Modules 8 – 10: ACLs and Firewalls Group Exam

Al crear una ACL, ¿qué palabra clave se debe usar para documentar e interpretar el propósito de la declaración de ACL en un dispositivo Cisco?. observación. descripción. establecido. equivalente.

¿Qué dos piezas de información se requieren al crear una lista de control de acceso estándar? (Escoge dos.). número de lista de acceso entre 1 y 99. dirección de origen y máscara comodín. dirección de destino y máscara comodín. máscara de subred y máscara comodín. número de lista de acceso entre 100 y 199.

¿Qué dos pasos proporcionan la forma más rápida de eliminar por completo una ACL de un enrutador? (Escoge dos.). La eliminación de las ACE es el único paso requerido. Modifique el número de la ACL para que no coincida con la ACL asociada con la interfaz. Copie la ACL en un editor de texto, agregue no antes de cada ACE, luego copie la ACL nuevamente en el enrutador. Elimine la referencia de entrada/salida a la ACL de la interfaz. Utilice el comando no access-list para eliminar toda la ACL. Utilice la palabra clave no y el número de secuencia de cada ACE dentro de la ACL nombrada que se eliminará.

¿A qué dos tipos de direcciones se debe denegar la entrada en una interfaz de enrutador que se conecta a Internet? (Escoge dos.). direcciones IP privadas. cualquier dirección IP que comience con el número 127. cualquier dirección IP que comience con el número 1. Direcciones IP traducidas por NAT. direcciones IP públicas.

En la creación de una ACL de IPv6, ¿cuál es el propósito de las entradas de comandos finales implícitas, permit icmp any any nd-na y allow icmp any any nd-ns?. para permitir el reenvío de paquetes ICMPv6. para permitir la configuración automática de direcciones. para permitir la resolución de direcciones IPv6 a MAC. para permitir el reenvío de paquetes de multidifusión IPv6.

¿Qué dos afirmaciones describen las características de las listas de control de acceso de IPv6? (Escoge dos.). Permiten anuncios de enrutadores ICMPv6 de forma predeterminada. Pueden ser nombrados o numerados. Incluyen dos declaraciones de permiso implícitas de forma predeterminada. Se aplican a una interfaz con el comando ip access-group. Usan longitudes de prefijo para indicar cuánto de una dirección debe coincidir.

Consulte la exposición. Un administrador de red creó una ACL de IPv6 para bloquear el tráfico Telnet de la red 2001:DB8:CAFE:10::/64 a la red 2001:DB8:CAFE:30::/64. ¿Qué comando podría usar el administrador para permitir que solo un único host 2001:DB8:CAFE:10::A/64 haga telnet a la red 2001:DB8:CAFE:30::/64?. permit tcp 2001:DB8:CAFE:10::A/64 2001:DB8:CAFE:30::/64 eq 23. permit tcp 2001:DB8:CAFE:10::A/64 eq 23 2001:DB8:CAFE:30::/64. permit tcp host 2001:DB8:CAFE:10::A eq 23 2001:DB8:CAFE:30::/64. permit tcp host 2001:DB8:CAFE:10::A 2001:DB8:CAFE:30::/64 eq 23 sequence 5.

Al implementar componentes en una red empresarial, ¿cuál es el propósito de un firewall?. Un firewall es un sistema que inspecciona el tráfico de la red y toma decisiones de reenvío basándose únicamente en las direcciones MAC Ethernet de Capa 2. Un firewall es un sistema que está diseñado para asegurar, monitorear y administrar dispositivos móviles, incluidos los dispositivos propiedad de la empresa y los dispositivos propiedad de los empleados. Un firewall es un sistema que almacena grandes cantidades de información confidencial y crítica para el negocio. Un firewall es un sistema que aplica una política de control de acceso entre las redes corporativas internas y las redes externas.

¿Cuáles son las dos posibles limitaciones de usar un firewall en una red? (Escoge dos.). Proporciona accesibilidad de aplicaciones y recursos confidenciales a usuarios externos que no son de confianza. Aumenta la complejidad de la gestión de la seguridad al requerir la descarga del control de acceso a la red en el dispositivo. Un firewall mal configurado puede crear un único punto de falla. El rendimiento de la red puede ralentizarse. No puede desinfectar los flujos de protocolo.

¿Qué tipo de firewall utiliza un servidor proxy para conectarse a servidores remotos en nombre de los clientes?. cortafuegos con estado. cortafuegos sin estado. cortafuegos de filtrado de paquetes. cortafuegos de puerta de enlace de aplicaciones.

¿Cómo maneja un firewall el tráfico cuando se origina en la red pública y viaja a la red privada?. El tráfico que se origina en la red pública no se inspecciona cuando viaja a la red privada. El tráfico que se origina en la red pública generalmente se bloquea cuando viaja a la red privada. El tráfico que se origina en la red pública generalmente se permite con poca o ninguna restricción cuando viaja a la red privada. El tráfico que se origina en la red pública se permite de forma selectiva cuando viaja a la red privada.

¿Qué dos afirmaciones describen los dos modelos de configuración para los firewalls Cisco IOS? (Escoge dos.). ZPF debe estar habilitado en la configuración del enrutador antes de habilitar un IOS Classic Firewall. El IOS Classic Firewall y ZPF no se pueden combinar en una sola interfaz. Los modelos IOS Classic Firewalls y ZPF se pueden habilitar en un enrutador al mismo tiempo. Los modelos IOS Classic Firewall y ZPF requieren ACL para definir políticas de filtrado de tráfico. Los firewalls clásicos de IOS deben estar habilitados en la configuración del enrutador antes de habilitar ZPF.

El diseño de una ZPF requiere varios pasos. ¿Qué paso implica dictar la cantidad de dispositivos entre las zonas más y menos seguras y determinar los dispositivos redundantes?. determinar las zonas. diseñar la infraestructura física. establecer políticas entre zonas. identificar subconjuntos dentro de las zonas y fusionar los requisitos de tráfico.

Cuando se configura un firewall de política basado en zonas de Cisco IOS, ¿qué tres acciones se pueden aplicar a una clase de tráfico? (Elige tres.). PASS. SHAPE. REROUTE. QUEUE. INSPECT. DROP.

Cuando se utiliza el firewall de política basado en zonas de Cisco IOS, ¿dónde se aplica la política de inspección?. a una política de servicio global. a una zona. a una interfaz. a un par de zonas.

¿Cuál es el primer paso para configurar un firewall de política basado en zonas de Cisco IOS a través de la CLI?. Definir clases de tráfico. Asigne las interfaces del enrutador a las zonas. Definir políticas de cortafuegos. Asigne mapas de políticas a pares de zonas. Crear zonas.

¿Cuál es uno de los beneficios de usar un firewall con estado en lugar de un servidor proxy?. capacidad para realizar la autenticación de usuario. mejor interpretación. capacidad para realizar el filtrado de paquetes. prevención de ataques de capa 7.

¿Qué enunciado describe una política de seguridad típica para una configuración de firewall de DMZ?. El tráfico que se origina en la interfaz DMZ se permite selectivamente a la interfaz exterior. El tráfico de retorno desde el interior que está asociado con el tráfico que se origina desde el exterior puede atravesar desde la interfaz interior a la interfaz exterior. El tráfico de retorno desde el exterior que está asociado con el tráfico que se origina desde el interior puede atravesar desde la interfaz exterior a la interfaz DMZ. El tráfico que se origina en la interfaz interna generalmente se bloquea por completo o se permite de manera muy selectiva a la interfaz externa. El tráfico que se origina en la interfaz externa puede atravesar el firewall a la interfaz interna con pocas o ninguna restricción.

¿Cuál es una limitación de un firewall con estado?. autenticación de usuario débil. no puede filtrar el tráfico innecesario. no es tan efectivo con el tráfico basado en UDP o ICMP. información de registro deficiente.

¿Qué enunciado describe el funcionamiento del Firewall de política basado en zonas de Cisco IOS?. La acción de pase funciona en una sola dirección. Las interfaces de administración del enrutador deben asignarse manualmente a la zona propia. Una interfaz de enrutador puede pertenecer a varias zonas. Las políticas de servicio se aplican en el modo de configuración de la interfaz.

¿Cuál es el resultado en la zona propia si un enrutador es el origen o el destino del tráfico?. No se permite el tráfico. Todo el tráfico está permitido. Solo se permite el tráfico que se origina en el enrutador. Solo se permite el tráfico destinado al enrutador.

¿Cuáles son dos características de las ACL? (Escoge dos.). Las ACL extendidas pueden filtrar en los puertos TCP y UDP de destino. Las ACL estándar pueden filtrar en puertos TCP y UDP de origen. Las ACL extendidas pueden filtrar las direcciones IP de origen y destino. Las ACL estándar pueden filtrar las direcciones IP de origen y destino. Las ACL estándar pueden filtrar en puertos TCP y UDP de origen y destino.

¿Qué tres afirmaciones describen el procesamiento ACL de paquetes? (Elige tres.). Una denegación implícita rechaza cualquier paquete que no coincida con ningún ACE. Un paquete puede rechazarse o reenviarse según las indicaciones del ACE que coincida. Un paquete que ha sido denegado por un ACE puede ser permitido por un ACE subsiguiente. Un paquete que no coincida con las condiciones de ningún ACE se reenviará de manera predeterminada. Cada declaración se verifica solo hasta que se detecta una coincidencia o hasta el final de la lista ACE. Cada paquete se compara con las condiciones de cada ACE en la ACL antes de tomar una decisión de reenvío.

Un administrador de red configura una ACL con el comando R1(config)# access-list 1 allow 172.16.0.0 0.0.15.255 . ¿Qué dos direcciones IP coincidirán con esta declaración de ACL? (Escoge dos.). 172.16.0.255. 172.16.15.36. 172.16.16.12. 172.16.31.24. 172.16.65.21.

¿Qué declaración de lista de acceso única coincide con todas las redes siguientes? 192.168.16.0 192.168.17.0 192.168.18.0 192.168.19.0. access-list 10 permit 192.168.16.0 0.0.3.255. access-list 10 permit 192.168.16.0 0.0.0.255. access-list 10 permit 192.168.16.0 0.0.15.255. access-list 10 permit 192.168.0.0 0.0.15.255.

¿Qué dos características comparten las ACL estándar y las extendidas? (Escoge dos.). Ambos tipos de ACL pueden filtrar según el tipo de protocolo. Ambos pueden permitir o denegar servicios específicos por número de puerto. Ambos incluyen una denegación implícita como declaración final. Ambos filtran paquetes para una dirección IP de host de destino específica. Ambos se pueden crear utilizando un nombre descriptivo o un número.

Consulte la exposición. ¿Cuál es el resultado de agregar el argumento establecido al final del ACE?. Cualquier tráfico puede llegar a la red 192.168.254.0 255.255.254.0. Se permite que cualquier tráfico IP llegue a la red 192.168.254.0 255.255.254.0 siempre que responda a una solicitud originada. Se permite que el tráfico 192.168.254.0 /23 llegue a cualquier red. Cualquier tráfico TCP puede llegar a la red 192.168.254.0 255.255.254.0 si responde a una solicitud originada.

¿Qué dos palabras clave se pueden usar en una lista de control de acceso para reemplazar una máscara comodín o un par de dirección y máscara comodín? (Escoge dos.). most. host. all. any. some. gt.

Si las ACE proporcionadas están en la misma ACL, ¿qué ACE debe aparecer primero en la ACL según las mejores prácticas?. permit ip any any. permit udp 172.16.0.0 0.0.255.255 host 172.16.1.5 eq snmptrap. permit tcp 172.16.0.0 0.0.3.255 any established. permit udp any any range 10000 20000. deny udp any host 172.16.1.5 eq snmptrap. deny tcp any any eq telnet.

Para facilitar el proceso de solución de problemas, ¿qué mensaje ICMP entrante debe permitirse en una interfaz externa?. echo request. echo reply. time-stamp request. time-stamp reply. router advertisement.

Un especialista en seguridad diseña una ACL para denegar el acceso a un servidor web a todo el personal de ventas. Al personal de ventas se le asigna direccionamiento desde la subred IPv6 2001:db8:48:2c::/64. El servidor web tiene asignada la dirección 2001:db8:48:1c::50/64. ¿Qué tres comandos requerirá la configuración de WebFilter ACL en la interfaz LAN para el personal de ventas? (Elige tres.). permit tcp any host 2001:db8:48:1c::50 eq 80. deny tcp host 2001:db8:48:1c::50 any eq 80. deny tcp any host 2001:db8:48:1c::50 eq 80. permit ipv6 any any. deny ipv6 any any. ip access-group WebFilter in. ipv6 traffic-filter WebFilter in.

¿Cuáles son dos características de un firewall con estado? (Escoge dos.). utiliza técnicas de filtrado de paquetes estáticos. utiliza información de conexión mantenida en una tabla de estado. analiza el tráfico en las capas 3, 4 y 5 del modelo OSI. utiliza ACL complejas que pueden ser difíciles de configurar. previene ataques de Capa 7.

¿Cuáles son las dos diferencias entre los cortafuegos con estado y sin estado? (Escoge dos.). Un cortafuegos sin estado puede filtrar sesiones que utilizan negociaciones de puerto dinámicas mientras que un cortafuegos con estado no puede. Un cortafuegos sin estado examinará cada paquete individualmente, mientras que un cortafuegos con estado observa el estado de una conexión. Un firewall sin estado proporcionará más información de registro que un firewall con estado. Un firewall con estado evitará la suplantación de identidad al determinar si los paquetes pertenecen a una conexión existente, mientras que un firewall sin estado sigue conjuntos de reglas preconfiguradas. Un cortafuegos sin estado proporciona un control más estricto sobre la seguridad que un cortafuegos con estado.

Al implementar un ZPF, ¿cuál es la configuración de seguridad predeterminada al reenviar tráfico entre dos interfaces en la misma zona?. El tráfico entre interfaces en la misma zona se reenvía de forma selectiva según la información de la capa 3. El tráfico entre interfaces de una misma zona no está sujeto a ninguna política y transcurre libremente. El tráfico entre interfaces en la misma zona está bloqueado. El tráfico entre interfaces en la misma zona se reenvía de forma selectiva en función de las restricciones de política predeterminadas.

¿Qué dos reglas sobre las interfaces son válidas al implementar un Firewall de política basado en zonas? (Escoge dos.). Si ninguna de las interfaces es miembro de la zona, entonces la acción es pasar el tráfico. Si una interfaz es miembro de la zona, pero la otra no lo es, se pasará todo el tráfico. Si ambas interfaces pertenecen al mismo par de zonas y existe una política, se pasará todo el tráfico. Si ambas interfaces son miembros de la misma zona, se pasará todo el tráfico. Si una interfaz es miembro de una zona y existe un par de zonas, todo el tráfico pasará.