Close Menu

Kontrollprüfung: Prüfung zu L2 Sicherheits- und WLANs – Antworten

Updated:Keine Kommentare CCNA 2 - Deutsch

Module 10-13 Kontrollprüfung: Prüfung zu L2 Sicherheits- und WLANs – Antworten

1. Ein Techniker ist dabei, ein Funknetz in einer kleinen Zweigstelle zu installieren und zu konfigurieren. Was sollte der Techniker als erste Sicherheitsmaßnahme unverzüglich einrichten, nachdem er den drahtlosen Router eingeschaltet hat?

  • Die MAC-Adressenfilterung des drahtlosen Routers aktivieren.
  • Den Standardbenutzernamen und das Kennwort des drahtlosen Routers ändern.
  • Die Verschlüsselung auf dem drahtlosen Router und den verbundenen drahtlosen Geräten konfigurieren.
  • Den drahtlosen Netzwerk-SSID-Broadcast deaktivieren.

Erklärung: Die erste Handlung, die ein Techniker bei der Sicherung eines neuen Funknetzes durchführen sollte, besteht darin, dass er den Standardbenutzernamen und das Kennwort des drahtlosen Routers ändert. Als nächste Handlung sollte normalerweise eine Verschlüsselung konfiguriert werden. Wurde erstmals einmal eine Gruppe von Funkrechnern mit dem Netz verbunden, dann sollte die MAC-Adressen-Filterung aktiviert und der SSID-Broadcast deaktiviert werden. Dieses schützt davor, dass neue, nichtauthorisierte Rechner das Funknetz finden und sich mit diesem verbinden.

2. Welche Art von drahtloser Antenne eignet sich am besten für die Abdeckung in großen offenen Räumen, wie Fluren oder großen Konferenzräumen?

  • omnidirectional
  • dish
  • Yagi
  • directional

Erklärung: Omnidirektionale Antennen senden die Funksignale in einem 360-Grad-Muster um die Antenne. Dies bietet eine Abdeckung für Geräte, die sich überall um den Access Point befinden. Schüssel-, Richtungs- und Yagi-Antennen fokussieren die Funksignale in eine einzige Richtung, so dass sie für die Abdeckung großer, offener Gebiete weniger geeignet sind.

3. Das Unternehmenshandbuch besagt, dass Mitarbeiter keine Mikrowellenöfen in ihren Büros haben dürfen. Stattdessen müssen alle Mitarbeiter die Mikrowellenöfen in der Mitarbeiter-Cafeteria nutzen. Welches Risiko für drahtlose Sicherheit versucht das Unternehmen zu vermeiden?

  • falsch konfigurierte Geräte
  • rogue access points
  • Abfangen von Daten
  • versehentliche Interferenz

Erklärung: Denial-of-Service-Angriffe können auf falsch konfigurierte Geräte zurückzuführen sein, die das WLAN deaktivieren können. Ungewollte Störungen durch Geräte wie Mikrowellenherde und Schnurlostelefone können sowohl die Sicherheit als auch die Leistung eines WLANs beeinträchtigen. Man-in-the-Middle-Angriffe können es einem Angreifer ermöglichen, Daten abzufangen. Nicht autorisierte Access-Points können unbefugten Benutzern den Zugriff auf das drahtlose Netzwerk ermöglichen.

4. Was ist ein Vorteil der SSID-Tarnung (cloaking)?​

  • Sie bietet freien Internetzugang an öffentlichen Orten, an denen die Kenntnis der SSID nicht von Belang ist.
  • SSIDs sind sehr schwer zu entdecken, da APs sie nicht übertragen.​
  • Dies ist der beste Weg, um ein drahtloses Netzwerk zu sichern.
  • Clients müssen die SSID manuell identifizieren, um eine Verbindung mit dem Netzwerk herzustellen.​

Erklärung: SSID-Tarnung (cloaking) ist eine schwache Sicherheitsfunktion, die von APs und einigen Wireless-Routern ausgeführt wird, indem der SSID-Beacon-Frame deaktiviert werden kann. Obwohl Clients die SSID manuell identifizieren müssen, die mit dem Netzwerk verbunden werden soll, kann die SSID leicht erkannt werden. Der beste Weg, ein drahtloses Netzwerk zu sichern, ist der Einsatz von Authentifizierungs- und Verschlüsselungssystemen. SSID-Cloaking bietet keinen kostenlosen Internetzugang an öffentlichen Orten, aber in dieser Situation könnte eine offene Systemauthentifizierung verwendet werden.

5. Sehen Sie sich die Abbildung an. PC1 und PC2 sollten IP-Adresszuweisungen vom DHCP-Server abrufen können. Wie viele Ports zwischen Switches sollten als vertrauenswürdige (trusted ) Ports im Rahmen der DHCP-Snooping-Konfiguration zugewiesen werden?

Image

  • 3
  • 1
  • 7
  • 5

Erklärung: Die DHCP-Snooping-Konfiguration umfasst das Erstellen der DHCP-Snooping-Binding-Datenbank und das Zuweisen der erforderlichen vertrauenswürdigen (trusted) Ports auf Switches. Ein vertrauenswürdiger (trusted) Port verweist auf die legitimen DHCP-Server. Da der DHCP-Server an AS3 angeschlossen ist, sollten in diesem Netzwerkdesign sieben Switch-Ports als vertrauenswürdige (trusted) Ports zugewiesen werden, einer auf AS3 zum DHCP-Server, einer auf DS1 in Richtung AS3, einer auf DS2 in Richtung AS3 und zwei Verbindungen auf AS1 und AS2 (in Richtung DS1 und DS2), insgesamt sieben.

6. Welche Funktion bietet das CAPWAP-Protokoll in einem drahtlosen Unternehmensnetzwerk?

  • CAPWAP bietet Verbindungen zwischen einem Access Point mit IPv6-Adressierung und einem Wireless-Client mit IPv4-Adressierung.
  • CAPWAP erstellt einen Tunnel auf TCP-Ports (Transmission Control Protocol), um einem WLC die Konfiguration eines autonomen Access-Points zu ermöglichen.
  • CAPWAP ermöglicht die Kapselung und Weiterleitung des WLAN-Nutzerverkehrs zwischen einem Access Point und einem Wireless LAN Controller.
  • CAPWAP bietet die Verschlüsselung des WLAN-Nutzerverkehrs zwischen einem Access Point und einem Wireless-Client.

Erklärung: CAPWAP ist ein IEEE-Standardprotokoll, das es einem WLC ermöglicht, mehrere APs und WLANs zu verwalten. CAPWAP ist auch für die Kapselung und Weiterleitung des WLAN-Client-Datenverkehrs zwischen einem AP und einem WLC verantwortlich.

7. Was ist ein Wireless-Sicherheitsmodus, in dem ein RADIUS-Server zur Authentifizierung von Wireless-Benutzern benötigt wird?

  • shared key
  • enterprise
  • WEP
  • personal

Erklärung: Es gibt zwei Arten von WPA und WPA2: personal und enterprise. Personal wird in Heim- und kleinen Büronetzwerken verwendet. Shared Key ermöglicht drei verschiedene Authentifizierungstechniken: (1) WEP, (2) WPA und (3) 802.11i/WPA2. WEP ist eine Verschlüsselungsmethode.

8. Welche Option bietet auf einem Cisco 3504 WLC-Dashboard Zugriff auf das vollständige Funktionsmenü?

  • Access Points
  • Network Summary
  • Rogues
  • Advanced

Erklärung: Das Cisco 3504 WLC Dashboard wird angezeigt, wenn sich ein Benutzer beim WLC anmeldet. Es bietet einige grundlegende Einstellungen und Menüs, auf die Benutzer schnell zugreifen können, um eine Vielzahl gängiger Konfigurationen zu implementieren. Durch Klicken auf die Schaltfläche Advanced öffnet der Benutzer die erweiterte Seite Summary und greift auf alle Funktionen des WLC zu.

9. Welche Komponente von AAA ermöglicht es einem Administrator, Personen, die auf Netzwerkressourcen zugreifen und alle Änderungen, die an diesen Ressourcen vorgenommen werden, zu verfolgen?

  • Autorisierung
  • Abrechnung
  • Zugänglichkeit
  • Authentifizierung

Erklärung: Eine der Komponenten in AAA ist die Abrechnung. Nachdem ein Benutzer über AAA authentifiziert wurde, protokollieren AAA-Server genau die Aktionen, die der authentifizierte Benutzer auf dem Gerät ausführt.

10. Ordnen Sie die einzelnen funktionalen AAA-Komponenten der richtigen Beschreibung zu. (Nicht alle Optionen werden eingesetzt.)

Image

Erklärung: Platzieren Sie die Optionen in der folgenden Reihenfolge:

Autorisierung legt fest, auf welche Ressourcen Benutzer zugreifen können bzw. welche Aktionen sie ausführen dürfen
– nicht bewertet – berechnet die Benutzerkosten für den Remote-Zugriff auf ein Gerät
Buchhaltung Zeichnet auf, was Benutzer tun und worauf sie zugreifen

11. Welchen Sicherheitsvorteil hat die Aktivierung von BPDU Guard auf PortFast-fähigen Schnittstellen?

  • Verhindern, dass nicht autorisierte Switches zum Netzwerk hinzugefügt werden
  • Erzwingen der Platzierung von Root-Bridges
  • Verhinderung von Pufferüberlauf-Attacken
  • Schutz vor Layer-2-Schleifen

Erklärung: BPDU guard deaktiviert einen Port sofort, der eine BPDU empfängt. Dadurch wird verhindert, dass nicht autorisierte Switches zum Netzwerk hinzugefügt werden. BPDU Guard sollte nur auf alle Endbenutzer-Ports angewendet werden.

12. Ein Netzwerkadministrator einer Hochschule konfiguriert den WLAN-Benutzerauthentifizierungsprozess. WLAN-Nutzer müssen Benutzernamen und Kennwort eingeben, die von einem Server verifiziert werden. Welcher Server würde einen solchen Service anbieten?

  • NAT
  • AAA
  • SNMP
  • RADIUS

Erklärung: RADIUS (Remote Authentication Dial-In User Service) ist eine Protokoll- und Serversoftware, die eine benutzerbasierte Authentifizierung für eine Organisation bereitstellt. Wenn ein WLAN für die Verwendung eines RADIUS-Servers konfiguriert ist, geben Benutzer Benutzernamen und Kennwort-Anmeldeinformationen ein, die vom RADIUS-Server überprüft werden, bevor WLAN zugelassen wird.

13. Welche Art von VLAN-Hopping-Angriff kann verhindert werden, indem ein nicht verwendetes VLAN als natives VLAN bezeichnet wird?

  • DHCP-Spoofing
  • DTP-Spoofing
  • VLAN-Doppel-Tagging
  • DHCP-Starvation

Erklärung: Das Spoofing von DTP-Nachrichten zwingt einen Switch als Teil eines VLAN-Hopping -Angriffs in den Trunking -Modus, aber das VLAN -Doppel-Tagging funktioniert auch dann, wenn Trunk-Ports deaktiviert sind. Das Ändern des nativen VLAN von der Standardeinstellung auf ein nicht verwendetes VLAN reduziert die Möglichkeit eines solchen Angriffs. DHCP- Spoofing und DHCP -Starvation nutzen Schwachstellen im DHCP -Nachrichtenaustausch aus.​

14. Welcher Dienst kann auf einem Wireless-Router verwendet werden, um den Netzwerkverkehr zwischen verschiedenen Arten von Anwendungen zu priorisieren, damit Sprach- und Videodaten vor E-Mail- und Webdaten priorisiert werden?

  • NAT
  • DNS
  • QoS
  • DHCP

Erklärung: Viele Wireless-Router haben eine Option zur Konfiguration der Servicequalität (Quality of Service, QoS). Durch die Konfiguration von QoS werden bestimmte zeitkritische Datenverkehrstypen, wie z. B. Sprach- und Videoverkehr, priorisiert gegenüber Datenverkehr, der nicht so zeitkritisch ist, wie E-Mails und Webbrowsen.

15. Welche Anweisung beschreibt das Verhalten eines Switches, wenn die MAC-Adresstabelle voll ist?

  • Er behandelt Frames als unbekannte Unicast-Frames und flutet alle eingehenden Frames an alle Ports des Switches.
  • Er behandelt Frames als unbekannte Unicast-Frames und flutet alle eingehenden Frames an alle Ports innerhalb der Kollisionsdomäne.
  • Er behandelt Frames als unbekannte Unicast-Frames und flutet alle eingehenden Frames an alle Ports des lokalen VLANs.
  • Es behandelt Frames als unbekannte Unicast-Frames und flutet alle eingehenden Frames an alle Ports über mehrere Switches hinweg.

Erklärung: Wenn die MAC-Adresstabelle voll ist, behandelt der Switch den Frame als unbekannten Unicast-Frame und beginnt, den gesamten eingehenden Datenverkehr nur innerhalb des lokalen VLANs zu fluten.

16. Welche zwei Cisco-Lösungen helfen, DHCP-Starvation-Aattacken zu verhindern? (Wählen Sie zwei Antwortmöglichkeiten aus.)

  • DHCP Snooping
  • Dynamic ARP Inspection
  • Port Security
  • IP Source Guard
  • Web Security Appliance

Erklärung: Cisco bietet Lösungen zur Minderung von Layer-2-Angriffen, einschließlich der folgenden:

  • IP Source Guard (IPSG) – verhindert MAC- und IP-Adressen-Spoofing-Angriffe
  • Dynamic ARP Inspection (DAI) – verhindert ARP-Spoofing- und ARP-Poisoning-Angriffe
  • DHCP-Snooping – verhindert DHCP-Starvation- und SHCP-Spoofing-Angriffe
  • Port Security – verhindert viele Arten von Angriffen, einschließlich MAC-Tabellenüberlauf-Angriffe und DHCP-Starvation-Angriffe

Web Security Appliance (WSA) ist eine Technologie zur Schadensbegrenzung für webbasierte Bedrohungen.

17. Welche zwei Methoden werden von einer Wireless-Netzwerkkarte verwendet, um einen AP zu entdecken? (Wählen Sie zwei Antwortmöglichkeiten aus.)

  • Initiieren eines Drei-Wege-Handshake
  • Senden eines Broadcast-Frames
  • Senden einer ARP-Anfrage
  • Übertragen eines Probe-Request
  • Empfangen eines Broadcast-Beacon-Frames

Erklärung: Zwei Methoden können von einem drahtlosen Gerät verwendet werden, um einen Access Point zu erkennen und zu registrieren: passiver Modus und aktiver Modus. Im passiven Modus sendet der AP einen Broadcast-Beacon-Frame, der die SSID und andere WLAN-Einstellungen enthält. Im aktiven Modus muss das drahtlose Gerät manuell für die SSID konfiguriert werden und dann sendet das Gerät einen Probe-Request.

18. Was stellt eine Best Practice in Bezug auf Discovery-Protokolle wie CDP und LLDP auf Netzwerkgeräten dar?

  • Deaktivieren beide Protokolle auf allen Schnittstellen, wo sie nicht erforderlich sind.
  • Aktivieren CDP auf Edge-Geräten und aktivieren LLDP auf Geräten im Inneren.
  • Verwenden den offenen Standard LLDP anstelle von CDP.
  • Verwenden die Standard-Router-Einstellungen für CDP und LLDP.

Erklärung: Beide Erkennungsprotokolle können Hackern vertrauliche Netzwerkinformationen bereitstellen. Sie sollten nicht auf Edge-Geräten aktiviert werden und sollten global oder auf Interface-Basis deaktiviert werden, wenn dies nicht erforderlich ist. CDP ist standardmäßig aktiviert.​

19. Ein IT-Sicherheitsspezialist aktiviert die Port-Security an einem Switch-Port eines Cisco-Switches. Welches ist der Standardverletzungsmodus, der verwendet wird, bis der Switch-Port so konfiguriert wird, dass er einen anderen Verletzungsmodus verwendet?

  • restrict
  • protect
  • disabled
  • shutdown

Erklärung: Wenn kein Verstoßmodus angegeben wird, wenn die Portsicherheit an einem Switch-Port aktiviert ist, ist der Sicherheitsverletzungsmodus standardmäßig shutdown.

20. Was sind drei Techniken zur Minderung von VLAN-Angriffen? (Wählen Sie drei Antwortmöglichkeiten aus.)

  • Source Guard aktivieren
  • Trunking manuell aktivieren
  • DTP deaktivieren
  • das native VLAN auf ein nicht verwendetes VLAN festlegen
  • BPDU Guard aktivieren
  • private VLANs verwenden

Erklärung: Die Eindämmung eines VLAN-Angriffs kann durch Deaktivieren des Dynamic Trunking Protocol (DTP), manuelles Setzen von Ports in den Trunking-Modus und durch Festlegen des nativen VLAN von Trunk-Links zu VLANs, die nicht verwendet werden, erfolgen.

21. Welche Authentifizierungsmethode speichert Benutzernamen und Passwörter im Router und ist ideal für kleine Netzwerke?

  • serverbasiertes AAA
  • Serverbasiertes AAA über TACACS+
  • lokaler AAA
  • serverbasiertes AAA über RADIUS
  • lokaler AAA über RADIUS
  • lokale AAA über TACACS+

Erklärung: In einem kleinen Netzwerk mit wenigen Netzwerkgeräten kann die AAA-Authentifizierung mit der lokalen Datenbank und mit Benutzernamen und Passwörtern implementiert werden, die auf den Netzwerkgeräten gespeichert sind. Für die Authentifizierung mit dem TACACS+- oder RADIUS-Protokoll sind dedizierte ACS-Server erforderlich, wobei diese Authentifizierungslösung in einem großen Netzwerk gut skalierbar ist.

22. Ein Netzwerkadministrator konfiguriert DAI auf einem Switch mit dem Befehl ip arp inspection validate src-mac. Was ist der Zweck dieses Konfigurationsbefehls

  • Er überprüft die Quell-MAC-Adresse im Ethernet-Header mit der MAC-Adresstabelle.
  • Er überprüft die Quell-MAC-Adresse im Ethernet-Header mit der Absender-MAC-Adresse im ARP-Body.
  • Er überprüft die Quell-MAC-Adresse im Ethernet-Header mit der Ziel-MAC-Adresse im ARP-Body.
  • Er überprüft die Quell-MAC-Adresse im Ethernet-Header mit den vom Benutzer konfigurierten ARP-ACLs.

Erklärung: DAI kann so konfiguriert werden, dass sowohl Ziel- als auch Quell-MAC- und IP-Adressen überprüft werden:

  • Destination-MAC – Vergleicht die Ziel-MAC-Adresse im Ethernet-Header mit der Ziel-MAC-Adresse im ARP-Body.
  • Source MAC – Prüft die Quell-MAC-Adresse im Ethernet-Header gegen die Absender-MAC-Adresse im ARP-Body.
  • IP-Adresse – Überprüft den ARP-Body auf ungültige und unerwartete IP-Adressen einschließlich der Adressen 0.0.0.0, 255.255.255.255 und alle IP-Multicastadressen.

23. Ein Netzwerktechniker führt eine Fehlersuche in einem neu eingerichteten drahtlosen Netzwerk durch, das die neuesten 802.11-Standards verwendet. Wenn Benutzer auf Dienste mit hoher Bandbreite wie Video-Streaming zugreifen, ist die Leistung des drahtlosen Netzwerks schlecht. Um die Leistung zu verbessern, beschließt der Netzwerktechniker, eine SSID für das 5-GHz-Frequenzband zu konfigurieren und die Benutzer darin zu schulen, diese SSID für Streaming-Mediendienste zu verwenden. Warum kann diese Lösung die Leistung des WLAN-Netzwerks für diese Art von Service verbessern?

  • Es ist unbequem, dass Benutzer zum 5-GHz-Band wechseln müssen, um Medien zu streamen und dies führt dazu, dass weniger Benutzer auf diese Dienste zugreifen.
  • Das 5-GHz-Band hat mehr Kanäle und ist weniger überfüllt als das 2,4-GHz-Band, was es für das Streaming von Multimedia besser geeignet macht.
  • Das 5-GHz-Band hat eine größere Reichweite und ist daher wahrscheinlich störungsfrei.
  • Die einzigen Nutzer, die in das 5-GHz-Band wechseln können, werden diejenigen mit den neuesten drahtlosen NICs sein, was die Nutzung reduzieren wird.

Erklärung: Die WLAN-Reichweite wird durch die Access Point-Antenne und die Ausgangsleistung bestimmt, nicht durch das verwendete Frequenzband. In diesem Szenario wird angegeben, dass alle Benutzer WLAN- Netzwerkkarten haben, die dem neuesten Standard entsprechen und so können alle auf das 5-GHz-Band zugreifen. Obwohl einige Benutzer es möglicherweise unbequem finden, auf das 5-GHz-Band zu wechseln, um auf Streaming-Dienste zuzugreifen, ist es die größere Anzahl von Kanälen, nicht nur weniger Benutzer, die die Netzwerkleistung verbessern.

24. Welche zwei IEEE 802.11 Wireless-Standards funktionieren nur im 5-GHz-Bereich? (Wählen Sie zwei Antwortmöglichkeiten aus.)

  • 802.11g
  • 802.11a
  • 802.11b
  • 802.11ac
  • 802.11n
  • 802.11ad

Erklärung: Die Standards 802.11a und 802.11ac funktionieren nur im 5-GHz-Bereich. Die Standards 802.11b und 802.11g funktionieren nur im 2,4-GHz-Bereich. Der 802.11n-Standard arbeitet sowohl im 2,4 als auch im 5-GHz-Bereich. Der 802.11ad-Standard arbeitet in den Bereichen 2,4 als auch 5 und 60 GHz.

25. Welche(s) Zugriffssteuerungskomponente, -implementierung oder -protokoll schränkt den LAN-Zugriff über öffentlich zugängliche Switch-Ports ein?

  • Authentifizierung
  • Autorisierung
  • Abrechnung
  • 802.1X

26. Ein Netzwerkadministrator konfiguriert eine RADIUS-Serververbindung auf einem Cisco 3500 Serie WLC. Die Konfiguration erfordert ein Shared Secret Password. Was ist der Zweck des Shared Secret Password?

  • Es wird vom RADIUS-Server verwendet, um WLAN-Benutzer zu authentifizieren.
  • Es ermöglicht Benutzern die Authentifizierung und den Zugriff auf das WLAN.
  • Es wird verwendet, um die Nachrichten zwischen dem WLC und dem RADIUS-Server zu verschlüsseln.
  • Es wird verwendet, um Benutzerdaten im WLAN zu authentifizieren und zu verschlüsseln.

Erklärung: Das RADIUS-Protokoll verwendet Sicherheitsfunktionen, um die Kommunikation zwischen dem RADIUS-Server und den Clients zu schützen. Ein Shared Secret ist das Kennwort, das zwischen dem WLC und dem RADIUS-Server verwendet wird. Es ist nicht für Endnutzer.

27. Öffnen Sie die PT-Aktivität. Führen Sie die Aufgaben in der Aktivität aus und beantworten Sie die anschließende Frage.

Icon

CCNA2Module10-13.pka

1 Datei(en) 42.90 KB
Download

Welches Ereignis tritt ein, wenn an der Schnittstelle Fa0/1 von Switch S1 eine Verletzung der Port-Security vorliegt?

  • Pakete mit unbekannten Quelladressen werden verworfen.
  • Eine Syslog-Nachricht wird protokolliert.
  • Die Schnittstelle wechselt in den Zustand „error-disable“.
  • Eine Benachrichtigung wird gesendet.

Erklärung: Der Verletzungsmodus kann durch Ausgabe der folgenden Befehls  show port-security interface<int>  angezeigt werden. Die Schnittstelle FastEthernet 0/1 ist mit dem Violation Mode „protect“ konfiguriert. Wenn es eine Verletzung gibt, wird die Schnittstelle FastEthernet 0/1 Pakete mit unbekannten MAC-Adressen verwerfen.

28. Sehen Sie sich die Abbildung an. Die Fa0/2 Schnittstelle am Switch S1 wurde mit dem Befehl switchport port-security mac-address 0023.189d.6456 konfiguriert und eine Workstation wurde angeschlossen. Was könnte der Grund dafür sein, dass die Fa0/2-Schnittstelle heruntergefahren ist?

Image

  • S1 wurde mit dem Befehl switchport port-security aging konfiguriert.
  • Die MAC-Adresse von PC1, die mit der Fa0/2-Schnittstelle verbunden ist, ist nicht die konfigurierte MAC-Adresse.
  • Die Fa0/24-Schnittstelle von S1 ist mit der gleichen MAC-Adresse wie die Fa0/2 Schnittstelle konfiguriert.
  • Die Verbindung zwischen S1 und PC1 erfolgt über ein Crossover-Kabel.

Erklärung: Der Zähler für Sicherheitsverletzungen für Fa0/2 wurde erhöht (belegt durch die 1 in der Spalte SecurityViolation). Die sicheren Adressen, die auf Port Fa0/2 erlaubt sind, ist auf 1 begrenzt und diese Adresse wurde manuell eingegeben. Daher muss PC1 eine andere MAC-Adresse haben als die für Port Fa0/2 konfigurierte. Verbindungen zwischen Endgeräten und dem Switch sowie Verbindungen zwischen einem Router und einem Switch werden mit einem Straight-through-Kabel hergestellt.

29. Ein Techniker befasst sich mit der Fehlerbehebung eines langsamen WLANs, das aus 802.11b- und 802.11g-Geräten besteht. Ein neuer 802.11n/ac Dual-Band-Router wurde im Netzwerk bereitgestellt, um den alten 802.11g-Router zu ersetzen. Was kann der Techniker tun, um die schlechte WLAN-Geschwindigkeit zu beheben?

  • Die Firmware auf dem neuen Router aktualisieren.
  • Die Geräte für die Verwendung eines anderen Kanals konfigurieren.
  • Die SSID ändern.
  • Den WLAN-Datenverkehr zwischen dem 2,4-GHz-Band 802.11n und dem 5-GHz-Band teilen.

Erklärung: Durch die Aufteilung des WLAN-Datenverkehrs zwischen dem 2,4-GHz-Band 802.11n und dem 5-GHz-Band kann der 802.11n die beiden Bänder als zwei separate drahtlose Netzwerke verwenden, um den Datenverkehr zu verwalten und so die drahtlose Leistung zu verbessern.

30. Welche Art von drahtlosem Netzwerk verwendet Sender, um ein mittelgroßes Netzwerk abzudecken, normalerweise bis zu 91,4 Meter (300 Fuß)?

  • Wireless Wide-Area Network
  • Wireless Personal-Area Network
  • Wireless Local-Area Network
  • Wireless Metropolitan-Area Network

31. Was ist das Ergebnis eines DCHP-Starvation-Angriffs?

  • Die den legitimen Clients zugewiesenen IP-Adressen werden gekapert.
  • Clients erhalten IP-Adresszuweisungen von einem nicht autorisierten DHCP-Server.
  • Der Angreifer stellt falsche DNS- und Standard-Gatewayinformationen für Clients bereit.
  • Rechtmäßige Clients können keine IP-Adressen leasen.

Erklärung: DCHP-Starvation-Angriffe werden von einem Angreifer mit der Absicht gestartet, ei DoS für DHCP -Clients zu schaffen. Um dieses Ziel zu erreichen, verwendet der Angreifer ein Tool, das viele DHCPDISCOVER-Nachrichten sendet, um den gesamten Pool verfügbarer IP-Adressen zu leasen und sie somit legitimen Hosts zu verweigern.

32. Sehen Sie sich die Abbildung an. Welche Aussage über Portsicherheit kann aus den gezeigten Informationen abgeleitet werden?

Image

  • Der Port-Sicherheitsmodus ist in der Standardeinstellung, wie bei allen Ports mit aktivierter Portsicherheit.
  • Der Port wurde heruntergefahren.
  • Der Port verfügt über zwei angeschlossene Geräte.
  • Der Port hat die maximale Anzahl von MAC-Adressen, die durch einen Layer-2-Switch-Port unterstützt werden, bei dem Portsicherheit aktiviert ist.

Erklärung: Die Zeile Port-Sicherheit zeigt einfach nur Enabled falls der switchport port-security Befehl (ohne Optionen) für einen bestimmten Switchport eingegeben wurde. Wenn eine Sicherheitsverletzung eingetreten ist, wird eine Fehlermeldung angezeigt, wie z.B. Secure-shutdown. Die maximale Anzahl der unterstützten MAC-Adressen ist 50. Die Zeile Maximum MAC Addresses wird verwendet, um anzugeben, wie viele MAC-Adressen gelernt werden können (in diesem Fall 2). Die Zeile Sticky MAC Addresses zeigt, dass nur ein Gerät angeschlossen ist und automatisch vom Switch erlernt wurde. Diese Konfiguration kann verwendet werden, wenn ein Port von verschiedenen Personen verwendet wird, die unterschiedliche Laptops mitbringen.

33. Welches Protokoll kann verwendet werden, um das Netzwerk zu überwachen?

  • DHCP
  • SNMP
  • RADIUS
  • AAA

Erklärung: SNMP (Simple Network Management Protocol) wird zur Überwachung des Netzwerks verwendet.

34. Welche Art von drahtlosem Netzwerk eignet sich für nationale und globale Kommunikation?

  • Wireless Wide-Area Network
  • Wireless Personal-Area Network
  • Wireless Local-Area Network
  • Wireless Metropolitan-Area Network

35. Welche Wireless-Netzwerktopologie würde von Netzwerktechnikern verwendet, um ein drahtloses Netzwerk für ein gesamtes Hochschulgebäude bereitzustellen?

  • Infrastruktur
  • Hotspot
  • mixed mode
  • ad hoc

Erklärung: Der Ad-hoc-Modus (auch als independent basic service set oder IBSS bezeichnet) wird in einem Peer-to-Peer-Wireless-Netzwerk verwendet, z. B. wenn Bluetooth verwendet wird. Eine Variation der Ad-hoc-Topologie ist vorhanden, wenn ein Smartphone oder Tablet mit Mobilfunkdatenzugriff aktiviert ist, um einen persönlichen drahtlosen Hotspot zu erstellen. Der Mixed Mode ermöglicht es älteren drahtlosen Netzwerkkarten, sich an einen Access Point anzuschließen, der einen neueren WLAN-Standard verwenden kann.

36. Welche Komponente von AAA wird verwendet, um zu bestimmen, auf welche Ressourcen ein Benutzer zugreifen kann und welche Operationen der Benutzer ausführen darf?

  • Abrechnung
  • Autorisierung
  • Auditing
  • Authentifizierung

Erklärung: Eine der Komponenten in AAA ist die Autorisierung. Nachdem ein Benutzer über AAA authentifiziert wurde, legen Autorisierungsdienste fest, auf welche Ressourcen der Benutzer zugreifen kann und welche Vorgänge der Benutzer ausführen darf.

37. Ein Laptop kann keine Verbindung zu einem drahtlosen Access-Point herstellen. Welche zwei Fehlerbehebungsschritte sollten zuerst durchgeführt werden? (Wählen Sie zwei Antwortmöglichkeiten aus.)

  • Sicherstellen, dass das richtige Netzwerkmedium ausgewählt ist.
  • Sicherstellen, dass die Laptop-Antenne angeschlossen ist.
  • Sicherstellen, dass die Netzwerkkarte für die richtige Frequenz konfiguriert ist.
  • Sicherstellen, dass die Wireless-Netzwerkkarte aktiviert ist.
  • Sicherstellen, dass die WLAN-SSID ausgewählt ist.

Erklärung: Ein Laptop hat normalerweise keine externe Antenne angeschlossen, es sei denn, es wurde kürzlich eine Reparatur durchgeführt. Wenn die Wireless-Netzwerkkarte aktiviert ist, wird das richtige Medium, Funk, verwendet. Wenn die Netzwerkkarte einen Access-Point erkennt, wird automatisch die richtige Frequenz verwendet.

38. Welcher Schritt ist erforderlich, bevor Sie ein neues WLAN auf einem Cisco 3500 WLC erstellen können?

  • Aufbau eines SNMP-Servers oder einen solchen zur Verfügung stellen.
  • Erstellen einer neuen VLAN-Schnittstelle.
  • Erstellen einer neuen SSID.
  • Aufbau eines SNMP-Servers oder einen solchen zur Verfügung stellen.

Erklärung: Jedes neue WLAN, das auf einem Cisco 3500 Serie WLC konfiguriert ist, benötigt eine eigene VLAN-Schnittstelle. Daher ist es erforderlich, zuerst eine neue VLAN-Schnittstelle zu erstellen, bevor ein neues WLAN erstellt werden kann.

39. Ein Netzwerkadministrator konfiguriert die Port-Sicherheit auf einem Cisco Switch. Die Sicherheitsrichtlinie eines Unternehmens gibt an, dass bei einer Verletzung Pakete mit unbekannten Quelladressen verworfen werden sollen und keine Benachrichtigung gesendet werden sollen. Welcher Verletzungsmodus sollte auf den Schnittstellen konfiguriert werden?

  • abschalten
  • aus
  • schützen
  • einschränken

Erklärung: Auf einem Cisco Switch kann eine Schnittstelle für einen von drei Verletzungsmodi konfiguriert und die Maßnahme angegeben werden, die beim Auftreten einer Verletzung ergriffen werden soll.

  • Schützen – Pakete mit unbekannter Quelladresse werden verworfen, bis eine ausreichende Anzahl von sicheren MAC-Adressen entfernt oder die Anzahl der maximal zulässigen Adressen erhöht wird. Es erfolgt keine Benachrichtigung, dass es zu einer Sicherheitsverletzung gekommen ist.
  • Einschränken – Pakete mit unbekannter Quelladresse werden verworfen, bis eine ausreichende Anzahl von sicheren MAC-Adressen entfernt oder die Anzahl der maximal zulässigen Adressen erhöht wird. In diesem Modus erfolgt eine Benachrichtigung, dass es zu einer Sicherheitsverletzung gekommen ist.
  • Abschalten – Die Schnittstelle wechselt sofort in den Zustand „error-disabled“ und die Port-LED wird ausgeschaltet.

40. Im Rahmen der neuen Sicherheitsrichtlinie werden alle Switches im Netzwerk konfiguriert, MAC-Adressen für jeden Port automatisch zu erlernen. Alle aktuellen Konfigurationen werden am Anfang und Ende jedes Arbeitstags gespeichert. Ein schweres Gewitter verursacht einige Stunden nach dem Ende des Arbeitstags einen längeren Stromausfall. Als die Switches wieder online waren, blieben die dynamisch erlernten MAC-Adressen erhalten. Welche Port-Sicherheitskonfiguration sorgte dafür?

  • statische sichere MAC-Adressen
  • sticky-sichere MAC-Adressen
  • automatisch sichere MAC-Adressen
  • dynamische sichere MAC-Adressen

Erklärung: Bei der sticky-sicheren MAC-Adressierung können die MAC-Adressen entweder dynamisch ermittelt oder manuell konfiguriert und danach in der Adresstabelle gespeichert und zur aktuellen Konfigurationsdatei hinzugefügt werden. Im Gegensatz dazu sorgt die dynamische sichere MAC-Adressierung für eine dynamisch ermittelte MAC-Adressierung, die nur in der Adresstabelle gespeichert wird.

41. Welches Gerät wird während des 802.1X-Authentifizierungsprozesses als Supplicant angesehen?

  • der Authentifizierungsserver, der die Client-Authentifizierung durchführt
  • der Router, der als Standard-Gateway dient
  • der Switch, der den Netzwerkzugriff steuert
  • der Client, der die Authentifizierung anfordert

Erklärung: Die am 802.1X-Authentifizierungsprozess beteiligten Geräte sind wie folgt:

  • Der Supplicant, d. h. der Client, der Netzwerkzugriff anfordert
  • Der Authenticator, d.h. der Switch, mit dem sich der Client verbindet und der tatsächlich den physischen Netzzugang kontrolliert
  • Der Authentifizierungsserver, der die eigentliche Authentifizierung durchführt

42. Ein Netzwerkadministrator stellt einen Wireless-Router in einer kleinen Anwaltskanzlei bereit. Mitarbeiter-Laptops verbinden sich mit dem WLAN und empfangen IP-Adressen im Netzwerk 10.0.10.0/24. Welcher Dienst wird auf dem Wireless-Router verwendet, damit die Laptops der Mitarbeiter auf das Internet zugreifen können?

  • NAT
  • DHCP
  • RADIUS
  • DNS

Erklärung: Jede Adresse mit der 10 im ersten Oktett ist eine private IPv4-Adresse und kann nicht über das Internet weitergeleitet werden. Der Wireless-Router verwendet einen Dienst namens Network Address Translation (NAT), um private IPv4-Adressen in Internet-routebare IPv4-Adressen umzuwandeln, damit drahtlose Geräte Zugriff auf das Internet erhalten.

43. Auf einer Cisco 3504 WLC-Summary-Seite (Advanced > Summary ): Auf welcher Registerkarte kann ein Netzwerkadministrator auf ein WLAN für eine bestimmte Sicherheitsoption wie WPA2 zugreifen und sie konfigurieren?

  • WLANs
  • MANAGEMENT
  • WIRELESS
  • SECURITY

Erklärung: Die Registerkarte WLANs auf der erweiterten Seite Summary des Cisco 3504 WLC ermöglicht einem Benutzer Zugriff auf die Konfiguration von WLANs einschließlich Sicherheit, QoS und Policy-Mapping.

44. Ein Techniker konfiguriert den Kanal auf einem Wireless-Router als 1, 6 oder 11. Welchen Zweck erfüllt die Anpassung des Kanals?

  • Stärkere Sicherheitsmodi werden bereitgestellt.
  • Störungen durch Wireless-Geräte in der Nähe werden vermieden.
  • Der Broadcast der SSID wird deaktiviert.
  • Unterschiedliche 802.11-Standards werden ermöglicht.

Erklärung: Die Kanäle 1, 6 und 11 werden ausgewählt, da zwischen ihnen 5 Kanäle liegen und damit eine mögliche Störung durch benachbarte Kanäle reduziert wird. Eine Kanalfrequenz kann Störungen für die Kanäle auf beiden Seiten der Hauptfrequenz verursachen. Alle Wireless-Geräte müssen auf nicht benachbarten Kanälen verwendet werden.

45. Welche drei Parameter müssten geändert werden, wenn Best Practices für einen drahtlosen Heim-AP implementiert werden? (Wählen Sie drei Antwortmöglichkeiten aus.)

  • Antennenfrequenz
  • Wireless-Beacon-Zeit
  • SSID
  • WLAN-Netzwerk-Kennwort
  • Kennwort für das Betriebssystem des WLAN-Clients
  • Passwort des AP

Erklärung: Sobald ein AP aus der Box genommen wird, sollten das Standard-Gerätekennwort, die SSID und die Sicherheitsparameter (WLAN-Netzwerkkennwort) festgelegt werden. Die Frequenz einer WLAN-Antenne kann eingestellt werden, dies ist jedoch nicht erforderlich. Die Beacon-Zeit ist normalerweise nicht konfiguriert. Das Kennwort für das Betriebssystem des WLAN-Clients wird von der Konfiguration eines WLAN-Heimnetzwerks nicht beeinflusst.

46. Ein Netzwerkadministrator arbeitet daran, die WLAN-Leistung auf einem Dual-Band-Wireless-Router zu verbessern. Was ist ein einfacher Weg, um ein Split-the-Traffic-Ergebnis zu erzielen?

  • Überprüfen der Firmware des Wireless LAN Routers und sie auf dem neuesten Stand halten.
  • Dem WLAN einen WLAN-Range Extender hinzufügen und den AP und den Range Extender so einstellen, dass sie verschiedene Bänder bedienen.
  • Sicherstellen, dass für die 2,4-GHz- und 5-GHz-Bänder unterschiedliche SSIDs verwendet werden.
  • Alle Nutzer drahtloser Geräte werden aufgefordert, den 802.11n-Standard zu verwenden.

Erklärung: Standardmäßig verwenden Dual-Band-Router und APs den gleichen Netzwerknamen sowohl auf dem 2,4-GHz-Band als auch im 5-GHz-Band. Die einfachste Möglichkeit, den Datenverkehr zu segmentieren, besteht darin, eines der drahtlosen Netzwerke umzubenennen.

47. Ein Netzwerkadministrator gibt die folgenden Befehle auf dem Switch SW1 ein.

SW1 (config) # interface range fa0/5 – 10
SW1(config-if)# ip dhcp snooping limit rate 6

Was ist der Effekt, nachdem diese Befehle eingegeben wurden?

  • FastEthernet-Ports 5 bis 10 können bis zu 6 DHCP-Discovery-Nachrichten pro Sekunde empfangen.
  • FastEthernet-Ports 5 bis 10 können bis zu 6 DHCP-Nachrichten jeder Art pro Sekunde empfangen.
  • Wenn einer der FastEthernet-Ports 5 bis 10 mehr als 6 DHCP-Nachrichten pro Sekunde empfängt, wird der Port heruntergefahren.
  • Wenn einer der FastEthernet-Ports 5 bis 10 mehr als 6 DHCP-Nachrichten pro Sekunde empfängt, wird der Port weiterhin betrieben und eine Fehlermeldung wird an den Netzwerkadministrator gesendet.

Erklärung: Wenn DHCP-Snooping konfiguriert wird, sollte die Anzahl der DHCP-Discovery-Nachrichten, die nicht vertrauenswürdige Ports  pro Sekunde empfangen können, mit dem Interface-Konfigurationsbefehl ip dhcp snooping limit rate begrenzt werden. Wenn ein Port mehr Nachrichten empfängt, als die Rate zulässt, werden die zusätzlichen Nachrichten gelöscht.

48. Welche Art von drahtlosem Netzwerk eignet sich für den Einsatz in einem Haus oder Büro?

  • Wireless Local-Area Network
  • Wireless Metropolitan-Area Network
  • Wireless Wide-Area Network
  • Wireless Personal-Area Network

49. Sehen Sie sich die Abbildung an. Port Fa0/2 wurde bereits entsprechend konfiguriert. Das IP-Telefon und der PC arbeiten korrekt. Welche Switch-Konfiguration wäre am besten für Port Fa0/2 geeignet, wenn der Administrator die folgenden Ziele verfolgt?

  • Niemand darf das IP-Telefon oder den PC vom Netzwerk trennen und ein anderes Gerät anschließen.
  • Wird ein anderes Gerät angeschlossen, wird Port Fa0/2 abgeschalten.
  • Der Switch sollte die MAC-Adressen des IP-Telefons und des PC automatisch erkennen und diese in die running-configuration einfügen.

Image

  • SWA(config-if)# switchport port-security
    SWA(config-if)# switchport port-security maximum 2
    SWA(config-if)# switchport port-security mac-address sticky
    SWA(config-if)# switchport port-security violation restrict
  • SWA(config-if)# switchport port-security
    SWA(config-if)# switchport port-security maximum 2
    SWA(config-if)# switchport port-security mac-address sticky
  • SWA(config-if)# switchport port-security
    SWA(config-if)# switchport port-security mac-address sticky
  • SWA(config-if)# switchport port-security mac-address sticky
    SWA(config-if)# switchport port-security maximum 2

Erklärung: Der Standardmodus für die Port-Sicherheit ist das Herunterfahren des Ports, somit ist das switchport port-security violation -Kommando nicht erforderlich. Der Befehl switchport port-security muss ohne weitere Optionen eingegeben werden, um Portsicherheit für den Port zu aktivieren. Dann können zusätzliche Port-Sicherheitsoptionen hinzugefügt werden.

50. Welche(s) Zugriffssteuerungskomponente, -implementierung oder -protokoll prüft, welche Benutzeraktionen im Netzwerk ausgeführt werden?

  • Authentifizierung
  • Autorisierung
  • Abrechnung
  • 802.1X

51. Während der Teilnahme an einer Konferenz nutzen die Teilnehmer Laptops für die Netzwerkkonnektivität. Wenn ein Gastredner versucht, eine Verbindung mit dem Netzwerk herzustellen, zeigt der Laptop keine verfügbaren drahtlosen Netzwerke an. In welchem Modus muss der Access Point arbeiten?

  • mixed
  • active
  • passive
  • open

Erklärung: Activ ist ein Modus, der zum Konfigurieren eines Access Point verwendet wird, sodass Clients die SSID kennen müssen, um eine Verbindung mit dem Access Point herzustellen. APs und Wireless-Router können im Mixed-Modus betrieben werden, sodass mehrere Wireless-Standards unterstützt werden. Open ist ein Authentifizierungsmodus für einen Zugriffspunkt, der keine Auswirkungen auf die Liste der verfügbaren drahtlosen Netzwerke für einen Client hat. Wenn ein Access Point im passiven Modus konfiguriert ist, wird die SSID so ausgestrahlt, dass der Name des drahtlosen Netzwerks in der Liste der verfügbaren Netzwerke für Clients angezeigt wird.

52. Welche Funktion eines Switches macht ihn anfällig für VLAN-Hopping-Angriffe?

  • die automatische Trunking-Port-Funktion, die standardmäßig für alle Ports aktiviert ist
  • die Unterstützung verschiedener Port-Bandbreiten, die standardmäßig für alle Ports aktiviert ist
  • Standardmäßig ist der gemischte Duplexmodus für alle Ports aktiviert
  • die begrenzte Größe des Content-addressable Memory

Erklärung: Durch einen VLAN-Hopping-Angriff kann der Datenverkehr von einem VLAN ohne Routing von einem anderen VLAN gesehen werden. Bei einem einfachen VLAN-Hopping-Angriff nutzt der Angreifer die automatische Trunking-Port-Funktion, die standardmäßig auf den meisten Switch-Ports aktiviert ist.

53. Welches Protokoll sollte verwendet werden, um die Sicherheitsanfälligkeit durch die Verwendung von Telnet zur Remote-Verwaltung von Netzwerkgeräten zu verringern?

  • SNMP
  • SCP
  • SSH
  • TFTP

Erklärung: Telnet verwendet Klartext, um in einem Netzwerk zu kommunizieren. Der Benutzername und das Passwort können erfasst werden, wenn die Datenübertragung abgefangen wird. SSH verschlüsselt die Datenkommunikation zwischen zwei Netzwerkgeräten. TFTP und SCP werden für die Dateiübertragung über das Netzwerk verwendet. SNMP wird in Netzwerkverwaltungslösungen eingesetzt.

54. Sehen Sie sich die Abbildung an. Port Security wurde auf der Fa 0/12 Schnittstelle des Switches S1 konfiguriert. Welche Aktion tritt auf, wenn PC1 mit dem Switch S1 mit der angewendeten Konfiguration verbunden ist?

Image

  • Frames von PC1 werden gelöscht und eine Protokollmeldung wird erstellt.
  • Frames von PC1 werden an das Ziel weitergeleitet und ein Protokolleintrag wird erstellt.
  • Frames von PC1 bewirken, dass die Schnittstelle sofort heruntergefahren wird und ein Protokolleintrag vorgenommen wird.
  • Frames von PC1 werden weitergeleitet, da der Befehl switchport port-security violation fehlt.
  • Frames von PC1 werden an das Ziel weitergeleitet, aber ein Protokolleintrag wird nicht erstellt.
  • Frames von PC1 werden gelöscht und es wird keine Protokollmeldung geben.

Erklärung: Manuelle Konfiguration der einzelnen erlaubten MAC-Adresse wurde für Port fa0/12 konfiguriert. PC1 hat eine andere MAC-Adresse und veranlasst beim Anschließen das Abschalten des Ports (die Standardaktion), das automatische Erstellen einer Logmeldung und das Erhöhen des Verletzungszählers. Die Standardaktion des Herunterfahrens wird empfohlen, da die Option Restrict möglicherweise fehlschlägt, wenn ein Angriff läuft.

55. Was sind zwei Protokolle, die von AAA verwendet werden, um Benutzer gegen eine zentrale Datenbank mit Benutzernamen und Kennwort zu authentifizieren? (Wählen Sie zwei Antwortmöglichkeiten aus.)

  • TACACS+
  • CHAP
  • HTTPS
  • SSH
  • NTP
  • RADIUS

Erklärung: Mithilfe von TACACS+ oder RADIUS kann AAA Benutzer aus einer Datenbank mit Benutzernamen und Kennwörtern authentifizieren, die zentral auf einem Server wie einem Cisco ACS-Server gespeichert sind.

56. Welche Zugriffssteuerungskomponente, -implementierung oder -protokoll wird entweder lokal oder als serverbasierte Lösung implementiert?

  • Autorisierung
  • Authentifizierung
  • Abrechnung
  • 802.1X

57. Welche Art von Managementframe kann regelmäßig von einem AP ausgestrahlt werden?

  • Anforderungsanfrage (Probe Request)
  • Authentifizierung
  • Beacon
  • probe response

Erklärung: Beacons sind der einzige Verwaltungsframe, der regelmäßig von einem AP ausgestrahlt werden kann. Probing-, Authentifizierung- und Assoziationsframes werden nur während des Assoziationsprozesses verwendet.

Articles liés

Abonnieren
Benachrichtigen bei
guest

0 Comments
Neueste
Älteste Meistbewertet
Inline-Feedbacks
Alle Kommentare anzeigen