Académique Documents
Professionnel Documents
Culture Documents
El curso Bridging SRWE amplía su conocimiento de las LAN para incluir varios tipos de
ataques y formas de mitigar estas amenazas a través de la seguridad de los endpoints y el
control de acceso. Aprenderá a configurar la seguridad en los conmutadores para mitigar aún
más las amenazas de ataque a la LAN. Las LAN inalámbricas (WLAN) y su seguridad se
explican en detalle, después de lo cual, usted aprenderá a configurar y resolver problemas los
WLAN.
1 ¿Qué ataque cifra los datos de los anfitriones en un intento de extraer un pago monetario de
la víctima?
2 ¿Qué dispositivos están diseñados específicamente para la seguridad de la red? (Elija tres)
3 Which device monitors SMTP traffic to block threats and encrypt outgoing messages to
prevent data loss?
4 ¿Qué dispositivo supervisa el tráfico HTTP para bloquear el acceso a sitios de riesgo y cifrar
los mensajes salientes?
¿Qué componente AAA es responsable de recopilar y notificar datos de uso para fines de
auditoría y facturación?
¿Cuál de las siguientes técnicas de mitigación previene muchos tipos de ataques, incluyendo
el desbordamiento de la tabla de direcciones MAC y los ataques de inanición DHCP?
¿Cuál de las siguientes técnicas de mitigación previene la suplantación de ARP y los ataques
de envenenamiento de ARP?
¿Cuál de las siguientes técnicas de mitigación evita la inanición DHCP y los ataques de
suplantación de DHCP?
¿Cuál es el comportamiento de un Switch como resultado de un ataque exitoso de la tabla de
la dirección MAC?
¿Cuál sería la razón principal por la que un actor de amenazas lanzaría un ataque de
desbordamiento de dirección MAC?
Un actor de amenaza envía un mensaje BPDU con la prioridad 0. ¿Qué tipo de ataque es
éste?
Un actor de amenazas alquila todas las direcciones IP disponibles en una subred. ¿Qué tipo
de ataque es éste?
Un actor de amenaza envía un mensaje que hace que todos los demás dispositivos crean que
la dirección MAC del dispositivo del actor de la amenaza es la puerta de enlace
predeterminada. ¿Qué tipo de ataque es éste?
Un actor de la amenaza configura un host con el protocolo 802.1Q y forma un trunk con el
Switch conectado. ¿Qué tipo de ataque es éste?
Un actor de la amenaza descubre la versión IOS y las direcciones IP del Switch local. ¿Qué
tipo de ataque es éste?
1. ¿Qué ataque de la capa 2 dará lugar a que los usuarios legítimos no obtienen las direcciones
IP válidas?
Hambre de DHCP
2. ¿Qué plan de mitigación es mejor para frustrar un ataque DoS que está creando un
desbordamiento de tabla de direcciones MAC?
3. ¿Qué tres productos de Cisco se centran en las soluciones de seguridad del punto final? (Elija
tres.)
Dispositivo NAC
4. ¿Verdadero o Falso?
En el estándar 802.1X, el cliente que intenta acceder a la red se refiere como el supplicant.
Verdad
5. ¿Por qué la autenticación con AAA se prefiere sobre un método de base de datos local?
Radio
Contabilidad
Autorización
Autenticación
9. ¿Qué dos protocolos se soportan en los dispositivos de Cisco para las comunicaciones AAA?
(Elija dos.)
Radio
TACACS+
10. ¿Qué servicio se habilita en un router Cisco por abandono que pueda revelar la información
significativa sobre el router y potencialmente lo hace más vulnerable al ataque?
Cdp
Capa 2
13. ¿Qué ataque de la capa 2 dará lugar a un Switch inundando las tramas entrantes a todos los
puertos?
14. Debido a los controles de seguridad implementados, un usuario solo puede acceder a un
servidor con FTP. ¿Qué componente AAA logra esto?
Autorización
15. ¿Qué solución de Cisco ayuda a prevenir los ataques de suplantación de dirección MAC y IP?
IP Source Guard
Prueba del módulo - Configuración de
seguridad del Switch
1.
¿Cuál es una mejor práctica recomendada al tratar con el VLAN nativo?
Tema 11.2.0 - La seguridad del puerto no se puede habilitar en un trunk y los trunks son los
únicos tipos de puertos que tienen una VLAN nativa. Aunque apagar el DTP en un trunk es una
mejor práctica, no tiene nada que ver con los riesgos nativos del VLA N. Para prevenir las brechas
de seguridad que se aprovechan del VLAN nativo, coloque el VLAN nativo en una VLAN no
utilizada con distinta VLAN 1. El VLA N de la administración debe también ser un VLA N no
utilizado que sea diferente del VLAN nativo y algo con respecto al VLAN1.
2. ¿En qué puertos del switch debe habilitarse PortFast para mejorar la estabilidad STP?
Tema 11.5.0 - PortFast traerá inmediatamente una interfaz configurada como puerto de
acceso o tronco al estado de reenvío desde un estado de bloqueo, omitiendo los estados de
escucha y aprendizaje. Si se configura en un link troncal, la transición inmediata al estado
de reenvío podría llevar a la formación de los loopes de la capa 2.
3. ¿Qué comando sería mejor utilizar en un puerto del switch no utilizado si una compañía se
adhiere a las mejores prácticas según lo recomendado por Cisco?
Tema 11.1.0 - A diferencia de los puertos Ethernet del router, los puertos del switch están
habilitados de forma predeterminada. Cisco recomienda inhabilitar cualquier puerto que no
se utilice. El comando ip dhcp snooping habilita globalmente el snooping DHCP en un
Switch. La configuración adicional permite definir los puertos que pueden responder a las
peticiones DHCP. El comando switchport port-security se utiliza para proteger la red de
la conexión no identificada o no autorizada de los dispositivos de red.
Apagado
4. ¿Qué dos características en un switch Cisco Catalyst se pueden utilizar para mitigar la
inanición DHCP y los ataques de suplantación de DHCP? (Elija dos.)
Tema 11.3.0 - En los ataques de inanición DHCP, un atacante inunda el servidor DHCP con
solicitudes DHCP para utilizar todas las direcciones IP disponibles que el servidor DHCP
puede emitir. En los ataques de suplantación DHCP, un atacante configura un servidor
DHCP falso en la red para que proporcione a los clientes direcciones de servidor DNS
falsas. La característica de seguridad del puerto puede limitar el número de direcciones
MAC aprendidas dinámicamente por puerto o permitir que solamente las NIC válidas
conocidas sean conectadas vía sus direcciones MAC específicas. La función de snooping
DHCP puede identificar los servidores DHCP legítimos y bloquear servidores DHCP falsos
para que no emitan información de dirección IP. Estas dos características pueden ayudar a
luchar contra los ataques DHCP.
seguridad portuaria
Snooping DHCP
Tema 11.2.0 - Los ataques de salto VLAN dependen de que el atacante pueda crear un link
troncal con un Switch. Deshabilitar DTP y configurar puertos orientados al usuario como
puertos de acceso estáticos puede ayudar a prevenir estos tipos de ataques. La desactivación
del Spanning Tree Protocol (STP) no eliminará los ataques de salto VLAN.
Inhabilite la negociación troncal para los puertos troncales y fije estáticamente los puertos
notrunk como puertos de acceso.
6. ¿Qué procedimiento se recomienda para mitigar las posibilidades de suplantación de ARP?
Tema 11.4.0 - Para mitigar las posibilidades de suplantación de ARP, se recomiendan estos
procedimientos:
7. ¿Cuáles son dos tipos de puertos del switch que se utilizan en los switches Cisco como parte
de la defensa contra los ataques de suplantación DHCP? (Elija dos.)
Tema 11.3.0 - El snooping DHCP reconoce dos tipos de puertos en los switches Cisco:
puerto de confianza
8. ¿Qué dos comandos se pueden utilizar para habilitar PortFast en un Switch? (Elija dos.)
Tema 11.5.0 - PortFast se puede configurar en todos los puertos que no se van a
entrometerse utilizando el comando spanning-tree portfast default global configuration.
Alternativamente, PortFast se puede habilitar en una interfaz usando el comando spanning-
tree portfast interface configuration.
Tema 11.1.0 - Si una interfaz que se ha protegido con la seguridad del puerto entra en el
estado err-disabled, después se ha producido una infracción y el administrador debe
investigar la causa de la infracción. Una vez que se determina la causa, el administrador
puede publicar el comando shutdown seguido por el comando no shutdown de habilitar la
interfaz..
10. Un administrador de red está configurando el snooping DHCP en un Switch. ¿Qué comando
configuration se debe utilizar primero?
Tema 11.3.0 - Los pasos para habilitar el snooping DHCP incluyen los siguientes:
ip dhcp snooping
11. Un administrador de red está configurando DAI en un Switch con el comando ip arp
inspection validate dst-mac. ¿Cuál es el propósito de este comando configuration?
Tema 11.1.0 - La seguridad del puerto limita el número de direcciones MAC de origen
permitidas a través de un puerto del switch. Esta característica puede evitar que un atacante
inunde un Switch con muchas direcciones MAC falsificadas.
seguridad portuaria
Salto VLAN
14. Un administrador de red está configurando DAI en un conmutador. ¿Qué comando se debe
utilizar en la interfaz del uplink que conecta con un router?
Tema 11.4.0 - En general, un router sirve como el default gateway para el LAN o el VLA N
en el Switch. Por lo tanto, la interfaz del uplink que conecta con un router debe ser un
puerto de confianza para remitir las peticiones ARP.
15. ¿Dónde se salvan dinámicamente las direcciones MAC cuando se habilita el aprendizaje
pegajoso con el comando sticky switchport port-security mac-address?
Ram
1. ¿Cuál de las siguientes redes inalámbricas utiliza típicamente transmisores de menor potencia
para rangos cortos?
WPAN
2. ¿Cuál de las siguientes redes inalámbricas se especifica en los estándares IEEE 802.11 para
las frecuencias de radio de 2,4 GHz y 5 GHz?
Wlan
3. ¿Cuál de las siguientes opciones es un estándar IEEE 802.15 WPAN que utiliza un proceso
de emparejamiento de dispositivos para comunicarse?
Bluetooth
802.11a
802.11ac
UIT-R
1. Verdadero o Falso: Los portátiles que no tienen una NIC inalámbrica integrada solo se pueden
conectar a la red a través de una conexión por cable.
Falso
2. ¿Cuáles de los siguientes componentes están integrados en un router doméstico inalámbrico?
(Elija tres.)
Punto de acceso
Interruptor
Router
3. Verdadero o Falso: Cuando necesita ampliar la cobertura de una red pequeña, la mejor
solución es utilizar un extensor de rango.
Falso
AP autónomo
Omnidireccional
Operación WLAN
1. ¿Qué modo de topología inalámbrica utilizan dos dispositivos para conectarse en una red
punto a punto?
Ad hoc
2. Verdadero o Falso: se crea un ESS cuando dos o más BSS necesitan unirse para admitir
clientes móviles.
Verdad
Pasiva
5. ¿Cuál es el término para un AP que no envíe una baliza, pero espera a que los clientes envíen
las sondas?
Activo
Operación CAPWAP
1. ¿Qué versiones IP soporta CAPWAP?
2. ¿Qué puertos UDP y protocolos IP en el encabezado de trama son utilizados por CAPWAP
para IPv4? (Elija tres.)
17
5246
5247
3. ¿Qué puertos UDP y protocolos IP en el encabezado de trama son utilizados por CAPWAP
para IPv6? (Elija tres.)
136
5246
5247
5. ¿En la arquitectura MAC dividida para CAPWAP, cuál de los siguientes es la responsabilidad
del WLC? (Elija cuatro.)
Autenticación
6. True o False: DTLS está habilitado de forma predeterminada en los túneles CAPWAP de
control y datos.
Falso
7. ¿Cuál de las siguientes declaraciones es verdadera sobre los modos de operación para un
FlexConnect AP? (Elija dos.)
1. ¿Cuál de las siguientes técnicas de modulación cambia rápidamente una señal entre canales
de frecuencia?
Fhss
2. ¿Cuál de las siguientes técnicas de modulación extiende una señal a través de una banda de
frecuencia más grande?
Dsss
Ofdma
13
24
Amenazas WLAN
1. Which of the following is most likely NOT the source of a wireless DoS attack?
Rogue AP
Falso
Mitm
WLAN seguras
1. ¿Cuáles son las mejores maneras de proteger WLAN? (Elija dos.)
Autenticación
Cifrado
2. ¿Cuál de los siguientes métodos de autenticación no utiliza una contraseña compartida entre
el cliente de red inalámbrica y el AP?
Abierto
3. ¿Qué método de cifrado utiliza la especificación 802.11 original?
RC4
4. ¿Cuál de los siguientes métodos de cifrado utiliza CCMP para reconocer si los bits cifrados y
no cifrados han sido alterados?
Aes
5. ¿Cuál de los siguientes métodos de autenticación tiene el usuario escribió una contraseña
previamente compartida? (Elija dos)
WPA Personal
WPA2 Personal
Conceptos WLAN
1. En el contexto de los dispositivos móviles, ¿qué implica el término anclaje?
2. ¿Qué característica de los puntos de acceso inalámbrico 802.11n les permite transmitir
datos a velocidades más rápidas que las versiones anteriores de los estándares Wi-Fi
802.11?
Mimo
WPA2
Ssid
6. ¿Qué estándar IEEE funciona a frecuencias inalámbricas en los rangos de 5 GHz y 2,4
GHz?
802.11n
7. ¿Qué declaración describe un punto de acceso autónomo?
8. ¿Qué dos roles suelen realizar un router inalámbrico que se utiliza en una casa o en una
pequeña empresa? (Elija dos.)
punto de acceso
Conmutador Ethernet
9. ¿Qué números de protocolo y puerto utilizan los túneles IPv4 e IPv6 CAPWAP? (Elija
dos.)
Udp
5246 y 5247
10. Si tres puntos de acceso 802.11b necesitan ser desplegados en proximidad, ¿qué tres
canales de frecuencia se deben utilizar? (Elija tres.)
11
11. ¿Qué tipo de tecnología de telecomunicaciones se utiliza para proporcionar acceso a
Internet a los buques en el mar?
Satélite
12. ¿Qué topología de red inalámbrica está siendo configurada por un técnico que está
instalando un teclado, un ratón y auriculares, cada uno de los cuales utiliza Bluetooth?
modo ad hoc
13. ¿Qué tipo de topología inalámbrica se crea cuando dos o más conjuntos de servicios básicos
están interconectados por Ethernet?
Ess
14. ¿Qué trama de administración de Wi-Fi es transmitida regularmente por los AP para
anunciar su presencia?
Faro
Configuración WLAN
1. Un usuario está configurando un punto de acceso inalámbrico y desea evitar que cualquier
vecino descubra la red. ¿Qué acción debe realizar el usuario?
2. Cuando se configura una red inalámbrica en una oficina pequeña, ¿qué tipo de
direccionamiento IP se utiliza normalmente en los dispositivos en red?
Privado
4. ¿Qué protocolo podría ser utilizado por una compañía para monitorear los dispositivos tales
como un regulador del Wireless LAN (WLC)?
Snmp
5. Al configurar un regulador del Wireless LAN de las Cisco 3500 Series (WLC) para una red
inalámbrica (WLAN) de la empresa WPA2, ¿qué tiene que ser creado en el WLC antes de
crear la nueva red inalámbrica (WLAN)?
6. ¿Qué es un alcance DHCP mientras se relaciona con una red inalámbrica (WLAN)
configurada en el regulador WLC?
9. ¿Qué funcionalidad se requiere en los routers para proporcionar a los trabajadores remotos
las capacidades de VoIP y videoconferencia?
Qos
10. Un router inalámbrico muestra la dirección IP de 192.168.0.1. ¿Qué podría significar esto?
11. Un portátil no puede conectarse a un punto de acceso inalámbrico. ¿Qué dos pasos de
solución de problemas se deben tomar primero? (Elija dos.)
Nat
13. ¿Cuál es una diferencia entre los AP autónomos que actúan en un entorno doméstico y los AP
basados en el controlador que actúan en un entorno corporativo?
14. ¿Qué lengueta del WLC utilizaría típicamente un administrador de red para ver una visión
resumida de los WLAN más pesados usados incluyendo el número de clientes que utilizan una
red inalámbrica (WLAN) determinada?
Monitor
15. Los usuarios de una red IEEE 802.11n se quejan de velocidades lentas. El administrador de la
red marca el AP y verifica que está funcionando correctamente. ¿Qué se puede hacer para
mejorar el rendimiento inalámbrico en la red?
Divida el tráfico inalámbrico entre la banda 802.11n 2.4 GHz y la banda de 5 GHz.