6. ¿Qué procedimiento se recomienda para mitigar las posibilidades de suplantación de ARP?

Tema 11.4.0 - Para mitigar las posibilidades de suplantación de ARP, se recomiendan estos
procedimientos:

o Implemente la protección contra la suplantación de DHCP habilitando el snooping DHCP

globalmente.
o Habilite el snooping DHCP en los VLA N seleccionados.
o Habilite el DAI en los VLA N seleccionados.
o Configure las interfaces de confianza para el snooping DHCP y la inspección ARP. Los
puertos que no son de confianza se configuran de forma predeterminada.

Habilite el snooping DHCP en los VLA N seleccionados.

7. ¿Cuáles son dos tipos de puertos del switch que se utilizan en los switches Cisco como parte
de la defensa contra los ataques de suplantación DHCP? (Elija dos.)

Tema 11.3.0 - El snooping DHCP reconoce dos tipos de puertos en los switches Cisco:

o Puertos DHCP de confianza: puertos de conmutación que se conectan a servidores DHCP

ascendentes
o Puertos que no son de confianza: puertos de conmutación que se conectan a hosts que no
deben proporcionar mensajes de servidor DHCP

puerto de confianza

puerto DHCP de confianza

8. ¿Qué dos comandos se pueden utilizar para habilitar PortFast en un Switch? (Elija dos.)

Tema 11.5.0 - PortFast se puede configurar en todos los puertos que no se van a
entrometerse utilizando el comando spanning-tree portfast default global configuration.
Alternativamente, PortFast se puede habilitar en una interfaz usando el comando spanning-
tree portfast interface configuration.

S1(config-if) - spanning-tree portfast

S1(config) s spanning-tree portfast default

9. Un administrador que está solucionando problemas de conectividad en un switch observa que
un puerto de switch configurado para la seguridad del puerto está en el estado err-disabled.
Después de verificar la causa de la infracción, ¿cómo debe el administrador volver a habilitar
el puerto sin interrumpir la operación de red?

Tema 11.1.0 - Si una interfaz que se ha protegido con la seguridad del puerto entra en el
estado err-disabled, después se ha producido una infracción y el administrador debe
investigar la causa de la infracción. Una vez que se determina la causa, el administrador
puede publicar el comando shutdown seguido por el comando no shutdown de habilitar la
interfaz..

Publique el comando shutdown seguido por el comando no shutdown en la interfaz.

10. Un administrador de red está configurando el snooping DHCP en un Switch. ¿Qué comando
configuration se debe utilizar primero?

Tema 11.3.0 - Los pasos para habilitar el snooping DHCP incluyen los siguientes:

o Paso 1. Habilite el snooping DHCP usando el comando ip dhcp snooping global

configuration.
o Paso 2. En los puertos de confianza, utilice el comando ip dhcp snooping trust interface
configuration.
o Paso 3. Habilite el snooping DHCP por el VLA N, o por un rango de VLA N.

ip dhcp snooping

11. Un administrador de red está configurando DAI en un Switch con el comando ip arp
inspection validate dst-mac. ¿Cuál es el propósito de este comando configuration?

para marcar la dirección MAC de destino en el encabezado Ethernet contra la dirección

MAC de destino en el cuerpo ARP
12. ¿Qué característica de seguridad se debe habilitar para evitar que un atacante desborde la
tabla de direcciones MAC de un Switch?

Tema 11.1.0 - La seguridad del puerto limita el número de direcciones MAC de origen
permitidas a través de un puerto del switch. Esta característica puede evitar que un atacante
inunde un Switch con muchas direcciones MAC falsificadas.

seguridad portuaria

13. ¿Qué ataque de la capa 2 se mitiga inhabilitando el Dynamic Trunking Protocol?

Tema 11.2.0 - La mitigación de un ataque de salto VLAN se puede hacer inhabilitando el

Dynamic Trunking Protocol (DTP) y estableciendo el VLAN nativo de los links troncales a
los VLA N no en uso.

Salto VLAN

14. Un administrador de red está configurando DAI en un conmutador. ¿Qué comando se debe
utilizar en la interfaz del uplink que conecta con un router?

Tema 11.4.0 - En general, un router sirve como el default gateway para el LAN o el VLA N
en el Switch. Por lo tanto, la interfaz del uplink que conecta con un router debe ser un
puerto de confianza para remitir las peticiones ARP.

ip arp inspection trust

15. ¿Dónde se salvan dinámicamente las direcciones MAC cuando se habilita el aprendizaje
pegajoso con el comando sticky switchport port-security mac-address?

Ram
1. ¿Cuál de las siguientes redes inalámbricas utiliza típicamente transmisores de menor potencia
para rangos cortos?

WPAN

2. ¿Cuál de las siguientes redes inalámbricas se especifica en los estándares IEEE 802.11 para
las frecuencias de radio de 2,4 GHz y 5 GHz?

Wlan

3. ¿Cuál de las siguientes opciones es un estándar IEEE 802.15 WPAN que utiliza un proceso
de emparejamiento de dispositivos para comunicarse?

Bluetooth

4. ¿Qué normas 802.11 utilizan exclusivamente la frecuencia de radio de 5 GHz? (Elija 2)

802.11a

802.11ac

5. ¿Qué organización de normas es responsable de asignar radiofrecuencias?

UIT-R
1. Verdadero o Falso: Los portátiles que no tienen una NIC inalámbrica integrada solo se pueden
conectar a la red a través de una conexión por cable.

Falso
2. ¿Cuáles de los siguientes componentes están integrados en un router doméstico inalámbrico?
(Elija tres.)

Punto de acceso

Interruptor

Router

3. Verdadero o Falso: Cuando necesita ampliar la cobertura de una red pequeña, la mejor
solución es utilizar un extensor de rango.

Falso

4. ¿Cuál de los siguientes es un dispositivo independiente, como un router doméstico, donde

reside toda la configuración WLAN en el dispositivo?

AP autónomo

5. ¿Cuál de las siguientes antenas proporciona 360 grados de cobertura?

Omnidireccional
 Operación WLAN

1. ¿Qué modo de topología inalámbrica utilizan dos dispositivos para conectarse en una red
punto a punto?

Ad hoc

2. Verdadero o Falso: se crea un ESS cuando dos o más BSS necesitan unirse para admitir
clientes móviles.

Verdad

3. ¿Cuántos campos de dirección hay en la trama inalámbrica 802?11?

4. ¿Cuál es el término para un AP que anuncia abiertamente su servicio periódicamente?

Pasiva

5. ¿Cuál es el término para un AP que no envíe una baliza, pero espera a que los clientes envíen
las sondas?

Activo
 Operación CAPWAP
1. ¿Qué versiones IP soporta CAPWAP?

IPv4 de forma predeterminada, pero puede configurar IPv6

2. ¿Qué puertos UDP y protocolos IP en el encabezado de trama son utilizados por CAPWAP
para IPv4? (Elija tres.)

17

5246

5247

3. ¿Qué puertos UDP y protocolos IP en el encabezado de trama son utilizados por CAPWAP
para IPv6? (Elija tres.)

136

5246

5247

4. En la arquitectura MAC dividida para CAPWAP, ¿cuál de los siguientes es la responsabilidad

del AP? (Elija cuatro.)

Reconocimientos y retransmisiones de paquetes

Señales y respuestas de sondas

Cifrado y descifrado de datos de capa MAC

 Cola de tramas y priorización de paquetes

5. ¿En la arquitectura MAC dividida para CAPWAP, cuál de los siguientes es la responsabilidad
del WLC? (Elija cuatro.)

Autenticación

Asociación y reasociación de clientes itinerantes

Terminación del tráfico 802.11 en una interfaz cableada

Traducción de tramas a otros protocolos

6. True o False: DTLS está habilitado de forma predeterminada en los túneles CAPWAP de
control y datos.

Falso

7. ¿Cuál de las siguientes declaraciones es verdadera sobre los modos de operación para un
FlexConnect AP? (Elija dos.)

En el modo autónomo, el WLC es inalcanzable y el AP conmuta el tráfico local y realiza la

autenticación del cliente localmente.

En el modo de conexión, el WLC es accesible y realiza todas sus funciones CAPWAP.

 Administración de canales

1. ¿Cuál de las siguientes técnicas de modulación cambia rápidamente una señal entre canales
de frecuencia?

Fhss

2. ¿Cuál de las siguientes técnicas de modulación extiende una señal a través de una banda de
frecuencia más grande?

Dsss

3. ¿Cuál de las siguientes técnicas de modulación se utiliza en el nuevo estándar 802.11ax?

Ofdma

4. ¿Cuántos canales hay disponibles para la banda de 2,4 GHz en Europa?

13

5. ¿Cuántos canales hay disponibles para la banda de 5 GHz?

24
 Amenazas WLAN
1. Which of the following is most likely NOT the source of a wireless DoS attack?

Rogue AP

2. Verdadero o falso: Un granuja AP es un AP mal configurado conectado con la red y una

fuente posible de los ataques DoS.

Falso

3. ¿Qué tipo de ataque es un ataque "ap gemelo malvado"?

Mitm

WLAN seguras
1. ¿Cuáles son las mejores maneras de proteger WLAN? (Elija dos.)

Autenticación

Cifrado

2. ¿Cuál de los siguientes métodos de autenticación no utiliza una contraseña compartida entre
el cliente de red inalámbrica y el AP?

Abierto
3. ¿Qué método de cifrado utiliza la especificación 802.11 original?

RC4

4. ¿Cuál de los siguientes métodos de cifrado utiliza CCMP para reconocer si los bits cifrados y
no cifrados han sido alterados?

Aes

5. ¿Cuál de los siguientes métodos de autenticación tiene el usuario escribió una contraseña
previamente compartida? (Elija dos)

WPA Personal

WPA2 Personal
 Conceptos WLAN
1. En el contexto de los dispositivos móviles, ¿qué implica el término anclaje?

conectar un dispositivo móvil a otro dispositivo móvil u ordenador para compartir

una conexión de red

2. ¿Qué característica de los puntos de acceso inalámbrico 802.11n les permite transmitir
datos a velocidades más rápidas que las versiones anteriores de los estándares Wi-Fi
802.11?

Mimo

3. ¿Qué método de autenticación inalámbrica se considera actualmente el más fuerte?

WPA2

4. ¿Qué parámetro se utiliza comúnmente para identificar un nombre de red inalámbrica

cuando se configura un dispositivo ap inalámbrico doméstico?

Ssid

5. ¿Qué característica describe a un cliente inalámbrico que opera en modo activo?

debe conocer el SSID para conectarse a un AP

6. ¿Qué estándar IEEE funciona a frecuencias inalámbricas en los rangos de 5 GHz y 2,4
GHz?

802.11n
7. ¿Qué declaración describe un punto de acceso autónomo?

Es un punto de acceso independiente.

8. ¿Qué dos roles suelen realizar un router inalámbrico que se utiliza en una casa o en una
pequeña empresa? (Elija dos.)

punto de acceso

Conmutador Ethernet

9. ¿Qué números de protocolo y puerto utilizan los túneles IPv4 e IPv6 CAPWAP? (Elija
dos.)

Udp

5246 y 5247

10. Si tres puntos de acceso 802.11b necesitan ser desplegados en proximidad, ¿qué tres
canales de frecuencia se deben utilizar? (Elija tres.)

11
11. ¿Qué tipo de tecnología de telecomunicaciones se utiliza para proporcionar acceso a
Internet a los buques en el mar?

Satélite

12. ¿Qué topología de red inalámbrica está siendo configurada por un técnico que está
instalando un teclado, un ratón y auriculares, cada uno de los cuales utiliza Bluetooth?

modo ad hoc

13. ¿Qué tipo de topología inalámbrica se crea cuando dos o más conjuntos de servicios básicos
están interconectados por Ethernet?

Ess

14. ¿Qué trama de administración de Wi-Fi es transmitida regularmente por los AP para
anunciar su presencia?

Faro
 Configuración WLAN
1. Un usuario está configurando un punto de acceso inalámbrico y desea evitar que cualquier
vecino descubra la red. ¿Qué acción debe realizar el usuario?

Deshabilite la difusión SSID.

2. Cuando se configura una red inalámbrica en una oficina pequeña, ¿qué tipo de
direccionamiento IP se utiliza normalmente en los dispositivos en red?

Privado

3. Un usuario acaba de comprar un router doméstico genérico y le gustaría asegurarlo. ¿Qué se

debe hacer para ayudar a asegurar el router inalámbrico del hogar?

Cambie la contraseña de administrador predeterminada.

4. ¿Qué protocolo podría ser utilizado por una compañía para monitorear los dispositivos tales
como un regulador del Wireless LAN (WLC)?

Snmp

5. Al configurar un regulador del Wireless LAN de las Cisco 3500 Series (WLC) para una red
inalámbrica (WLAN) de la empresa WPA2, ¿qué tiene que ser creado en el WLC antes de
crear la nueva red inalámbrica (WLAN)?

una VLAN para la red inalámbrica

6. ¿Qué es un alcance DHCP mientras se relaciona con una red inalámbrica (WLAN)
configurada en el regulador WLC?

un grupo de direcciones IP para clientes WLAN

7. ¿Por qué un técnico configuraría una frase de contraseña para una red inalámbrica (WLAN)
en un router inalámbrico?

para configurar la autenticación de cliente inalámbrico

8. Un cliente instala un punto de acceso inalámbrico en casa en el armario junto a la cocina. El

cliente menciona que el rendimiento de la comunicación inalámbrica parece degradado
cuando el teléfono inalámbrico o el horno microondas está en uso. ¿Cuál es la posible razón
de esta degradación?

La señal inalámbrica está en el mismo rango de radiofrecuencia que los dispositivos

domésticos.

9. ¿Qué funcionalidad se requiere en los routers para proporcionar a los trabajadores remotos
las capacidades de VoIP y videoconferencia?

Qos

10. Un router inalámbrico muestra la dirección IP de 192.168.0.1. ¿Qué podría significar esto?

El router inalámbrico todavía tiene la dirección IP predeterminada de fábrica.

11. Un portátil no puede conectarse a un punto de acceso inalámbrico. ¿Qué dos pasos de
solución de problemas se deben tomar primero? (Elija dos.)

Asegúrese de que la NIC inalámbrica esté habilitada.

Asegúrese de que se elija el SSID inalámbrico.

12. Al configurar una red de oficina pequeña, el administrador de red decide asignar direcciones
IP privadas dinámicamente a estaciones de trabajo y dispositivos móviles. ¿Qué característica
se debe habilitar en el router de la empresa para que los dispositivos de oficina accedan a
Internet?

Nat

13. ¿Cuál es una diferencia entre los AP autónomos que actúan en un entorno doméstico y los AP
basados en el controlador que actúan en un entorno corporativo?

Los AP basados en controladores pueden ser configurados y manejados automáticamente

por un regulador WLAN.

14. ¿Qué lengueta del WLC utilizaría típicamente un administrador de red para ver una visión
resumida de los WLAN más pesados usados incluyendo el número de clientes que utilizan una
red inalámbrica (WLAN) determinada?

Monitor

15. Los usuarios de una red IEEE 802.11n se quejan de velocidades lentas. El administrador de la
red marca el AP y verifica que está funcionando correctamente. ¿Qué se puede hacer para
mejorar el rendimiento inalámbrico en la red?

Divida el tráfico inalámbrico entre la banda 802.11n 2.4 GHz y la banda de 5 GHz.