Um administrador de rede de uma faculdade está configurando o processo de autenticação de usuário WLAN. Os usuários sem fio devem inserir as credenciais de nome de usuário e senha que serão verificadas por um servidor. Qual servidor forneceria esse serviço?
Correct! Wrong!
Explicação: O RADIUS (Remote Authentication Dial-In User Service) é um protocolo e software de servidor que fornece autenticação baseada no usuário para uma organização. Quando uma WLAN é configurada para usar um servidor RADIUS, os usuários inserem as credenciais de nome de usuário e senha que são verificadas pelo servidor RADIUS antes de permitir a WLAN.
Qual componente, implementação ou protocolo de controle de acesso é implementado localmente ou como uma solução baseada em servidor?
Autenticação
802.1X
Autorização
Contabilidade
O que representa uma prática recomendada em relação a protocolos de descoberta, como CDP e LLDP em dispositivos de rede?
Desative ambos os protocolos em todas as interfaces onde eles não são necessários.
Habilite o CDP nos dispositivos de borda e habilite o LLDP nos dispositivos internos.
Use as configurações padrão do roteador para CDP e LLDP.
Use o padrão aberto LLDP em vez de CDP.
Correct! Wrong!
Explicação: Ambos os protocolos de descoberta podem fornecer aos hackers informações de rede confidenciais. Eles não devem ser ativados em dispositivos de borda e devem ser desativados globalmente ou por interface, se não forem necessários. O CDP é habilitado por padrão.
Que tipo de rede sem fio usa transmissores de baixa potência para uma rede de curto alcance, geralmente de 6 a 9 metros (20 a 30 pés)?
Rede de longa distância sem fio
Rede sem fio de área metropolitana
Rede local sem fio
Rede de área pessoal sem fio
Enquanto participam de uma conferência, os participantes usam laptops para conectividade de rede. Quando um palestrante convidado tenta se conectar à rede, o laptop não exibe nenhuma rede sem fio disponível. O ponto de acesso deve estar operando em qual modo?
abrir
ativo
passiva
misturado
Correct! Wrong!
Explicação: Ativo é um modo usado para configurar um ponto de acesso de forma que os clientes devem saber o SSID para se conectar ao ponto de acesso. APs e roteadores sem fio podem operar em um modo misto, o que significa que vários padrões sem fio são suportados. Aberto é um modo de autenticação para um ponto de acesso que não tem impacto na lista de redes sem fio disponíveis para um cliente. Quando um ponto de acesso é configurado no modo passivo, o SSID é transmitido para que o nome da rede sem fio apareça na lista de redes disponíveis para os clientes.
Qual tipo de rede sem fio é adequada para fornecer acesso sem fio a uma cidade ou distrito?
Rede de área pessoal sem fio
Rede sem fio de área metropolitana
Rede de longa distância sem fio
Rede local sem fio
Qual etapa é necessária antes de criar uma nova WLAN em um Cisco 3500 Series WLC?
Crie uma nova interface VLAN.
Crie ou tenha um servidor SNMP disponível.
Crie um novo SSID.
Crie ou tenha um servidor RADIUS disponível.
Correct! Wrong!
Explicação: Cada nova WLAN configurada em uma WLC Cisco 3500 Series precisa de sua própria interface VLAN. Portanto, é necessário que uma nova interface VLAN seja criada primeiro, antes que uma nova WLAN possa ser criada.
Qual tipo de rede sem fio é adequada para comunicações nacionais e globais?
Rede de longa distância sem fio
Rede sem fio de área metropolitana
Rede de área pessoal sem fio
Rede local sem fio
Em um painel Cisco 3504 WLC, qual opção fornece acesso ao menu completo de recursos?
Pontos de acesso
Avançado
Resumo da rede
Rogues
Correct! Wrong!
Explicação: O painel Cisco 3504 WLC é exibido quando um usuário efetua login no WLC. Ele fornece algumas configurações e menus básicos que os usuários podem acessar rapidamente para implementar uma variedade de configurações comuns. Ao clicar no botão Avançado, o usuário acessará a página Resumo avançado e acessará todos os recursos do WLC.
Qual componente de controle de acesso, implementação ou protocolo controla o que os usuários podem fazer na rede?
802.1X
Autenticação
Autorização
Contabilidade
Qual componente de controle de acesso, implementação ou protocolo coleta e relata dados de uso?
Autorização
Contabilidade
Autenticação
802.1X
Um administrador de rede insere os seguintes comandos no switch SW1. SW1(config)# interface range fa0/5 - 10 SW1(config-if)# ip dhcp snooping limit rate 6 Qual é o efeito depois que esses comandos são inseridos?
As portas FastEthernet 5 a 10 podem receber até 6 mensagens DHCP por segundo de qualquer tipo.
Se qualquer uma das portas FastEthernet 5 a 10 receber mais de 6 mensagens DHCP por segundo, a porta continuará a operar e uma mensagem de erro será enviada ao administrador da rede.
Se qualquer uma das portas FastEthernet 5 a 10 receber mais de 6 mensagens DHCP por segundo, a porta será encerrada.
As portas FastEthernet 5 a 10 podem receber até 6 mensagens de descoberta DHCP por segundo.
Correct! Wrong!
Explicação: Quando a detecção de DHCP está sendo configurada, o número de mensagens de descoberta de DHCP que portas não confiáveis podem receber por segundo deve ter sua taxa limitada usando o comando de configuração de interface de limite de taxa de snooping ip dhcp. Quando uma porta recebe mais mensagens do que a taxa permite, as mensagens extras são descartadas.
Quais são os dois protocolos usados pelo AAA para autenticar usuários em um banco de dados central de nomes de usuários e senhas? (Escolha dois.)
Please select 2 correct answers
HTTPS
RADIUS
CHAP
SSH
NTP
TACACS+
Correct! Wrong!
Explicação: Usando TACACS + ou RADIUS, o AAA pode autenticar usuários de um banco de dados de nomes de usuário e senhas armazenados centralmente em um servidor, como um servidor Cisco ACS.
Qual benefício de segurança é obtido ao habilitar a proteção BPDU em interfaces habilitadas para PortFast?
Obrigando a colocação de pontes de raiz
Evitando que switches invasores sejam adicionados à rede
Protegendo contra loops da camada 2
Prevenção de ataques de estouro de buffer
Correct! Wrong!
Explicação: O protetor BPDU desativa imediatamente por erro uma porta que recebe um BPDU. Isso evita que switches invasores sejam adicionados à rede. A proteção BPDU só deve ser aplicada a todas as portas do usuário final.
Um técnico está solucionando problemas em uma WLAN lenta e decide usar a abordagem de divisão do tráfego. Quais são os dois parâmetros que deveriam ser configurados para fazer isso? (Escolha dois.)
Please select 2 correct answers
Configure o modo de segurança para WPA Personal TKIP / AES para ambas as redes.
Configure o modo de segurança para WPA Personal TKIP / AES para uma rede e WPA2 Personal AES para a outra rede
Configure a banda de 2,4 GHz para o tráfego básico da Internet que não é sensível ao tempo.
Configure um SSID comum para ambas as redes divididas.
Configure a banda de 5 GHz para streaming de multimídia e tráfego sensível ao tempo.
Qual serviço pode ser usado em um roteador sem fio para priorizar o tráfego de rede entre diferentes tipos de aplicativos para que os dados de voz e vídeo sejam priorizados em relação a e-mail e dados da web?
Correct! Wrong!
Explicação: Muitos roteadores sem fio têm uma opção para configurar a qualidade de serviço (QoS). Ao configurar o QoS, certos tipos de tráfego sensíveis ao tempo, como voz e vídeo, são priorizados sobre o tráfego que não é tão sensível ao tempo, como e-mail e navegação na web.
Um administrador de rede está configurando uma conexão do servidor RADIUS em um Cisco 3500 Series WLC. A configuração requer uma senha secreta compartilhada. Qual é a finalidade da senha secreta compartilhada?
Ele permite que os usuários autentiquem e acessem a WLAN.
É usado para criptografar as mensagens entre o WLC e o servidor RADIUS.
É usado pelo servidor RADIUS para autenticar usuários WLAN.
É usado para autenticar e criptografar dados do usuário na WLAN.
Correct! Wrong!
Explicação: O protocolo RADIUS usa recursos de segurança para proteger as comunicações entre o servidor RADIUS e os clientes. Um segredo compartilhado é a senha usada entre o WLC e o servidor RADIUS. Não é para usuários finais.
Quais são os dois métodos usados por uma NIC sem fio para descobrir um AP? (Escolha dois.)
Please select 2 correct answers
Iniciando um aperto de mão de três vias
Entregando um quadro de transmissão
Enviando uma solicitação ARP
Receber um quadro de radiofarol de transmissão
Transmitir um pedido de sondagem
Correct! Wrong!
Explicação: Dois métodos podem ser usados por um dispositivo sem fio para descobrir e se registrar em um ponto de acesso: modo passivo e modo ativo. No modo passivo, o AP envia um quadro de broadcast beacon que contém o SSID e outras configurações sem fio. No modo ativo, o dispositivo sem fio deve ser configurado manualmente para o SSID e, em seguida, o dispositivo transmite uma solicitação de investigação.
Qual dispositivo é considerado suplicante durante o processo de autenticação 802.1X?
Cliente que está solicitando autenticação
Roteador que está servindo como o gateway padrão
Servidor de autenticação que está executando a autenticação do cliente
Switch que está controlando o acesso à rede
Correct! Wrong!
Explicação: Os dispositivos envolvidos no processo de autenticação 802.1X são os seguintes: • Suplicante, que é o cliente que está solicitando acesso à rede • Autenticador, que é o interruptor ao qual o cliente está se conectando e que, na verdade, controla o acesso à rede física • Servidor de autenticação, que realiza a autenticação real
O que é um modo de segurança sem fio que requer um servidor RADIUS para autenticar usuários sem fio?
Empreendimento
WEP
Pessoal
Chave compartilhada
Correct! Wrong!
Explicação: WPA e WPA2 vêm em dois tipos: pessoal e empresarial. Pessoal é usado em redes domésticas e de pequenos escritórios. A chave compartilhada permite três técnicas de autenticação diferentes: (1) WEP, (2) WPA e (3) 802.11i / WPA2. WEP é um método de criptografia.
Um técnico está solucionando problemas em uma WLAN lenta que consiste em dispositivos 802.11be 802.11g. Um novo roteador de banda dupla 802.11n / ac foi implantado na rede para substituir o antigo roteador 802.11g. O que o técnico pode fazer para lidar com a baixa velocidade do wireless?
Configure os dispositivos para usar um canal diferente.
Altere o SSID.
Divida o tráfego sem fio entre a banda 802.11n 2,4 GHz e a banda 5 GHz.
Atualize o firmware no novo roteador.
Correct! Wrong!
Explicação: A divisão do tráfego sem fio entre a banda 802.11n 2,4 GHz e a banda 5 GHz permitirá que o 802.11n use as duas bandas como duas redes sem fio separadas para ajudar a gerenciar o tráfego, melhorando assim o desempenho sem fio.
Qual é a vantagem do disfarce de SSID?
Os clientes terão que identificar manualmente o SSID para se conectar à rede.
Ele fornece acesso gratuito à Internet em locais públicos onde saber o SSID não é uma preocupação.
É a melhor maneira de proteger uma rede sem fio.
Os SSIDs são muito difíceis de descobrir porque os APs não os transmitem.
Correct! Wrong!
Explicação: O encobrimento de SSID é um recurso de segurança fraco executado por APs e alguns roteadores sem fio, permitindo que o quadro de beacon SSID seja desabilitado. Embora os clientes tenham que identificar manualmente o SSID para se conectar à rede, o SSID pode ser facilmente descoberto. A melhor maneira de proteger uma rede sem fio é usar sistemas de autenticação e criptografia. O encobrimento SSID não fornece acesso gratuito à Internet em locais públicos, mas uma autenticação de sistema aberto pode ser usada nessa situação.
O manual da empresa afirma que os funcionários não podem ter fornos de microondas em seus escritórios. Em vez disso, todos os funcionários devem usar os fornos de microondas localizados no refeitório dos funcionários. Que risco de segurança sem fio a empresa está tentando evitar?
Pontos de acesso desonestos
Dispositivos configurados incorretamente
Interferência acidental
Interceptação de dados
Correct! Wrong!
Explicação: Ataques de negação de serviço podem ser o resultado de dispositivos configurados incorretamente que podem desativar a WLAN. A interferência acidental de dispositivos como fornos de microondas e telefones sem fio pode afetar a segurança e o desempenho de uma WLAN. Ataques man-in-the-middle podem permitir que um invasor intercepte dados. Os pontos de acesso invasores podem permitir que usuários não autorizados acessem a rede sem fio.
Qual componente do AAA é usado para determinar quais recursos um usuário pode acessar e quais operações o usuário tem permissão para realizar?
auditoria
autorização
autenticação
contabilidade
Correct! Wrong!
Explicação: Um dos componentes do AAA é a autorização. Depois que um usuário é autenticado por meio de AAA, os serviços de autorização determinam quais recursos o usuário pode acessar e quais operações o usuário tem permissão para realizar.
Qual topologia de rede sem fio seria usada por engenheiros de rede para fornecer uma rede sem fio para um prédio inteiro da faculdade?
Modo misto
Ad hoc
Ponto de acesso
A infraestrutura
Que tipo de ataque de salto de VLAN pode ser evitado designando uma VLAN não utilizada como a VLAN nativa?
VLAN dupla tagging
DTP spoofing
Spoofing de DHCP
Privação de DHCP
Correct! Wrong!
Explicação: A falsificação de mensagens DTP força um switch a entrar no modo de entroncamento como parte de um ataque de salto de VLAN, mas a marcação dupla de VLAN funciona mesmo se as portas de tronco estiverem desabilitadas. Alterar a VLAN nativa do padrão para uma VLAN não utilizada reduz a possibilidade desse tipo de ataque. Falsificação de DHCP e privação de DHCP exploram vulnerabilidades na troca de mensagens DHCP.
Consulte a exposição. A porta Fa0 / 2 já foi configurada apropriadamente. O telefone IP e o PC funcionam corretamente. Qual configuração de switch seria mais apropriada para a porta Fa0 / 2 se o administrador de rede tivesse os seguintes objetivos? Ninguém tem permissão para desconectar o telefone IP ou o PC e conectar algum outro dispositivo com fio. Se um dispositivo diferente estiver conectado, a porta Fa0 / 2 é desligada. O switch deve detectar automaticamente o endereço MAC do telefone IP e do PC e adicionar esses endereços à configuração em execução.
SWA(config-if)# switchport port-security SWA(config-if)# switchport port-security mac-address sticky
SWA(config-if)# switchport port-security SWA(config-if)# switchport port-security maximum 2 SWA(config-if)# switchport port-security mac-address sticky SWA(config-if)# switchport port-security violation restrict
SWA(config-if)# switchport port-security SWA(config-if)# switchport port-security maximum 2 SWA(config-if)# switchport port-security mac-address sticky
SWA(config-if)# switchport port-security SWA(config-if)# switchport port-security maximum 2 SWA(config-if)# switchport port-security mac-address sticky SWA(config-if)# switchport port-security violation restrict
Correct! Wrong!
Explicação: O modo padrão para uma violação de segurança de porta é encerrar a porta para que o comando switchport port-security violation não seja necessário. O comando switchport port-security deve ser inserido sem opções adicionais para habilitar a segurança da porta para a porta. Em seguida, opções adicionais de segurança de porta podem ser adicionadas.
Qual é a função fornecida pelo protocolo CAPWAP em uma rede sem fio corporativa?
CAPWAP fornece conectividade entre um ponto de acesso usando endereçamento IPv6 e um cliente sem fio usando endereçamento IPv4.
CAPWAP cria um túnel nas portas do protocolo de controle de transmissão (TCP) para permitir que um WLC configure um ponto de acesso autônomo.
CAPWAP fornece o encapsulamento e encaminhamento de tráfego de usuário sem fio entre um ponto de acesso e um controlador de LAN sem fio.
CAPWAP fornece a criptografia do tráfego de usuário sem fio entre um ponto de acesso e um cliente sem fio.
Correct! Wrong!
Explicação: CAPWAP é um protocolo padrão IEEE que permite que uma WLC gerencie vários APs e WLANs. CAPWAP também é responsável pelo encapsulamento e encaminhamento do tráfego do cliente WLAN entre um AP e um WLC.
Um administrador de rede implanta um roteador sem fio em um pequeno escritório de advocacia. Os laptops dos funcionários ingressam na WLAN e recebem endereços IP na rede 10.0.10.0/24. Qual serviço é usado no roteador sem fio para permitir que os laptops dos funcionários acessem a Internet?
Correct! Wrong!
Explicação: Qualquer endereço com 10 no primeiro octeto é um endereço IPv4 privado e não pode ser roteado na Internet. O roteador sem fio usará um serviço chamado Network Address Translation (NAT) para converter endereços IPv4 privados em endereços IPv4 roteáveis pela Internet para que dispositivos sem fio tenham acesso à Internet.
Abra a atividade PT. Execute as tarefas nas instruções da atividade e, em seguida, responda à pergunta. Qual evento ocorrerá se houver uma violação de segurança da porta na interface Fa0 / 1 do switch S1?
Os pacotes com endereços de origem desconhecidos serão descartados.
Uma mensagem syslog é registrada.
A interface entrará no estado de desativação por erro.
Uma notificação é enviada.
Correct! Wrong!
Explicação: O modo de violação pode ser visualizado emitindo o comando show port-security interface . A interface FastEthernet 0/1 é configurada com o modo de proteção contra violação. Se houver uma violação, a interface FastEthernet 0/1 descartará pacotes com endereços MAC desconhecidos.
Um técnico está prestes a instalar e configurar uma rede sem fio em uma pequena filial. Qual é a primeira medida de segurança que o técnico deve aplicar imediatamente após ligar o roteador sem fio?
Configure a criptografia no roteador sem fio e nos dispositivos sem fio conectados.
Desative a transmissão SSID da rede sem fio.
Altere o nome de usuário e a senha padrão do roteador sem fio.
Habilite a filtragem de endereço MAC no roteador sem fio.
Correct! Wrong!
Explicação: A primeira ação que um técnico deve realizar para proteger uma nova rede sem fio é alterar o nome de usuário e a senha padrão do roteador sem fio. A próxima ação normalmente seria configurar a criptografia. Então, uma vez que o grupo inicial de hosts sem fio tenha se conectado à rede, a filtragem de endereço MAC seria habilitada e a transmissão de SSID desabilitada. Isso impedirá que novos hosts não autorizados encontrem e se conectem à rede sem fio.
Qual componente, implementação ou protocolo de controle de acesso restringe o acesso à LAN por meio de portas de switch acessíveis ao público?
autenticação
802.1X
autorização
contabilidade
Qual protocolo deve ser usado para mitigar a vulnerabilidade de usar Telnet para gerenciar dispositivos de rede remotamente?
Correct! Wrong!
Explicação: Telnet usa texto simples para se comunicar em uma rede. O nome de usuário e a senha podem ser capturados se a transmissão de dados for interceptada. O SSH criptografa as comunicações de dados entre dois dispositivos de rede. TFTP e SCP são usados para transferência de arquivos pela rede. SNMP é usado em soluções de gerenciamento de rede.
Um administrador de rede está configurando a DAI em um switch com o comando ip arp inspectate validate src-mac. Qual é o propósito deste comando de configuração?
Ele verifica o endereço MAC de origem no cabeçalho Ethernet em relação ao endereço MAC de destino no corpo ARP.
Ele verifica o endereço MAC de origem no cabeçalho Ethernet em relação à tabela de endereços MAC.
Ele verifica o endereço MAC de origem no cabeçalho Ethernet em relação ao endereço MAC do remetente no corpo ARP.
Ele verifica o endereço MAC de origem no cabeçalho Ethernet em relação às ACLs ARP configuradas pelo usuário.
Correct! Wrong!
Explicação: A DAI pode ser configurada para verificar os endereços MAC e IP de destino ou de origem: • MAC de destino - Verifica o endereço MAC de destino no cabeçalho Ethernet em relação ao endereço MAC de destino no corpo ARP. • Source MAC - Verifica o endereço MAC de origem no cabeçalho Ethernet em relação ao endereço MAC do remetente no corpo ARP. • Endereço IP - Verifica o corpo ARP em busca de endereços IP inválidos e inesperados, incluindo os endereços 0.0.0.0, 255.255.255.255 e todos os endereços IP multicast.
Consulte a exposição. PC1 e PC2 devem ser capazes de obter atribuições de endereço IP do servidor DHCP. Quantas portas entre os switches devem ser atribuídas como portas confiáveis como parte da configuração de rastreamento DHCP?
Correct! Wrong!
Explicação: A configuração de rastreamento de DHCP inclui a construção do Banco de Dados de Ligação de Snooping de DHCP e a atribuição de portas confiáveis necessárias nos comutadores. Uma porta confiável aponta para os servidores DHCP legítimos. Neste projeto de rede, como o servidor DHCP está conectado ao AS3, sete portas de switch devem ser atribuídas como portas confiáveis, uma no AS3 para o servidor DHCP, uma no DS1 para o AS3, uma no DS2 para o AS3 e duas conexões no AS1 e AS2 (para DS1 e DS2), para um total de sete.
Uma empresa implementou recentemente uma rede sem fio 802.11n. Alguns usuários estão reclamando que a rede sem fio é muito lenta. Qual solução é o melhor método para melhorar o desempenho da rede sem fio?
Desative o DHCP no ponto de acesso e atribua endereços estáticos aos clientes sem fio.
Atualize o firmware no ponto de acesso sem fio.
Substitua as NICs sem fio nos computadores que apresentam conexões lentas.
Divida o tráfego entre as bandas de frequência de 2,4 GHz e 5 GHz.
Correct! Wrong!
Explicação: Como alguns usuários estão reclamando de a rede ser muito lenta, a opção correta seria dividir o tráfego de forma que haja duas redes usando frequências diferentes ao mesmo tempo. Substituir os NICs sem fio não corrige necessariamente a lentidão da rede e pode ser caro para a empresa. DHCP versus endereçamento estático não deve ter nenhum impacto sobre a lentidão da rede e seria uma tarefa enorme ter endereçamento estático atribuído a todos os usuários para sua conexão sem fio. Atualizar o firmware no ponto de acesso sem fio é sempre uma boa ideia. No entanto, se alguns dos usuários estiverem tendo uma conexão de rede lenta, é provável que isso não melhore substancialmente o desempenho da rede.
Que tipo de rede sem fio costuma fazer uso de dispositivos montados em edifícios?
Rede de longa distância sem fio
Rede de área pessoal sem fio
Rede local sem fio
Rede sem fio de área metropolitana
Em uma página Cisco 3504 WLC Summary (Advanced> Summary), qual guia permite que um administrador de rede acesse e configure uma WLAN para uma opção de segurança específica, como WPA2?
WIRELESS
WLANs
MANAGEMENT
SECURITY
Que tipo de rede sem fio normalmente usa dispositivos Bluetooth ou ZigBee?
Rede sem fio de área metropolitana
Rede de área pessoal sem fio
Rede local sem fio
Rede de longa distância sem fio
Quais são os dois comandos que podem ser usados para habilitar a proteção BPDU em um switch? (Escolha dois.)
Please select 2 correct answers
S1 (config) # spanning-tree portfast bpduguard default
S1 (config) # spanning-tree bpduguard padrão
S1 (config-if) # spanning-tree bpduguard enable
S1 (config-if) # enable spanning-tree bpduguard
S1 (config-if) # spanning-tree portfast bpduguard
Correct! Wrong!
Explicação: A proteção BPDU pode ser ativada em todas as portas ativadas por PortFast usando o comando de configuração global spanning tree portfast bpduguard default. Alternativamente, a proteção BPDU pode ser habilitada em uma porta habilitada para PortFast através do uso do comando de configuração de interface spanning-tree bpduguard enable.
Que tipo de rede sem fio é adequada para uso em casa ou no escritório?
Rede sem fio de área metropolitana
Rede de área pessoal sem fio
Rede local sem fio
Rede de longa distância sem fio
Que tipo de rede sem fio é baseada no padrão 802.11 e uma frequência de rádio de 2,4 GHz ou 5 GHz?
Rede de longa distância sem fio
Rede local sem fio
Rede sem fio de área metropolitana
Rede de área pessoal sem fio
Qual recurso ou configuração em um switch o torna vulnerável a ataques de marcação dupla de VLAN?
A VLAN nativa da porta de entroncamento sendo a mesma que uma VLAN do usuário
Recurso de porta de entroncamento automático habilitado para todas as portas por padrão
Tamanho limitado do espaço de memória endereçável por conteúdo
Modo duplex misto habilitado para todas as portas por padrão
Correct! Wrong!
Explicação: Um ataque de salto de VLAN com marcação dupla (ou encapsulado duplo) aproveita a maneira como o hardware da maioria dos switches opera. A maioria dos switches executa apenas um nível de desencapsulamento 802.1Q, o que permite que um invasor incorpore uma marca 802.1Q oculta dentro do quadro. Essa tag permite que o quadro seja encaminhado para uma VLAN que a tag 802.1Q original não especificou. Uma característica importante do ataque de salto de VLAN encapsulado duplo é que ele funciona mesmo se as portas de tronco estiverem desabilitadas, porque um host normalmente envia um quadro em um segmento que não é um link de tronco. Esse tipo de ataque é unidirecional e funciona apenas quando o invasor está conectado a uma porta que reside na mesma VLAN da VLAN nativa da porta do tronco.
Quais são os três produtos Cisco que se concentram em soluções de segurança de endpoint? (Escolha três.)
Please select 3 correct answers
Dispositivo VPN SSL / IPsec
Web Security Appliance
Adaptive Security Appliance
Email Security Appliance
NAC Appliance
IPS Sensor Appliance
Um laptop não pode se conectar a um ponto de acesso sem fio. Quais são as duas etapas de solução de problemas que devem ser executadas primeiro? (Escolha dois.)
Please select 2 correct answers
Certifique-se de que o SSID sem fio seja escolhido.
Certifique-se de que a NIC esteja configurada para a frequência adequada.
Certifique-se de que a mídia de rede correta esteja selecionada.
Certifique-se de que a antena do laptop esteja conectada.
Certifique-se de que a NIC sem fio esteja habilitada.
Um administrador de rede está trabalhando para melhorar o desempenho da WLAN em um roteador sem fio de banda dupla. Qual é uma maneira simples de obter um resultado de divisão do tráfego?
Verifique e mantenha o firmware do roteador sem fio atualizado.
Adicione um extensor de alcance Wi-Fi à WLAN e defina o AP e o extensor de alcance para atender a diferentes bandas.
Certifique-se de que diferentes SSIDs sejam usados para as bandas de 2,4 GHz e 5 GHz.
Exigir que todos os dispositivos sem fio usem o padrão 802.11n.
Correct! Wrong!
Explicação: Por padrão, os roteadores e APs de banda dupla usam o mesmo nome de rede na banda de 2,4 GHz e na banda de 5 GHz. A maneira mais simples de segmentar o tráfego é renomear uma das redes sem fio.
Qual protocolo pode ser usado para monitorar a rede?
Correct! Wrong!
Explicação: O protocolo SNMP (Simple Network Management Protocol) é usado para monitorar a rede.
Como parte da nova política de segurança, todos os switches da rede são configurados para aprender automaticamente os endereços MAC de cada porta. Todas as configurações em execução são salvas no início e no fechamento de cada dia útil. Uma forte tempestade causa uma queda prolongada de energia várias horas após o fechamento das empresas. Quando os switches são colocados online novamente, os endereços MAC aprendidos dinamicamente são retidos. Qual configuração de segurança de porta permitiu isso?
Endereços MAC seguros pegajosos
Endereços MAC seguros automaticamente
Endereços MAC estáticos seguros
Endereços MAC seguros dinâmicos
Correct! Wrong!
Explicação: Com o endereçamento MAC seguro permanente, os endereços MAC podem ser aprendidos dinamicamente ou configurados manualmente e, em seguida, armazenados na tabela de endereços e adicionados ao arquivo de configuração em execução. Em contraste, o endereçamento MAC seguro dinâmico fornece endereçamento MAC aprendido dinamicamente que é armazenado apenas na tabela de endereços.
Um especialista em segurança de TI permite a segurança de porta em uma porta de switch de um switch Cisco. Qual é o modo de violação padrão em uso até que a porta do switch seja configurada para usar um modo de violação diferente?
shutdown
restrict
disabled
protect
Correct! Wrong!
Explicação: Se nenhum modo de violação for especificado quando a segurança da porta for ativada em uma porta do switch, o modo de violação de segurança será encerrado por padrão.
Um técnico está configurando o canal em um roteador sem fio para 1, 6 ou 11. Qual é o propósito de ajustar o canal?
Para evitar a interferência de dispositivos sem fio próximos
Para habilitar diferentes padrões 802.11
Para desativar a transmissão do SSID
Para fornecer modos de segurança mais fortes
Correct! Wrong!
Explicação: Os canais 1, 6 e 11 são selecionados porque estão 5 canais separados. minimizando assim a interferência com canais adjacentes. Uma frequência de canal pode interferir nos canais em qualquer lado da frequência principal. Todos os dispositivos sem fio precisam ser usados em canais não adjacentes.
Qual plano de mitigação é melhor para impedir um ataque DoS que está criando um estouro da tabela de endereços MAC?
Desative o DTP.
Coloque as portas não utilizadas em uma VLAN não utilizada.
Desative o STP.
Ative a segurança da porta.
Consulte a exposição. A segurança da porta foi configurada na interface Fa 0/12 do switch S1. Que ação ocorrerá quando o PC1 for conectado ao switch S1 com a configuração aplicada?
Os frames do PC1 serão eliminados e não haverá registro da violação.
Os quadros do PC1 serão encaminhados ao seu destino e uma entrada de registro será criada.
Os quadros do PC1 serão encaminhados, pois o comando switchport port-security violação está ausente.
Os quadros do PC1 farão com que a interface seja desligada imediatamente e uma entrada de registro será feita.
Os quadros do PC1 serão descartados e uma mensagem de registro será criada.
Os quadros do PC1 serão encaminhados ao seu destino, mas não será criada uma entrada de registro.
Correct! Wrong!
Explicação: A configuração manual do único endereço MAC permitido foi inserida para a porta fa0 / 12. O PC1 tem um endereço MAC diferente e, quando conectado, fará com que a porta seja desligada (a ação padrão), uma mensagem de log seja criada automaticamente e o contador de violações aumente. A ação padrão de desligamento é recomendada porque a opção de restrição pode falhar se um ataque estiver em andamento.
Quais são as duas soluções da Cisco que ajudam a prevenir ataques de privação de DHCP? (Escolha dois.)
Please select 2 correct answers
DHCP Snooping
Web Security Appliance
IP Source Guard
Segurança Portuária
Inspeção ARP Dinâmica
Correct! Wrong!
Explicação: A Cisco fornece soluções para ajudar a mitigar os ataques da Camada 2, incluindo estes: • IP Source Guard (IPSG) – Impede ataques de falsificação de endereços MAC e IP • Dynamic ARP Inspection (DAI) - Evita ARP spoofing e ataques de envenenamento de ARP • DHCP Snooping - Evita a privação de DHCP e ataques de spoofing de SHCP • Port Security - Impede muitos tipos de ataques, incluindo ataques de estouro de tabela MAC e ataques de fome de DHCP Web Security Appliance (WSA) é uma tecnologia de mitigação para ameaças baseadas na web.
Qual recurso em um switch o torna vulnerável a ataques de salto de VLAN?
Recurso de porta de entroncamento automático habilitado para todas as portas por padrão
Modo duplex misto habilitado para todas as portas por padrão
Suporte de largura de banda de porta mista habilitado para todas as portas por padrão
Tamanho limitado do espaço de memória endereçável por conteúdo
Correct! Wrong!
Explicação: Um ataque de salto de VLAN permite que o tráfego de uma VLAN seja visto por outra VLAN sem roteamento. Em um ataque básico de salto de VLAN, o invasor tira proveito do recurso de porta de entroncamento automático habilitado por padrão na maioria das portas de switch.
Um administrador de rede está configurando a segurança da porta em um switch Cisco. A política de segurança da empresa especifica que, quando ocorre uma violação, os pacotes com endereços de origem desconhecidos devem ser descartados e nenhuma notificação deve ser enviada. Qual modo de violação deve ser configurado nas interfaces?
protect
off
shutdown
restrict
Correct! Wrong!
Explique: Em um switch Cisco, uma interface pode ser configurada para um dos três modos de violação, especificando a ação a ser executada se ocorrer uma violação: • Proteger - Pacotes com endereços de origem desconhecidos são descartados até que um número suficiente de endereços MAC seguros sejam removidos, ou o número máximo de endereços permitidos é aumentado. Não há notificação de que ocorreu uma violação de segurança. • Restringir - Os pacotes com endereços de origem desconhecidos são descartados até que um número suficiente de endereços MAC seguros seja removido ou o número máximo de endereços permitidos seja aumentado. Neste modo, há uma notificação de que ocorreu uma violação de segurança. • Desligamento - A interface é imediatamente desativada para erros e o LED da porta é desligado.
Qual componente de controle de acesso, implementação ou protocolo audita quais ações de usuários são executadas na rede?
Contabilidade
Autorização
802.1X
Correct! Wrong!
Explicação: A última prancha na estrutura AAA é a contabilidade, que mede os recursos que um usuário consome durante o acesso. Isso pode incluir a quantidade de tempo do sistema ou a quantidade de dados que um usuário enviou e / ou recebeu durante uma sessão. A contabilidade é realizada por meio do registro de estatísticas de sessão e informações de uso e é usada para controle de autorização, faturamento, análise de tendências, utilização de recursos e atividades de planejamento de capacidade.
Consulte a exposição. A interface Fa0 / 2 no switch S1 foi configurada com o comando switchport port-security mac-address 0023.189d.6456 e uma estação de trabalho foi conectada. Qual poderia ser o motivo do encerramento da interface Fa0 / 2?
A conexão entre S1 e PC1 é feita por meio de um cabo cruzado.
A interface Fa0 / 24 de S1 é configurada com o mesmo endereço MAC que a interface Fa0 / 2.
S1 foi configurado com um comando switchport port-security aging.
Endereço MAC do PC1 que se conecta à interface Fa0 / 2 não é o endereço MAC configurado.
Correct! Wrong!
Explicação: O contador de violação de segurança para Fa0 / 2 foi incrementado (evidenciado pelo 1 na coluna SecurityViolation). O endereço mais seguro permitido na porta Fa0 / 2 é 1 e esse endereço foi inserido manualmente. Portanto, PC1 deve ter um endereço MAC diferente daquele configurado para a porta Fa0 / 2. As conexões entre os dispositivos finais e o switch, bem como as conexões entre um roteador e um switch, são feitas com um cabo direto.
Que tipo de quadro de gerenciamento pode ser transmitido regularmente por um AP?
Pedido de sondagem
Baliza
Autenticação
Resposta da sonda
Correct! Wrong!
Explicação: Beacons são o único quadro de gerenciamento que pode ser regularmente transmitido por um AP. Quadros de sondagem, autenticação e associação são usados apenas durante o processo de associação (ou reassociação).
Verdadeiro ou falso?
Quais são os três parâmetros que precisam ser alterados se as melhores práticas estão sendo implementadas para um AP sem fio doméstico? (Escolha três.)
Please select 2 correct answers
Senha do sistema operacional do cliente sem fio
Tempo de farol sem fio
Senha AP
Frequência da antena
SSID
Senha de rede sem fio
Correct! Wrong!
Explicação: Assim que um AP é retirado da caixa, a senha do dispositivo padrão, o SSID e os parâmetros de segurança (senha da rede sem fio) devem ser definidos. A frequência de uma antena sem fio pode ser ajustada, mas não é necessário. A hora do beacon não é normalmente configurada. A senha do sistema operacional do cliente sem fio não é afetada pela configuração de uma rede sem fio doméstica.
Qual componente, implementação ou protocolo de controle de acesso é baseado em nomes de usuário e senhas?
autenticação
contabilidade
802.1X
autorização
Qual ataque da camada 2 resultará em usuários legítimos não obtendo endereços IP válidos?
Inundação de endereço MAC
ARP spoofing
Falsificação de endereço IP
Privação de DHCP
Qual componente de controle de acesso, implementação ou protocolo controla quem tem permissão para acessar uma rede?
Contabilidade
Autorização
Autenticação
802.1X
Um administrador de rede é necessário para atualizar o acesso sem fio aos usuários finais em um edifício. Para fornecer taxas de dados de até 1,3 Gb / se ainda ter compatibilidade retroativa com dispositivos mais antigos, qual padrão sem fio deve ser implementado?
802.11b
802.11g
802.11ac
802.11n
Correct! Wrong!
Explicação: 802.11ac fornece taxas de dados de até 1,3 Gb / s e ainda é compatível com dispositivos 802.11a / b / g / n. 802.11ge 802.11n são padrões mais antigos que não podem atingir velocidades acima de 1 Gb / s. 802.11ad é um padrão mais recente que pode oferecer velocidades teóricas de até 7 Gb / s.
Qual método de autenticação armazena nomes de usuário e senhas no roteador e é ideal para redes pequenas?
AAA local
AAA baseado em servidor sobre RADIUS
AAA local sobre TACACS +
AAA baseado em servidor sobre TACACS +
AAA local sobre RADIUS
AAA baseado em servidor
Correct! Wrong!
Explicação: Em uma pequena rede com alguns dispositivos de rede, a autenticação AAA pode ser implementada com o banco de dados local e com nomes de usuário e senhas armazenados nos dispositivos de rede. A autenticação usando o protocolo TACACS + ou RADIUS exigirá servidores ACS dedicados, embora essa solução de autenticação seja bem dimensionada em uma grande rede.
Qual componente do AAA permite que um administrador rastreie indivíduos que acessam recursos de rede e quaisquer alterações feitas a esses recursos?
autorização
acessibilidade
autenticação
contabilidade
Correct! Wrong!
Explicação: Um dos componentes do AAA é a contabilidade. Depois que um usuário é autenticado por meio de AAA, os servidores AAA mantêm um registro detalhado de exatamente quais ações o usuário autenticado executa no dispositivo.
Consulte a exposição. O que pode ser determinado sobre a segurança portuária a partir das informações mostradas?
A porta possui o número máximo de endereços MAC que são suportados por uma porta de switch da Camada 2 configurada para segurança de porta.
Modo de violação de porta é o padrão para qualquer porta que tenha a segurança de porta ativada.
A porta foi desligada.
A porta possui dois dispositivos conectados.
Correct! Wrong!
Explicação: A linha Port Security simplesmente mostra um estado de Enabled se o comando switchport port-security (sem opções) tiver sido inserido para uma porta de switch específica. Se uma violação de segurança de porta tiver ocorrido, uma mensagem de erro diferente aparecerá, como Secure-shutdown. O número máximo de endereços MAC suportados é 50. A linha Maximum MAC Addresses é usada para mostrar quantos endereços MAC podem ser aprendidos (2 neste caso). A linha Sticky MAC Addresses mostra que apenas um dispositivo foi conectado e aprendido automaticamente pelo switch. Essa configuração pode ser usada quando uma porta é compartilhada por duas pessoas que compartilham cubículos que trazem laptops separados.
Um engenheiro de rede está solucionando problemas em uma rede sem fio recém-implantada que está usando os padrões 802.11 mais recentes. Quando os usuários acessam serviços de alta largura de banda, como streaming de vídeo, o desempenho da rede sem fio é ruim. Para melhorar o desempenho, o engenheiro de rede decide configurar um SSID de banda de frequência de 5 Ghz e treinar os usuários para usar esse SSID para serviços de mídia de streaming. Por que esta solução pode melhorar o desempenho da rede sem fio para esse tipo de serviço?
Exigir que os usuários mudem para a banda de 5 GHz para streaming de mídia é inconveniente e resultará em menos usuários acessando esses serviços.
Os únicos usuários que podem mudar para a banda de 5 GHz serão aqueles com as placas de rede sem fio mais recentes, o que reduzirá o uso.
A banda de 5 GHz tem um alcance maior e, portanto, é provável que esteja livre de interferências.
A banda de 5 GHz tem mais canais e é menos congestionada do que a banda de 2,4 GHz, o que a torna mais adequada para streaming de multimídia.
Correct! Wrong!
Explicação: O alcance sem fio é determinado pela antena do ponto de acesso e pela potência de saída, não pela banda de frequência usada. Nesse cenário, afirma-se que todos os usuários possuem NICs sem fio que estão em conformidade com o padrão mais recente e, portanto, todos podem acessar a banda de 5 GHz. Embora alguns usuários possam achar inconveniente mudar para a banda de 5 Ghz para acessar serviços de streaming, é o maior número de canais, e não apenas menos usuários, que melhorará o desempenho da rede.
Que tipo de rede sem fio usa transmissores para fornecer cobertura em uma extensa área geográfica?
Rede local sem fio
Rede sem fio de área metropolitana
Rede de área pessoal sem fio
Rede de longa distância sem fio
Que tipo de antena sem fio é mais adequada para fornecer cobertura em grandes espaços abertos, como corredores ou grandes salas de conferência?
Yagi
prato
omnidirecional
direcional
Qual componente de controle de acesso, implementação ou protocolo registra EXEC e comandos de configuração configurados por um usuário?
802.1x
Autenticação
Contabilidade
Autorização
Quais são as três técnicas para mitigar ataques de VLAN? (Escolha três.)
Please select 3 correct answers
Habilite o entroncamento manualmente.
Habilite a proteção BPDU.
Habilite o Source Guard.
Defina a VLAN nativa para uma VLAN não utilizada.
Desative o DTP.
Use VLANs privadas.
Correct! Wrong!
Explicação: A atenuação de um ataque de VLAN pode ser feita desabilitando o Dynamic Trunking Protocol (DTP), configurando manualmente as portas para o modo de entroncamento e configurando a VLAN nativa de links de tronco para VLANs que não estão em uso.
Qual componente, implementação ou protocolo de controle de acesso indica sucesso ou falha de um serviço solicitado pelo cliente com uma mensagem PASSA ou FALHA?
Autenticação
Autorização
802.1X
Contabilidade
Que tipo de rede sem fio usa transmissores para fornecer serviço sem fio em uma grande região urbana?
Rede local sem fio.
Rede de longa distância sem fio
Rede sem fio de área metropolitana
Rede de área pessoal sem fio
Quais são os dois padrões sem fio IEEE 802.11 que operam apenas na faixa de 5 GHz? (Escolha dois.)
Please select 2 correct answers
802.11n
802.11ad
802.11ac
802.11a
802.11b
802.11g
Correct! Wrong!
Explicação: Os padrões 802.11ae 802.11ac operam apenas na faixa de 5 GHZ. Os padrões 802.11be 802.11g operam apenas na faixa de 2,4 GHz. O padrão 802.11n opera nas faixas de 2,4 e 5 GHz. O padrão 802.11ad opera nas faixas de 2,4, 5 e 60 GHz.
Qual é o resultado de um ataque de privação de DHCP?
Invasor fornece DNS incorreto e informações de gateway padrão aos clientes.
Os clientes legítimos não podem alugar endereços IP.
Os clientes recebem atribuições de endereços IP de um servidor DHCP não autorizado.
Os endereços IP atribuídos a clientes legítimos são sequestrados.
Correct! Wrong!
Explicação: Ataques de privação DCHP são lançados por um invasor com a intenção de criar um DoS para clientes DHCP. Para atingir esse objetivo, o invasor usa uma ferramenta que envia muitas mensagens DHCPDISCOVER para alugar todo o pool de endereços IP disponíveis, negando-os, assim, a hosts legítimos.
Qual componente, implementação ou protocolo de controle de acesso é baseado nas funções de dispositivo de suplicante, autenticador e servidor de autenticação?
802.1x
Contabilidade
Autenticação
Autorização
Qual afirmação descreve o comportamento de um switch quando a tabela de endereços MAC está cheia?
Ele trata os quadros como unicast desconhecido e inunda todos os quadros de entrada em todas as portas do switch.
Ele trata os quadros como unicast desconhecido e inunda todos os quadros de entrada para todas as portas em vários switches.
Ele trata os quadros como unicast desconhecido e inunda todos os quadros de entrada para todas as portas dentro do domínio de colisão.
Ele trata os quadros como unicast desconhecido e inunda todos os quadros de entrada para todas as portas da VLAN local.
Correct! Wrong!
Explicação: Quando a tabela de endereços MAC está cheia, o switch trata o quadro como um unicast desconhecido e começa a inundar todo o tráfego de entrada para todas as portas apenas na VLAN local.
Um administrador de rede está configurando a DAI em um switch com o comando ip arp inspectate validate src-mac. Qual é o propósito deste comando de configuração?
Ele verifica o endereço MAC de origem no cabeçalho Ethernet em relação às ACLs ARP configuradas pelo usuário.
Ele verifica o endereço MAC de origem no cabeçalho Ethernet em relação ao endereço MAC do remetente no corpo ARP.
Ele verifica o endereço MAC de origem no cabeçalho Ethernet em relação ao endereço MAC de destino no corpo ARP.
Ele verifica o endereço MAC de origem no cabeçalho Ethernet em relação à tabela de endereços MAC.