Prueba del módulo 11 – Configuraciones de seguridad del Switch

02/11/2021 CCNA 2 v7 Respuestas Leave a comment

Última actualización: noviembre 2, 2021

1. ¿Cuál es la mejor práctica recomendada para tratar con la VLAN nativa?

  • Asignar el mismo número de VLAN que la VLAN de administración.
  • Desactivar del DTP.
  • Utilizar la seguridad del puerto.
  • Asignarla a una VLAN sin utilizar.
Explique: La seguridad del puerto no puede habilitarse en un enlace troncal y los enlaces troncales son los únicos tipos de puertos que tienen una VLAN nativa. Aunque desactivar el DTP en un enlace troncal es una mejor práctica, no tiene nada que ver con los riesgos de la VLAN nativa. Para evitar las violaciones a la seguridad que se aprovechan de la VLAN nativa, coloque la VLAN nativa en una VLAN que no sea la VLAN 1. La VLAN de administración también debe ser una VLAN sin utilizar diferente de la VLAN nativa y la VLAN 1.

2. En cual puerto del switch deberia PortFast estar habilitado para mejorar la estabilidad STP?

  • solo a los puertos que son elegidos como ouertos designados.
  • solo en los puertos que se conectan a un switch vecino
  • a todos los puertos troncales que no son puertos raíz.
  • en todos los puertos de acceso de usuario final.
Explique: PortFast traerá inmediatamente una interfaz configurada como acceso o puerto troncal al estado de reenvío desde un estado de bloqueo, omitiendo los estados de escucha y aprendizaje. Si se configura en un enlace troncal, la transición inmediata al estado de reenvío podría llevar a la formación de los bucles de la capa 2.

3. Cual es el mejor comando para utilizar en un puerto de switch que no se este usando si la compañia se apega a las practicas recomendadas por Cisco?

  • switchport port-security violation shutdown
  • shutdown
  • ip dhcp snooping
  • switchport port-security mac-address sticky
  • switchport port-security mac-address sticky mac-address
Explique: A diferencia de los puertos Ethernet del router, los puertos del switch están habilitados de forma predeterminada. Cisco recomienda des-habilitar cualquier puerto que no se utilice. El comando ip dhcp snooping habilita globalmente DHCP snooping en un switch. La configuración adicional permite definir los puertos que pueden responder a las peticiones DHCP. El comando switchport port-security se utiliza para proteger la red de la conexión no identificada o no autorizada de los dispositivos de red.

4. ¿Qué dos características en un conmutador Cisco Catalyst se pueden usar para mitigar el agotamiento DHCP y los ataques de suplantación de identidad DHCP? (Escoja dos opciones).

  • Seguridad de puertos
  • Detección de DHCP
  • contraseña segura en servidores DHCP
  • ACL extendida
  • Conmutación por error del servidor DHCP
Explique: En los ataques de inanición de DHCP , un atacante inunda el servidor DHCP con solicitudes DHCP para utilizar todas las direcciones IP disponibles que el servidor DHCP puede emitir. En los ataques de suplantación de identidad de DHCP, un atacante configura un servidor DHCP falso en la red para que proporcione a los clientes direcciones de servidor DNS falsas. La función de seguridad del puerto puede limitar el número de direcciones MAC aprendidas dinámicamente por puerto o permitir que solo se conecten NICs válidas conocidas a través de sus direcciones MAC específicas. La función de indagación de DHCP puede identificar los servidores legítimos de DHCP y evitar que los servidores falsos de DHCP emitan información de dirección IP. Estas dos características pueden ayudar a luchar contra los ataques DHCP.

5. Cual es la mejor manera de prevenir un ataque de salto de VLAN?

  • Deshabilite STP en todos los puertos no troncales.
  • Utilice la encapsulación ISL en todos los enlaces troncales.
  • Use la VLAN 1 como la VLAN nativa en los puertos troncales.
  • Deshabilite la negociación troncal para puertos troncales y ajuste de forma estática los puertos no troncales como puertos de acceso.
Explique: Los ataques de salto VLAN dependen de que el atacante pueda crear un enlace troncal con un switch Deshabilitar DTP y configurar puertos orientados al usuario como puertos de acceso estático puede ayudar a prevenir este tipo de ataques.Deshabilitar el Protocolo de árbol de extensión (STP) no eliminará los ataques de salto de VLAN.

6. Cuales procedimientos son recomendados para mitigar las probabilidades de suplantación de ARP?

  • Habilite la detección de DHCP en las VLAN seleccionadas.
  • Habilitar IP Source Guard en los puertos confiados.
  • Habilitar la seguridad del puerto.
  • Habilitar DAI en la VLAN administrativa.
Explique: Para mitigar las posibilidades de suplantación de ARP, se recomiendan estos procedimientos:
Implemente la protección contra DHCP spoofing habilitando DHCP snooping globalmente Habilite la detección de DHCP en las VLAN seleccionadas. Habilite el DAI en las VLAN seleccionadas. Configure las interfaces de confianza para la detección DHCP y la inspección ARP. Los puertos no confiables están configurados de forma predeterminada.

7. ¿Cuáles son dos de los tipos de puertos de switch que se usan en los switches de Cisco como defensa contra los ataques de suplantación de DHCP? (Elija dos opciones).

  • puerto DHCP autorizado
  • puerto DHCP de confianza
  • puerto no confiable
  • puerto DHCP establecido
  • puerto no autorizado
  • puerto desconocido
Explique: DHCP snooping reconoce dos tipos de puertos en los switch de Cisco:
Puertos DHCP de confianza: puertos de switch que se conectan a servidores DHCP corriente arriba.
Puertos no confiables: puertos de switch que se conectan a hosts que no deberían estar proporcionando mensajes del servidor DHCP.

8. Cuales dos comandos pueden ser usados para habilitar PortFast en un switch? (Escoja dos opciones).

  • S1(config-if)# enable spanning-tree portfast
  • S1(config)# enable spanning-tree portfast default
  • S1(config-if)# spanning-tree portfast
  • S1(config)# spanning-tree portfast default
  • S1(config-line)# spanning-tree portfast
Explique: PortFast se puede configurar en todos los puertos no troncales utilizando el comando spanning-tree portfast default desde configuración global. Alternativamente, PortFast se puede habilitar en una interface usando el comando spanning-tree portfast desde la configuración de la interface.

9. Un administrador que está resolviendo problemas de conectividad de un switch observa que un puerto de switch configurado para la seguridad de puertos está en estado inhabilitado por errores. Luego de comprobar la causa de la violación, ¿qué debe hacer el administrador para volver a habilitar el puerto sin interrumpir la operación de red?

  • Emita el comando no switchport port-security, luego vuelva a habilitar la seguridad del puerto.
  • Reinicie el switch.
  • Emita el comando en la interfaz no switchport port-security violation shutdown.
  • Emita el comando shutdown seguido del comando en la interfaz no shutdown.
Explique: Si una interfaz que se ha protegido con la seguridad del puerto entra en el estado err-disabled, se ha producido una violación y el administrador debe investigar la causa de la violación. Una vez que se determina la causa, el administrador puede publicar el comando shutdownseguido por el comando no shutdown para habilitar la interface.

10. Un administrador de una red está configurando DHCP snooping en un switch. Cual comando de configuración debe ser usado primero?

  • ip dhcp snooping trust
  • ip dhcp snooping
  • ip dhcp snooping vlan
  • ip dhcp snooping limit rate
Explique: Los pasos para habilitar el DHCP snooping incluyen:

  • Paso 1. Habilite el DHCP snooping usando el comando ip dhcp snooping desde la configuración global.
  • Paso 2. En los puertos de confianza, utilice el comando ip dhcp snooping trust desde la configuración de la interface.
  • Paso 3. Habilite el DHCP snooping por el VLAN, o por un rango de VLANs.

11. Un administrador de red está configurando el DAI en un conmutador con el comando ip arp inspection validate dst-mac. ¿Cuál es el objetivo de este comando?

  • comprueba la dirección MAC de destino en el encabezado de Ethernet con la dirección MAC de destino en el cuerpo ARP.
  • Comprueba la dirección MAC de destino en el encabezado de Ethernet con la dirección MAC
  • Comprueba la dirección MAC de destino en el encabezado de Ethernet con las ACLs ARP configuradas por el usuario
  • comprueba la dirección MAC de destino en el encabezado de Ethernet con la dirección MAC de destino en el cuerpo ARP.
Explique: DAI se puede configurar para verificar las direcciones MAC e IP de destino o de origen:

  • MAC de destino: compruebe la dirección MAC de destino en el encabezado de Ethernet con la dirección MAC de destino en el cuerpo ARP.
  • MAC de origen: compruebe la dirección MAC de origen en el encabezado de Ethernet con la dirección MAC del remitente en el cuerpo ARP.
  • Direcciones IP: compruebe el cuerpo ARP en busca de direcciones IP no válidas e inesperadas, incluidas las direcciones 0.0.0.0, 255.255.255.255 y todas las direcciones multicast.

12. ¿Qué característica de seguridad debería habilitarse para evitar que un atacante desborde la tabla de direcciones MAC de un conmutador?

  • Protección de raíz
  • control de saturación
  • Filtrado de BPDU
  • Seguridad de puertos
Explique: La seguridad del puerto limita el número de direcciones MAC de origen permitidas a través de un puerto del switch. Esta característica puede evitar que un atacante inunde un switch con muchas direcciones MAC falsificadas.

13. Cual ataque de capa 2 es mitigado deshabilitando el protocolo de enlaces troncales dinámicos?

  • Envenenamiento ARP
  • Suplantación de identidad de DHCP
  • Salto de VLAN
  • suplantación ARP
Explique: La mitigación de un ataque de salto VLAN se puede hacer deshabilitando el Dynamic Trunking Protocol (DTP) y fijando el VLAN nativo de los enlaces troncales a las VLANs que no están en uso.

14. Un administrador de una red está configurando DAI en un switch. Cual comando se debe usar en la interfaz de salida que conecta a un router?

  • ip dhcp snooping
  • spanning-tree portfast
  • ip arp inspection trust
  • ip arp inspection vlan
Explique: En general, un router sirve como la puerta de enlace por defecto para el LAN o el VLAN en el switch. Por lo tanto, el enlace de la interface que conecta con un router, debe ser un puerto de confianza para re-enviar las peticiones ARP.

15. ¿Dónde se almacenan las direcciones MAC aprendidas dinámicamente cuando el aprendizaje permanente está habilitado con el comando switchport port-security mac-address sticky?

  • NVRAM
  • RAM
  • Memoria flash
  • ROM
Explique: cuando las direcciones MAC se aprenden automáticamente utilizando la opción de comando sticky, las direcciones MAC aprendidas se agregan a la configuración en ejecución, que se almacena en la RAM.
Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments
© Copyright 2024, All Rights Reserved
0
¿Tienes otra pregunta? Por favor comentax