802.1x... a.
El servidor de autenticación que utiliza nunca debe ser RADIUS. b.
No se debe activar en puertos que se utilizan para interconectar con otros switches o routers. c.
Es obligatorio en las conexiones WIFI a puntos de acceso inalámbrico. d.
Debe utilizar obligatoriamente LDAP para almacenar los usuarios y las contraseñas.
Nos conectamos mediante OpenVPN a una sucursal. Si queremos acceder a un equipo de la red interna de la sucursal... a.
Esto no se puede hacer con OpenVPN, hay que usar IPSEC. b.
Tendremos que añadir en el archivo de configuración del servidor OpenVPN una línea push "route dir_red máscara" para que el cliente envíe a través de la VPN los paquetes cuyo destino sea la red interna de la sucursal. c.
La única solución es añadir las rutas a mano en el cliente. d.
Tendremos que añadir en el archivo de configuración del cliente OpenVPN una línea push "route dir_red máscara" para que el cliente envíe a través de la VPN los paquetes cuyo destino sea la red interna de la sucursal.
Un principal de Kerberos es... a.
Un servidor de autenticación (AS). b.
Un usuario, un equipo o una aplicación. c.
Un ticket (TGT o TGS). d.
Un centro de distribución de claves (KDC).
En cuanto a OpenVPN...
a.
Requiere menos ancho de banda para funcionar que otras soluciones.
b.
No lo usan demasiados proveedores de VPNs.
c.
Es más lento que IPSEC.
d.
Tiene dos fases de conexión (fase 1 y fase 2).
En un ataque DTP se busca... a.
Aprovechar que el puerto está en una VLAN nativa para realizar un doble etiquetado. b.
Convertir el ordenador atacante en raíz de spanning-tree. c.
Convertir el puerto de conexión en TRUNK.
d.
Poner el puerto como DHCP Trusted para hacerse pasar por un servidor DHCP auténtico.
Hemos arrancado una máquina virtual en modo puente (bridge) en el ordenador. El puerto del switch donde está conectado el ordenador se ha desactivado. ¿Cuál puede ser la causa? a.
El puerto tiene BPDU Guard activado. b.
El puerto tiene port-security activado.
.
El puerto tiene DHCP snooping activado.
d.
El puerto tiene DAI activado.
En VPN routing... a.
El equipo remoto está en una subred distinta.
b.
No es necesario configurar rutas para acceder a los equipos conectados a la red remota. c.
Es más difícil de configurar que el VPN switching.
d.
Se realiza una unión VPN a nivel 2 a un switch virtual.
Un fichero en formato LDIF... a.
Lo hemos utilizado para la inicialización de las unidades organizativas de usuarios y grupos en LDAP. Se utiliza para introducir datos de configuración en un router.
c.
Lo hemos utilizado para la inserción de todos los usuarios y grupos en LDAP, ya que no hay otro modo de hacerlo.
d.
Lo necesitamos para poder añadir usuarios en la base de datos de Kerberos (single sign on - SSO).
Para evitar ataques de spanning tree, se debe... a.
Activar port security en los puertos de los endpoint. b.
Activar DHCP Snooping en los puertos de los endpoint. c.
Activar DAI en los puertos de los endpoint.
d.
Activar BPDU Guard en los puertos de los endpoint.
.
En un switch CISCO, cuando se activa BPDU Guard se suele añadir también portfast porque así...
a.
Se pueden añadir direcciones MAC estáticas para tenerlas en cuenta en el DHCP Snooping.
b.
No se calcula spanning tree en ese puerto y la activación es más rápida.
c.
Se protege el switch contra ataques de MAC Flooding
d.
Se pueden poner servidores DHCP en el puerto.
Un ticket granting ticket (TGT) en Kerberos...
Se usa para que el usuario pueda solicitar un "Ticket Granting Service" (TGS) al centro de distribución de claves (KDC) y así poder presentarlo en un servidor.
b.
Se usa para que un servidor tenga confianza en un centro de distribución de claves (KDC).
c.
Se usa para que el usuario pueda presentarlo para acceder los servicios de un servidor.
d.
Se usa como elemento de intercambio de claves (PKI).
Una tarjeta inteligente... a.
Puede usarse para acceder a un sitio Web con validación sin password (Webauthn). b.
Puede almacenar el certificado de cliente que se tiene que usar para autenticarse en un servidor Web.
c.
Se podría considerar un dispositivo biométrico.
d.
Puede almacenar la clave utilizada para la generación de una OTP.
Un sistema biométrico comportamental NO es... a.
La manera de teclear. b.
El análisis dinámico de la firma.
c.
La manera de leer un texto.
d.
Los capilares de la retina.
En un SWITCH... a.
Si recibimos un paquete sin etiquetar por el TRUNK, ese paquete lo recibirán todos los puertos del SWITCH. b.
Si recibimos un paquete sin etiquetar por el TRUNK, ese paquete lo recibirán todos los puertos ACCESS asociados a la VLAN nativa.
c.
Si recibimos un paquete sin etiquetar por el TRUNK, ese paquete se descartará inmediatamente.
d.
Si recibimos un paquete sin etiquetar por el TRUNK, ese puerto se desactivará.
Para mitigar DHCP Spoofing... a.
Se deben añadir en el switch las direcciones de los equipos configurados con IP dinámica. b.
Se debe establecer el puerto donde se encuentra el servidor DHCP como trusted.
c.
Se debe activar port security en el switch.
d.
Se debe activar ARP DAI (inspección dinámica de ARP).
Una VPN site_to site se utiliza... a.
Para conectar una máquina virtual a la red de su anfitrión. b.
Para conectar dos subredes remotas de la misma empresa.
c.
Para conectar mediante acceso remoto a un usuario desplazado (road warrior).
d.
Para conectar el móvil a la red empresarial.
Un HOTP... a.
Forma parte de WebAuthn. b.
Forma parte de los certificados digitales. Utiliza un contador y un secreto compartido para generar un hash que a su vez calcula un código numérico.
d.
Utiliza la hora actual y un secreto compartido para generar un hash que a su vez calcula un código numérico.
El programa Responder... a.
Captura el desafío-respuesta NetNTLM gracias a la captura de las peticiones DNS. b.
Reenvía el desafío-respuesta de NetNTLM para usar las credenciales del cliente en un servidor. c.
Responde a las peticiones mDNS y se hace pasar por un servidor SMB para capturar los hashes NTLM que envía el cliente por la red. d.
Responde a las peticiones mDNS y se hace pasar por un servidor SMB para capturar el protocolo desafío-respuesta NetNTLMv2.
Webauthn... a.
Se aplica siempre con biometría. b.
Necesita siempre que se escriba un PIN.
c.
Requiere un ticket Kerberos del KDC para acceder a la aplicación.
d.
Promueve la autenticación sin passwords (passwordless).
.
Si queremos que los routers CISCO puedan utilizar un TRUNK... a.
Los routers no pueden conectarse a un TRUNK de un switch. b.
Debe utilizarse obligatoriamente un puerto físico del router para dar servicio a cada VLAN. c.
Debe declararse el puerto de conexión del router como TRUNK con la misma VLAN nativa que el switch. d.
Deben crearse subinterfaces en el puerto del router que conecta al TRUNK del switch.
La seguridad de puertos evita... a.
Que un atacante llene las tablas MAC del switch
b.
El salto de VLAN
c.
El ARP Poisoning. d.
El DHCP Spoofing.
En cuanto a IPSEC... a.
El modo transporte protege toda la cabecera, el modo túnel no. b.
El modo túnel se suele usar entre sucursales.
c.
En cada asociación de seguridad (SA) se definen los parámetros de comunicación de ida y de retorno.
d.
El protocolo ESP solamente asegura la autenticación y la integridad, pero no la confidencialidad.
En cuanto a Wireguard... a.
Utiliza dos fases de establecimiento de conexión (fase 1 y fase 2). b.
Es difícil de bloquear por las autoridades.
c.
Utiliza un conjunto muy reducido de algoritmos de cifrado, integridad y autenticación para que las auditorías de seguridad sobre el código sean más sencillas.
d.
Consume muchos datos en comparación con otras tecnologías de VPN.
La validación de paquetes de Dynamic ARP inspection (DAI) de un switch sirve para: a.
Verificar que las tramas que llegan a un puerto configurado como PORTFAST nunca contengan información de spanning tree (BPDU's). b.
Verificar que las direcciones IP contenidas en un paquete ARP no sean direcciones inválidas.
c.
Verificar que no se esté intentando dar una dirección IP incorrecta en una respuesta DHCP.
d.
Verificar que la dirección IP está añadida como dirección válida por si un equipo usa IP estática.
En DHCP spoofing... a.
Se basa en la modificación fraudulenta de la tabla ARP. b.
Necesita PORT-SECURITY para mitigarlo.
c.
Necesita DAI (dynamic ARP inspection) en el SWITCH para mitigarlo.
d.
No se puede utilizar para capturar paquetes transferidos entre ordenadores de la misma subred.
Un DN válido en LDAP para el dominio paris.loc puede ser: a.
cn=rosa,uid=users,ou=paris,dc=loc b.
cn=rosa,ou=users,ou=paris,uid=loc c.
ou=users,dc=paris,dc=loc
d.
uid=rosa,ou=users,cn=paris,dc=loc.
Single Sign On (SSO)... a.
Se implementa mediante NAS.
b.
Se implementa mediante 802.1x
c.
Necesita que se conozca una contraseña cada vez que se accede a un ordenador distinto.
d.
Se implementa mediante Kerberos.
La diferencia entre una smartcard y una llave de seguridad... a.
Es que una smartcard se está utilizando actualmente para WebAuthn. b.
Es que una smartcard tiene muchas más funciones que una llave de seguridad. c.
Es que una llave de seguridad se usa solamente para almacenar certificados digitales.
d.
Es que una llave de seguridad puede funcionar como OTP.
En el switch 1 estamos conectamos a un puerto de la VLAN 44.
El switch 1 y el switch 2 están conectados mediante un TRUNK cuya VLAN nativa es la 44.
El servidor al que queremos atacar está conectado a un puerto de la VLAN 88 del switch 2.
Si queremos atacar el servidor mediante TCP... a.
Solo podremos hacer ataques DOS, ya que la negociación del protocolo TCP necesita un paquete de vuelta ACK que nunca llegaría al atacante. b.
Se necesita una trama doblemente etiquetada con las VLAN: 1 y 44 (en este orden).
c.
Se necesita una trama doblemente etiquetada con las VLAN: 1 y 88 (en este orden).
d.
Se necesita una trama doblemente etiquetada con las VLAN: 88 y 44 (en este orden).
DAI (inspección dinámica de ARP).. a.
No se necesita configurar nada en las listas de DHCP snooping en los equipos con IP fija,
b.
Los equipos con IP estática en un puerto no confiable deben añadir su IP y MAC en las listas de control de acceso.
c.
Los equipos con IP estática deben añadirse en la lista de trusted servers del servidor DHCP para que sean reconocidos como confiables (trusted).
d.
Los equipos con IP estática en un puerto confiable deben añadir su IP y MAC en las listas de control de acceso.
|
