Network Security 1.0 Final PT Skills Exam (PTSA) (chave de resposta)
Segurança de rede (versão 1) - Avaliação final de habilidades de PT de segurança de rede (PTSA)
Network Security 1.0 Exame Final de Habilidades PT (PTSA)
Segurança de rede - Respostas da avaliação de habilidades de PT prática (PTSA)
Algumas coisas a ter em mente ao concluir esta atividade:
- Não use o botão Voltar do navegador nem feche ou recarregue nenhuma janela de exame durante o exame.
- Não feche o Packet Tracer quando terminar. Ele fechará automaticamente.
- Clique no botão Enviar avaliação para enviar seu trabalho.
Objetivos
Nesta prática de avaliação baseada em habilidades do Packet Tracer, você irá:
- Configure um firewall ASA para implementar políticas de segurança.
- Configure a segurança da Camada 2 em um switch LAN.
- Configurar uma VPN IPsec site a site
Antecedentes / Cenário
Sua empresa foi contratada por uma concessionária de carros usados que possui uma sede corporativa e várias filiais. A Car1 Company ficou preocupada com a segurança da rede e contratou você para implementar a segurança da Camada 2, um dispositivo ASA e serviços VPN da sede para as filiais. Seu trabalho é prototipar a rede no laboratório antes de sua empresa instalar o equipamento nos locais da Car1. Nesse caso, você só implementará uma VPN entre a matriz e uma única filial.
Observação:Alguns valores e abordagens para configurar dispositivos nesta avaliação simulada podem não estar em conformidade com as práticas recomendadas de segurança atuais. Em alguns casos, os valores foram simplificados para agilizar a avaliação e, em outros casos, os valores foram usados por necessidade para facilitar a avaliação de certas habilidades no Packet Tracer.
Instruções
Tabela de Endereçamento
| Dispositivo | Interface | Endereço de IP | máscara de sub-rede | Porta de entrada | Servidor dns |
|---|---|---|---|---|---|
| Internet | S0/0/0 | 209.165.200.225 | 255.255.255.252 | n / D | n / D |
| Internet | S0/0/1 | 192.31.7.1 | 255.255.255.252 | n / D | n / D |
| Internet | S0/1/0 | 198.133.219.1 | 255.255.255.252 | n / D | n / D |
| Internet | G0/0 | 192.135.250.1 | 255.255.255.0 | n / D | n / D |
| QG | S0/0/0 | 209.165.200.226 | 255.255.255.252 | n / D | n / D |
| QG | G0/0 | 209.165.200.254 | 255.255.255.240 | n / D | n / D |
| HQ-ASA5506 | G1/1 | 209.165.200.253 | 255.255.255.240 | n / D | n / D |
| HQ-ASA5506 | G1/2 | 192.168.10.1 | 255.255.255.0 | n / D | n / D |
| HQ-ASA5506 | G1/3 | 192.168.20.1 | 255.255.255.0 | n / D | n / D |
| Filial | S0/0/0 | 198.133.219.2 | 255.255.255.252 | n / D | n / D |
| Filial | G0/0 | 198.133.219.62 | 255.255.255.224 | n / D | n / D |
| External Web SVR | placa de rede | 192.31.7.35 | 255.255.255.224 | 192.31.7.62 | n / D |
| Usuário Externo | placa de rede | 192.31.7.33 | 255.255.255.224 | 192.31.7.62 | 192.135.250.5 |
| AAA/NTP/SyslogSvr | placa de rede | 192.168.10.10 | 255.255.255.0 | 192.168.10.1 | n / D |
| DMZDNS Svr | placa de rede | 192.168.20.5 | 255.255.255.0 | 192.168.20.1 | n / D |
| DMZ Web Svr | placa de rede | 192.168.20.2 | 255.255.255.0 | 192.168.20.1 | 192.168.20.5 |
| PC0, PC1 e PC2 | placa de rede | Cliente DHCP | 255.255.255.0 | 192.168.10.1 | 192.168.10.10 |
| BranchAdmin | placa de rede | 198.133.219.35 | 255.255.255.224 | 198.133.219.62 | 192.135.250.5 |
| NetAdmin PC | placa de rede | 192.168.10.250 | 255.255.255.0 | 192.168.10.1 | 192.168.10.10 |
Parte 1: Configurar o ASA 5506-X
Etapa 1: Definir configurações básicas no dispositivo ASA.
HQ-ASA5506 já está configurado com uma senha:Thecar1Admin.
Observação:Para receber o crédito total por sua configuração, vocêdeve salvarseu arquivo de configuração depois de fazer qualquer alteração na configuração do dispositivo.
- a. Configure o nome de domínio comothecar1.com.
- b. Configure o nome do host comoHQ-ASA5506.
- c. Configure as interfaces INSIDE, OUTSIDE e DMZ com o seguinte:
- endereço IP 209.165.200.253/28, nome seFORA, nível de segurança1, atribuir a G1/1
- endereço IP 192.168.10.1/24, nome seDENTRO, nível de segurança100, atribuir a G1/2
- endereço IP 192.168.20.1/24, nome seDMZ, nível de segurança70, atribuir a G1/3
HQ-ASA5506
enableThecar1Adminconf termdomain-name thecar1.comhostname HQ-ASA5506interface g1/1 nameif OUTSIDEsecurity-level 1ip address 209.165.200.253 255.255.255.240no shutdowninterface g1/2nameif INSIDEsecurity-level 100ip address 192.168.10.1 255.255.2 55.0no shutdowninterface g1/3nameif DMZsecurity-level 70ip endereço 192.168.20.1 255.255.255.0 sem desligamentosair
OBSERVAÇÃO:Após esta etapa, verifique novamente se as interfaces G1/1, G1/2, G1/3 estão configuradas com endereços IP. Se houver alguma interface que não receba um endereço IP, reconfigure o endereço IP dessa interface.
(Vídeo) Network Security 1.0 Final PT Skills Exam (PTSA) | Exame Final de Habilidades do Rastreador de Pacotes de Segurança de Rede
Etapa 2: Configurar o serviço DHCP no dispositivo ASA para a rede interna.
- a. O pool DHCP é 192.168.10.25 – 192.168.10.35.
- b. O serviço DHCP deve fornecer informações do servidor DNS (servidor AAA/NTP/syslog).
- c. PC0, PC1 e PC2 devem receber seus endereços por DHCP.
HQ-ASA5506
endereço dhcpd 192.168.10.25-192.168.10.35 INSIDEdhcpd dns 192.168.10.10 interface INSIDEdhcpd opção 3 ip 192.168.10.1dhcpd ativar DENTRO
PC0-PC1-PC2 receberam seus endereços por DHCP
- PC 0
- PC 1
- PC 2
Veja também
Encanador Fawn Creek KS - Serviços locais de encanamento e encanamento de emergência em Fawn Creek, Kansas6 maiores problemas enfrentados pelas empresas hoje | O Empreendedor Fantástico11 modelos de receita, exemplos e dicas para escolher o modelo certoTranstorno de personalidade limítrofe
Etapa 3: Configurar o roteamento no ASA.
Configure uma rota padrão que permitirá que hosts nas redes HQ INTERNAL e DMZ se comuniquem com hosts externos. Use o endereço IP da interface do roteador HQ como a interface do gateway.
HQ-ASA5506
rota FORA 0.0.0.0 0.0.0.0 209.165.200.254
Etapa 4: Configurar o gerenciamento de rede seguro para o dispositivo ASA.
a. Configurar o ASA com NTP e AAA:
- O ASA é um cliente NTP para o servidor AAA/NTP/Syslog.
- Permita a autenticação ao ASA.
- A chave de autenticação échave 1com a senha échave corporativa.
HQ-ASA5506
ntp authenticatentp chave de autenticação 1 md5 corpkeyntp servidor 192.168.10.10ntp chave confiável 1
b. Configurar AAA e SSH.
(Vídeo) Segurança de Rede 1 0 Exame Final de Habilidades PT PTSA
- Configure o dispositivo ASA com autenticação AAA usando o nome de usuário deCar1Admine senha deadminpass01.
- Configure o AAA para usar o banco de dados local para conexões SSH à porta do console.
- Gere um par de chaves RSA para suporte com tamanho de módulo de1024bits.
- Configure o HQ-ASA5506 para aceitar conexões SSH somente da estação de trabalho Net Admin.
- Configure o tempo limite da sessão SSH para 20 minutos.
HQ-ASA5506
nome de usuário Car1Admin senha adminpass01aaa autenticação console ssh LOCALcrypto chave gerar módulo rsa 1024yesssh 192.168.10.250 255.255.255.255 INSIDEssh timeout 20
Etapa 5: Configurar o serviço NAT para o dispositivo ASA para as redes INSIDE e DMZ.
- a. Crie um objeto de rede chamadoDENTRO-natcom sub-rede 192.168.10.0/24 e permite que os endereços IP dos hosts na rede interna sejam traduzidos dinamicamente para acessar a rede externa através da interface externa.
- b. Criar um objeto de redeDMZ-web-serverpara traduzir estaticamente o endereço IP interno do servidor da Web DMZ para o endereço IP público externo209.165.200.241.
- c. Criar um objeto de redeDMZ-dns-serverpara traduzir estaticamente o endereço IP interno do servidor DMZ DNS para o endereço IP público externo209.165.200.242.
HQ-ASA5506
rede de objeto INSIDE-natsubnet 192.168.10.0 255.255.255.0nat (dentro, fora) interface dinâmicaexitconfigure rede de objeto terminal DMZ-web-serverhost 192.168.20.2nat (dmz,fora) static 209.165.200.241exitconfigure rede de objeto terminal DMZ-dns-serverhost 192 .168 .20.5nat (dmz,fora) estático 209.165.200.242exit
Etapa 6: Configurar o ACL no dispositivo ASA para implementar a política de segurança.
a. Configure uma ACL estendida nomeada para permitir que os hosts internos sejam traduzidos para o pool de endereços IP externos. Nomeie a ACLNAT-IP-ALL.
b. AplicarNAT-IP-ALLACL para as interfaces DMZ e OUTSIDE na direção interna.
c. Configure uma ACL para permitir o acesso aos servidores DMZ da Internet. Crie uma ACL nomeada estendida (chamadaOUTSIDE-TO-DMZ) para filtrar o tráfego entrante ao HQ ASA. As instruções ACL devem ser criadas na ordem especificada nas seguintes diretrizes:
(Observação:A ordem das declarações ACL é significativa apenas por causa dos requisitos de pontuação para esta avaliação.)
- A ACL deve conterquatroentradas de controle de acesso (ACEs).
- O tráfego HTTP é permitido paraDMZ Web Svr.
- O tráfego DNS (TCP e UDP) é permitido para oServidor DNS DMZ(dois ACEs separados).
- O tráfego FTP da estação de trabalho do administrador da filial é permitido para o servidor da Web DMZ.
Observação:Para efeitos desta avaliação,NÃOaplicar esta ACL.
HQ-ASA5506
Veja também
14 perguntas para fazer a um empregador na terceira entrevistaO que é molho terp e como é feito? - CannaConnectionAmostras de Currículo de Consultor de Operações | QwikResumeAs 15 principais habilidades do analista de processos
configurar terminalaccess-list NAT-IP-ALL extendido permit ip qualquer anyaccess-group NAT-IP-ALL na interface OUTSIDEaccess-group NAT-IP-ALL na interface DMZaccess-list OUTSIDE-TO-DMZ extendido permit tcp qualquer host 209.165.200.241 eq 80lista de acesso OUTSIDE-TO-DMZ permissão estendida tcp qualquer host 209.165.200.242 eq 53lista de acesso OUTSIDE-TO-DMZ permissão estendida udp qualquer host 209.165.200.242 eq 53lista de acesso OUTSIDE-TO-DMZ permissão estendida tcp host 198.133.219.35 host 209.165.200.241 eq ftpendcopy running-config startup-config
Parte 2: Configurar a segurança da camada 2 em um switch
Para esta parte da avaliação, você configurará o Switch1 na rede interna com medidas de mitigação de ataque da Camada 2.
Etapa 1: desativar portas de switch não utilizadas
- a. Desative todas as portas de switch não utilizadas no Switch1.
- b. Configure todas as portas não utilizadas no modo de acesso estático para que não negociem troncos.
Interruptor 1
enableconf faixa de interface f0/2-4, f0/6-9, f0/11-22, g0/2 modo de desligamento switchport accessswitchport nonegotiate
Etapa 2: implementar a segurança da porta
No Switch1, configure a segurança de porta em todas as portas do switch conectadas aos hosts de acordo com os seguintes requisitos:
- As portas devem ser configuradas como portas de acesso estático.
- As portas devem aprender no máximo dois endereços MAC.
- As portas devem registrar os endereços MAC que foram aprendidos na configuração do dispositivo em execução.
- Se ocorrer uma violação, a porta deve descartar os pacotes dos endereços MAC do host que não foram aprendidos, incrementar o contador de violação e gerar uma mensagem syslog.
Interruptor 1
faixa de interface f0/1, f0/5, f0/10switchport mode accessswitchport port-securityswitchport port-security maximum 2switchport port-security mac-address stickyswitchport violação de segurança de porta restringeswitchport não negociar
Etapa 3: implementar a segurança STP
No Switch1, implemente medidas de segurança STP nas portas ativas conectadas aos hosts.
(Vídeo) Chave de resposta do exame prático de habilidades de segurança de rede 1.0
- a. Configure o switch para desabilitar as portas do host que recebem um BPDU.
- b. Configure as portas para entrar rapidamente no modo de encaminhamento STP sem passar pelos modos de transição STP. Faça isso porta a porta, não em todo o switch.
Interruptor 1
faixa de interface f0/1, f0/5, f0/10, g0/1spanning-tree bpduguard enablepanning-tree portfastendcopy running-config startup-config
Parte 3: Configurar uma VPN IPsec Site-to-Site entre o HQ e os roteadores de filiais
Observação:Os roteadores Branch e HQ já foram configurados com um nome de usuário deCORPADMINe uma senha deNetSec-Admin1. A senha secreta de habilitação é[protegido por e-mail].
Configure uma VPN IPsec site a site entre os roteadores HQ e Branch de acordo com os requisitos abaixo.
As tabelas a seguir listam os parâmetros para as políticas ISAKMP fase 1 e fase 2:
Parâmetros da Política de Fase 1 do ISAKMP
| Método de Distribuição de Chaves | ISAKMP |
|---|---|
| Algoritmo de criptografia | AES |
| Número de bits | 256 |
| HashAlgorithm | SHA-1 |
| Método de autenticação | Pré-compartilhamento |
| Troca de chaves | DH2 |
| COMPARTILHE Vitalício | 1800 |
| ISAKMPKeyName | Vpnpass101 |
Tabela de Parâmetros de Diretiva IPsec Fase 2
| Parâmetros | Roteador HQ | roteador de filial |
|---|---|---|
| Nome do TransformSet | VPN-SET | VPN-SET |
| TransformSet | esp-aesesp-sha-hmac | esp-aesesp-sha-hmac |
| Nome do host de mesmo nível | Filial | QG |
| Endereço IP de mesmo nível | 198.133.219.2 | 209.165.200.226 |
| Rede Criptografada | 209.165.200.240/28 | 198.133.219.32/27 |
| Nome do CryptoMap | VPN-MAP | VPN-MAP |
| SAEstabelecimento | ipsec-isakmp | ipsec-isakmp |
a. Configurar ACL120no roteador HQ para identificar o tráfego interessante a ser enviado pela VPN. O tráfego interessante é todo o tráfego IP da LAN da sede para a LAN da filial.
b.Configure as propriedades da Fase 1 do ISAKMP no roteador HQ. A política criptográfica ISAKMP é10. Consulte oTabela de Parâmetros da Política de Fase 1 do ISAKMPpara os detalhes específicos necessários.
c. Configure as propriedades ISAKMP Fase 2 no roteador HQ usando10como o número de sequência. Consulte oTabela de Parâmetros de Política de Fase 2 do ISAKMPpara os detalhes específicos necessários.
Veja também
Quais empregos você pode obter com um diploma de Administração de EmpresasO que é uma análise de negócios e o que faz o analista de negóciosO que é um Gerente de Marketing Online? | academia heap39 ideias de publicidade gratuita (sorrateiras, mas brilhantes)
d. Vincule oVPN-MAPmapa criptográfico para a interface de saída.
e. Configure os parâmetros IPsec no roteador Branch usando os mesmos parâmetros do roteador HQ. Observe que o tráfego interessante é definido como o tráfego IP da LAN da filial para a LAN conectada ao HQ.
(Vídeo) CCNAv7 ITN Practice PT Avaliação de habilidades PTSA
f.Salvaro running-config e, em seguida, recarregue os roteadores HQ e Branch.
Roteador HQ
Nome de usuário: CORPADMINSenha: NetSec-Admin1enableSenha:[protegido por e-mail]conf teraccess-list 120 permit ip 209.165.200.240 0.0.0.15 198.133.219.32 0.0.0.31crypto isakmp policy 10encryption aes 256hash shaauthentication pre-sharegroup 2lifetime 1800exitcrypto isakmp key Vpnpass101 address 198.13 3.219.2crypto ipsec transform-set VPN-SET esp-aes esp -sha-hmaccrypto map VPN-MAP 10 ipsec-isakmpmatch address 120set transform-set VPN-SETset peer 198.133.219.2set pfs group2set security-association life seconds 1800exitint s0/0/0crypto map VPN-MAPend copy running-config startup-configroteador de filial
Nome de usuário: CORPADMINSenha: NetSec-Admin1enableSenha:[protegido por e-mail]conf teraccess-list 120 permit ip 198.133.219.32 0.0.0.31 209.165.200.240 0.0.0.15crypto isakmp policy 10encryption aes 256hash shaauthentication pre-sharegroup 2lifetime 1800exitcrypto isakmp key Vpnpass101 address 209.16 5.200.226crypto ipsec transform-set VPN-SET esp-aes esp -sha-hmaccrypto map VPN-MAP 10 ipsec-isakmpmatch address 120set transform-set VPN-SETset peer 209.165.200.226set pfs group2set security-association life seconds 1800exitint s0/0/0crypto map VPN-MAPend copy running-config startup-configBaixe o arquivo .PKT do Packet Tracer
[sociallocker id=”69792″]
Network Security 1.0 Final PT Skills Exam (PTSA) - Packet Tracer
1 arquivo(s)186,82 KB
(Vídeo) ENSA Final PT Skills Assessment PTSA
[/sociallocker]
1. CCNA Security 2.0 - Avaliação de habilidades do Packet Tracer 2
2. Final Projek Aini Arrahman - PTSA Network Security
3. Segurança de rede 1.0 | Módulos 1-4: Exame de proteção de redes | Academia de rede Cisco
4. Exame Final de Habilidades ITN (PTSA) | Solução passo a passo | CCNA Introdução às Redes | CYBER GEEK
5. EXAME FINAL 100% | CCNA Network Security (Versão 1.0) – Final Exam Answers Full
6. Avaliação de Habilidades Práticas PT SRWE PTSA Parte 1
Informações do artigo
Autor: Francesca Jacobs Ret
Ultima atualização: 26/03/2023
Visualizações: 6152
Avaliação: 4,8 / 5 (68 votados)
Avaliações: 83% dos leitores acharam esta página útil
Informação sobre o autor
Nome: Francesca Jacobs Ret
Aniversário: 1996-12-09
Endereço: Apt. 141 1406 Mitch Summit, New Teganshire, UT 82655-0699
Telefone: +2296092334654
Trabalho: Arquiteto de tecnologia
Passatempo: Snowboard, Escotismo, Aprendizagem de línguas estrangeiras, Dowsing, Baton girling, Sculpting, Cabaret
Introdução: Meu nome é Francesca Jacobs Ret, sou uma pessoa inocente, super, linda, charmosa, sortuda, gentil e inteligente que adora escrever e quer compartilhar meu conhecimento e compreensão com você.