6-3

27問 • 2年前

問題一覧

図を参照して下さい。ルータ R1でFTPをブロックし、ブランチ2ネットワークからの他のすべてのトラフィックを許可するために必要なコマンドを選択して下さい（2つ選択）。

access-list 101 deny tcp 10.0.2.0 0.0.0.255 host 10.0.101.3 eq ftp-data access-list 101 deny tcp 10.0.2.0 0.0.0.255 host 10.0.101.3 eq ftp access-list 101 permit ip any any, interface GigabitEthernet0/0 ip address 10.0.0.1 255.255.255.252 ip access-group 101 in

セキュリティポリシーではアイドル状態のすべてのexecセッションを600秒で終了する必要があります。適切な設定を選択して下さい。セキュリティポリシーではアイドル状態のすべてのexecセッションを600秒で終了する必要があります。適切な設定を選択して下さい。

line vty 0 15 exec-timeout 10 0

Cisco TrustSecの主なコンポーネントとして適切なものを選択して下さい。

Cisco ISE、ネットワークスイッチ、ファイアウォール、およびルータ

Cisco AMP for Endpointsがブロックできる脅威を選択して下さい（2つ選択）。

Microsoft Wordマクロ攻撃, ランサムウェア

ネットワークエンジニアがコアスイッチへのHTTPSアクセスを有効にしています。これには企業の認証局によって署名された証明書をスイッチにインストールする必要があります。コアスイッチから証明書署名要求を発行するために必要な設定を選択して下さい。

Core-Switch (config)#crypto pki trustpoint Core-Switch Core-Switch(ca-trustpoint)#enrollment terminal Core-Switch (config)#crypto pki enroll Core-Switch

図を参照して下さい。エンジニアが高レートのNTP、SNMP、およびSSHトラフィックからルータのCPUを保護する必要があります。これらのトラフィックが320kbpsを超えたときにドロップするために必要な設定を選択して下さい（2つ選択）。

R1 (config)#control-plane R1 (config-cp)# service-policy input POLICY-CoPP, R1 (config)#policy-map POLICY- CoPP R1 (config-pmap)#class CLASS- CoPP-Management R1 (config-pap-c)#police 320000 conform-action transmit exceed-action drop violate-action drop

図を参照して下さい。ネットワーク管理者はすべてのRADIUSサーバに到達できない場合でも設定変更を実行できるように設定します。ユーザが認証された場合、すべてのコマンドを許可できる設定を選択して下さい。

aaa authorization exec default group radius if-authenticated

エンジニアがEAPを使用してRADIUSベースの認証を設定しています。MS-CHAPV2はクライアントデバイスで設定します。この認証タイプをサポートするためにISEで設定すべき外部方式プロトコルを選択して下さい。

PEAP

ファイアウォール機能を考慮するときに、Ciscoの次世代ファイアウォールだけにある機能として適切なものを選択して下さい。

マルウェア防止

エンジニアがこれらのネットワークからのトラフィックを許可し、他の全てのトラフィックをブロックする必要があります。これらのプレフィックスからトラフィックを受信した際に情報ログメッセージを出力させたい場合、使用すべきアクセスリストとして適切なものを選択して下さい。

access-list ac_subnets permit ip 10.0.32.0 0.0.7.255 log

REST APIを介して、システムにブルートフォースアタックを仕掛ける攻撃者からの基本的なリプレイアタックを防ぐ手法として適切なものを選択して下さい。

APIヘッダーのリクエストにタイムスタンプを追加する

出力を参照して下さい。アクセスリストの機能に影響を与えずにインターフェイスGi0/1の172.20.10.1からのすべてのトラフィックを許可してログに記録するにはどのコマンドセットを追加する必要がありますか。適切なものを選択して下さい。

Router (config)#access-list 100 permit ip host 172.20.10.1 any log Router (config)#interface Gi0/1 Router (config-if)#access-group 100 in

脆弱性評価で非セキュアな暗号化されていないプロトコルを使用して、スイッチのリモートアクセスが許可されていることが明らかになったとします。セキュアで頼できるリモートアクセスのみを許可するには、どの設定を適用する必要があるでしょうか。適切なものを選択して下さい。

line vty 0 15 login local transport input ssh

図を参照して下さい。ネットワークエンジニアは認証にISE-Serversグループを使用するようにルータを設定する必要があります。2台のISEサーバが使用できない場合はローカルのユーザー名データベースを使用する必要があります。設定でユーザー名が定義されていない場合、ログインの最後の手段としてイネーブルパスワードを使用する必要があるとします。この結果を得るために適用すべき設定として適切なものを選択して下さい。

aaa authentication default group ISE- Servers local enable

図を参照して下さい。コンソールを介してルータにログインする際にRADIUSサーバに到達できなかったとします。コンソールアクセスを許可する資格情報として適切なものを選択して下さい。

ユーザ名なし、パスワード「cisco123」のみ

図を参照して下さい。IPsec VPNを設定した後、showコマンドを入力してISAKMP SAステータスを確認しています。出力結果が示している内容として適切なものを選択して下さい。

ISAKMP SAが認証され、クイックモードで使用できるISAKMP SAが認証され、クイックモードで使用できる

管理者が内部ホストから外部パブリックサーバへの断続的な接続をトラブルシューティングします。一部の内部ホストはサーバに接続できますが、他のホストは「ICMPホスト到達不能」メッセージを受信しました。これらのホストは時間の経過とともに変化しています。下記のSyslogを参考に考えられる原因として最も適切なものを選択して下さい。

変換でアドレスオーバーロードが使用されない

図を参照して答えて下さい。ルータでCoPPポリシーが設定された後、ルータはトラフィックをどのように処理しますか。適切なものを選択して下さい。

アクセスリストSNMPに一致する、R1に着信するトラフィックはポリシングされる

図を参照して答えて下さい。ルータへのSSH接続を許可するために必要なコマンドとして、適切なものを選択して下さい。

Router (config) #access-list 100 permit tcp any any eq 22 Router (config) #access-list 101 permit tcp any any eq 22 Router(config) #class-map class-ssh Router (config-cap)#match access-group 101 Router (config) #policy-map CoPP Router (config-pap) #class class-ssh Router (config-pmap-c#police 100000 conform-action transmit

TCPヘッダーにACKを含むパケットを許可するようにACLを設定します。ACLに設定する必要があるエントリとして適切なものを選択して下さい。

acces-list 110 permit top any any ea 21 established

StealthWatchを使用する目的として適切なものを選択して下さい。

ネットワークの動作を分析し異常を検出する

Identyty Services Engineを使用する目的として適切なものを選択して下さい。

pxGridを使用してセキュリティの脅威を修復する

Webセキュリティアプライアンスを使用する目的として適切なものを選択して下さい。

疑わしいWebアクティビティを検出する

AAAを使用せずにルータへのコンソールアクセスを設定し、ユーザが正しいログイン情報を入力した直後に特権EXECモードに切り替わるようにする必要があります。この目標を達成するアクションとして適切なものを選択して下さい。

line con 0で特権レベル15を設定する

R1#show access-list 100 Extended IP access list 100 10 deny ip any any 20 permit ip 192.168.0.0 0.0.255.255 any 30 permit ip any 192.168.0.0 0.0.255.255 コマンドを参照して答えて下さい。拡張アクセスリスト100はインターフェイスGi0/0でインバウンド方向に設定されています。192.168.0.0/16で送受されるパケットのみ許可するという動作を予期していましたが、そのように動作しません。正しく設定するためのコマンドを選択して下さい。

R1(config) #ip access-list extended 100 R1 (config-ext-nacl) #no 10

Cisco EDRが脅威の検出と対応の保護を提供するために使用する機能はどれですか。適切なものを選択して下さい。

クラウド分析とエンドポイントのファイアウォール制御

下記コマンドを参照して答えて下さい。TACACS+サーバーが使用できない場合に、ローカル認証及び認可へのフォールバックを有効にする設定はどれですか。適切なものを選択して下さい。 Router#show running-config | include aaa aaa new-model aaa authentication login default group tacacs+ aaa authorization exec default group tacacs+ aaa session-id common

Router (config) #aaa authenticaton login default group tacacs+ local Router (conig) #aaa authorization exec default group tacacs+ local

1-1

Ayari Mori · 20問 · 2年前

1-1