Defensa de la red (NetDef): Examen Final del curso

30/09/2022 Defensa de la red Leave a comment

Última actualización: septiembre 30, 2022

Examen final del curso Defensa de la Red (NetDef)

Módulos 1 – 11 del curso Defensa de la Red (NetDef) Preguntas y Respuestas Español

1. ¿Cuál es el propósito del software de administración de dispositivos móviles (MDM)?

  • Se utiliza para identificar vulnerabilidades potenciales en el dispositivo móvil.
  • Se utiliza para implementar políticas de seguridad, configuración y configuraciones de software en dispositivos móviles.
  • Los actores de una amenaza lo utilizan para penetrar en el sistema.
  • Se utiliza para crear una política de seguridad.
Explique: Se utiliza para implementar políticas de seguridad, configuración y configuraciones de software en dispositivos móviles.

2. Una el concepto de seguridad con la descripción.

Explique: Coloque las opciones en el siguiente orden:

La probabilidad de consecuencias indeseables Riesgo
Un mecanismo utilizado para comprometer un activo Exploit
Una debilidad en un sistema Vulnerability
Un peligro potencial para un activo Amenaza

3. Para los sistemas de red, ¿qué sistema de gestión se ocupa del inventario y del control de las configuraciones de hardware y software?

  • administración de la configuración
  • administración de vulnerabilidades
  • Gestión de riesgos
  • administración de recursos
Explique: Administración de la configuración se ocupa del inventario y del control de las configuraciones de hardware y software de sistemas de red.

4. Un administrador de redes está configurando un servidor web para una oficina publicitaria pequeña y se ocupa de la disponibilidad de los datos. El administrador desea implementar la tolerancia a fallas del disco utilizando la cantidad mínima de discos necesarios. ¿Qué nivel de RAID debe elegir el administrador?

  • RAID 1
  • RAID 6
  • RAID 5
  • RAID 0
Explique: Tanto RAID 0 como RAID 1 requieren al menos 2 discos. Sin embargo, RAID 0 no proporciona tolerancia a fallas. La cantidad mínima de discos para RAID 5 y RAID 6 es 3 y 4, respectivamente.

5. ¿Qué protocolo se utilizaría para proporcionar seguridad a los empleados que tienen acceso a los sistemas de manera remota desde el hogar?

  • SSH
  • Telnet
  • WPA
  • SCP
Explique: Los diferentes protocolos de las capas de aplicación se usan para las comunicaciones entre sistemas. Un protocolo seguro proporciona un canal seguro en una red insegura.

6. ¿Cuál es una característica de las LAN virtuales (VLAN)?

  • Se habilita un único dominio de colisión en un switch que se comparte entre las VLAN.
  • La utilización de puertos de switch disminuye porque cada puerto solo está asociado con un dominio de broadcast.
  • La segmentación lógica se proporciona mediante la creación de varios dominios de broadcast en un solo switch.
  • La comunicación entre diferentes VLAN en un switch está habilitada de manera predeterminada.
Explique: Las LAN virtuales (VLAN) proporcionan una segmentación lógica mediante la creación de múltiples dominios de broadcast en el mismo switch de red. Las VLANs proporcionan una mayor utilización de los puertos de los switches porque un puerto puede ser asociado al dominio de broadcast necesario, y múltiples dominios de broadcast pueden residir en el mismo switch. Los dispositivos de red en una VLAN no pueden comunicarse con dispositivos en una VLAN diferente sin la implementación del routing entre VLAN.

7. ¿Qué estándar inalámbrico hizo que los estándares AES y CCM fueran obligatorios?

  • WPA
  • WEP2
  • WEP
  • WPA2
Explique: La seguridad inalámbrica depende de varios estándares del sector y ha progresado de WEP a WPA y finalmente a WPA2.

8. Una compañía tiene un servidor de archivos que comparte una carpeta con el nombre Pública. La política de seguridad de la red especifica que, en relación con la carpeta Pública, se asignen derechos de solo lectura a cualquier persona que puede iniciar sesión en el servidor y derechos de edición solo al grupo de administradores de la red. ¿Qué componente se aborda en la estructura de servicios de red de AAA?

  • Autorización
  • automatización
  • autenticación
  • Registro
Explique: Tras la correcta autenticación de un usuario (ha iniciado sesión en el servidor), se lleva a cabo la autorización, que es el proceso de determinar los recursos de la red a los que el usuario puede acceder y las operaciones (como leer o editar) que el usuario puede realizar.

9. ¿Cuál de las siguientes opciones ejemplifica un ataque de escalamiento de privilegios?

  • Un ataque de escaneo de puertos descubre que el servicio FTP se está ejecutando en un servidor que permite el acceso anónimo.
  • Se lanza un ataque DDoS contra un servidor del gobierno y hace que el servidor deje de funcionar.
  • El actor de una amenaza envía un correo electrónico a un administrador de TI para solicitar acceso raíz.
  • El actor de una amenaza realiza un ataque de acceso y obtiene la contraseña de administrador.
Explique: Con el ataque de escalamiento de privilegios, se aprovechan las vulnerabilidades en servidores o sistemas de control de acceso para otorgar a un usuario no autorizado, o proceso de software, niveles de privilegio más altos de los que debería tener. Una vez otorgado el privilegio de nivel más alto, el actor de la amenaza puede acceder a información confidencial o tener el control del sistema.

10. El departamento de TI debe implementar un sistema que controla lo que el usuario puede y no puede hacer en la red corporativa. ¿Qué proceso debe implementarse para cumplir con el requisito?

  • auditoría de inicio de sesión del usuario
  • un conjunto de atributos que describe los derechos de acceso del usuario
  • un lector de huellas digitales biométrico
  • observaciones que se proporcionarán a todos los empleados
Explique: El control de acceso impide que el usuario no autorizado tenga acceso a los datos confidenciales y a los sistemas de red. Existen varias tecnologías utilizadas para implementar estrategias eficaces de control de acceso.

11. ¿Qué comando se utiliza para activar una ACL de IPv6 denominada ESP_ACL en una interfaz de modo que el router filtre el tráfico antes de acceder a la tabla de routing?

  • ipv6 access-class ENG_ACL in
  • ipv6 traffic-filter ENG_ACL in
  • ipv6 traffic-filter ENG_ACL out
  • ipv6 access-class ENG_ACL out
Explique: Con el fin de aplicar una lista de acceso a una interfaz determinada, el comando de IPv6 ipv6 traffic-filter es equivalente al comando de IPv4 access-group. También se requiere la dirección en la que se examina el tráfico (de entrada o de salida).

12. ¿Cuáles son dos usos de una lista de control de acceso? (Elija dos opciones).

  • Las ACL pueden permitir o denegar el tráfico según la dirección MAC que se origina en el router.
  • Las ACL pueden controlar a qué áreas puede acceder un host en una red.
  • Las ACL ayudan al router a determinar la mejor ruta hacia un destino.
  • Las ACL proporcionan un nivel básico de seguridad para el acceso a la red.
  • La posibilidad de que las ACL estándar puedan restringir el acceso a aplicaciones y puertos específicos.
Explique: Las ACL se pueden utilizar para lo siguiente:

  • Limitar el tráfico de red para brindar un rendimiento de red adecuado.
  • Restringir la distribución de las actualizaciones de routing.
  • Proporcionar un nivel básico de seguridad.
  • Filtrar el tráfico según el tipo de tráfico que se está enviando.
  • Filtrar el tráfico según la asignación de direcciones IP.

13. ¿Qué palabras clave pueden usarse en una lista de control de acceso para reemplazar una máscara wildcard o un par de dirección y máscara wildcard? (Elija dos opciones).

  • todos
  • gt
  • cualquier
  • más
  • huésped
  • algunas
Explique: La palabra clave host se utiliza cuando se usa una dirección IP de un dispositivo específico en una ACL. Por ejemplo, el comando deny host 192.168.5.5 es lo mismo que el comando deny 192.168.5.5 0.0.0. La palabra clave any se utiliza para permitir el paso de cualquier máscara que cumpla los criterios. Por ejemplo, el comando permit any es el mismo que el comando permit 0.0.0.0 255.255.255.

14. Al implementar componentes en una red empresarial, ¿cuál es el propósito de un firewall?

  • Un firewall es un sistema que almacena grandes cantidades de información confidencial y crítica para el negocio.
  • Un firewall es un sistema diseñado para proteger, monitorear y administrar dispositivos móviles, incluidos los dispositivos corporativos y los dispositivos de los empleados.
  • Un firewall es un sistema que aplica una política de control de acceso entre redes corporativas internas y redes externas.
  • Un firewall es un sistema que inspecciona el tráfico de red y toma decisiones de reenvío basadas únicamente en direcciones MAC Ethernet de capa 2.
Explique: Un firewall es un sistema que aplica una política de control de acceso y evita la exposición de hosts, recursos y aplicaciones sensibles a usuarios no confiables.

15. ¿Cuáles son las dos diferencias entre firewalls stateful y stateless? (Elija dos opciones).

  • Un firewall stateful evitará la suplantación de identidad determinando si los paquetes pertenecen a una conexión existente, mientras que un firewall stateless sigue conjuntos de reglas preconfiguradas.
  • Un firewall stateless proporcionará más información de registro que un firewall stateful.
  • Un firewall stateless examinará cada paquete individualmente mientras que un firewall stateful observa el estado de una conexión.
  • El firewall stateless proporciona un control más estricto de la seguridad que un firewall stateful.
  • Un firewall stateless es capaz de filtrar las sesiones que utilizan negociaciones de puertos dinámicos mientras que un firewall stateful no puede.
Explique: Hay muchas diferencias entre un firewall stateful y stateless.
Firewalls sin estado (stateless):

  • son susceptibles de suplantación de IP
  • no filtran de manera confiable los paquetes fragmentados
  • usan ACL complejas, que pueden ser difíciles de implementar y mantener
  • no pueden filtrar dinámicamente ciertos servicios
  • examinan cada paquete individualmente en lugar del contexto del estado de una conexión

Firewall con estado:

  • a menudo se utilizan como medio principal de defensa, filtrando el tráfico no deseado, innecesario o indeseable
  • fortalecen el filtrado de paquetes al proporcionar un control más estricto sobre la seguridad
  • mejoran el rendimiento en comparación con los filtros de paquetes o los servidores proxy
  • defienden contra la suplantación de identidad y los ataques de denegación de servicio determinando si los paquetes pertenecen a una conexión existente o provienen de una fuente no autorizada
  • proporcionan más información de registro que un firewall de filtrado de paquetes

16. ¿Qué tipo de firewall utiliza un servidor proxy para conectarse a servidores remotos en nombre de los clientes?

  • firewall sin estado (stateless)
  • firewall activo
  • firewall del gateway de aplicaciones
  • Firewall para filtrado de paquetes
Explique: Un firewall de gateway de aplicaciones, también llamado proxy firewall, filtra la información en las capas 3, 4, 5 y 7 del modelo OSI. Utiliza un servidor proxy para conectarse a servidores remotos en nombre de los clientes. Los servidores remotos verán solo una conexión desde el servidor proxy, no desde los clientes individuales.

17. ¿Cuál es la función de la acción pass en un Firewall de Política Basada en Zona de Cisco IOS?

  • Inspeccionar el tráfico entre zonas para controlar el tráfico
  • registro de paquetes rechazados o descartados
  • reenviar el tráfico de una zona a otra
  • seguimiento del estado de las conexiones entre zonas
Explique: La acción pass realizada por Cisco IOS ZPF permite el reenvío de tráfico de manera similar a la declaración permit en una lista de control de acceso.

18. ¿Cuál es el resultado en la self zone si un router es el origen o el destino del tráfico?

  • Solo se permite el tráfico que se origina en el router.
  • No se permite el tráfico.
  • Solo se permite el tráfico destinado al router.
  • Se permite todo el tráfico.
Explique: Todo el tráfico está permitido en la self zone si el tráfico se origina en o está destinado al router.

19. El diseño de una ZPF requiere varios pasos. ¿Qué paso implica dictar el número de dispositivos entre las zonas más y menos seguras y determinar los dispositivos redundantes?

  • determinar las zonas
  • identificar subconjuntos dentro de las zonas y unificar los requisitos de tráfico
  • establecer políticas entre zonas
  • diseñar la infraestructura física
Explique: El diseño de ZPF implica varios pasos:

  • Paso 1. Determinar las zonas – el administrador se centra en la separación de la red en zonas. Las zonas establecen las fronteras de seguridad de la red.
  • Paso 2. Establecer políticas entre zonas – Para cada par de zonas «origen-destino», definir las sesiones que los clientes de las zonas de origen pueden solicitar a los servidores de las zonas de destino.
  • Paso 3. Diseño de la infraestructura física – después de identificar las zonas y documentar los requisitos de tráfico entre ellas, el administrador debe diseñar la infraestructura física. Esto incluye dictar la cantidad de dispositivos entre las zonas más seguras y las menos seguras y determinar los dispositivos redundantes.
  • Paso 4. Identificar subconjuntos dentro de las zonas y combinar los requisitos de tráfico – para cada dispositivo de firewall en el diseño, el administrador debe identificar los subconjuntos de zonas que están conectados a sus interfaces y combinar los requisitos de tráfico para esas zonas.

20. ¿Qué enunciado describe la amenaza a una nube pública debido a una mala estrategia de arquitectura de seguridad en la nube?

  • cuando un empleado, contratista o partner comercial de un cliente de la nube compromete el servicio en la nube de manera maliciosa o involuntaria
  • cuando las cuentas de usuario o los privilegios de acceso no están bien protegidos y son secuestrados por los atacantes
  • cuando las responsabilidades de seguridad compartidas entre un cliente y un proveedor de la nube no se implementan correctamente
  • cuando un cliente de la nube no tiene visibilidad completa de los servicios en la nube
Explique: Existen muchas amenazas asociadas con la computación en la nube, entre ellas:

  • amenaza interna – se produce cuando un empleado, contratista o socio comercial de un cliente en la nube pone en peligro el servicio en la nube de forma maliciosa o involuntaria.
  • credenciales de cuentas comprometidas – ocurre cuando las cuentas de usuario o los privilegios de acceso no están bien protegidos y son secuestrados por los atacantes.
  • configuración incorrecta de la nube – se produce cuando el recurso de computación en la nube se configura incorrectamente, lo que lo hace vulnerable a los ataques.
  • mala estrategia de la arquitectura de seguridad en la nube – cuando las responsabilidades de seguridad compartida entre un cliente y un proveedor de la nube no se implementan correctamente.

21. ¿Qué dominio de seguridad en la nube describe los controles relacionados con la protección de los datos en sí?

  • Seguridad de aplicación
  • Seguridad y cifrado de datos
  • Seguridad de la infraestructura
  • Seguridad como Servicio
Explique: El documento Security Guidance for Critical Areas of Focus in Cloud Computing v4 desarrollado por Cloud Security Alliance (CSA) cubre 14 dominios de seguridad en la nube. Algunos de estos dominios son:

  • Seguridad de la infraestructura – describe los aspectos de la seguridad de la infraestructura específicos de la nube y los fundamentos para operar con seguridad en la nube.
  • Seguridad y Cifrado de Datos – describe los controles relacionados con la seguridad de los datos en sí, de los cuales el cifrado es uno de los más importantes.
  • Seguridad de aplicaciones – proporciona orientación sobre cómo crear e implementar de manera segura aplicaciones en entornos de computación en la nube, específicamente para PaaS e IaaS.
  • Seguridad como servicio – cubre los servicios de seguridad en constante evolución que se ofrecen desde la nube.

22. ¿Cuál es la función de los SDK en el desarrollo de aplicaciones?

  • proporcionar un repositorio de código para reducir el tiempo y el costo de desarrollo de aplicaciones
  • evitar que se aplique ingeniería inversa al software mediante el reemplazo de datos confidenciales por datos ficticios
  • almacenar instrucciones SQL precompiladas que ejecutan tareas
  • verificar que el software puede ejecutarse con la configuración de seguridad requerida
  • mantener la integridad de los datos e identificar entradas maliciosas
Explique: Los SDK, o kits de desarrollo de software, proporcionan un repositorio de código útil para que el desarrollo de aplicaciones sea más rápido y barato.

23. ¿Qué dos ventajas en los controles de seguridad ofrecen las redes definidas por software (SDN) respecto a las soluciones de seguridad de red tradicionales? (Elija dos opciones).

  • un aislamiento de la red más fácil sin restricciones de hardware físico
  • se aplican a los activos según criterios más flexibles que los firewalls de hardware
  • inserción más fácil en la ruta de tráfico
  • mayor rendimiento que los firewalls de hardware
  • ofrecen más funciones de seguridad que los firewalls de hardware
Explique: Las redes definidas por software (SDN) permiten nuevos tipos de controles de seguridad y proporcionan una ganancia general para la seguridad de la red, incluyendo:

  • fácil aislamiento de la red sin las restricciones del hardware físico
  • Los firewalls de SDN (grupos de seguridad en la computación en la nube) se aplican a los activos según criterios más flexibles que los firewalls de hardware

24. Se le ha pedido que implemente un programa de integridad de datos para proteger los archivos de datos que debe descargar electrónicamente el personal de ventas. Usted ha decidido utilizar el algoritmo de hash más sólido disponible en sus sistemas. ¿Qué algoritmo de hash seleccionaría?

  • AES
  • SHA-256
  • MD5
  • SHA-1
Explique: MD5 y SHA son los dos algoritmos de hash más populares. SHA-256 utiliza un hash de 256 bits, mientras que MD5 produce un valor hash de 128 bits.

25. De las siguientes opciones, ¿cuáles son dos métodos para mantener el estado de revocación de certificado? (Elija dos opciones).

  • OCSP
  • CRL
  • LDAP
  • DNS
  • CA subordinada
Explique: Un certificado digital podría tener que ser revocado si su clave está comprometida o si ya no es necesario. La lista de revocación de certificados (CRL) y el protocolo de estado de certificados en línea (OCSP) son dos métodos comunes de comprobar el estado de revocación de un certificado.

26. ¿Cuál es el propósito de un certificado digital?

  • Garantiza que la persona que obtiene acceso a un dispositivo de red está autorizada.
  • Ofrece prueba de que los datos tienen una firma tradicional adjunta.
  • Autentica un sitio web y establece una conexión segura para el intercambio de datos confidenciales.
  • Garantiza que un sitio web no haya sido hackeado.
Explique: Las firmas digitales suelen utilizar certificados digitales para verificar la identidad del emisor con el fin de autenticar un sitio web de proveedor y establecer una conexión cifrada para el intercambio de datos confidenciales. Un ejemplo es cuando una persona inicia sesión en una institución financiera desde un navegador web.

27. ¿Cuáles son los dos protocolos de la capa de aplicación que administran el intercambio de mensajes entre un cliente con un navegador web y un servidor web remoto? (Elija dos opciones).

  • HTTP
  • DNS
  • HTTPS
  • HTML
  • DHCP
Explique: Hypertext Transfer Protocol (HTTP) y HTTP Secure (HTTPS) son dos protocolos de la capa de aplicación que administran las solicitudes de contenido de los clientes y las respuestas dadas por el servidor web. HTML (Hypertext Mark-up Language) es el lenguaje de codificación que describe el contenido y las características de visualización de una página web. DNS es para la resolución de nombres de dominio en direcciones IP. DHCP administra y proporciona configuraciones de IP dinámicas a los clientes.

28. Cuando las ACL están configuradas para bloquear la suplantación de direcciones IP y los ataques de inundación DoS, ¿qué mensaje ICMP debe permitirse tanto entrante como saliente?

  • Unreachable (inalcanzable)
  • Echo
  • Echo reply
  • Source quench (alivio de fuente)
Explique: Los mensajes ICMP de apagado de origen (Source quench) proporcionan la capacidad de hacer que el remitente reduzca la velocidad de mensajes cuando sea necesario. Estos mensajes deben ser permitidos a través del firewall en direcciones entrantes y salientes.​

29. ¿Qué tipo de mensaje ICMP entrante debe ser detenido?

  • Echo
  • Unreachable (inalcanzable)
  • Echo-reply (respuesta echo)
  • Source quench (alivio de fuente)
Explique: Al paquete ICMP «echo» no se le debe permitir entrar a una interfaz. La respuesta de echo (echo-reply) debe permitirse para que cuando un dispositivo interno haga ping a un dispositivo externo, se permita que la respuesta vuelva.

30. De las siguientes opciones, indique las dos que hacen referencia a enfoques para el monitoreo de seguridad de la red que utilizan técnicas analíticas avanzadas para analizar los datos de telemetría de la red. (Elija dos opciones).

  • Sguil
  • NBA
  • NetFlow
  • NBAD
  • IPFIX
  • Snorby
Explique: Los sistemas de Análisis de comportamiento de la red (NBA) y de Detección de anomalías en el comportamiento de red (NBAD) son enfoques para el monitoreo de la seguridad de la red que utilizan técnicas analíticas avanzadas para analizar los datos de telemetría de la red NetFlow o IPFIX.

31. ¿Qué dos elementos forman el valor PRI en un mensaje de syslog? (Elija dos opciones).

  • Nombre del host
  • Recurso
  • Gravedad
  • Encabezado
  • Marca de hora
Explique: El valor PRI en un mensaje de syslog consta de dos elementos: el recurso y la gravedad del mensaje.

32. Observe la ilustración. ¿Cuál tecnología generó el registro de evento (event log)?

  • Wireshark
  • SysLog
  • proxy web
  • NetFlow
Explique: El origen de la salida es Netflow.

33. Un administrador de red decide revisar las alertas del servidor debido a que recibió reportes sobre la lentitud de la red. El administrador confirma que una alerta fue un incidente de seguridad real. ¿Cuál es la clasificación de la alerta de seguridad en este tipo de escenario?

  • Negativo verdadero
  • Falso negativo
  • verdadero positivo
  • Falso positivo
Explique: Las alertas pueden clasificarse de la siguiente manera:

  • Positivo verdadero: se ha comprobado que la alerta es un incidente real de seguridad.
  • Falso positivo: la alerta no indica que el incidente de seguridad haya sido real. La actividad benigna que resulta en un falso positivo a veces se conoce como un desencadenante benigno.

Una situación alterna es aquella en la que no se generó una alerta. La ausencia de una alerta puede clasificarse del siguiente modo:

  • Negativo verdadero: No se han producido incidentes de seguridad. La actividad es benigna.
  • Falso negativo: Se ha producido un incidente no detectado.

34. ¿Qué indica un ID de firma de Snort inferior a 3464?

  • El SID fue creado por Sourcefire y distribuido de conformidad con un acuerdo de licencia GPL.
  • El SID fue creado por los miembros de Emerging Threats.
  • El SID fue creado por la comunidad de Snort y se mantiene en las reglas de la comunidad.
  • Se trata de una firma personalizada desarrollada por la organización para abordar las reglas observadas localmente.
Explique: Snort es un sistema de prevención de intrusiones en la red (NIPS) de código abierto y sistema de detección de intrusiones en la red (NIDS) desarrollado por Sourcefire. Tiene la capacidad de realizar análisis de tráfico en tiempo real y registro de paquetes en las redes de protocolo de Internet (IP) y puede usarse para detectar sondeos o ataques.

35. Un administrador de red está intentando descargar un archivo válido de un servidor interno. Sin embargo, el proceso activa una alerta en una herramienta NMS. ¿Qué condición describe correctamente la alerta?

  • Negativo verdadero
  • Falso positivo
  • verdadero positivo
  • Falso negativo
Explique: Las alertas pueden clasificarse de la siguiente manera:

  • Positivo verdadero: se ha comprobado que la alerta es un incidente real de seguridad.
  • Falso positivo: la alerta no indica que el incidente de seguridad haya sido real. La actividad benigna que resulta en un falso positivo a veces se conoce como un desencadenante benigno.

Otra situación puede ser que no se haya generado una alerta. La ausencia de una alerta puede clasificarse del siguiente modo:

  • Negativo verdadero: No se han producido incidentes de seguridad. La actividad es benigna.
  • Falso negativo: Se ha producido un incidente no detectado.

36. ¿Cuál de las siguientes es una característica de un enfoque para la seguridad de defensa en profundidad con varias capas?

  • Los routers se reemplazan con firewalls.
  • Una falla de protección no afecta la eficacia de otras medidas de protección.
  • Se utilizan tres dispositivos o más.
  • Cuando un dispositivo falla, otro asume el control.
Explique: Cuando se utiliza un enfoque para la seguridad de defensa en profundidad con varias capas, se distribuyen capas de seguridad en toda la organización: en el perímetro, dentro de la red y en los terminales. Las capas trabajan de forma conjunta para crear la arquitectura de seguridad. En este entorno, la falla de una protección no afecta la eficacia de las otras medidas de protección.

37. ¿Qué dispositivo se usaría como tercera línea de defensa en un enfoque de defensa en profundidad?

  • cortafuegos
  • router interno
  • router periférico
  • host
Explique: En un enfoque de defensa en profundidad, el router de borde formaría la primera línea de defensa. El firewall sería la segunda línea de defensa seguida por el router interno que forma la tercera línea de defensa.

38. ¿Cuáles de las siguientes son dos precauciones físicas de seguridad que puede implementar una empresa para proteger sus computadoras y sistemas? (Elija dos opciones).

  • Reemplazar los firewalls de software con firewalls de hardware.
  • Realizar copias de respaldo de datos a diario.
  • Bloquear las puertas a las salas de telecomunicaciones.
  • Implementar la autenticación biométrica.
  • Asegurarse de que tanto el sistema operativo como el software antivirus estén actualizados.
Explique: Los firewalls (de software y hardware), las actualizaciones de software y las copias de respaldo de datos son medidas de seguridad diseñadas para proteger los datos. Sin embargo, estas no son precauciones de seguridad físicas. Las precauciones de seguridad físicas evitan robos, daños o acceso no autorizado al equipo de computación físico.

39. ¿Cuáles son los dos pasos recomendados para proteger y resguardar una red inalámbrica? (Elija dos opciones).

  • Usar el SSID predeterminado.
  • Buscar el router inalámbrico en los casos en que sea accesible para los usuarios.
  • Habilitar la administración remota.
  • Usar cifrado WPA2-AES.
  • Actualizar el firmware.
Explique: Dos buenas prácticas para la protección de redes inalámbricas son cifrar el tráfico inalámbrico mediante el cifrado WPA2 y mantener actualizado el firmware del router inalámbrico. Esto evita que datos puedan ser leídos por un atacante y corrige los errores y las vulnerabilidades conocidas en el router.

40. ¿Qué componente de la seguridad Zero Trust se centra en el acceso seguro cuando una API, un microservicio o un contenedor acceden a una base de datos dentro de una aplicación?

  • Flujo de trabajo
  • Fuerza laboral
  • Lugar de trabajo
  • Carga de trabajo
Explique: El pilar de carga de trabajo se centra en las aplicaciones que se ejecutan en la nube, en los centros de datos y en otros entornos virtualizados que interactúan entre sí. Se enfoca en el acceso seguro cuando una API, un micro-servicio o un contenedor acceden a una base de datos dentro de una aplicación.

41. ¿Cuál término describe la capacidad de un servidor web para mantener un registro de los usuarios que acceden al servidor, así como el tiempo que lo utilizan?

  • asignación de permisos
  • autenticación
  • Registro
  • autorización
Explique: La contabilidad (accounting) registra lo que los usuarios hacen y cuándo lo hacen, incluyendo lo que se accede, la cantidad de tiempo que se accede al recurso y cualquier cambio que se haya hecho. La Auditoría realiza un seguimiento de la forma en la que se utilizan los recursos de red.

42. ¿En qué configuración sería preferible colocar una ACL saliente en lugar de una ACL entrante?

  • Cuando una ACL saliente está más cerca del origen del flujo de tráfico.
  • Cuando un router tiene más de una ACL.
  • Cuando la ACL se aplica a una interfaz saliente para filtrar los paquetes que provienen de varias interfaces de entrada antes de que estos salgan de la interfaz.
  • Cuando una interfaz se filtra por una ACL saliente y la red conectada a la interfaz es la red de origen que se filtra dentro de la ACL.
Explique: Debe utilizarse una ACL de salida cuando se apliquen las mismas reglas de filtrado de ACL a los paquetes provenientes de más de una interfaz de entrada antes de salir de una interfaz de salida individual. La ACL de salida se aplicará en la interfaz de salida individual.

43. Para facilitar el proceso de solución de problemas, ¿qué mensaje ICMP entrante se debe permitir en una interfaz externa?

  • anuncio de enrutador
  • respuesta de eco
  • respuesta de marca de tiempo
  • solicitud de marca de tiempo
  • solicitud de eco
Explique: Al permitir que el mensaje de respuesta de eco ICMP entrante a la organización, los usuarios internos pueden hacer ping a direcciones externas (y el mensaje de respuesta puede devolver).

44. Al implementar un ZPF, ¿cuál es la configuración de seguridad predeterminada al reenviar tráfico entre dos interfaces en la misma zona?

  • El tráfico entre interfaces en la misma zona se reenvía selectivamente en función de las restricciones de política predeterminadas.
  • El tráfico entre interfaces de la misma zona es bloqueado.
  • El tráfico entre interfaces en la misma zona se reenvía selectivamente en función de la información de capa 3.
  • El tráfico entre interfaces en la misma zona no está sujeto a ninguna política y pasa libremente.
Explique: Un firewall de políticas basado en zonas utiliza el concepto de zonas para especificar dónde se deben aplicar las reglas y políticas de firewall. De manera predeterminada, el tráfico entre interfaces en la misma zona no está sujeto a ninguna política y pasa libremente.

45. Coloque los pasos para configurar los firewalls de políticas basadas en zonas (ZPF) en orden del primero a último. No se utilizan todas las opciones.

Explique: Coloque las opciones en el siguiente orden:

Aplicar políticas.
Asignar zonas a las interfaces.
Crear políticas.
Crear zonas.
Definir clases de tráfico.

46. ¿Qué enunciado describe el funcionamiento del firewall basado en políticas basadas en zonas de Cisco IOS?

  • La acción pass funciona en una sola dirección.
  • Las interfaces de administración del router deben asignarse manualmente a la self zone.
  • Una interfaz de router puede pertenecer a varias zonas.
  • Las políticas de servicio se aplican en el modo de configuración de la interfaz.
Explique: La acción pass permite el tráfico solo en una dirección. Las interfaces se convierten automáticamente en miembros de la self zone. Las interfaces se asignan a zonas en el modo de configuración de la interfaz, pero la mayoría de las configuraciones tienen lugar en el modo de configuración global y los submodos asociados. Las interfaces pueden pertenecer a una sola zona en cualquier momento.

47. Una empresa utiliza un proveedor de nube pública para alojar sus procesos de desarrollo y distribución de software. ¿De qué dos recursos en la nube es la empresa la única responsable en el modelo de responsabilidad de seguridad compartida? (Elija dos opciones).

  • control de red
  • terminales de clientes
  • de nube
  • administración de identidades
  • Datos
Explique: El alojamiento de procesos de distribución y desarrollo de software es un ejemplo del modelo PaaS. En el modelo de responsabilidad de seguridad compartida, el cliente de la nube es responsable de la seguridad de los datos y los terminales.

48. Una compañía implementa una política de seguridad que garantiza que un archivo enviado desde la oficina de la sede central y dirigido a la oficina de la sucursal pueda abrirse solo con un código predeterminado. Este código se cambia todos los días. Indiquen dos algoritmos que se pueden utilizar para realizar esta tarea. (Elija dos opciones).

  • MD5
  • 3DES
  • HMAC
  • SHA-1
  • AES
Explique: La tarea para garantizar que solo el personal autorizado pueda abrir un archivo pertenece a la confidencialidad de los datos, que puede implementarse con cifrado. AES y 3DES son dos algoritmos de cifrado. HMAC se puede utilizar para garantizar la autenticación del origen. MD5 y SHA-1 pueden utilizarse para la integridad de los datos.

49. Una compañía está desarrollando una política de seguridad para tener comunicaciones seguras. En el intercambio de mensajes críticos entre una oficina de la sede central y una oficina de sucursal, un valor de hash debe recalcularse solo con un código predeterminado para así garantizar la validez de la fuente de datos. ¿Qué aspecto de las comunicaciones seguras se aborda?

  • Confidencialidad de los datos
  • Integridad de los datos
  • Imposibilidad de negación
  • Autenticación de origen
Explique: Las comunicaciones seguras tienen cuatro elementos:

  • Confidencialidad de los datos – garantiza que solo los usuarios autorizados puedan leer el mensaje.
  • Integridad de los datos – garantiza que el mensaje no se haya modificado.
  • Autenticación del origen – garantiza que el mensaje no es una falsificación y que procede realmente de quien dice.
  • No repudio de datos – garantiza que el remitente no puede repudiar, o refutar, la validez de un mensaje enviado.

50. ¿En cuál de las siguientes situaciones puede IMAP representar una amenaza de seguridad para una compañía?

  • Un correo electrónico puede utilizarse para introducir malware en un host.
  • Puede ser utilizado para codificar datos robados y enviárselos al actor de una amenaza.
  • Los datos cifrados se descifran.
  • Una persona hace clic sin querer en un iFrame oculto.
Explique: IMAP, SMTP y POP3 son protocolos de correo electrónico. SMTP se utiliza para enviar datos desde un host a un servidor o entre servidores. IMAP y POP3 se utilizan para descargar mensajes de correo electrónico y pueden ser responsables de introducir malware en el host de recepción.

51. ¿Cuáles dos herramientas tienen una interfaz gráfica de usuario (Graphical User Interface GUI) y se pueden usar para ver y analizar capturas de paquetes completas (full packet captures)? (Elija dos opciones).

  • nfdump
  • Splunk
  • Wireshark
  • Módulo de análisis de red Cisco Prime (Cisco Prime Network Analysis Module)
  • tcpdump
Explique: El módulo de análisis de red (Network Analysis Module NAM) del sistema Cisco Prime Infrastructure, y Wireshark tienen interfaces GUI y pueden mostrar capturas de paquetes completas (full packet captures). La herramienta tcpdump es un analizador de paquetes en la línea de comandos.

52. Un analista especializado en ciberseguridad comprobará las alertas de seguridad con Security Onion. ¿Qué herramienta debe utilizar primero el analista?

  • ELK
  • CapME
  • Sguil
  • Bro
Explique: El deber primordial de un analista especializado en ciberseguridad es verificar las alertas de seguridad. En Security Onion, la herramienta que utilizará primero un analista especializado en ciberseguridad es Sguil, puesto que proporciona una consola de alto nivel para investigar las alertas de seguridad de una gran variedad de fuentes.

53. Haga coincidir la herramienta de (Security Onion) con su respectiva descripción

Explique: Coloque las opciones en el siguiente orden:

Sistema de detección de intrusos basado en la red Snort
Aplicación de captura de paquetes Wireshark
Sistema de detección de intrusos basado en el host OSSEC
Consola de análisis de ciberseguridad de alto nivel Sguil

54. Un investigador encuentra una unidad USB en una escena del crimen y desea presentarla como evidencia en el tribunal. El investigador toma la unidad USB y crea una imagen forense de ella y toma un hash del dispositivo USB original y de la imagen creada. ¿Qué intenta probar el investigador sobre la unidad USB cuando la evidencia se presenta en el tribunal?

  • No se puede realizar una copia exacta de un dispositivo.
  • Los datos de la imagen son una copia exacta y no se alteró nada durante el proceso.
  • El investigador encontró una unidad USB y pudo hacer una copia de esta.
  • Todos los datos se encuentran allí.
Explique: Una función de hash garantiza la integridad de un programa, un archivo o un dispositivo.

55. En una comparación de los sistemas biométricos, ¿cuál es el índice de error de la conexión cruzada?

  • Índice de aceptación e índice de falsos negativos
  • Índice de rechazo e índice de falsos negativos
  • Índice de falsos positivos e índice de aceptación
  • Índice de falsos negativos e índice de falsos positivos
Explique: Al comparar los sistemas biométricos, existen varios factores importantes que se deben considerar, incluida la precisión, la velocidad o la tasa rendimiento, y la aceptación de los usuarios.

56. ¿En qué principio se basa el modelo de control de acceso no discrecional?

  • Aplica el control de acceso más estricto posible.
  • Permite que las decisiones de acceso se basen en roles y responsabilidades de un usuario dentro de la organización.
  • Permite que los usuarios controlen el acceso a sus datos como dueños de esos datos.
  • Permite el acceso basado en los atributos del objeto al que se accederá.
Explique: El modelo de control de acceso no discrecional utilizó los roles y las responsabilidades del usuario como base para las decisiones de acceso.

57. ¿Qué dos funciones están incluidas en los protocolos TACACS+ y RADIUS? (Elija dos opciones).

  • Procesos de autenticación y de autorización separados
  • Encriptación de contraseñas
  • Compatibilidad con SIP
  • Compatibilidad con 802.1X
  • Utilización de protocolos de capa de transporte
Explique: Los protocolos TACACS+ y RADIUS admiten la encriptación de contraseñas (TACACS+ encripta todas las comunicaciones) y utilizan el protocolo de Capa 4 (TACACS+ utiliza TCP y RADIUS utiliza UDP). TACACS+ admite la separación de los procesos de autenticación y de autorización, mientras que RADIUS combina autenticación y autorización en un solo proceso. RADIUS es compatible con tecnologías de acceso remoto, tales como 802.1x y SIP; TACACS+ no la admite.

58. ¿Cuáles dos declaraciones describen el efecto de la máscara de comodín de la lista de control de acceso 0.0.0.15? (Elija dos opciones).

  • Los primeros 28 bits de la dirección IP proporcionada se comparan.
  • Se pasan por alto los primeros 28 bits de la dirección IP proporcionada.
  • Se pasan por alto los últimos cuatro bits de la dirección IP proporcionada.
  • Los primeros 32 bits de la dirección IP proporcionada se comparan.
  • Los últimos cuatro bits de la dirección IP proporcionada se comparan.
  • Se pasan por alto los últimos cinco bits de la dirección IP proporcionada.
Explique: Una máscara de comodín usa los «0» para indicar que los bits deben coincidir. Los «0» en los primeros tres octetos representan 24 bits y cuatro ceros más en el último octeto representan un total de 28 bits que deben coincidir. Los cuatro «1» representados con el valor decimal de 15 representan los cuatro bits que se deben ignorar.

59. ¿Cuál enunciado describe una política de seguridad típica para una configuración de Firewall de zona desmilitarizada (Demilitarized zone DMZ)?

  • El tráfico que se origina desde la interfaz interna generalmente se bloquea de forma total o de forma muy selectiva a la interfaz externa.
  • El tráfico que se origina desde la interfaz externa tiene permitido atravesar el Firewall hasta la interfaz interna con pocas restricciones o ninguna.
  • El tráfico de retorno desde el interior asociado con el tráfico que se origina desde el exterior tiene permitido atravesar desde la interfaz interna hasta la interfaz externa.
  • El tráfico que se origina desde la interfaz DMZ es selectivamente permitido a la interfaz externa.
  • El tráfico de retorno desde el exterior asociado con el tráfico que se origina desde el interior tiene permitido atravesar desde la interfaz externa a la interfaz DMZ.
Explique: En un diseño de Firewall de tres interfaces que tiene conexiones internas, externas, y conexiones DMZ, las configuraciones típicas incluyen lo siguiente:

  • El tráfico procedente de la DMZ destinado a la red interna es normalmente bloqueado.
  • El tráfico procedente de la DMZ destinado a redes externas es normalmente permitido en función de los servicios que están siendo utilizados en la DMZ.
  • El tráfico procedente de la red interna destinado a la DMZ normalmente se inspecciona y se le permite regresar.
  • El tráfico procedente de redes externas (la red pública) es normalmente permitido en la DMZ sólo para servicios específicos.

60. Una oficina SOHO (Small Office/Home Office) utiliza un proveedor de nube pública para alojar su sitio web. El técnico de TI está eligiendo un enfoque para proteger los datos de transacciones entre el sitio web y los visitantes de Internet. ¿Qué tipo de método de administración de claves de cifrado debe elegir el técnico?

  • cifrado de clave secreta compartida
  • cifrado de clave pública
  • cifrado de clave privada
  • cifrado de clave secreta
Explique: Las dos clases de enfoques de cifrado son el cifrado simétrico y asimétrico. Los algoritmos de cifrado simétrico utilizan la misma clave, llamada clave precompartida o clave secreta compartida, para cifrar y descifrar los datos. Los algoritmos de cifrado asimétrico utilizan una clave para cifrar los datos y una clave diferente para descifrarlos. Una clave es pública y la otra es privada. El cifrado asimétrico también se conoce como cifrado de clave pública. En este escenario los visitantes web son desconocidos, por lo tanto, se debe utilizar el cifrado de clave pública.

61. Observe la ilustración. Un analista especializado en seguridad revisa un mensaje de alerta generado por Snort. ¿Qué indica el número 2100498 en el mensaje?

  • El ID del usuario que activa la alerta
  • La regla de Snort activada
  • La longitud del mensaje en bits
  • El número de sesión del mensaje
Explique: El campo sid en un mensaje de alerta de Snort indica la regla de seguridad de Snort que se activa.

62. Una la política de seguridad con su respectiva descripción.

Explique: Coloque las opciones en el siguiente orden:

Identifica las aplicaciones y usos de la red que son aceptables para la organización Política de uso aceptable (AUP)
Identifica cómo los usuarios remotos pueden acceder a la red y lo que es accesible a través de la conectividad remota Política de acceso remoto
Especifica las personas autorizadas que pueden tener acceso a los recursos de la red y los procedimientos de verificación de la identidad Política de identificación y autenticación
Especifica los sistemas operativos de los dispositivos de red y los procedimientos de actualización de las aplicaciones del usuario final Política de mantenimiento de la red

63. ¿Qué tecnología de hash requiere el intercambio de claves?

  • HMAC
  • AES
  • técnica de «salting»
  • MD5
Explique: La diferencia entre el HMAC y el hash es el uso de claves.

64. ¿Qué tecnología se usaría para crear los registros (logs) del servidor generados por los dispositivos de red, que además serán revisados por un técnico en redes de nivel básico que trabaja el turno nocturno en un centro de datos (data center)?

  • SysLog
  • VPN
  • ACL
  • NAT
Explique: Syslog es una programa daemon o servicio que se ejecuta en un servidor que acepta mensajes enviados por dispositivos de red. Estos registros (logs) son frecuentemente examinados para detectar inconsistencias y problemas en la red.

65. Observe la ilustración. Un router tiene una ACL existente que permite todo el tráfico de la red 172.16.0.0. El administrador intenta agregar una nueva ACE a la ACL que deniegue los paquetes provenientes del host 172.16.0.1 y recibe el mensaje de error que se muestra en la ilustración. ¿Qué puede hacer el administrador para bloquear los paquetes del host 172.16.0.1 sin dejar de permitir el resto del tráfico de la red 172.16.0.0?

  • Agregar manualmente la nueva ACE deny con un número de secuencia de 5.
  • Agregar manualmente la nueva ACE deny con un número de secuencia de 15.
  • Crear una segunda lista de acceso que deniegue el host y aplicarla a la misma interfaz.
  • Agregar una ACE deny any any a access-list 1.
Explique: Debido a que el nuevo ACE de denegación es una dirección de host incluida en la red 172.16.0.0 existente, que está permitida, el router rechaza el comando y muestra un mensaje de error. Para que se implemente el nuevo ACE de denegación, el administrador debe configurarlo manualmente con un número de secuencia que sea inferior a 10.

66. ¿Antes de que los datos se envíen para análisis, ¿qué técnica se puede utilizar para reemplazar los datos confidenciales en entornos no relacionados con la producción, a fin de proteger la información subyacente?

  • Ofuscación de software
  • Esteganografía
  • Estegoanálisis
  • Sustitución de enmascaramiento de datos
Explique: Las tecnologías existen para confundir a los atacantes al cambiar los datos y al utilizar técnicas para ocultar los datos originales.

67.¿Qué información puede proporcionar la utilidad Cisco NetFlow?

  • Capacidades de IPS (Sistema de prevención de intrusión) e IDS
  • Restricciones en cuentas de usuarios y seguridad
  • Asignación de puertos UDP (Protocolo de datagramas de usuario) de origen y destino
  • Horarios pico y enrutamiento del tráfico
Explique: NetFlow proporciona de manera eficiente un importante conjunto de servicios para aplicaciones IP, en el que se incluye auditoría de tráfico de red, facturación de redes basada en el uso, planificación de la red, seguridad, funcionalidades de monitoreo de denegación de servicio y monitoreo de la red. NetFlow brinda información valiosa acerca de los usuarios y las aplicaciones de la red, horarios pico de uso y routing de tráfico.

68. ¿Qué significa si la marca de hora en la sección de encabezado de un mensaje de syslog está precedida de un punto o un asterisco?

  • El mensaje de syslog debe tratarse con prioridad alta.
  • La marca de hora representa el valor de duración ida y vuelta.
  • Existe un problema asociado con DNS. (Existe un problema asociado con NTP)
  • El mensaje de syslog indica la hora en que se recibe un correo electrónico.
Explique: La sección de encabezado del mensaje contiene la marca de hora. Si la marca de hora está precedida por los símbolos de punto (.) o de asterisco(*), se indica que hay un problema con NTP.

69. ¿Qué tres servicios son proporcionados a través de las firmas digitales? (Escoja tres opciones).

  • Autenticación del origen
  • Autenticación del destino
  • Proporcionar no repudio usando funciones HMAC
  • Proporcionar encriptación de datos
  • Garantizar que los datos no han cambiado en tránsito
  • Proporcionar confiabilidad de los datos firmados digitalmente
Explique: Las firmas digitales son una técnica matemática utilizada para proporcionar tres servicios básicos de seguridad. Las firmas digitales tienen propiedades específicas que permiten la autenticación de entidades y la integridad de los datos. Además, las firmas digitales proporcionan no repudio a la transacción. En otras palabras, la firma digital sirve como prueba legal de que el intercambio de datos tuvo lugar.

70. Una empresa está implementando una aplicación web de atención al cliente en AWS. Un administrador de red está instalando y configurando una instancia de máquina virtual. ¿Qué tres acciones debe tomar el administrador para proteger la máquina virtual? (Escoja tres opciones).

  • Aplique políticas de administración de cuentas.
  • Configure RAID para garantizar la tolerancia a fallas de almacenamiento.
  • Deshabilite los puertos y servicios innecesarios.
  • Implemente un dispositivo de firewall avanzado.
  • Instale un dispositivo IPS en la máquina virtual.
  • Planifique la ubicación de la subred.
Explique: Este escenario es un modelo típico de servicio en la nube SaaS. La empresa es responsable de la seguridad de los datos. La empresa también comparte con AWS las responsabilidades de seguridad de los terminales y la gestión de identidades en la nube. AWS es responsable de la implementación y la seguridad de la infraestructura física. Algunas técnicas que la empresa debe considerar para proteger las máquinas virtuales en la nube incluyen:

  • Planificar la ubicación de la subred.
  • Deshabilitar los puertos y servicios innecesarios.
  • Aplicar políticas de administración de cuentas.
  • Instalar software antivirus / antimalware y mantenerlo actualizado.
  • Instalar firewalls basados en host/software e IDS / IPS.

71. ¿Qué registro de Windows contiene información sobre instalaciones de software, incluidas las actualizaciones de Windows?

  • Archivos de registro de aplicaciones
  • Archivos de registro del sistema
  • Archivos de registro de seguridad
  • Archivos de registro de configuración
Explique: En un host de Windows, los registros de configuración registran información sobre la instalación del software, incluidas las actualizaciones de Windows.

72. En una topología jerárquica de CA, ¿dónde puede una CA subordinada obtener un certificado para sí misma?

  • De la CA raíz o de otra CA subordinada en el mismo nivel
  • De la CA raíz o de otra CA subordinada en un nivel superior
  • De la CA raíz o de otra CA subordinada en cualquier parte del árbol
  • Solo de la CA raíz
  • De la CA raíz o a partir de la autogeneración
Explique: En una topología jerárquica de CA, las CA pueden emitir certificados a usuarios finales y a CA subordinadas, que, a su vez, emiten sus certificados a usuarios finales, a otras CA de nivel inferior o a ambos. De esta manera, se construye un árbol de CA y usuarios finales en que cada CA puede emitir certificados a CA de nivel inferior y a los usuarios finales. Solo la CA raíz puede emitir un certificado firmado automáticamente en una topología jerárquica de CA.
Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments
© Copyright 2024, All Rights Reserved
0
¿Tienes otra pregunta? Por favor comentax