Examen final de práctica de CyberOps Associate 1.0 respuestas

26/11/2024 CyberOps Associate v1.0 Leave a comment

Última actualización: diciembre 15, 2024

1. ¿Cómo puede utilizarse un sistema de administración de información y eventos de seguridad (SIEM) en un SOC para que ayude al personal a luchar contra las amenazas de seguridad?

  • Mediante la aplicación dinámica de reglas de firewall
  • Mediante la integración de todos los dispositivos de seguridad y las aplicaciones en una organización
  • Mediante el análisis de datos de registro en tiempo real
  • Mediante la combinación de datos de múltiples tecnologías
Explicación: Un Sistema de administración de información y eventos de seguridad (Security Information and Event Management System, SIEM) combina datos provenientes de varias fuentes para que el personal de SOC pueda recopilar y filtrar datos más fácilmente, detectar, clasificar, analizar e investigar amenazas y administrar recursos para implementar medidas de prevención.

2. Relacionar los puestos con las posiciones que ocupan los miembros del personal del SOC. No se utilizan todas las opciones.

Explicación: Coloque las opciones en el orden siguiente:

Experto en la material, nivel 3 Participa en la búsqueda de amenazas potenciales e implementa herramientas de detección de amenazas
Encargado de la respuesta ante los incidentes, nivel 2 Funciona como el punto de contacto para la organización más grande
Analista especializado en alertas, nivel 1 Monitorea las alertas entrantes y verifica que se haya producido un incidente real

3. ¿Qué afirmación describe el estado de las cuentas de administrador y de invitado después de que un usuario instala la versión de escritorio de Windows en una computadora nueva?

  • De forma predeterminada, la cuenta de administrador está habilitada, pero la cuenta de invitado está deshabilitada.
  • De forma predeterminada, están deshabilitadas las cuentas de administrador y de invitado.
  • De forma predeterminada, están habilitadas las cuentas de administrador y de invitado.
  • De forma predeterminada, la cuenta de invitado está habilitada, pero la cuenta de administrador está deshabilitada.
Explicación: Cuando un usuario instala la versión de escritorio de Windows, dos cuentas de usuario locales se crean automáticamente durante el proceso: de administrador y de invitado. Ambas cuentas están deshabilitadas de manera predeterminada.

4. ¿Cuales dos acciones se pueden realizar al configurar Windows Firewall? (Escoja dos opciones.)

  • Abrir manualmente los puertos que son necesarios para aplicaciones específicas.
  • Habilitar la autenticación de direcciones MAC.
  • Permitir que otro software de Firewall controle el acceso.
  • Realizar una reversión (rollback).
  • Activar la detección de puertos.
Explicación: Cuando se instala un software Firewall diferente, debe deshabilitarse Windows Firewall a través del panel de control de Windows Firewall Cuando Windows Firewall está habilitado, se pueden habilitar puertos específicos que son requeridos por ciertas aplicaciones.

5. ¿Cuál es el propósito de introducir el comando nslookup cisco.com en una computadora con Windows?

  • Descubrir el tiempo de transmisión necesario para llegar al servidor Cisco
  • Conectarse al servidor Cisco
  • Probar si el servidor Cisco es accesible
  • Comprobar si el servicio DNS se está ejecutando
Explicación: El comando nslookup realiza una consulta a los servidores DNS para averiguar la dirección IP o las direcciones asociadas con el nombre de dominio cisco.com. Un resultado exitoso indica que la configuración DNS en la computadora es funcional y también indica la dirección IP del nombre de dominio que se muestra. El comando no intenta conectarse directamente al host Cisco.

6. ¿Cuáles son tres ventajas de usar enlaces simbólicos en lugar de enlaces rígidos en Linux? (Elija tres opciones.)

  • Pueden establecer el enlace a un archivo en un sistema de archivos diferente.
  • Pueden mostrar la ubicación del archivo original.
  • Pueden comprimirse.
  • Pueden establecer el enlace a un directorio.
  • Pueden cifrarse.
  • Los enlaces simbólicos se pueden exportar.
Explicación: En Linux, un enlace rígido es otro archivo que apunta a la misma ubicación que el archivo original. Un enlace lógico (también llamado «enlace simbólico») es un enlace a otro nombre de sistema de archivos. Los enlaces rígidos se limitan al sistema de archivos en que son creados y no pueden establecer el enlace a un directorio; los enlaces lógicos no se limitan al mismo sistema de archivos y pueden establecer el enlace a un directorio. Para ver la ubicación del archivo original de un enlace simbólico, utilice el comando ls-l.

7. Observe la salida arrojada por el comando y responda: ¿qué permiso o permisos de archivo han sido asignados al grupo de usuarios «otro» para el archivo data.txt?

ls –l data.txt
-rwxrw-r-- sales staff 1028 May 28 15:50 data.txt
  • Lectura, escritura, ejecución
  • Lectura
  • Acceso completo
  • Lectura, escritura
Explicación: Los permisos de archivo siempre aparecen en el siguiente orden: usuario, grupo y otros. En el ejemplo que se muestra, el archivo tiene los siguientes permisos:

  • El guión () significa que se trata de un archivo. En el caso de los directorios, el primer guión se reemplazaría por una «d».
  • El primer conjunto de caracteres es para el permiso de usuario (rwx). El usuario, sales, que es titular del archivo puede leer, escribir y ejecutar el archivo.
  • El segundo conjunto de caracteres es para los permisos de grupo (rw-). El grupo, staff, que es titular el archivo puede leer y escribir el archivo.
  • El tercer conjunto de caracteres es para cualquier otro permiso de usuario o de grupo (r–). Cualquier otro usuario o grupo de la computadora solo puede leer el archivo.

8. ¿Qué es Internet?

  • Proporciona acceso a la red a los dispositivos móviles.
  • Es una red basada en la tecnología Ethernet.
  • Es una red privada para una organización con conexiones LAN y WAN.
  • Proporciona conexiones a través de las redes globales interconectadas.
Explicación: Internet proporciona conexiones globales que permiten que los dispositivos conectados a la red (estaciones de trabajo y dispositivos móviles) con diferentes tecnologías de red, como Ethernet, cable o DSL, y conexiones seriales, se comuniquen. Una red privada para una organización con conexiones LAN y WAN es una intranet.

9. ¿En qué capa OSI se agrega una dirección IP de origen a una PDU durante el proceso de encapsulación?

  • Capa de aplicación
  • Capa de enlace de datos
  • Capa de transporte
  • Capa de red

10. ¿Qué dos protocolos están asociados con la capa de transporte? (Elija dos opciones.)

  • UDP
  • PPP
  • IP
  • ICMP
  • TCP
Explicación: Los protocolos TCP y UDP residen en la capa de transporte en los modelos OSI y TCP/IP.

11. Si el gateway predeterminado se configura de forma incorrecta en el host, ¿qué consecuencias tiene esto en las comunicaciones?

  • El host puede comunicarse con otros hosts en la red local, pero no puede comunicarse con hosts en redes remotas.
  • El host puede comunicarse con otros hosts en redes remotas, pero no puede comunicarse con los hosts en la red local.
  • El host no puede comunicarse en la red local.
  • No tiene consecuencias en las comunicaciones.
Explicación: Solo se necesita un gateway predeterminado para comunicarse con dispositivos que están en otra red. La ausencia de un gateway predeterminado no afecta la conectividad entre los dispositivos de la misma red local.

12. Cuando un protocolo sin conexión está en uso en una capa inferior del modelo OSI, ¿cómo se detectan y se retransmiten, si es necesario, los datos faltantes?

  • Los protocolos IP de la capa de red administran las sesiones de comunicación si no están disponibles los servicios de transporte orientados a la conexión.
  • El proceso de distribución de servicio mínimo garantiza que todos los paquetes se envíen y se reciban.
  • Los protocolos de capa superior orientados a la conexión hacen un seguimiento de los datos recibidos y pueden solicitar la retransmisión desde los protocolos de capa superior del host emisor.
  • Se utilizan acuses de recibo sin conexión para solicitar la retransmisión.
Explicación: Cuando los protocolos sin conexión están en uso en una capa inferior del modelo OSI, es posible que los protocolos de capa superior deban trabajar en conjunto en los hosts emisores y receptores para contemplar los datos perdidos y retransmitirlos. En algunos casos, esto no es necesario porque algunas aplicaciones toleran cierto nivel de pérdida de datos.

13. ¿Cuál de las siguientes es la notación de duración de prefijo para la máscara de subred 255.255.255.224?

  • /25
  • /26
  • /28
  • /27
Explicación: El formato binario para 255.255.255.224 es 11111111.11111111.11111111.11100000. La duración de prefijo es la cantidad de números 1 consecutivos en la máscara de subred. Por lo tanto, la duración de prefijo es /27.

14. ¿Cuáles son dos mensajes ICMPv6 que no están presentes en ICMP para IPv4? (Escoja dos opciones.)

  • Confirmación de host
  • Destino inalcanzable
  • Tiempo excedido
  • Solicitud de vecino
  • Anuncio de router
  • Redirección de ruta
Explicación: ICMPv6 incluye 4 tipos de mensajes nuevos (anuncio de vecino, solicitud de router, anuncio de router y solicitud de vecino).

15. ¿Qué protocolo utiliza el comando traceroute para enviar y recibir solicitudes y respuestas de eco?

  • SNMP
  • TCP
  • ICMP
  • Telnet
Explicación: Traceroute emplea ICMP (protocolo de mensajería de control de Internet) para enviar y recibir mensajes de solicitud de eco y respuesta de eco.

16. ¿Cuáles dos tipos de mensajes son utilizados en lugar de ARP para la resolución de direcciones IPV6? (Escoja dos opciones.)

  • Echo reply
  • Solicitud de vecino
  • Solicitud Echo
  • Difusión
  • Difusión por proximidad
  • Anuncio de vecino
Explicación: IPv6 no utiliza ARP. En su lugar, la detección de vecinos usa mensajes de solicitud y anuncio de vecinos del ICMPv6.

17. ¿Cuáles son dos problemas que pueden ser causados por un gran número de mensajes de solicitud y respuesta ARP? (Escoja dos opciones.)

  • La solicitud ARP se envía como un broadcast e inundará toda la subred.
  • La red puede sobrecargarse porque los mensajes de respuesta ARP tienen una carga útil muy grande debido a la dirección MAC de 48 bits y la dirección IP de 32 bits que contienen.
  • Todos los mensajes de solicitud ARP deben ser procesados por todos los nodos de la red local.
  • Los switches se sobrecargan porque concentran todo el tráfico de las subredes conectadas.
  • Un gran número de mensajes de solicitud y respuesta ARP puede ralentizar el proceso de switching, lo que lleva al switch a realizar muchos cambios en su tabla MAC.
Explicación: Las solicitudes ARP se envían como broadcasts:
(1) Todos los nodos las recibirán, y serán procesadas por software, interrumpiendo la CPU.
( 2) El switch reenvía (inunda la capa 2) la solicitud a todos los puertos.

Un switch no cambia su tabla MAC en función de los mensajes de solicitud o respuesta ARP. El switch rellena la tabla MAC utilizando la dirección MAC de origen de todas las tramas. La carga útil ARP es muy pequeña y no sobrecarga el switch.

18. ¿Cuál es el mecanismo TCP que se utiliza para evitar la congestión?

  • Ventana deslizante
  • Protocolo de enlace de dos vías
  • Protocolo de enlace de tres vías
  • Par de sockets
Explicación: TCP utiliza ventanas para intentar administrar la velocidad de transmisión hasta el flujo máximo que la red y el dispositivo de destino pueden admitir y, al mismo tiempo, minimizar las pérdidas y las retransmisiones. Cuando está saturado de datos, el destino puede enviar una solicitud para reducir el tamaño de la ventana. Este método para evitar la congestión se denomina “ventanas deslizantes”.

19. ¿Qué tipo de herramienta de monitoreo de red guarda tramas de red en archivos PCAP?

  • NetFlow
  • SIEM
  • SNMP
  • Wireshark
Explicación: Wireshark es un analizador de protocolos de red que se utiliza para capturar tráfico de red. El tráfico capturado por Wireshark se guarda en archivos PCAP e incluye información sobre las interfaces y marcas de hora.

20. ¿Qué tipo de mensaje es enviado por un cliente DHCPv4 solicitando una dirección IP?

  • DHCPOFFER unicast message
  • DHCPDISCOVER unicast message
  • DHCPACK unicast message
  • DHCPDISCOVER broadcast message
Explicación: Cuando el cliente DHCPv4 solicita una dirección IP, envía un mensaje de tipo broadcast DHCPDISCOVER buscando un servidor DHCPv4 en la red.

21. ¿Cuál de las siguientes opciones corresponde a una característica de DNS?

  • DNS se basa en una topología hub-and-spoke con servidores centralizados.
  • Todos los servidores DNS deben mantener asignaciones para toda la estructura DNS.
  • Los servidores DNS pueden almacenar en caché las consultas recientes para reducir el tráfico de consultas DNS.
  • Los servidores DNS están programados para eliminar solicitudes de traducciones de nombres que no están dentro de su zona.
Explicación: DNS utiliza una jerarquía para los servidores descentralizados, para llevar a cabo la resolución de nombres. Los servidores DNS sólo mantienen registros para su zona y pueden almacenar en caché las consultas recientes para que las consultas futuras no produzcan tráfico DNS excesivo.

22. ¿Cuáles son dos diferencias entre HTTP y HTTP/2? (Escoja dos opciones.)

  • HTTP/2 utiliza multiplexación para admitir múltiples flujos y mejorar la eficiencia.
  • HTTP tiene un formato de encabezado diferente al que tiene HTTP/2.
  • HTTP/2 utiliza códigos de estado diferentes que HTTP para mejorar el rendimiento.
  • HTTP/2 emite solicitudes utilizando un formato de texto, mientras que HTTP utiliza comandos binarios.
  • HTTP/2 utiliza un encabezado comprimido para reducir los requisitos de ancho de banda.
Explicación: El propósito de HTTP/2 es mejorar el rendimiento HTTP abordando los problemas de latencia de HTTP. Esto se logra utilizando características como multiplexación, inserción de servidor, código binario y compresión de encabezado.

23. ¿Cuál es el propósito de CSMA/CA?

  • Evitar colisiones
  • Filtrar el tráfico
  • Evitar bucles
  • Aislar el tráfico
Explicación: CSMA/CA significa operador múltiple con prevención de colisiones. Es un mecanismo utilizado en redes inalámbricas para prevenir que ocurran colisiones de paquetes.

24. Un router ha recibido un paquete destinado a red que se encuentra en la tabla de routing. ¿Qué pasos realiza el router para enviar este paquete a su camino? Haga coincidir el paso con la tarea respectiva realizada por el router.

Explicación: Coloque las opciones en el orden siguiente:

Desencapsula el encabezado (header) y el pie de página (trailer) de la trama de Capa 2 para exponer el paquete de Capa 3 Paso 1
Examina la dirección IP de destino del paquete IP para encontrar la mejor ruta en la tabla de routing (enrutamiento). Paso 2
Encapsula el paquete de Capa 3 en una nueva trama de Capa 2 y reenvía la trama por la interfaz de salida Paso 3

25. ¿Cuáles son dos características compartidas del IDS y del IPS? (Elija dos opciones.)

  • Ambas tienen un impacto mínimo en el rendimiento de la red.​
  • Ambos dependen de un dispositivo de red adicional para responder al tráfico malicioso.
  • Ambos usan firmas para detectar tráfico malintencionado.
  • Ambos analizan copias del tráfico de red.
  • Ambos se implementan como sensores.
Explicación: Tanto el IDS como el IPS se implementan como sensores y utilizan firmas para detectar tráfico malicioso. El IDS analiza copias del tráfico de red, lo que resulta en un impacto mínimo en el rendimiento de la red. El IDS también depende de un IPS para detener el tráfico malicioso. ​​

26. ¿Cuál enunciado describe una política de seguridad típica para una configuración de Firewall de zona desmilitarizada (Demilitarized zone DMZ)?

  • El tráfico de retorno desde el interior asociado con el tráfico que se origina desde el exterior tiene permitido atravesar desde la interfaz interna hasta la interfaz externa.
  • El tráfico que se origina desde la interfaz externa tiene permitido atravesar el Firewall hasta la interfaz interna con pocas restricciones o ninguna.
  • El tráfico de retorno desde el exterior asociado con el tráfico que se origina desde el interior tiene permitido atravesar desde la interfaz externa a la interfaz DMZ.
  • El tráfico que se origina desde la interfaz interna generalmente se bloquea de forma total o de forma muy selectiva a la interfaz externa.
  • El tráfico que se origina desde la interfaz DMZ es selectivamente permitido a la interfaz externa.
Explicación: En un diseño de Firewall de tres interfaces que tiene conexiones internas, externas, y conexiones DMZ, las configuraciones típicas incluyen lo siguiente:

  • El tráfico procedente de la DMZ destinado a la red interna es normalmente bloqueado.
  • El tráfico procedente de la DMZ destinado a redes externas es normalmente permitido en función de los servicios que están siendo utilizados en la DMZ.
  • El tráfico procedente de la red interna destinado a la DMZ normalmente se inspecciona y se le permite regresar.
  • El tráfico procedente de redes externas (la red pública) es normalmente permitido en la DMZ sólo para servicios específicos.

27. Una la técnica de prueba de seguridad de red con cómo se utiliza para probar la seguridad de red. No se utilizan todas las opciones.

Explicación: Coloque las opciones en el orden siguiente:

Prueba de penetración Se utiliza para determinar las posibles consecuencias de ataques exitosos a la red
Análisis de red Se utiliza para detectar recursos disponibles en la red
Análisis de vulnerabilidad Se utiliza para encontrar puntos débiles y configuraciones erróneas en los sistemas de red

28. En un intento de evitar ataques de red, los ciber-analistas comparten atributos identificables únicos de ataques conocidos con sus colegas. ¿Qué tres tipos de atributos o indicadores de compromiso son de ayuda para compartir? (Escoja tres opciones.)

  • Direcciones IP de servidores de ataque
  • Nombres netbios de firewalls comprometidos
  • Cambios realizados en el software del sistema final
  • ID de sistemas comprometidos
  • Características de archivos de malware
  • BIOS de sistemas atacantes
Explicación: Muchos ataques de red pueden ser prevenidos si se comparte la información acerca de los Indicadores de Peligro (IOC). Cada ataque tiene atributos únicos que lo identifican. Los indicadores de compromiso son la evidencia de que se ha producido un ataque. Los IOCs pueden identificar características de archivos de malware, direcciones IP de servidores que son utilizadas en los ataques, nombres de archivo y cambios característicos realizados en el software del sistema final.

29. ¿Qué dos afirmaciones describen los ataques de acceso? (Elija dos opciones.)

  • Los ataques de contraseña se pueden implementar mediante métodos de ataque de fuerza bruta, caballos de Troya o analizadores de protocolos de paquetes.
  • Los ataques de confianza suelen implicar el uso de una computadora portátil como punto de acceso dudoso para que capture y copie todo el tráfico de red en una ubicación pública, como un punto de acceso inalámbrico.
  • Los ataques de redireccionamiento de puertos utilizan una tarjeta de adaptador de red en modo promiscuo para capturar todos los paquetes de red que se envían a través de una LAN.
  • Los ataques de desbordamiento del búfer escriben una cantidad de datos que supera la capacidad de la memoria de búfer asignada con el fin de sobrescribir datos válidos o de explotar sistemas para ejecutar código malicioso.
  • Para detectar servicios de escucha, los ataques de escaneo de puertos exploran un rango de números de puerto TCP o UDP en un host.
Explicación: Un ataque de acceso trata de obtener acceso a un recurso utilizando una cuenta secuestrada u otros medios. Los cinco tipos de ataques de acceso son los siguientes:

  • contraseña: se utiliza un diccionario para realizar intentos reiterados de inicio de sesión
  • ataque de confianza: utiliza privilegios otorgados para acceder a material no autorizado
  • redirección de puertos: utiliza un host interno afectado para transmitir tráfico a través de un firewall
  • intermediario (man-in-the-middle): un dispositivo no autorizado ubicado entre dos dispositivos legítimos para redireccionar o capturar tráfico
  • desbordamiento del búfer: se envían demasiados datos a una ubicación de memoria que ya contiene datos

30. Tras recibir quejas de los usuarios, un técnico identifica que el servidor Web de la universidad funciona muy lentamente. Al revisar el servidor, descubre una cantidad inusualmente elevada de solicitudes de TCP provenientes de varias ubicaciones en Internet. ¿Cuál es el origen del problema?

  • Hay un ataque de reproducción en curso.
  • Hay un ataque de DDoS en curso.
  • El ancho de banda no es suficiente para conectarse al servidor.
  • El servidor está infectado con un virus.
Explicación: El origen del problema no puede ser un virus, ya que en esta situación el servidor se encuentra en estado pasivo y es el blanco del ataque. En los ataques de reproducción, se utilizan datos interceptados y registrados con el fin de obtener acceso a un servidor no autorizado. Este tipo de ataque no involucra a varias PC. El problema no es el ancho de banda que se encuentra disponible, sino la cantidad de conexiones TCP que se establecen. La recepción de una gran cantidad de conexiones provenientes de varias ubicaciones es el principal síntoma de un ataque de denegación de servicio distribuida, el cual utiliza PC zombis o botnets.

31. ¿Qué herramienta de monitoreo de red pertenece a la categoría de analizadores de protocolo de red?

  • SPAN
  • SIEM
  • SNMP
  • Wireshark
Explicación: Wireshark es un analizador de protocolos de red que se utiliza para capturar tráfico de red. El tráfico capturado por Wireshark se guarda en archivos PCAP e incluye información sobre las interfaces y marcas de hora.

32. ¿Qué dos herramientas de monitoreo capturan el tráfico de red y lo reenvían a dispositivos de monitoreo de la red? (Elija dos opciones.)

  • SNMP
  • Punto de acceso de prueba de la red
  • Wireshark
  • SPAN
  • SIEM
Explicación: Se utiliza un punto de acceso de prueba de la red para capturar tráfico con el fin de monitorear la red. Normalmente, el punto de acceso de prueba de la red es un dispositivo de separación pasivo implementado en línea en la red que reenvía todo el tráfico, incluidos los errores de capa física, a un dispositivo de análisis. SPAN es una tecnología de replicación de puertos admitida en switches de Cisco que permite que el switch copie tramas y las reenvíe a un dispositivo de análisis.

33. ¿Qué tipo de mensaje ICMP pueden utilizar los atacantes para realizar ataques de reconocimiento y escaneo de redes?

  • ICMP router discovery
  • ICMP redirects
  • ICMP mask reply
  • ICMP unreachable
Explicación: Los mensajes de ICMP comunes que resultan de interés para los atacantes incluyen los siguientes:

  • ICMP echo request y echo reply: se utiliza para realizar la verificación del host y ataques DoS.
  • ICMP unreachable: se utiliza para realizar ataques de reconocimiento y escaneo (análisis) de la red.
  • ICMP Mask reply: se utiliza para mapear una red IP interna.
  • ICMP redirects: se utiliza para lograr que un host objetivo envíe todo el tráfico a través de un dispositivo comprometido y crear un ataque man-in-the-middle.
  • ICMP router discovery: se utiliza para inyectar entradas de rutas falsas en la tabla de routing de un host objetivo

34. Una enorme cantidad de paquetes con direcciones IP de origen no válidas solicitan una conexión en la red. El servidor intenta responder de manera afanosa, lo que da como resultado que se ignoran las solicitudes válidas. ¿Qué tipo de ataque se produjo?

  • Secuestro de sesiones TCP (TCP session hijacking)
  • Saturación de UDP (UDP flood)
  • Restablecimiento TCP (TCP reset)
  • Saturación SYN de TCP (TCP SYN flood).
Explicación: El ataque de saturación SYN de TCP ataca al intercambio de señales de tres vías (three-way handshake) de TCP. El atacante envía constantemente a un objetivo paquetes de solicitud de sesión TCP SYN con una dirección IP de origen falsificada de manera aleatoria, hacia el objetivo previsto. El dispositivo objetivo responde con un paquete TCP SYN-ACK a la dirección IP falsificada y espera un paquete TCP ACK. Las respuestas nunca llegan. Eventualmente el host objetivo es saturado con conexiones TCP medio abiertas y deniega los servicios TCP.

35. ¿Cuál es el objetivo más común del envenenamiento de la optimización para motor de búsqueda (SEO)?

  • Construir un botnet de zombies.
  • Sobrecargar un dispositivo de red con paquetes maliciosos.
  • Aumentar el tráfico web a sitios maliciosos.
  • Engañar a una persona para que instale malware o divulgue información personal.
Explicación: Un usuario malicioso podría crear un SEO, de modo tal que un sitio web malicioso aparezca con mayor prioridad en los resultados de búsqueda. El sitio web malicioso comúnmente contiene malware o se usa para obtener información mediante técnicas de ingeniería social.

36. Un atacante está redirigiendo el tráfico a una puerta de enlace predeterminada falsa en un intento de interceptar el tráfico de datos de una red conmutada. ¿Qué tipo de ataque es este?

  • Túnel de DNS
  • Envenenamiento del caché de ARP
  • Suplantación de identidad de DHCP
  • Inundación SYN a TCP
Explicación: En los ataques de suplantación de DHCP, un actor de amenazas configura un servidor DHCP falso en la red para que emita direcciones DHCP a los clientes con el objetivo de forzar a los clientes a utilizar una puerta de enlace predeterminada falsa o no válida. Se puede crear un ataque hombre-en-el-medio estableciendo la dirección de puerta de enlace predeterminada en la dirección IP del actor de amenaza.

37. ¿Qué sección de una política de seguridad se utiliza para especificar que solo las personas autorizadas deben tener acceso a datos empresariales?

  • Política de identificación y autenticación
  • Política de uso aceptable
  • Política de acceso a Internet
  • Declaración de autoridad
  • Declaración del alcance
  • Política de acceso al campus
Explicación: Por lo general, en la sección de política de identificación y autenticación de la política de seguridad, se especifican las personas autorizadas que pueden tener acceso a los recursos de la red y a los procedimientos de verificación de identidad.

38. Una el concepto de seguridad con la descripción.

Explicación: Coloque las opciones en el orden siguiente:

Riesgo La posibilidad de consecuencias no deseadas
Ataque Un mecanismo utilizado para comprometer a un recurso
Vulnerabilidad Un punto débil en un sistema
Amenaza Un peligro potencial para un recurso

39. Un especialista en seguridad de la red recibe la tarea de implementar una medida de seguridad que monitorea el estado de los archivos críticos en el centro de datos y envía una alerta inmediata si se modifica alguno de ellos. ¿Qué aspecto de las comunicaciones seguras aborda esta medida de seguridad?

  • Integridad de los datos
  • Autenticación de origen
  • Confidencialidad de los datos
  • Imposibilidad de negación
Explicación: Las comunicaciones seguras tienen cuatro elementos:

  • Confidencialidad de los datos: garantiza que solo los usuarios autorizados puedan leer el mensaje
  • Integridad de los datos: garantiza que el mensaje no haya sido modificado
  • Autenticación de origen: garantiza que el mensaje no sea una falsificación y que el remitente efectivamente sea el indicado
  • Imposibilidad de negación de los datos: garantiza que el remitente no pueda negar, o refutar, la validez de un mensaje enviado

40. Un administrador de red está configurando un servidor AAA para administrar la autenticación TACACS+. ¿Cuáles son dos atributos de la autenticación TACACS+? (Escoja dos opciones.)

  • Puerto TCP 40
  • Puerto UDP 1645
  • Un único proceso de autenticación y autorización
  • Procesos separados de autenticación y autorización
  • Encriptación para todas las comunicaciones
  • Encriptación sólo para la contraseña de un usuario
Explicación: La autenticación TACACS+ incluye los siguientes atributos:

  • Separa los procesos de autenticación y de autorización
  • Encripta todas las comunicaciones, no solo las contraseñas
  • Utiliza el puerto TCP 49

41. ¿Qué tres algoritmos están diseñados para generar y comprobar firmas digitales? (Elija tres opciones.)

  • DSA
  • ECDSA
  • IKE
  • AES
  • RSA
  • 3DES
Explicación: Se utilizan tres algoritmos del Estándar de firmas digitales (Digital Signature Standard, DSS) para generar y verificar firmas digitales:

  • Algoritmo de firmas digitales (DSA)
  • Algoritmo de Rivest-Shamir Adelman (RSA)
  • Algoritmo de firma digital de curva elíptica (ECDSA)

42. ¿Cuáles son los dos componentes importantes de una infraestructura de clave pública (PKI) utilizados en seguridad de la red? (Elija dos opciones.)

  • Certificados digitales
  • Algoritmos de cifrado simétrico
  • Sistema de prevención de intrusión
  • Generación de claves precompartidas
  • Autoridad de certificación
Explicación: Una infraestructura de clave pública utiliza certificados digitales y autoridades de certificación para administrar la distribución de claves asimétricas. Los certificados de PKI constituyen información pública. La autoridad de certificación (CA) de PKI es un tercero de confianza que emite el certificado. La CA tiene su propio certificado (certificado firmado automáticamente) que contiene la clave pública de la CA.

43. ¿Qué afirmación describe el enfoque para la detección de intrusiones basada en anomalías?

  • Compara el comportamiento de un host con una línea de base establecida para identificar posibles intrusiones.
  • Compara las operaciones de una host con una política de seguridad bien definida.
  • Compara las firmas del tráfico entrante con una base de datos de intrusiones conocidas.
  • Compara el archivo de definición antivirus con un repositorio basado en la nube para determinar las actualizaciones más recientes.
Explicación: Con un enfoque para la detección de intrusiones basada en anomalías, se establece una línea de base de comportamientos en primer lugar. El comportamiento del host se compara con la línea de base para detectar desviaciones importantes, que podrían indicar posibles intrusiones.

44. Una la descripción con el enfoque antimalware.

Explicación: Coloque las opciones en el orden siguiente:

se analizan actividades sospechosas Con base en comportamientos
Se reconocen diversas características de archivos de malware conocidos Con base en actores
Se reconocen características generales compartidas por diversos tipos de malware Con base heurística

45. ¿Cuáles son las tres métricas de impacto incluidas en el Grupo de métricas base de CVSS 3.0? (Elija tres opciones.)

  • Confidencialidad
  • Ataque
  • Nivel de corrección
  • Disponibilidad
  • Vector de ataque
  • Integridad
Explicación: El Sistema común de puntuación de vulnerabilidades (CVSS) es un marco abierto, independiente y estándar del sector que se utiliza para ponderar los riesgos de una vulnerabilidad mediante el uso de diversas métricas. CVSS utiliza tres grupos de métricas para evaluar una vulnerabilidad: el grupo de métricas base, el grupo de métricas temporal y el grupo de métricas ambiental. El grupo de métricas base tiene dos clases de métricas (aprovechamiento e impacto). Las métricas de impacto se basan en las siguientes áreas: confidencialidad, integridad y disponibilidad.

46. Un administrador de red está creando un perfil de red para generar una línea de base de red. ¿Qué está incluido en el elemento de espacio para recursos críticos?

  • Las direcciones IP o la ubicación lógica de los sistemas o datos esenciales
  • La lista de procesos de TCP o UDP que están disponibles para aceptar datos
  • Los daemons y puertos TCP y UDP que pueden estar abiertos en el servidor
  • El tiempo transcurrido desde que se establece el flujo de datos y su finalización
Explicación: Un perfil de red debería incluir algunos elementos importantes, como los siguientes:

  • Rendimiento total: la cantidad de datos que pasa de un origen dado a un destino determinado en un período de tiempo especificado
  • Duración de la sesión: el tiempo transcurrido desde que se establece el flujo de datos y su finalización
  • Puertos utilizados: una lista de procesos de TCP o UDP que están disponibles para aceptar datos
  • Espacio de direcciones para activos críticos: las direcciones IP o la ubicación lógica de los sistemas o datos esenciales

47. ¿Cómo podrían los profesionales de TI corporativos hacer frente a las amenazas cibernéticas basadas en DNS?

  • Usar dispositivos IPS/IDS para analizar el tráfico corporativo interno.
  • Limitar la cantidad de navegadores o de pestañas del navegador abiertos al mismo tiempo.
  • Supervisar los registros de servidor proxy DNS y buscar consultas DNS poco comunes.
  • Limitar la cantidad de consultas DNS permitidas dentro de la organización.
Explicación: Las consultas DNS de nombres de dominio generados aleatoriamente o de subdominios DNS extremadamente largos que aparecen de forma aleatoria deben considerarse sospechosas. Los ciberanalistas podrían adoptar estas medidas para hacer frente a los ataques basados en DNS:

  • Analizar los registros de DNS.
  • Utilizar un servicio DNS pasivo para bloquear las solicitudes a servidores CnC y dominios de ataque.

48. ¿De qué manera HTTPS dificulta el monitoreo de la seguridad de la red?

  • HTTPS puede utilizarse para infiltrar consultas de DNS.
  • HTTPS no puede proteger a los visitantes de un sitio web proporcionado por la compañía.
  • HTTPS agrega complejidad a los paquetes capturados.
  • El tráfico del navegador web se dirige a servidores infectados.
Explicación: HTTPS agrega carga inicial adicional al paquete conformado en HTTP. HTTPS cifra mediante Secure Sockets Layer (SSL). Incluso cuando algunos dispositivos pueden realizar operaciones de cifrado e inspección SSL, esto puede generar problemas de procesamiento y privacidad. HTTPS agrega complejidad a las capturas de paquetes porque hay mensajes adicionales involucrados en el establecimiento de una conexión de datos cifrados.

49. ¿Qué dos elementos forman el valor PRI en un mensaje de syslog? (Elija dos opciones.)

  • Encabezado
  • Recurso
  • Nombre del host
  • Marca de hora
  • Gravedad
Explicación: El valor PRI en un mensaje de syslog consta de dos elementos: el recurso y la gravedad del mensaje.

50. ¿Cuáles tres piezas de información se encuentran en los datos de sesión (session data)? (Escoja tres opciones.)

  • Direcciones IP de origen y de destino
  • Direcciones MAC de origen y de destino
  • Número de puertos de origen y destino
  • Nombre de usuario
  • Protocolo de transporte de Capa 4
  • Dirección IP de la puerta de enlace por defecto (default gateway)
Explicación: Los datos de la sesión incluyen la identificación de la información como la dirección IP de origen y de destino, números de puertos de origen y de destino, y el protocolo de Capa 4 en uso. Los datos de sesión no incluyen el nombre de usuario, las direcciones MAC de origen y destino, y ninguna dirección IP de puerta de enlace por defecto.

51. ¿Qué indica una clasificación de alerta de seguridad «negativo verdadero»?

  • Los sistemas de seguridad implementados no detectan ataques.
  • El tráfico normal se ignora correctamente y no se se emiten alertas erróneas.
  • Una alerta se emite incorrectamente y no indica un incidente de seguridad real.
  • Se corrobora que una alerta es un incidente de seguridad real.
Explicación: La clasificación «negativo verdadero» indica que las medidas de seguridad no identifican el tráfico normal como tráfico malicioso.

52. Consultar la ilustración. ¿Qué campo en la ventana de la aplicación Sguil indica la prioridad de un evento o de una conjunto de eventos correlacionados?

  • CNT
  • ST
  • Pr
  • AlertID
Explicación: La ventana de la aplicación Sguil tiene varios campos disponibles que brindan información sobre un evento. En el campo ST, se indica el estado de un evento y se incluye una prioridad codificada por colores (de amarillo claro a rojo) para señalar cuatro niveles de prioridad.

53. ¿Cuales dos tipos de tráfico de red provienen de protocolos que generan mucho tráfico rutinario? (Elija dos opciones.)

  • Tráfico SSL
  • Tráfico de actualizaciones de routing (enrutamiento)
  • Tráfico de alertas de auditoría de seguridad de Windows (Windows security auditing)
  • Tráfico STP
  • Tráfico IPsec
Explicación: Para reducir la enorme cantidad de datos recopilados, con el propósito de que los analistas de ciberseguridad puedan centrarse en las amenazas críticas, algunos datos menos importantes o menos relevantes podrían eliminarse de los conjuntos de datos (datasets). Por ejemplo, podría eliminarse el tráfico de administración de routing (routing network management traffic), como las actualizaciones de routing y el tráfico STP.

54. ¿Cómo se asigna el ID de evento en Sguil?

  • Sólo al primer evento se le asigna un ID único de la serie de eventos correlacionados.
  • A todos los eventos de la serie de eventos correlacionados se les asigna el mismo ID de evento.
  • A todos los eventos de la serie de eventos correlacionados se les asigna el mismo ID de grupo de eventos.
  • A cada evento de la serie de eventos correlacionados se le asigna un ID (identificador) único.
Explicación: En Sguil, cada evento recibe un único ID (identificador) de evento, pero solo el primer ID de evento en la serie de eventos correlacionados es mostrado en el apartado «RealTime».

55. ¿Qué hará el actor de una amenaza para crear una puerta trasera a un objetivo comprometido según el modelo de cadena de eliminación cibernética?

  • Agregar servicios y claves de ejecución automática.
  • Abrir un canal de comunicación de dos vías a la infraestructura de CnC.
  • Recopilar y exfiltrar datos.
  • Conseguir una herramienta automatizada para aplicar la carga útil del malware.
Explicación: Una vez que un sistema objetivo está comprometido, el actor de la amenaza establece una puerta trasera al sistema para poder seguir accediendo al objetivo. Agregar servicios y claves de ejecución automática es una manera de crear un punto de acceso persistente.

56. ¿Qué actividad realiza normalmente el actor responsable de una amenaza en la fase de instalación de la cadena de eliminación cibernética?

  • Conseguir una herramienta automatizada para aplicar la carga útil del malware.
  • Abrir un canal de comunicación de dos vías a la infraestructura de CnC.
  • Instalar una shell web en el servidor web objetivo para acceso persistente.
  • Reunir direcciones de correo electrónico de cuentas de usuario.
Explicación: En la fase de instalación de la Cadena de eliminación cibernética, el actor de la amenaza establece una puerta trasera al sistema para poder seguir accediendo al objetivo.

57. ¿Cuál es la responsabilidad del departamento de Recursos Humanos al ocuparse de un incidente de seguridad?

  • Revisar las políticas, los planes y los procedimientos relacionados con incidentes para infracciones a pautas locales o federales.
  • Adoptar medidas disciplinarias si un incidente es causado por un empleado.
  • Coordinar la respuesta antes los incidentes con otras partes interesadas y minimizar el daño causado por el incidente.
  • Tomar medidas para minimizar la efectividad del ataque y preservar la evidencia.
Explicación: Se le puede solicitar al departamento de Recursos Humanos que imponga sanciones disciplinarias si un empleado causa un incidente.

58. Los usuarios informan que no se puede tener acceso a un archivo de la base de datos del servidor principal. El administrador de una base de datos verifica el problema y advierte que el archivo de base de datos ahora está cifrado. La organización recibe un correo electrónico de amenaza en el que se exige un pago a cambio de descifrar el archivo de base de datos. ¿Qué tipo de ataque ha experimentado la organización?

  • Ataque DoS
  • Caballo de Troya
  • Ataque man-in-the-middle
  • Ransomware
Explicación: Un especialista en ciberseguridad necesita conocer las características de los diferentes tipos de malware y ataques que amenazan a una organización.

59. ¿Qué dos tipos de información personal pueden ser vendidos en la web oscura por los ciberdelincuentes? (Escoja dos opciones.)

  • Nombre de una mascota
  • Ciudad de residencia
  • Dirección
  • Nombre de un banco
  • Fotos de Facebook
Explicación:

  • Nombre
  • Número de seguridad social
  • Fecha de nacimiento
  • Números de tarjetas de crédito
  • Números de cuentas bancarias
  • Información de Facebook
  • Información sobre dirección (calle, correo electrónico, números de teléfono).

60. Una los pasos con las acciones involucradas cuando un host interno con la dirección IP 192.168.10.10 intenta enviar un paquete a un servidor externo en la dirección IP 209.165.200.254 a través de un router R1 que ejecuta NAT dinámica.

Explicación:

Paso 1 El R1 traduce la dirección IP en los paquetes de 209.65.200.254 a 192.168.10.10.
Paso 2 El R1 revisa la configuración de NAT para determinar si se debe traducir este paquete.
Paso 3 Si no hay ninguna entrada de traducción para esta dirección IP, el R1 determina que se debe traducir la dirección de origen 192.168.10.10.
Paso 4 El R1 selecciona una dirección global disponible del conjunto de direcciones dinámicas.
Paso 5 El R1 reemplaza la dirección 192.168.10.10 por una dirección global interna traducida.

61. ¿Por qué se prefiere el uso de DHCP en redes grandes?

  • Los hosts de las redes grandes necesitan más parámetros de configuración de asignación de direcciones IP que los hosts de las redes pequeñas.
  • Evita que se compartan archivos que tienen derechos de autor.
  • Es una forma más eficaz de administrar direcciones IP que la asignación de direcciones estáticas.
  • Las redes grandes envían más solicitudes de resolución de dominio a dirección IP que las redes pequeñas.
  • DHCP usa un protocolo de capa de transporte confiable.
Explicación: Para la asignación de direcciones IP estáticas, se requiere personal que configure manualmente las direcciones de red en cada host de red. Las redes grandes pueden cambiar con frecuencia y tienen muchos más hosts para configurar que las redes pequeñas. DHCP proporciona una forma mucho más eficaz de configurar y administrar las direcciones IP en redes grandes que la asignación de direcciones estáticas.

62. ¿Qué fase del ciclo de vida de la respuesta ante los incidentes de NIST incluye el monitoreo continuo por parte del CSIRT para identificar y validar un incidente con rapidez?

  • Preparación
  • Contención, erradicación y recuperación
  • Detección y análisis
  • Actividades posteriores al incidente
Explicación: En la fase de detección y análisis del ciclo de vida de la respuesta ante los incidentes de NIST, el CSIRT identifica y valida los incidentes a través de un monitoreo continuo. El NIST define cuatro etapas del ciclo de vida de respuesta ante los incidentes.

63. Consulte la ilustración. Un analista especializado en ciberseguridad está viendo paquetes capturados que se reenviaron al switch S1. ¿Qué dispositivo tiene la dirección MAC d8:cb:8a:5c:d5:8a?

  • PC-A
  • Servidor web
  • Router ISP
  • Servidor DNS
  • Router DG
Explicación: La captura de Wireshark es una respuesta DNS del servidor DNS a la PC-A. Dado que el paquete fue capturado en la LAN en la que está conectada la PC, el router DG habría encapsulado el paquete de respuesta desde el router ISP hacia una trama Ethernet dirigida a PC-A y reenviado la trama con la dirección MAC de la PC-A como el destino.

64. Cuando se ocupa de una amenaza de seguridad y utiliza el modelo de cadena de eliminación cibernética, ¿qué dos enfoques puede utilizar una organización para bloquear posibles ataques en un sistema? (Elija dos opciones.)

  • Realizar un análisis de malware completo.
  • Realizar escaneo de vulnerabilidades y pruebas de penetración de forma periódica.
  • Desarrollar detecciones para el comportamiento de componentes conocidos para diseñar armas.
  • Reunir archivos de registro web y de correo electrónico para una reconstrucción forense.
  • Capacitar a los desarrolladores web sobre cómo asegurar códigos.
Explicación: Los objetivos de ataque más comunes, una vez aplicada un arma, son las aplicaciones, las vulnerabilidades del sistema operativo y las cuentas de usuario. Entre otras medidas, tales como escaneos de vulnerabilidades y pruebas de penetración de forma periódica, capacitar a los desarrolladores web sobre cómo asegurar códigos puede ayudar a bloquear posibles explotaciones en sistemas.

56. Coloque la prioridad de la recolección de pruebas de la más volátil a la menos volátil según lo definido por las pautas del IETF.

Explicación:

Registros de memoria, memorias caché 1. (más volátil)
Tabla de routing, caché de ARP, tabla de procesos, estadísticas del núcleo, memoria RAM 2.
Sistemas de archivos temporales 3.
Medios no volátiles, fijos y extraíbles 4.
Registros remotos y datos de monitoreo 5.
Topologías e interconexiones físicas 6.
Medios de archivo, cintas u otras copias de seguridad 7. (menos volátil)

57. ¿Qué tipo de evidencia respalda una afirmación basada en evidencia obtenida previamente?

  • Evidencia directa
  • Evidencia confirmatoria
  • La mejor evidencia
  • Evidencia indirecta
Explicación: La evidencia confirmatoria es la evidencia que respalda una propuesta ya respaldada por la evidencia inicial; por lo tanto, confirma la propuesta original. La evidencia circunstancial es evidencia distinta de la información de primera mano proporcionada por los testigos.

58. Después de la contención, ¿cuál es el primer paso para erradicar un ataque?

  • Aplicar parche para todas las vulnerabilidades.
  • Celebrar reuniones para abordar los conocimientos adquiridos.
  • Identificar todos los hosts que necesitan corrección.
  • Cambiar todas las contraseñas.
Explicación: El paso que se debe realizar después de la contención de un ataque es identificar todos los hosts que necesitan corrección, de manera que se puedan eliminar las consecuencias del ataque.

59. ¿Cuál es el objetivo de un ataque en la fase de instalación de la cadena de eliminación cibernética?

  • Establecer el comando y control (CnC) con el sistema objetivo.
  • Crear una puerta trasera al sistema objetivo para poder acceder a él en el futuro.
  • Utilizar la información de la fase de reconocimiento para desarrollar un arma contra el objetivo.
  • Quebrar la vulnerabilidad y obtener el control del objetivo.
Explicación: En la fase de instalación de la Cadena de eliminación cibernética, el actor de la amenaza establece una puerta trasera al sistema para poder seguir accediendo al objetivo.

60

Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments
© Copyright 2025, All Rights Reserved
0
¿Tienes otra pregunta? Por favor comentax