ExamenRedes – Examen, preguntas y respuestas Redes De Computadores Examenes de Redes
Última actualización: noviembre 11, 2024
6.7. Examen del módulo – Módulo 6 DevNet Associate 1.0 Respuestas Español
1. Haga coincidir el modelo de nube con su descripción. No se utilizan todas las opciones.
Explique: Coloque las opciones en el siguiente orden:
| edge | Se trata de nubes que ubican la informática lo más cerca posible del usuario. |
| Híbrida | Estas nubes se componen de dos o más nubes. Sin embargo, cada parte sigue siendo un objeto distintivo y separado. Ambos están conectados mediante una única arquitectura. |
| Privada | Se trata de nubes destinadas a una organización o entidad específica, como el gobierno. Se pueden configurar utilizando la red privada de una organización. |
2. ¿Cuál es la filosofía para la implementación de software utilizada en el campo de DevOps?
- SOAP
- DevNet
- OWASP
- CI/CD
Explique: CI/CD (integración continua/entrega continua) es una filosofía para la implementación de software que ocupa un lugar destacado en el campo de DevOps.
3. ¿Cuál es una característica de una máquina virtual que se ejecuta en una PC?
- Una máquina virtual no es susceptible a amenazas y ataques maliciosos.
- Una máquina virtual ejecuta su propio sistema operativo.
- Una máquina virtual necesita un adaptador de red físico para conectarse a Internet.
- El número de máquinas virtuales que pueden ser compatibles dependen en los recursos de software en la máquina host.
Explique: Cada máquina virtual ejecuta su propio sistema operativo. El número de máquinas virtuales que pueden ser compatibles dependen de los recursos de hardware en la máquina host. Las máquinas virtuales son vulnerables a amenazas y ataques malintencionados, como las computadoras físicas. Para conectarse a Internet, una máquina virtual utiliza un adaptador de red virtual, que actúa como un adaptador físico en una computadora física, que se conecta mediante el adaptador físico en el host para establecer una conexión a Internet.
4. ¿Qué ataque implica la inserción de código malicioso en sentencias SQL?
- Inyección SQL
- Fuerza bruta
- Scripts entre sitios
- inclusión de archivos locales
Explique: La inyección SQL (SQLi) es una técnica básica de ataque de aplicaciones web donde el atacante coloca código SQL malicioso en un campo de una página web y el código del lado del servidor lo envía a la base de datos sin desinfectarlo primero. Un ataque SQLi, si tiene éxito, puede eliminar o cambiar datos confidenciales o revelarlos al atacante.
5. ¿Qué caracteres se utilizan para separar sentencias SQL por lotes?
- signos de libra #
- dos puntos:
- punto y coma;
- paréntesis ()
Explique: Un lote de sentencias SQL es un grupo de dos o más sentencias SQL separadas por punto y coma.
6. ¿Qué técnica se utiliza para ayudar a mitigar los ataques de inyección SQL?
- utilizando procedimientos almacenados con el rol predeterminado «db_owner»
- utilizando el mismo propietario o cuenta de administrador en las aplicaciones web para conectarse a la base de datos
- limitar el acceso de lectura a campos específicos de una tabla o combinaciones de tablas
- asignar derechos de acceso de administrador o de DBA a la cuenta de la aplicación
Explique: Las prácticas recomendadas para defenderse contra la inyección SQL incluyen las siguientes:
- No asignar derechos de acceso de tipo DBA o administrador a cuentas de aplicación
- Evite usar la misma cuenta de propietario/administrador en las aplicaciones web para conectarse a la base de datos
- Limitar el acceso de lectura a campos específicos de una tabla o combinaciones de tablas
- No asignar derechos db_owner a procedimientos almacenados
7. ¿Qué método de mitigación es efectivo contra las secuencias de comandos entre sitios?
- utilizando sólo las funciones necesarias y paquetes seguros descargados de fuentes oficiales y verificados con una firma
- endurecimiento consistente de sistemas y aplicaciones
- desinfectar contenido que no es de confianza
- requiriendo autenticación multifactor
Explique: La secuencia de comandos entre sitios se produce cuando un atacante utiliza las funciones dinámicas de un sitio para inyectar contenido malintencionado en una página. La mitigación de los ataques requiere una cuidadosa consideración de dónde se incluye contenido que no es de confianza en una página, así como de desinfectar cualquier contenido que no sea de confianza.
8. ¿Qué declaración es una característica de la amenaza de control de acceso roto para las aplicaciones web?
- Permite a los atacantes robar información confidencial, como contraseñas o información personal.
- Permite a un atacante utilizar las funciones dinámicas de un sitio para inyectar contenido malicioso en la página.
- Permite a los atacantes acceder a versiones serializadas de datos y objetos y, potencialmente, cambiarlas.
- Permite a los usuarios eludir los requisitos de autenticación existentes.
Explique: El control de acceso roto puede producirse si un desarrollador crea una aplicación que permite a los usuarios eludir los requisitos de autenticación existentes. Los desarrolladores deben asegurarse de proteger todos los recursos y funciones que necesitan ser protegidos en el lado del servidor, asegurando que todo el acceso esté autorizado.
9. Haga coincidir los entornos de la estructura del entorno de desarrollo de cuatro niveles con la descripción.
Explique: Coloque las opciones en el siguiente orden:
| producción | contiene código que se ha probado varias veces y está libre de errores |
| Prueba | incluye herramientas automatizadas como Jenkins, CircleCI o Travis CI, y a menudo se integra con un sistema de control de versiones |
| laboral | donde se lleva a cabo la codificación |
| puesta en escena | estructuralmente lo más cercano al entorno de producción real como sea posible |
10. Haga coincidir el recurso OWASP con una descripción.
Explique: Coloque las opciones en el siguiente orden:
| Serie de hojas de trucos | explica formas de mitigar los problemas de seguridad de comandos en aplicaciones web |
| Comprobación de dependencia | busca vulnerabilidades conocidas en el código |
| DefectDojo | agiliza el proceso de prueba de código |
| Conjunto de reglas básicas de ModSecurity | reglas genéricas de detección de ataques utilizadas con firewalls de aplicaciones web |
11. ¿Qué tecnología se utiliza para contenedores de aplicaciones y les permite ejecutarlas en una variedad de entornos?
- Docker
- GitHub
- VirtualBox
- Cisco DNA
Explique: Docker es una tecnología diseñada para facilitar la creación, implementación y ejecución de aplicaciones mediante contenedores. Los contenedores permiten a un desarrollador empaquetar una aplicación con todas las partes que la aplicación necesita para ejecutar en la mayoría de cualquier entorno.
12. ¿Qué se utiliza para aislar las diferentes partes de un contenedor en ejecución?
- sistemas de archivos de unión
- grupos de control
- espacios de nombres
- envoltorios
Explique: Los contenedores utilizan espacios de nombres para definir y aislar cada parte de una aplicación dentro de un contenedor.
13. ¿Cuál es una característica de la estrategia de implementación de actualización verde azulado?
- Los cambios de código se implementan periódicamente de tal manera que no afectan a los usuarios actuales.
- El nuevo código se implementa de una vez en el entorno anterior. Si los usuarios no experimentan problemas, se mueve al nuevo entorno.
- Se crea un nuevo entorno con el nuevo código en él, mientras que el entorno antiguo se mantiene en reserva en caso de que los usuarios experimenten problemas.
- La nueva versión de código se despliega primero en un subconjunto de usuarios. Los cambios se pueden revertir si los usuarios experimentan algún problema.
Explique: Con una implementación azul-verde, se crea un entorno completamente nuevo (azul) con el nuevo código. El entorno antiguo (verde) se mantiene en reserva, por lo que si los usuarios del nuevo entorno experimentan problemas, el tráfico puede desviarse hacia el entorno original. Si no hay problemas, el nuevo entorno se convierte en el entorno de producción.
14. En el desarrollo de software, ¿cuál es el propósito de una caja de salto?
- para que todas las solicitudes que se originan desde dentro de una red parezcan que provienen de la misma dirección IP de origen
- para filtrar paquetes en función del direccionamiento de Capa 3 y Capa 4
- para actuar como un único equipo de confianza utilizado para iniciar conexiones a sistemas sensibles
- para recibir solicitudes entrantes y reenviarlas a varios servidores
Explique: Un cuadro de salto es un servidor al que los usuarios deben acceder primero para iniciar una conexión con un sistema de destino. Dado que la caja de salto es la máquina de confianza para acceder a sistemas sensibles, proporciona una capa adicional de seguridad.
15. ¿Qué dispositivo de seguridad se utiliza para hacer que las respuestas a las solicitudes del cliente parezcan que todas provienen del mismo servidor?
- firewall activo
- proxy de reenvío
- caja de salto
- proxy reversible
Explique: El trabajo de un proxy inverso es asegurarse de que las respuestas parezcan que todas provienen del mismo servidor. Esto es lo opuesto a un proxy reenvío, que hace que las solicitudes de varios equipos parezcan que todas provienen del mismo cliente.