Prueba3 Csy5122 - 2024-1 - San Bernardo-1d

PRUEBA 3 CSY5122_2024-1_SAN BERNARDO
TOPOLOGIA
A.- CONFIGURE SEGURIDAD BÁSICA EN ROUTER Y SWITCH - 20%

a) La longitud mínima de la contraseña es de 10 caracteres. (NO SE APLICA A SWITCH)
CAPTURA
EXPLICACION
b) Cifrar contraseñas de texto sin formato.
CAPTURA
EXPLICACION
c) La contraseña secreta del modo EXEC privilegiado es ciscoenasb23
CAPTURA
EXPLICACION
d) La contraseña de la línea de la consola es ciscoconsb23, el tiempo de espera es de 15

minutos y los mensajes de la consola no deben interrumpir la entrada de comandos.
CAPTURA
EXPLICACION
e) banner de mensaje del día: El acceso no autorizado está estrictamente prohibido y

perseguido con todo el peso de la ley.
CAPTURA
EXPLICACION
f) La contraseña para las líneas VTY es ciscovtysb23, el tiempo de espera es de 15 minutos y

se requiere inicio de sesión.
CAPTURA
EXPLICACION
Configure el enlace troncal entre S1 y S2 con las siguientes configuraciones:
a) Establezca el modo en troncal y asigne la VLAN 99 como la VLAN nativa.
CAPTURA
EXPLICACION
b) Deshabilitar la generación de tramas DTP.
CAPTURA
EXPLICACION
Configure el S1 con las siguientes configuraciones de puerto:
a) F0/6 solo debe permitir el modo de acceso, establecer PortFast y habilitar la protección de
BPDU.
CAPTURA
EXPLICACION
b) F0/6 usa seguridad de puerto predeterminada básica con direcciones MAC aprendidas
dinámicamente agregadas a la configuración en ejecución.
CAPTURA
EXPLICACION
c) Todos los demás puertos deben estar deshabilitados.
CAPTURA
EXPLICACION
Configurar ssh en R1:
a) El nombre de dominio es ccnasecurity.com
CAPTURA
EXPLICACION
b) La clave RSA debe generarse con 1024 bits de módulo.
CAPTURA
EXPLICACION
c) Solo se permite la versión 2 de SSH.
CAPTURA
EXPLICACION
d) Solo se permite SSH en líneas VTY.
CAPTURA
EXPLICACION
B.- CONFIGURAR AUTENTICACIÓN LOCAL AAA Y LOGIN ATTACKS EN R1 –
20%
a) Cree una cuenta de usuario local de Admin01, una contraseña secreta de Admin01sb23 y
un nivel de privilegio de 15.
CAPTURA
EXPLICACION
b) Habilitar los servicios AAA.
CAPTURA
EXPLICACION
c) Implementar servicios AAA utilizando la base de datos local como primera opción y luego
habilitar la contraseña como opción de respaldo.
CAPTURA
EXPLICACION
Seguro contra ataques de inicio de sesión en R1:
a) Si un usuario no puede iniciar sesión dos veces en un lapso de 30 segundos, deshabilite los
inicios de sesión durante un minuto.
CAPTURA
EXPLICACION
b) Registrar todos los intentos fallidos de inicio de sesión.
CAPTURA
EXPLICACION
C.- CONFIGURAR VPN IPSEC DE SITIO A SITIO ENTRE R1 Y R3 – 30%
Configure lo siguiente en R1:
a) Crear una lista de acceso para identificar tráfico interesante en R1. ACL 101 para permitir el
tráfico desde la red LAN R1 a LAN R3.
Configure las propiedades de la FASE 1 de la política 10 de crypto isakmp en el R1:
Método de distribución de claves ISAKMP
Cifrado aes 256

Hash sha
Método de autenticación precompartido
Intercambio de llaves DH Grupo 5
Vida útil de IKE SA 3600
Clave ISAKMP ciscovpnpa55
CAPTURA
EXPLICACION
Cree el conjunto de transformación VPN-SET para usar esp-aes 256 y esp-sha-hmac. Luego,
cree el CMAP de mapa criptográfico que une todos los parámetros de la FASE 2. Utilice el
número de secuencia 10 e identifíquelo como un mapa ipsec-isakmp. Utilice los siguientes
parámetros:
Conjunto de transformación VPN-SET

Transformar cifrado esp-aes 256
Transformar autenticación esp-sha-hmac
Perfect Forward Secrecy (PFS) grupo 5
Nombre del mapa criptográfico CMAP
Establecimiento de SA ipsec-isakmp
Vincule el mapa criptográfico
(CMAP) a la interfaz de salida.
CAPTURA
EXPLICACION
En R3 repita las configuraciones de vpn de sitio a sitio para que reflejen todas las
configuraciones de R1.
CAPTURA
EXPLICACION
CAPTURA
EXPLICACION
D.- CONFIGURAR AJUSTES DE FIREWALL E IPS EN R3 – 10%

Configure un ZPF en R3 usando los siguientes requisitos:
a) Crear zonas llamadas IN-ZONE y OUT-ZONE.
CAPTURA
EXPLICACION
b) Cree una ACL número 110 que defina el tráfico interno, lo que permite todos los protocolos
IP desde la red de origen 172.50.0.0/24 a cualquier destino.
CAPTURA
EXPLICACION
c) Cree un mapa de clase llamado INTERNAL-CLASS-MAP que use la opción de coincidencia

total y ACL 110.
CAPTURA
EXPLICACION
d) Cree un mapa de política llamado IN-2-OUT-PMAP que use el mapa de clase INTERNAL-
CLASS-MAP para inspeccionar todo el tráfico coincidente.
CAPTURA
EXPLICACION
e) Cree un par de zonas llamado IN-2-OUT-ZPAIR que identifique IN-ZONE como la zona de
origen y OUT-ZONE como la zona de destino.
CAPTURA
EXPLICACION
f) Especifique que el mapa de políticas IN-2-OUT-PMAP se utilizará para inspeccionar el

tráfico entre las dos zonas.
CAPTURA
EXPLICACION
g) Asigne G0/1 como miembro IN-ZONE y S0/0/1 como miembro OUT-ZONE.
CAPTURA
EXPLICACION
E.- CONFIGURACIÓN DE SEGURIDAD BÁSICA Y FIREWALL DE ASA – 10%

Configure las interfaces VLAN con las siguientes configuraciones:
a) Para la interfaz VLAN 1, configure el direccionamiento para usar 192.168.44.1/24.
CAPTURA
EXPLICACION
b) Para la interfaz VLAN 2, elimine la configuración de DHCP predeterminada y configure el

direccionamiento para usar 209.165.200.240/29.
CAPTURA
EXPLICACION
c) Configure el nombre de host, el nombre de dominio, la contraseña de habilitación y la
contraseña de la consola usando las siguientes configuraciones:
a. El nombre de host ASA es CCNAS-ASA.

b. El nombre de dominio es ccnasecurity.com.
c. La contraseña del modo habilitado es ciscoenasb23
CAPTURA
EXPLICACION
Cree un usuario y configure AAA para utilizar la base de datos local para la autenticación
remota:
a) Configure una cuenta de usuario local llamada admin con la contraseña adminsb23. No
utilice el atributo cifrado.
b) Configure AAA para usar la base de datos ASA local para la autenticación de usuarios SSH.
c) Permita el acceso SSH desde el host externo 172.50.0.10 con un tiempo de espera de 10
minutos.
CAPTURA
EXPLICACION
Configure el ASA como un servidor DHCP utilizando las siguientes configuraciones:
a) Asigne direcciones IP a clientes DHCP internos de 192.168.44.10 a 192.168.44.30.

b) Habilite DHCP para escuchar solicitudes de clientes DHCP.
CAPTURA
EXPLICACION
F.- CONFIGURAR UNA DMZ, NAT ESTÁTICA Y ACL - 10%

a) En ASA, configure DMZ VLAN 3, que es donde residirá el servidor web de acceso público.
Asígnele la dirección IP 192.168.50.10/24, asígnele el nombre dmz y asígnele un nivel de
seguridad de 70. Debido a que el servidor no necesita iniciar la comunicación con los
usuarios internos, deshabilite el reenvío a la interfaz VLAN 1.
CAPTURA
EXPLICACION
b) Asigne la interfaz física E0/2 de ASA a VLAN 3(DMZ) y habilite la interfaz.
CAPTURA
EXPLICACION
c) Configurar NAT estática en el servidor DMZ mediante un objeto de red. Utilizará la

dirección pública 209.165.200.243 para proporcionar acceso de traducción de direcciones
al servidor DMZ.
CAPTURA
EXPLICACION
d) Nivel de seguridad de la red DMZ será 70.
CAPTURA
EXPLICACION
e) Configure una ACL para permitir el acceso al servidor DMZ desde Internet.
Nombre ACL: OUTSIDE-DMZ
CAPTURA
EXPLICACION

Prueba3 Csy5122 - 2024-1 - San Bernardo-1d

Cargado por

Copyright:

Formatos disponibles

Prueba3 Csy5122 - 2024-1 - San Bernardo-1d

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Prueba3 Csy5122 - 2024-1 - San Bernardo-1d

Cargado por

Copyright:

Formatos disponibles

PRUEBA 3 CSY5122_2024-1_SAN BERNARDO

A.- CONFIGURE SEGURIDAD BÁSICA EN ROUTER Y SWITCH - 20%

b) Cifrar contraseñas de texto sin formato.

c) La contraseña secreta del modo EXEC privilegiado es ciscoenasb23

d) La contraseña de la línea de la consola es ciscoconsb23, el tiempo de espera es de 15

e) banner de mensaje del día: El acceso no autorizado está estrictamente prohibido y

f) La contraseña para las líneas VTY es ciscovtysb23, el tiempo de espera es de 15 minutos y

Configure el enlace troncal entre S1 y S2 con las siguientes configuraciones:

a) Establezca el modo en troncal y asigne la VLAN 99 como la VLAN nativa.

b) Deshabilitar la generación de tramas DTP.

Configure el S1 con las siguientes configuraciones de puerto:

c) Todos los demás puertos deben estar deshabilitados.

Configurar ssh en R1:

a) El nombre de dominio es ccnasecurity.com

b) La clave RSA debe generarse con 1024 bits de módulo.

c) Solo se permite la versión 2 de SSH.

d) Solo se permite SSH en líneas VTY.

b) Habilitar los servicios AAA.

Seguro contra ataques de inicio de sesión en R1:

b) Registrar todos los intentos fallidos de inicio de sesión.

Configure las propiedades de la FASE 1 de la política 10 de crypto isakmp en el R1:

Método de distribución de claves ISAKMP

Cifrado aes 256

Clave ISAKMP ciscovpnpa55

Conjunto de transformación VPN-SET

D.- CONFIGURAR AJUSTES DE FIREWALL E IPS EN R3 – 10%

a) Crear zonas llamadas IN-ZONE y OUT-ZONE.

c) Cree un mapa de clase llamado INTERNAL-CLASS-MAP que use la opción de coincidencia

f) Especifique que el mapa de políticas IN-2-OUT-PMAP se utilizará para inspeccionar el

g) Asigne G0/1 como miembro IN-ZONE y S0/0/1 como miembro OUT-ZONE.

E.- CONFIGURACIÓN DE SEGURIDAD BÁSICA Y FIREWALL DE ASA – 10%

a) Para la interfaz VLAN 1, configure el direccionamiento para usar 192.168.44.1/24.

b) Para la interfaz VLAN 2, elimine la configuración de DHCP predeterminada y configure el

a. El nombre de host ASA es CCNAS-ASA.

Configure el ASA como un servidor DHCP utilizando las siguientes configuraciones:

a) Asigne direcciones IP a clientes DHCP internos de 192.168.44.10 a 192.168.44.30.

F.- CONFIGURAR UNA DMZ, NAT ESTÁTICA Y ACL - 10%

b) Asigne la interfaz física E0/2 de ASA a VLAN 3(DMZ) y habilite la interfaz.

c) Configurar NAT estática en el servidor DMZ mediante un objeto de red. Utilizará la

d) Nivel de seguridad de la red DMZ será 70.

También podría gustarte