Capítulo 8 Respuestas al examen

1. ¿Cuándo se crea una asociación de seguridad (SA) si se usa un túnel IPsec VPN
para conectarse entre dos sitios?
 después de crear el túnel, pero antes de enviar el tráfico
 solo durante la Fase 2
 solo durante la Fase 1
 durante las fases 1 y 2 *
Como se ve en la Figura 8.4.1.1, una conexión VPN IPsec crea dos SA: (1) al
finalizar la IKE Fase 1 una vez que los pares negocian la política IKE SA, y (2)
al final de la IKE Fase 2 después de la Los conjuntos de transformación se
negocian.

2. ¿En qué situación se deshabilitaría el Cisco Discovery Protocol?

 cuando un teléfono Cisco VoIP se conecta a un conmutador Cisco
 cuando un conmutador Cisco se conecta a otro conmutador Cisco
 cuando un conmutador Cisco se conecta a un enrutador Cisco
 cuando una PC con Cisco IP Communicator instalado se conecta a un switch
Cisco *
El Cisco Discovery Protocol debe deshabilitarse en puertos que no se conectan
a otros dispositivos Cisco. Aunque la PC tiene instalado un producto de
software de Cisco, el puerto al que se conecta la PC debe tener el Protocolo de
descubrimiento de Cisco deshabilitado debido a la información de red que
puede derivarse de la captura de mensajes del Protocolo de descubrimiento de
Cisco.

3. ¿Qué dos afirmaciones describen con precisión las características de

IPsec? (Escoge dos.)
 IPsec funciona en la capa de transporte y protege los datos en la capa de
red.
 IPsec es un marco de estándares patentados que dependen de
algoritmos específicos de Cisco.
 IPsec es un marco de estándares desarrollado por Cisco que se basa en
algoritmos OSI.
 IPsec es un marco de estándares abiertos que se basa en algoritmos
existentes. *
 IPsec funciona en la capa de red y opera en todos los protocolos de capa 2. *
 IPsec funciona en la capa de aplicación y protege todos los datos de la
aplicación.
IPsec puede asegurar una ruta entre dos dispositivos de red. IPsec puede
proporcionar las siguientes funciones de seguridad:
Confidencialidad: IPsec garantiza la confidencialidad mediante el cifrado.
Integridad: IPsec garantiza que los datos lleguen sin cambios al destino
utilizando un algoritmo hash, como MD5 o SHA.
Autenticación: IPsec utiliza el Intercambio de claves de Internet (IKE) para
autenticar a los usuarios y dispositivos que pueden llevar a cabo la
comunicación de forma independiente. IKE utiliza varios tipos de autenticación,
incluidos nombre de usuario y contraseña, contraseña de un solo uso, datos
biométricos, claves precompartidas (PSK) y certificados digitales.
Intercambio seguro de claves: IPsec utiliza el algoritmo Diffie-Hellman (DH)
para proporcionar un método de intercambio de claves públicas para que dos
pares establezcan una clave secreta compartida.

4. ¿Qué acción toman los pares de IPsec durante el intercambio IKE Fase 2?
 intercambio de llaves DH
 negociación de la política IPsec *
 negociación de conjuntos de políticas IKE
 verificación de identidad de pares
El protocolo IKE se ejecuta en dos fases. Durante la Fase 1, las dos partes
negocian conjuntos de políticas IKE, se autentican entre sí y configuran un
canal seguro. Durante la segunda fase, IKE negocia asociaciones de seguridad
entre los pares.

5. ¿Qué técnica es necesaria para garantizar una transferencia privada de datos

utilizando una VPN?
 cifrado *
 autorización
 virtualización
 escalabilidad
Las transferencias de datos confidenciales y seguras con VPN requieren
cifrado de datos.
 6. ¿Qué enunciado describe una VPN?
 Las VPN utilizan software de virtualización de código abierto para crear el
túnel a través de Internet.
 Las VPN usan conexiones virtuales para crear una red privada a través de
una red pública. *
 Las VPN usan conexiones físicas dedicadas para transferir datos entre
usuarios remotos.
 Las VPN usan conexiones lógicas para crear redes públicas a través de
Internet.

7. ¿Qué conjunto de transformación proporciona la mejor protección?

 crypto ipsec transform-set ESP-DES-SHA esp-aes-256 esp-sha-hmac *
 crypto ipsec transform-set ESP-DES-SHA esp-3des esp-sha-hmac
 crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
 crypto ipsec transform-set ESP-DES-SHA esp-aes esp-des esp-sha-hmac
DES usa claves de 56 bits. 3DES usa claves de 56 bits, pero encripta tres
veces. AES utiliza claves de 128 bits. AES-256 utiliza claves de 256 bits y es el
más fuerte.

8. ¿Qué tres puertos deben estar abiertos para verificar que un túnel VPN IPsec
funciona correctamente? (Elige tres.)
 168
 50 *
 169
 501
 500 *
 51 *
 9. Consulte la exposición. ¿Cómo el enrutador tratará el tráfico que no coincida
con el definido por la lista de acceso 101?

 Se enviará sin cifrar. *

 Será enviado encriptado.
 Será bloqueado
 Será descartado.
La lista de acceso 101 es parte de la configuración del mapa criptográfico en el
enrutador. El propósito de la lista de acceso es identificar el tráfico interesante
que debe enviarse encriptado a través de una VPN. El tráfico que no coincide
con la lista de acceso no es interesante y no se envía cifrado, sino que se
envía sin cifrar en texto sin formato.

10. ¿Qué tres protocolos deben permitirse a través del firewall de la compañía
para el establecimiento de VPN de sitio a sitio de IPsec? (Elige tres.)
 HTTPS
 SSH
 AH *
 ISAKMP *
 NTP
 ESP *
ESP, AH e ISAKMP deben permitirse a través de los enrutadores perimetrales
y los firewalls para que se establezcan las VPN de sitio a sitio de IPsec. NTP y
HTTPS son protocolos de aplicación y no son necesarios para IPsec.
 11. ¿Qué enunciado describe el efecto de la longitud de la clave para disuadir a un
atacante de hackear una clave de cifrado?
 La longitud de una clave no afecta el grado de seguridad.
 Cuanto más corta es la clave, más difícil es romperla.
 La longitud de una clave no variará entre los algoritmos de cifrado.
 Cuanto más larga sea la clave, más posibilidades existen. *
Mientras se previenen los ataques de fuerza bruta y otros problemas de
descifrado forzado, cuanto más larga sea la longitud de la clave, más difícil
será romperla. Una clave de 64 bits puede tardar un año en romperse con una
computadora sofisticada, mientras que una clave de 128 bits puede tardar 1019
años en descifrarse. Los diferentes algoritmos de cifrado proporcionarán
diferentes longitudes de clave para la implementación.

12. ¿Cuál es el propósito de configurar múltiples ACL criptográficas al construir

una conexión VPN entre sitios remotos?
 Al aplicar la ACL en una interfaz pública, se pueden construir múltiples
ACL criptográficas para evitar que los usuarios públicos se conecten al
enrutador habilitado para VPN.
 Múltiples ACL criptográficas pueden definir múltiples pares remotos para
conectarse con un enrutador habilitado para VPN a través de Internet o la
red.
 Se pueden configurar múltiples ACL criptográficas para impedir que el
tráfico de red específico cruce una VPN.
 Cuando se eligen múltiples combinaciones de protección IPsec, múltiples
ACL criptográficas pueden definir diferentes tipos de tráfico. *
Una ACL criptográfica puede definir el "tráfico interesante" que se usa para
construir una VPN y reenviar ese "tráfico interesante" a través de la VPN a otro
enrutador habilitado para VPN. Se utilizan múltiples ACL criptográficas para
definir múltiples tipos diferentes de tráfico y utilizar diferentes protecciones
IPsec correspondientes a los diferentes tipos de tráfico.
 13. Considere la siguiente configuración en un ASA de Cisco:
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
¿Cuál es el propósito de este comando?
 para definir los parámetros ISAKMP que se utilizan para establecer el
túnel
 para definir los algoritmos de cifrado e integridad que se utilizan para
construir el túnel IPsec *
 para definir qué tráfico está permitido y protegido por el túnel
 para definir solo los algoritmos de cifrado permitidos
El conjunto de transformación se negocia durante la Fase 2 del proceso de
conexión VPN IPsec. El propósito del conjunto de transformación es definir qué
esquemas de cifrado y autenticación se pueden usar. El dispositivo que realiza
la iniciación de VPN ofrece los conjuntos de transformación aceptables en
orden de preferencia, en este caso, autenticación ESP usando DES para
encriptación o autenticación ESP usando autenticación SHA-HMAC e
integridad para la carga útil de datos. Recuerde que ESP proporciona
confidencialidad con encriptación e integridad con autenticación. ESP-DES-
SHA es el nombre del conjunto de transformación. Los parámetros que siguen
(esp-des y esp-sha-hmac) son los tipos específicos de encriptación o
autenticación que es compatible con el ASA para el túnel VPN que utiliza este
conjunto de transformación.

14. ¿Qué protocolo proporciona servicios de autenticación, integridad y

confidencialidad y es un tipo de VPN?
 ESP
 IPsec *
 MD5
 AES
Los servicios de IPsec permiten autenticación, integridad, control de acceso y
confidencialidad. Con IPsec, la información intercambiada entre sitios remotos
se puede cifrar y verificar. Tanto las VPN de acceso remoto como las de sitio a
sitio se pueden implementar utilizando IPsec.
 15. ¿Qué tres afirmaciones describen el marco del protocolo IPsec? (Elige tres.)
 AH proporciona integridad y autenticación. *
 ESP proporciona cifrado, autenticación e integridad. *
 AH usa el protocolo IP 51. *
 AH proporciona cifrado e integridad.
 ESP utiliza el protocolo UDP 50.
 ESP requiere autenticación y cifrado.
Los dos protocolos principales utilizados con IPsec son AH y ESP. AH es el
protocolo número 51 y proporciona autenticación e integridad de datos para
paquetes IP que se intercambian entre pares. ESP, que es el protocolo número
50, realiza el cifrado de paquetes.

16. ¿Qué enunciado describe con precisión una característica de IPsec?

 IPsec funciona en la capa de aplicación y protege todos los datos de la
aplicación.
 IPsec es un marco de estándares desarrollado por Cisco que se basa en
algoritmos OSI.
 IPsec es un marco de estándares patentados que dependen de
algoritmos específicos de Cisco.
 IPsec funciona en la capa de transporte y protege los datos en la capa de
red.
 IPsec es un marco de estándares abiertos que se basa en algoritmos
existentes. *
IPsec puede asegurar una ruta entre dos dispositivos de red. IPsec puede
proporcionar las siguientes funciones de seguridad:
Confidencialidad: IPsec garantiza la confidencialidad mediante el cifrado.
Integridad: IPsec garantiza que los datos lleguen sin cambios al destino
utilizando un algoritmo hash, como MD5 o SHA.
Autenticación: IPsec utiliza el Intercambio de claves de Internet (IKE) para
autenticar a los usuarios y dispositivos que pueden llevar a cabo la
comunicación de forma independiente. IKE utiliza varios tipos de autenticación,
incluidos nombre de usuario y contraseña, contraseña de un solo uso, datos
biométricos, claves precompartidas (PSK) y certificados digitales.
Intercambio seguro de claves: IPsec utiliza el algoritmo Diffie-Hellman (DH)
para proporcionar un método de intercambio de claves públicas para que dos
pares establezcan una clave secreta compartida.
 17. ¿Qué dos protocolos IPsec se utilizan para proporcionar integridad de datos?
 SHA *
 AES
 DH
 MD5 *
 RSA
El marco IPsec utiliza varios protocolos y algoritmos para proporcionar
confidencialidad de datos, integridad de datos, autenticación e intercambio
seguro de claves. Dos algoritmos populares utilizados para garantizar que los
datos no sean interceptados y modificados (integridad de datos) son MD5 y
SHA. AES es un protocolo de cifrado y proporciona confidencialidad de
datos. DH (Diffie-Hellman) es un algoritmo utilizado para el intercambio de
claves. RSA es un algoritmo utilizado para la autenticación.

18. ¿Cuál es la función del algoritmo Diffie-Hellman dentro del marco IPsec?
 proporciona autenticación
 permite a los compañeros intercambiar claves compartidas *
 garantiza la integridad del mensaje
 proporciona cifrado de datos fuerte
El marco IPsec utiliza varios protocolos y algoritmos para proporcionar
confidencialidad de datos, integridad de datos, autenticación e intercambio
seguro de claves. DH (Diffie-Hellman) es un algoritmo utilizado para el
intercambio de claves. DH es un método de intercambio de clave pública que
permite a dos pares de IPsec establecer una clave secreta compartida a través
de un canal inseguro.

19. Consulte la exposición. ¿Qué algoritmo HMAC se está utilizando para

proporcionar integridad de datos?
 MD5
 AES
 SHA *
 DH
Dos algoritmos populares que se utilizan para garantizar que los datos no sean
interceptados y modificados (integridad de datos) son MD5 y SHA. El comando
Router1 (config-isakmp) # hash sha indica que se está utilizando SHA. AES es
un protocolo de cifrado y proporciona confidencialidad de datos. DH (Diffie-
Hellman) es un algoritmo que se utiliza para el intercambio de claves. RSA es
un algoritmo utilizado para la autenticación.

20. ¿Qué se necesita para definir tráfico interesante en la creación de un túnel

IPsec?
 asociaciones de seguridad
 algoritmo de hash
 lista de acceso *
 conjunto de transformación
Para abrir un túnel IPsec, se debe configurar una lista de acceso con una
declaración de permiso que identificará el tráfico interesante. Una vez que se
detecta tráfico interesante haciendo coincidir la lista de acceso, se pueden
negociar las asociaciones de seguridad del túnel.
21. Consulte la exposición. ¿Qué algoritmo se usará para proporcionar
confidencialidad?

 RSA
 Diffie-Hellman
 DES
 AES *
El marco IPsec utiliza varios protocolos y algoritmos para proporcionar
confidencialidad de datos, integridad de datos, autenticación e intercambio
seguro de claves. Dos algoritmos populares que se utilizan para garantizar que
los datos no sean interceptados y modificados (integridad de datos) son MD5 y
SHA. AES es un protocolo de cifrado y proporciona confidencialidad de
datos. DH (Diffie-Hellman) es un algoritmo que se utiliza para el intercambio de
claves. RSA es un algoritmo utilizado para la autenticación.

22. ¿Qué dos protocolos deben permitirse para que un túnel IPsec VPN funcione
correctamente? (Escoge dos.)
 501
 500
 51 *
 168
 50 *
 169
ESP usa el protocolo 50. AH usa el protocolo 51. ISAKMP usa el puerto UDP
500.

23. ¿Cuál es el propósito de NAT-T?

 habilita NAT para clientes VPN basados en PC
 permite que VPN funcione cuando se usa NAT en uno o ambos extremos de
la VPN *
 actualiza NAT para IPv4
 permite que NAT se use para direcciones IPv6
Establecer una VPN entre dos sitios ha sido un desafío cuando NAT está
involucrado en cualquier extremo del túnel. La versión mejorada de IKE
original, IKE versión 2, ahora es compatible con NAT-T. NAT-T tiene la
capacidad de encapsular paquetes ESP dentro de UDP para que el túnel VPN
se pueda establecer a través de un dispositivo que tenga NAT habilitado.

24. ¿Qué término describe una situación en la que el tráfico VPN que recibe una
interfaz se redirige a esa misma interfaz?
 GRE
 túnel dividido
 MPLS
 horquilla *
Hairpinning permite que el tráfico VPN que se recibe en una sola interfaz se
enrute de vuelta a esa misma interfaz. El túnel dividido permite que el tráfico
que se origina en un cliente de acceso remoto se divida de acuerdo con el
tráfico que debe cruzar una VPN y el tráfico destinado a Internet público. MPLS
y GRE son dos tipos de VPN de capa 3.

25. ¿Cuál es una característica importante de las VPN de acceso remoto?

 La configuración de VPN es idéntica entre los dispositivos remotos.
 Los hosts internos no tienen conocimiento de la VPN.
 La información requerida para establecer la VPN debe permanecer
estática.
 La conexión VPN la inicia el usuario remoto. *
Con las VPN de acceso remoto, el usuario remoto no necesariamente tiene la
conexión VPN configurada en todo momento. La PC del usuario remoto es
responsable de iniciar la VPN. La información requerida para establecer la
conexión VPN cambia dinámicamente dependiendo de la ubicación del usuario
cuando intenta conectarse.

26. ¿Qué tipo de VPN de sitio a sitio utiliza miembros de grupo de confianza para
eliminar los túneles IPsec punto a punto entre los miembros de un grupo?
 DMVPN
 GRE
 GETVPN *
 MPLS
El transporte encriptado grupal VPN (GETVPN) utiliza un grupo confiable para
eliminar túneles punto a punto y su enrutamiento de superposición
asociado. GETVPN a menudo se describe como "sin túnel". La VPN multipunto
dinámica (DMVPN) permite el aprovisionamiento automático de las VPN IPsec
de sitio a sitio utilizando una combinación de tres características de Cisco IOS:
VPN NHRP, GRE e IPsec. Generic Routing Encapsulation (GRE) es un
protocolo de tunelización desarrollado por Cisco que encapsula el tráfico
multiprotocolo entre enrutadores remotos de Cisco, pero no encripta los
datos. Una VPN MPLS consiste en un conjunto de sitios que están
interconectados por medio de una red central de proveedores MPLS.
 27. Consulte la exposición. ¿Qué par de comandos de teclado crypto isakmp
configuraría correctamente PSK en los dos enrutadores?

 R1 (config) # crypto isakmp key cisco123 address 209.165.200.227

R2 (config) # crypto isakmp key cisco123 address 209.165.200.226 *
 R1 (config) # crypto isakmp key dirección cisco123 209.165.200.226
R2 (config) # crypto isakmp key dirección cisco123 209.165.200.227
 R1 (config) # crypto isakmp key cisco123 hostname R1
R2 (config) # crypto isakmp key cisco123 hostname R2
 R1 (config) # crypto isakmp key dirección cisco123 209.165.200.226
R2 (config) # crypto isakmp key dirección segura 209.165.200.227
La sintaxis correcta del comando de clave crypto isakmp es la siguiente:
clave criptográfica isakmp keytring address peer-address
o
crypto isakmp keykeystring hostname peer-hostname Entonces, la respuesta
correcta sería la siguiente:
R1 (config) # crypto isakmp key cisco123 dirección 209.165. 200.227
R2 (config) # crypto isakmp key dirección cisco123 209.165.200.226