in

Examen pratique de sécurité CCNA – 10 questions sur l’ensemble de pare-feu IOS

Gagner votre certificat CCNA Security est un formidable coup de pouce pour votre carrière et vos perspectives de carrière! Pour vous aider à vous préparer à un succès total le jour du test, voici 10 questions gratuites dans l’ensemble de pare-feu IOS. Les réponses se trouvent à la fin de l’article. Profitez-en!

1. Définissez le terme “DMZ” par rapport à la sécurité du réseau et nommez trois périphériques réseau communs différents qui sont généralement présents.

2. Identifiez les expressions réelles.

A. Le filtrage de paquets sans état prend en compte l’état de la connexion TCP.

B. Le filtrage des paquets avec état prend en compte l’état de la connexion TCP.

C. Le filtrage de paquets avec ou sans état ne surveille pas l’état de la connexion TCP.

D. Le filtrage de paquets, à la fois sans état et sans état, surveille l’état de la connexion TCP et gère une table d’état contenant ces informations.

3. L’ensemble de fonctionnalités du pare-feu Cisco IOS agit-il comme un filtre de paquets avec état ou sans état?

4. Lequel des éléments suivants est considéré comme faisant partie de l’ensemble de fonctionnalités du pare-feu IOS?

A. Pare-feu IOS
Système de prévention des intrusions
C. RAYON
D. Proxy d’authentification
E. Cryptage du mot de passe

5. Identifiez les phrases réelles liées au proxy d’authentification.

A. Il fait partie du jeu de fonctionnalités du pare-feu IOS.
B. Permet la création de profils de sécurité par utilisateur plutôt que des profils plus généraux.
C. Permet la création de profils de sécurité généraux, mais pas de profils par utilisateur.
D. Les profils peuvent être stockés localement mais pas à distance.
E. Les profils peuvent être stockés sur un serveur RADIUS.
F. Les profils peuvent être stockés sur un serveur TACACS +.

6. La configuration des listes de contrôle d’accès est une partie importante de l’utilisation du pare-feu IOS. Quels masques génériques sont remplacés par l’hôte et des mots dans les ACL?

7. Qu’est-ce que le signe dollar indique dans la ligne ACL ci-dessous?

R1 (configuration) # 150 $ rejet ip 172.50.50.0 0.0.0.255 172.50.100.0 0.0.0.255

8. Fondamentalement, comment un pare-feu IOS empêche-t-il une attaque TCP SYN?

9. Que signifie l’expression “percer un trou dans le pare-feu”? (Logiquement, pas physiquement.)

10. Quelle est exactement l’option de trafic du routeur dans la configuration suivante?

R4 (configuration) # ip check name PASSCCNASECURITY tcp router-traffic
R4 (configuration) # ip check name PASSCCNASECURITY udp router traffic
R4 (config) #ip nom du contrôle PASSCCNASECURITY icmp router-traffic

Voici les réponses!

1. Il est facile de considérer votre réseau comme “à l’intérieur” et tout le reste comme “à l’extérieur”. Cependant, nous avons un troisième domaine en ce qui concerne les pare-feu – DMZ.

En termes informatiques, c’est la partie de notre réseau DMZ exposée aux réseaux externes. Il est courant de trouver les appareils suivants dans une DMZ:

Serveur FTP
Serveur de messagerie
Serveur de commerce électronique
Serveurs DNS
Serveurs Web

2. (B.) Le filtrage des paquets avec état surveille l’état de la connexion, ce qui est particulièrement important lorsqu’il s’agit de prévenir les attaques TCP. Un pare-feu dynamique surveille non seulement l’état de la connexion TCP, mais également les numéros de séquence. Les pare-feu avec état le font en conservant une table de session ou une table d’état.

3. Le pare-feu Cisco IOS est un filtre dynamique.

4. (A, B, D.) L’ensemble de fonctionnalités du pare-feu IOS comprend trois composants principaux: pare-feu IOS, système de prévention des intrusions (IPS) et proxy d’authentification.

5. (A, B, E, F. Le proxy d’authentification nous permet de créer des profils de sécurité à appliquer par utilisateur, pas par sous-réseau ou adresse. L’un des éléments suivants:

Serveur RADIUS

Serveur TACACS +

Une fois l’authentification réussie, la politique de sécurité de l’utilisateur en question est téléchargée à partir du serveur RADIUS ou TACACS + et mise en œuvre par le routeur du pare-feu IOS.

6. Nous avons la possibilité d’utiliser le mot hôte pour représenter le masque générique 0.0.0.0. Considérons une configuration où seuls les paquets de la source IP 10.1.1.1 devraient être autorisés et tous les autres paquets devraient être rejetés. Les deux listes de contrôle d’accès ci-dessous le font.

R3 # conf

R3 (configuration) # autorisation d’accès à la liste 6 10.1.1.1 0.0.0.0

R3 (configuration) #conf t

Hôte d’autorisation R3 (configuration) # access list 7 10.1.1.1

Tout mot clé peut être utilisé pour représenter le masque générique 255.255.255.255. Les deux lignes ci-dessous autorisent tout le trafic.

R3 (configuration) # autoriser la liste d’accès 15

R3 (configuration) # autorisation d’accès à la liste 15 0.0.0.0 255.255.255.255

Il n’y a aucune “bonne” ou “mauvaise” décision à prendre lors de la configuration des ACL dans le monde réel. Mais pour votre examen, je connais très bien l’utilisation correcte de l’hôte et de toute personne.

7. Le signe dollar indique qu’une partie de la commande que vous avez entrée ou visualisée ne peut pas être affichée car l’entrée est trop longue. Cela ne signifie pas que la commande est illégale.

8. Le pare-feu IOS peut utiliser une ou toutes les valeurs suivantes pour détecter le début d’une attaque TCP SYN:

Nombre total de sessions TCP incomplètes

Nombre de sessions TCP qui ne se sont pas terminées dans un temps donné

Nombre de sessions TCP incomplètes par hôte

Une fois l’un de ces seuils atteint, l’une des actions suivantes peut être prise:

Bloquer tous les paquets SYN entrants pendant une certaine période de temps

Remettre une TVD aux deux parties dans la plus ancienne session incomplète

Nous examinerons certains exemples lors de futures formations.

9. Ce terme signifie configurer le pare-feu pour ouvrir un port précédemment fermé. N’oubliez pas de l’éteindre lorsqu’il ne doit plus être ouvert!

10. Si vous allez examiner le trafic réellement généré sur le routeur, vous devez ajouter l’option de trafic du routeur à la fin de cette instruction ip inspect.

Recherchez d’autres examens pratiques de certification Cisco et des didacticiels vidéo entièrement illustrés sur mon site Web!

Written by admin

Leave a Reply

Your email address will not be published. Required fields are marked *

Processus de développement d’applications IOS / Phone

Informations Apple IMac MMQA2LL / A – En savoir plus sur cette machine AiO 21,5 pouces, ses caractéristiques et sa conception