Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1. ¿Cuándo se crea una asociación de seguridad (SA) si se usa un túnel IPsec VPN
para conectarse entre dos sitios?
después de crear el túnel, pero antes de enviar el tráfico
solo durante la Fase 2
solo durante la Fase 1
durante las fases 1 y 2 *
Como se ve en la Figura 8.4.1.1, una conexión VPN IPsec crea dos SA: (1) al
finalizar la IKE Fase 1 una vez que los pares negocian la política IKE SA, y (2)
al final de la IKE Fase 2 después de la Los conjuntos de transformación se
negocian.
4. ¿Qué acción toman los pares de IPsec durante el intercambio IKE Fase 2?
intercambio de llaves DH
negociación de la política IPsec *
negociación de conjuntos de políticas IKE
verificación de identidad de pares
El protocolo IKE se ejecuta en dos fases. Durante la Fase 1, las dos partes
negocian conjuntos de políticas IKE, se autentican entre sí y configuran un
canal seguro. Durante la segunda fase, IKE negocia asociaciones de seguridad
entre los pares.
8. ¿Qué tres puertos deben estar abiertos para verificar que un túnel VPN IPsec
funciona correctamente? (Elige tres.)
168
50 *
169
501
500 *
51 *
9. Consulte la exposición. ¿Cómo el enrutador tratará el tráfico que no coincida
con el definido por la lista de acceso 101?
10. ¿Qué tres protocolos deben permitirse a través del firewall de la compañía
para el establecimiento de VPN de sitio a sitio de IPsec? (Elige tres.)
HTTPS
SSH
AH *
ISAKMP *
NTP
ESP *
ESP, AH e ISAKMP deben permitirse a través de los enrutadores perimetrales
y los firewalls para que se establezcan las VPN de sitio a sitio de IPsec. NTP y
HTTPS son protocolos de aplicación y no son necesarios para IPsec.
11. ¿Qué enunciado describe el efecto de la longitud de la clave para disuadir a un
atacante de hackear una clave de cifrado?
La longitud de una clave no afecta el grado de seguridad.
Cuanto más corta es la clave, más difícil es romperla.
La longitud de una clave no variará entre los algoritmos de cifrado.
Cuanto más larga sea la clave, más posibilidades existen. *
Mientras se previenen los ataques de fuerza bruta y otros problemas de
descifrado forzado, cuanto más larga sea la longitud de la clave, más difícil
será romperla. Una clave de 64 bits puede tardar un año en romperse con una
computadora sofisticada, mientras que una clave de 128 bits puede tardar 1019
años en descifrarse. Los diferentes algoritmos de cifrado proporcionarán
diferentes longitudes de clave para la implementación.
18. ¿Cuál es la función del algoritmo Diffie-Hellman dentro del marco IPsec?
proporciona autenticación
permite a los compañeros intercambiar claves compartidas *
garantiza la integridad del mensaje
proporciona cifrado de datos fuerte
El marco IPsec utiliza varios protocolos y algoritmos para proporcionar
confidencialidad de datos, integridad de datos, autenticación e intercambio
seguro de claves. DH (Diffie-Hellman) es un algoritmo utilizado para el
intercambio de claves. DH es un método de intercambio de clave pública que
permite a dos pares de IPsec establecer una clave secreta compartida a través
de un canal inseguro.
RSA
Diffie-Hellman
DES
AES *
El marco IPsec utiliza varios protocolos y algoritmos para proporcionar
confidencialidad de datos, integridad de datos, autenticación e intercambio
seguro de claves. Dos algoritmos populares que se utilizan para garantizar que
los datos no sean interceptados y modificados (integridad de datos) son MD5 y
SHA. AES es un protocolo de cifrado y proporciona confidencialidad de
datos. DH (Diffie-Hellman) es un algoritmo que se utiliza para el intercambio de
claves. RSA es un algoritmo utilizado para la autenticación.
22. ¿Qué dos protocolos deben permitirse para que un túnel IPsec VPN funcione
correctamente? (Escoge dos.)
501
500
51 *
168
50 *
169
ESP usa el protocolo 50. AH usa el protocolo 51. ISAKMP usa el puerto UDP
500.
24. ¿Qué término describe una situación en la que el tráfico VPN que recibe una
interfaz se redirige a esa misma interfaz?
GRE
túnel dividido
MPLS
horquilla *
Hairpinning permite que el tráfico VPN que se recibe en una sola interfaz se
enrute de vuelta a esa misma interfaz. El túnel dividido permite que el tráfico
que se origina en un cliente de acceso remoto se divida de acuerdo con el
tráfico que debe cruzar una VPN y el tráfico destinado a Internet público. MPLS
y GRE son dos tipos de VPN de capa 3.
26. ¿Qué tipo de VPN de sitio a sitio utiliza miembros de grupo de confianza para
eliminar los túneles IPsec punto a punto entre los miembros de un grupo?
DMVPN
GRE
GETVPN *
MPLS
El transporte encriptado grupal VPN (GETVPN) utiliza un grupo confiable para
eliminar túneles punto a punto y su enrutamiento de superposición
asociado. GETVPN a menudo se describe como "sin túnel". La VPN multipunto
dinámica (DMVPN) permite el aprovisionamiento automático de las VPN IPsec
de sitio a sitio utilizando una combinación de tres características de Cisco IOS:
VPN NHRP, GRE e IPsec. Generic Routing Encapsulation (GRE) es un
protocolo de tunelización desarrollado por Cisco que encapsula el tráfico
multiprotocolo entre enrutadores remotos de Cisco, pero no encripta los
datos. Una VPN MPLS consiste en un conjunto de sitios que están
interconectados por medio de una red central de proveedores MPLS.
27. Consulte la exposición. ¿Qué par de comandos de teclado crypto isakmp
configuraría correctamente PSK en los dos enrutadores?