Wondershare EdrawMind
心智圖資源庫 CISSP學習筆記-域4(通訊和網路安全)
- 11
CISSP學習筆記-域4(通訊和網路安全)
這是一篇關於CISSP學習筆記-域4(通訊和網路安全)的心智圖,主要內容包括:練習題,知識點。
編輯於2024-03-31 11:18:11
- Microbiologia medica Infezione batterica e immunità
Microbiologia medica, Infezioni batteriche e immunità riassume e organizza i punti di conoscenza per aiutare gli studenti a comprendere e ricordare. Studia in modo più efficiente!
- teoria cinetica dei gas
La teoria cinetica dei gas rivela la natura microscopica dei fenomeni termici macroscopici e le leggi dei gas trovando la relazione tra quantità macroscopiche e quantità microscopiche. Dal punto di vista del movimento molecolare, vengono utilizzati metodi statistici per studiare le proprietà macroscopiche e modificare i modelli di movimento termico delle molecole di gas.
- Breve História do Tempo
Este é um mapa mental sobre uma breve história do tempo. "Uma Breve História do Tempo" é um trabalho científico popular com influência de longo alcance. Ele não apenas introduz os conceitos básicos da cosmologia e da relatividade, mas também discute os buracos negros e a expansão. Do universo. questões científicas de ponta, como inflação e teoria das cordas.
CISSP學習筆記-域4(通訊和網路安全)
- Microbiologia medica Infezione batterica e immunità
Microbiologia medica, Infezioni batteriche e immunità riassume e organizza i punti di conoscenza per aiutare gli studenti a comprendere e ricordare. Studia in modo più efficiente!
- teoria cinetica dei gas
La teoria cinetica dei gas rivela la natura microscopica dei fenomeni termici macroscopici e le leggi dei gas trovando la relazione tra quantità macroscopiche e quantità microscopiche. Dal punto di vista del movimento molecolare, vengono utilizzati metodi statistici per studiare le proprietà macroscopiche e modificare i modelli di movimento termico delle molecole di gas.
- Breve História do Tempo
Este é um mapa mental sobre uma breve história do tempo. "Uma Breve História do Tempo" é um trabalho científico popular com influência de longo alcance. Ele não apenas introduz os conceitos básicos da cosmologia e da relatividade, mas também discute os buracos negros e a expansão. Do universo. questões científicas de ponta, como inflação e teoria das cordas.
- 推薦給您
- 大綱
CISSP學習筆記-域4(通訊和網路安全)
知識點
4.1 評估並實施網路架構中的安全設計原則
4.1.1 OSI和TCP/IP模型
4.1.1.1 OSI和TCP/IP對比
4.1.1.2 針對網路模型各層的攻擊向量
1. 物理層
•被動式嗅探
•電氣幹擾
•切斷電纜
2. 資料鏈路層
•偽造 MAC 位址(如:ARP 欺騙)
3.網路層
•MITM 攻擊
•拒絕服務(DoS)攻擊
4. 傳輸層
•SYN 洪水攻擊
•會話劫持
5. 會話層
•皮棄的安全通訊端層(SSL)協定的弱點
•較不安全的傳輸層安全(TLS)版本
6. 表示層
•針對加密方案的攻擊
7. 應用層
•應用層協定的弱點(如:HTTP、FTP 等)
•SQL注入
•跨站腳本(XSS)攻擊等常見的Web 攻擊
4.1.2. 網際網路協定 (IP) 網路
利用IP、ARP、ICMP 和IGMP 等核心協議,網際網路層負責資料包的尋址、打包和路由功能,使網際網路成為現實。 IP 有兩個版本:IPV4(第4版) 是目前使用的主要版本,而IPv6 (第6 版)是連接網際網路的裝置正在演進的版本。
4.1.2.1 IP v4
IP v4 使用32 位元位址,從理論上講,幾年前就已經用完了。然而,隨著網路位址轉換 (NAT)、私有IP位址和其他技術的出現,IPV4 的壽命得到了延長。
1. IPv4 範圍
2. NAT
NAT 是一種技術,用於將一個或多個本地(內部)IP 位址對應到一個或多個全球(外部)IP位址,反之亦然。
4.1.2.2 IP V6
IPV6 將IPV4 的 有限的 32位址擴展到 128 位元用於尋址。它還包括諸如地址範國、自動配置、安全性 和服務品質 (Q0S) 等功能。
4.1.2.3 網路攻擊
4.1.2.3.1 分散式阻斷服務攻擊
典型的 DDoS 攻擊由大量的單一機器組成,這些被控制,在短時間內以壓倒性的流量轟擊目標。
4.1.2.3.2 SYN 洪水(SYN Flooding)
SYN 洪水是利用TCP 協定特性發動的 DoS攻擊。攻擊者發送大量 SYN封包給目標,但不回應 SYN-ACK 封包,導致目標系統資源耗盡,軟體崩潰。防禦措施包括:擴大後備隊列、回收日的半開連接、使用 SYN cookies技術
4.1.2.3.3 中間人攻擊 (MTM)
在 MITM 攻擊中,攻擊者會攔截訊號,並在停止傳輸或允許訊息到達預定收件者之前秘密地轉發(並可能改變)通訊。
防御手段:認證、篡改偵測
4.1.2.3.4 資料包嗅探
資料包竊取可以包括抓取傳輸中的資料包,並試圖從內容中提取有用的信息。
一些資料包中包含有使用者名稱、密碼、IP位址、信用卡號碼和其他有價值的有效載荷。加密敏感流量是防止網路竊取的最佳方法。
4.1.2.3.5 劫持攻擊
劫特攻擊是網路通訊中的惡意幹擾,分為連接劫持(如 ARP 欺騙、DNS 劫持)和會話劫持(如中間人攻古),旨在截獲會話令牌或 cookie 以獲取敏感資訊並冒充受害者。
4.1.2.3.6 MITRE ATT&CK 框架
MITRE ATT&CK 是由 MITRE 公司開發的,旨在為安全專家在其組織中開發威脅模型和方法打下基礎,並提供戰術和技術。
4.1.3. 安全協議
4.1.3.1 SSH(安全外殼協定)
••替代 Telnet,透過TCP 進行加密的互動式文字通信
•防止會話劫持和 MITM 攻擊
•SSH-1 不安全,SSH-2 安全
4.1.3.2TLS(傳輸層安全性)
•取代 SSL,成為安全網路流量的主要協議
•保護 HTTP 會話和其他端對端加密需求
•支援伺服器認證與客戶端與伺服器之間的相互認證
SSL3.0已被發現容易受到 POODLE 攻擊,故已不安全
4.1.3.3 Kerberos
•保護登入憑證的通訊協議
•使用票據概念,讓不安全網路上的系統安全地證明身份
4.1.3.4. IPSec (P 安全協定)
IPSec 是一套協議,旨在為透過 IP 網路發送的資料提供保密性、完整性和認證。
•IPSec 主要由以下幾個部分組成:
1認證頭 (AH):提供資料來源認證和資料完整性保護。它能偵測資料在傳輸過程中的任何竄改,並確認發送方的身分。
2.封裝安全有效載荷 (ESP):提供資料來源認證、資料完整性保護以及加密。透過加密資料有效載荷,ESP 確保了通訊內容的保密性。
3,安全關聯(SA):為 IPSec 協定提供參數,包括金鑰和加密演算法等。 SA 定義如何處理傳輸中的資料以及如何處理 AH 和ESP。
•IPSec 有兩種工作模式:
1.傳輸模式 :僅加密和認證 IP 封包的有效載荷(資料部分)。適用於端到端的通訊安全,保護資料的完整性和保密性。
2隧道模式:加密和認證整個IP 資料包,包括資料和IP 頭部資訊。這種模式用於建立安全的通訊隧道,如 VPN,連接兩個網路節點,保護整個資料傳輸過程。
4.1.3.5 網際網路金鑰交換 (IKE)
-IPSec 套件的一部分,用於在兩個實體之間建立安全通訊通道
•通常使用 X .509 PK 憑證進行認證,利用 Dittie-Hellman-Merkle 金鑰交換協定建立共用會話金鑰
•兩個版本:IKEV1 和 1KEv2,都容易受到離線太空人攻擊,需要高熵密碼保護
4.1.4. 多層協議的影響
1.介紹
•多層網路通訊協定可讓不同系統之間相互通訊
•常見的多層協定:TCP/IP 網路協定套件
•範例:分散式網路協定 (DNP3),用於工業控制系統 (ICS) 和監控控制與資料擷取(SCADA) 網絡,包括資料框架層、傳輸層和應用層。
2. 多層協定優點
•可在更高層使用各種協議
•加密可包含在各個層中
•支援複雜網路結構中的靈活性和彈性
3. 多層協定缺點
•允許隱蔽通道
•可繞過過濾器
•邏輯強加的網段邊界可超越
4.1.5. 融合協議
融合協定結合了專有協定和標準協定(如 TCP/P 套件協定),旨在降低對昂貴專有硬體的依賴,並提供根據所使用融合協定的不同效能。以下是一些主要的融合協議:
4.1.5.1 乙太網路光纖通道 (FCOE)
•應用:儲存區域網路(SAN) 解決方案
•技術:使用光纖通道協定和專門的網路設備
•速度:高速運轉(最低 10 Gbps)
•OS1 模型位置:第二層
•發展:IP 光纖通道(FCIP)作為後續技術,適用於更廣泛的網路環境
4.1.5.2 網際網路小型電腦系統介面 (iSCSI)
•應用:光纖通道的低成本替代品
•技術:基於IP 的網路儲存標準
•優點:方便透過網路連線遠端儲存磁碟區
4.1.5.3 多重協定標籤交換 (MPLS)
•應用:高效能網路技術,用於建立虛擬專用電路
•技術:根據短路徑標籤引1導數據,提高轉送速度
•0S1 模型位置:第2.5層(介於資料鏈結層與網路層之間)
4.1.5.4 網際網路語音協定 (VoP)
•應用:廉價的電話解決方案
技術:使用多種技術在IP 網路上封裝語音通訊和多媒體會話
•優勢:成為企業和個人的主流電話解決方案
4.1.6.微分段
微分段是一種在網路中建立區域的方法,用於隔離資源並為每個網段提供獨立保護。當需要存取跨區資源時,微分割要求重新認證。以下是一些與微分段相關的技術:
4.1.6.1 軟體定義網路 (SDN)
1.管理方法:集中管理網絡,實現跨供應商、應用和技術的統一管理
2.標準:OpenFlow(最早的SDN標準之一)
3.架構層次:
。基礎設施層 (資料平面):包含網路交換器、路由器和資料轉送過程
。控制層:決定流量流動方式,依據基礎設施層狀態及應用層需求進行決策
•應用層:與控制層對接的網路服務、實用工具和應用程式
4.1.6.2 軟體定義安全 (SDS)
•安全模式:由安全軟體控制和管理的安全機制
•特點:策略驅動,包括網路分段、入侵偵測與預防、使用者與設備識別、應用控制等
4.1.6.3 軟體定義廣域網路 (SD-WAN)
•應用:支援廣域網路架構,特別是與雲端環境相關的部分
•特色:使用軟體控制資料中心與遠端網路間的連線與管理服務
•Gartner 提及的四個特性:
1) 必須支援多種連線類型(如網際網路、MPLS、LTE 等)
2)可以進行動態路徑選擇,以支援跨 WAN 連線的負載分擔(load sharing)
3) 提供一個簡單的介面來管理廣域網
4) 必須支援 VPN 和其他第三方服務
4.1.6.4 虛擬可擴充區域網路 (VxLAN)
•技術:網路虛擬化技術,將第二層以大網幀封裝在第四層 UDP 資料封包中
•優勢:允許以更大規模劃分網路(相較於 VLAN),滿足大型多租戶公有雲供應商需求
4.1.7. 無線網絡
三、無線存取點 (WAP)
無線存取點(WAP),有時只被稱為存取點(AP),是一種網路工作設備,允許支援無線的設備連接到有線網路。 WAP 直接連接到有線區域網路,然後使用 Wi-Fi 或其他無線技術(如 Li-Fi) 向此有線區域網路提供無線連線。
4.1.7.11 確保無線存取點的安全
1.
現場調查
•目的:辨識流氓 AP,確定 AP 位置和配置。
•重要性:確保合規性和安全性,定期進行。
2.確定無線接入點位置
•優化訊號覆蓋範園:使用中心位置。
•威少訊號衰減:避免障礙物、千擾和反射。
3 選擇適當的天線類型
•全向天線:廣泛覆蓋。
•定向天線:集中覆蓋特定方向。
4. 選擇適當的無線頻道
•注意:不同國家擁有不同數量的頻道。
5.選擇合適的部署模式
•基礎模式:包含獨立模式(無線容戶端互連)、有線擴充(無線用戶端連接有線網路)、企業擴充(多個WAP 為相同ESSID 提供覆蓋)、橋接器(連接兩個有線網路)。
6.設定並管理服務集標識符 (SSID)
•Ad hoc 模式:無線設備在沒有集中控制的情況下進行通訊。
•ESSID:基礎架構模式下的無線網路名稱。
°B5S10:Ad hoc 模式下的無線網路名稱。
•提高安全性:不廣播 SSID 並使用 WPA3。
7.使用限制性入口網站進行認證
•場景:公共無線網絡,如飯店、機場等。
•方法:需輸入憑證、付款或存取代碼。
8.實作 MAC 過濾器
•功能:允許授權設備存取 WAP 的清單。
•缺點:難以管理且難以擴展到大型環境。
四、無線攻擊
4.1.7.12 訊號幹擾
概述:惡意活動,壓制 WAP,使合法流量無法處理。
防範措施:使用抗干擾技術的設備、進行訊號監控、及時偵測並消除乾擾源等。
4.1.7.13 戰爭駕駛
概述:是攻擊者在移動過程中搜尋和定位無線網路以尋找漏洞的行為。這些網路通常是攻擊者無權存取的。
防範措施:使用強加密協定、不公開 SSID、限制網路存取權限等。
五 無線傳輸技術
4.1.7.14 LiFi
概述:使用光傳輸資料的無線通訊技術,使用可見光、紫外線或紅外線傳輸資料。
優點:安全優勢,可以控制在實體空問內;速度快,是Wi-Fi頻寬的100 倍。
4.1.7.15 藍牙
概述:無線技術標準,支援短距離點對點無線傳輸。
優點:不需要基地台,設備之間直接連接。
缺點:缺乏加密功能;速度慢。
4.1.7.16 ZigBee
概述:低成本、低功耗、低延遲無線通訊標準,基於 IEEE 802,15.4, 應用於物聯網。
安全功能:存取控制清單 (ACL);頓計數器;加密(使用 123 位元 AES 金鑰
4.1.8.蜂窩網絡
蜂窩網路是一種無線通訊系統,透過分散在地理區城內的小區和基地台進行通訊。使用者透過便攜式設備在特定無線電頻率下連接到蜂窩站點、其他蜂窩設備或互聯網。
蜂窩網路面臨的攻擊場景之一是利用手機基地台進行中間人攻擊,以捕捉流量。在製定或管理組織的自帶設備(BYOD) 政策時,應考慮這些威脅。
4.1.9. 內容傳遞網路(CDN)
內容分發網絡(CDN),也稱為內容交付網絡,是地理上分佈的資源服務、代理伺服器和資料中心的集合。此架構模型的性質是提供低延遲、高效能和高可用性的內容,特別是多媒體、電子商務和社交網站。
內容的獲取盡可能靠近請求的客戶,這導致了更低的延遲和更大的吞吐量。由於資料是在多個司法管轄區 儲存或處理的,CDN及其使用者必須了解 當地的法規如何影響他們的業務和他們的客戶。
4.2. 安全的網路組件
4.2.1. 硬體的運行
一、網路硬體的安全及正確操作
•標準、政策和程序
組織應建立硬體設備安全基線的標準,制定操作和管理這些設備的政策,並正式確定日常操作流程以支援一致的設備管理。
•培訓
網路管理員和其他管理或操作硬體的人員,應定期接受正確和安全操作的訓練。
•變更管理
配置、修補程式和其他變更應正確記錄,並遵循組織的標準變更管理程序。
•冗餘電源
在關鍵的網路基礎架構上部署冗餘電源,以確保在停電情況下的可用性。
•監測
監測網路設備的故障、異常或其他與安全相關的事件。
•保固和支持
應對所有的網路設備保持有效的保修,以便在系統發生故障時提供保障。
二、網路術語
4.2.1.1 資料碰撞(data collision)
如果兩個系統同時傳輸,試圖同時使用網路媒介,就會發生資料碰撞,其結果是一個或兩個資訊可能會被破壞。
4.2.1.2廣播域(broadcast domain)
是電腦網路的邏輯劃分,所有節點都可以透過資料鏈結層(第二層)的廣播到達對方。
4.2.1.3 碰撞域(colision domai)
由使用共享媒體連接的所有裝置組成。其中設備之間隨時可能發生碰撞。
三、網路元件
4.2.1.4 防火牆
防火牆是用來防止未經授權的資料從網路的一個區域流向另一個區域。
防火牆類型:
1.靜態包過濾防火牆:最早且最簡單的防火牆設計,在OSI 模型的網路層(第3層)運行,根據既定規則檢查每個資料包。這種防火牆不提供認證機制,可能容易被欺騙。
2 應用級防火堵:在應用程式層(第7層)運行,對資料包和網路流量進行深度檢查。這種防火牆通格作為終端使用者和外部網路之間的隔腐器,充當代理。深度檢查需要時間,因此這種防火牆是所有類型中最慢的。
3 狀態偵測防火牆:在OSI模型的網路和傳輸層(分別為第3和第4層)運行,監控網路連線的狀態。基於TCP 的操作方式,記錄連線狀態以及其他屬性,並對這些屬性進行篩選。
4 電路級防火牆:僅在 OSI模型的會話層 (第5層)工作,確保TCP 握手完成。沒有實際的資料包被檢查,也沒有任何單一資料包被丟棄。這種防火牆的優點是驗證會話,同時掩蓋有關受保護網路的任何細節。
5 新一代防火牆 (NGFW):將傳統防火牆功能與其他基於網路的安全設備(如IDS 或 IPS)的先進功能結合。在OSl 模型的多個層面運作。
6.多介面防火牆:具有兩個或更多網路介面的防火牆,使用一套軟體定義的規則來決定哪些流量可以在它所連接的網路之間通過,降低資料在兩個網路之問無意中被交換的風險。
7 堡壘主機/隔離主機 (Bastion Host/Screened Host ):位於核心網路路由設備的服務後面或 DMZ 中的特殊用途防火牆或主機。將內部的私人網路與不信任的網路(可能是網路)分開。充當代理,作為唯一可從外部來源到達的設備,掩蓋內部節點的身份,增加一層保護。
防火牆部署架構:
。選擇防火牆類型:包括靜態包過濾、應用級、狀態檢測、電路級、下一代
•決定部署位置 :例如網路邊界、內部網路劃分、DMZ 或核心網路。
•選擇防火牆形式:硬體防火牆或軟體防火牆。
•選取技術:開源防火牆技術或專有防火牆技術。
•部署方式:實體設備或虛擬設備。
•管理與維護:設定、監控、更新和處理安全事件。
4.2.1.5 中繼器、集中器和放大器
•工作在物理層
•延長訊號在特定媒體類型上的最大傳輸長度
•連接使用相同協定的網段
4.2.1.6 集線器(Hubs)
•工作在物理層
•將多個使用相同協定的網路設備連接到同一個碰撞域
•隨著交換器的普及,集線器已逐漸淘汰
4.2.1.7 網橋(Bridges)
•工作在資料鏈結層
。連接使用相同協定的網段,分割碰撞域
•使用生成樹演算法(STA)防止廣播風暴
•巳被交換器取代,因為交換器具有更高的性能
4.2.1.8 交換器(Switches)
•主要工作在資料鏈結層
•智慧集線器,連接多個設備並建立獨立的碰撞域
•進階交換器可 在網路層運行,提供路由功能
•支援 VLAN 劃分,有助於提高網路安全和效率
4.2.1.8 路由器(Routers)
••工作在網路層
•基於 IP 進行轉發,負責決策和控製網路問流量
•能夠連接不同類型的網絡,如區域網路和廣域網
4.2.1.9網關(Gateways)
•通常工作在應用層
•協定翻譯器,實作不同網路間的通訊
•能夠將一個網路的資料流的格式轉換為另一個網路可使用的相容格式
4.2.1.10 代理(Proxies)
•—種特殊的網關
•在網路間充當中介、過濾器、綴存伺服器或位址轉換伺服器
•不進行跨協定翻譯,常用於 NAT 伺服器
4.2.1.11 區域網路擴充器(LAN Extenders)
•多層交換機
•用於擴展一個網段,使其超過特定電纜類型的距離限制
•可作為廣域網路交換器、廣域網路路由器、中繼器或擴大機來實現
4.2.1.12 無線存取點(Wireless Access Points, WAPs)
•工作在資料鏈結層
。提供無線網路連接,讓設備透過無線方式接入有線網絡
4.2.2. 傳輸介質
一、區域網路技術:
4.2.2.1乙太網路 (Ethernet)
•基於 IEEE 802.3 標準的廣播技術,允許多設備在同一媒體上進行通訊
•實施成本低,易於理解、實施及維護
•通常部署在星形或總線拓樸結構中
•使用雙絞線支援雙向全雙工通信
•在 OSI 模型的物理層和資料鏈結層工作
•依資料傳輸速率和距離分類:快速以大網路(100Mbps)、千兆位元乙太網路(1Gbps)、萬兆乙太網路 (10Gbps)
4.2.2.2 無線區域網路 (Wi-Fi)
•遵循 IEEE 802.11 標準的無線通訊技術
•分為基礎設施模式(透過存取點連接設備)與Ad Hoc 模式(設備之間直接連接)
二、網路佈線:
4.2.2.3 同軸電纜
•中心芯為銅線,外層有絕緣層及導電屏蔽層
•實現雙向通信,具有抗電磁幹擾(EMI) 能力
•比雙絞線成本高且更笨重,但訊號傳輸距離更遠
4.2.2.4 基頻電纜和寬頻電纜
•命名約定遵循 xxyyyzZ模式
xx 代表電纜類型所提供的最大速度,yyy 表示它是基頻電纜還是毫帶電纜,zZ 表示電纜可以使用的最大距離或作為電纜技術的縮寫。例如 10Base2 電纜表示:10Mbps 的基頻電纜大約 200 公尺傳輸距離。
STP 具有金屬箔包裹的電線,提供額外保護,使其免受串擾和 EMI千擾
4.2.2.6 導體
•銅線:成本效益高,室溫表現良好。但有阻力,訊號強度會下降
•光纖電纜:傳輸光脈衝,速度快,抗竊聽和乾擾,傳輸距離長,但安裝困難,初始費用較高
4.2.2.7其他佈線考慮因素
•避免連續使用四個以上的中繼器
•遵循5-4-3 規則:最多五個網段,由最多四個中繼器和集中器連接,只有三個可以有額外的或其他的用戶、伺服器或網路設備連接。
三、網路拓樸結構
網路的實體拓樸結構有四個基本變化:環形、匯流排、星形和網狀。
4.2.2.8 環形拓樸結構
在環形拓撲結構中,設備被連接起來,資料包以單向的環形模式傳輸。資料是一個系統一個有系統地傳輸,如果一個系統故障,整個網路就會中斷。
4.2.2.9 總線拓樸結構
總線拓撲結構中的每個節點或系統都由一條線路或主千電纜連接。如果總線與一個區段斷開,該區段就會癱瘓。然而,在該段內,節點仍然可以相互連結。
總線拓樸結構的類型有:線性和樹形
4.2.2.10 星形拓樸結構
•每個獨立節點直接連接到中心節點(交換器、集線器或集中器)
•所有資料通訊必須通過中心節點,可能成為瓶頸或單點故障
•易於安裝及維護,網路故障容易隔離,不影響其他部分
•匯流排或環形拓樸結構的邏輯架構可形成星形拓樸結構
•乙太網路可以部署為實體星形,因為它是基於匯流排的
4.2.2.11 網狀拓樸結
網狀拓撲結構是一個網路工作中的所有系統透過一些單獨的路徑相互連接。
優點:冗餘連線提高了可用性
缺點:管理複雜且會產生額外費用
4.2.3. 網路存取控制設備 (NAC)
NAC 技術攔截設備的網路流量,驗證其連線授權,使用802.1x 認證協定。 NAC的目標包括執行網路策略,實施安全策略,以及認證和投權網路連線。透過執行一系列網路策略,間接阻止/減少零時差攻擊。
1.實現 NAC 的兩個階段:
•准入前 :檢查端點是否符合政策,如IP、MAC、身分資訊等。
•准入後:授予網路訪問,管制用戶行為,根據規則遵守情況決定是否取消訪問
2.NAC 實作方式:
。有代理 NAC:使用代理伺服器進行身份驗證和授權。可透過認證協議,如802.1× 和 RADIUS,來實現身份驗證和授權。
•無代理程式 NAC :在網路設備上實現身分驗證和授權功能。可透過認證協議,如802.1X 和RADIUS.來實現身份驗證和授權。
•帶外 NAC :分離分析和執行功能,報告至中央控制台。但是,如果沒有安全措施,帶外配置可能會破壞網路安全。
•帶內 NAC :設備位於網路流量中間,根據端點登入時決定是否允許或限制流量。優點是:可以在流量流中間直接進行身份驗證和授權,但如果設備負載過高,可能會成為網路效能瓶頸。
3.修復方法:
修復是解決阻止存取的必要步驟。修復有兩種不同的方法:
•隔離:端點限制在特定 IP 網路或 VLAN,提供有限存取。
。擷取入口網站 :將網路存取重新導向至特定網頁,如登入頁面或授權頁面。
4.2.4. 端點安全性
4.2.4.1 端點(Endpoint)
端點包括筆記型電腦、合式機、伺服器、行動裝置、物聯網設備、工業控制系統、自主移動系統、機器人等
4.2.4.2 端點檢測與響應 (EDR)
EDR 實現對所有類型端點的高階威肋進行持續監測和回應。透過監控端點和網路事件並分析這些事件以偵測、調查和應對可疑活動。
4.2.4.3端點安全策略
縱深防禦策略結合零信任架構、本機主機防火牆、進階威助保護應用程式、多因素認證、稽核(如UEBA)、基於客戶端的1DS/IPS 等新一代端點控制,將受感染或可疑的端點隔離於網路之外。
4.2.4.4 端點安全措施
端點安全性應包括防毒和反惡意軟體的有效性、正確配置的基於主機的防火牆、停用不必要服務的加強配置以及打補丁的作業系統。
4.2.4.5 移動設備
1. 行動裝置安全策略包括:
•儲存:最低限度的資料保留,定期別除超過資料保留政策的資料。
•認證:使用多因素認證,如密碼、生物辨識等,在不使用時鎖定設備。
•加密:對行動裝置上的靜態資料進行加密,結合硬體安全模組 (HSM)提供更高層級的安全管理。
•遠端抹除:透過網路別除遺失裝置的內容。
2. 行動裝置管理(MDM) 及其發展:
•MDM:註冊並管理員工的行動設備,包括資產管理、配置管理、遠端擦除等功能。
•EMM:MDM 的加強版,實現更細緻的內容控制,並保護企業資料。
• UEM:整合 MDM 與EMM,擴大管控範圍,包括行動裝置、PC、1oT、穿戴式裝置、ICS等。
3 行動裝置管理策略:
•應用程式控制:黑名單或白名單方式管理行動裝置上的應用程式。
•容器化與儲存分割 :為敏感組織資料提供安全加密部分,讓使用者無限制地存取裝置的其他部分。
•可移動存儲:禁止使用設備上的可移動存儲,以減少資料外洩風險。
•內容過濾:防止使用者存取裝置上未經授權的內容。
4.行動裝置追蹤
•資產追蹤:管理設備的整個生命週期,包括設備申請、訂購、接收、初始配置、安全性策略應用、 設備分配給用戶,以及設備退役等流程。
•地理定位 :利用行動裝置的 GPS 功能確定裝置位置。
。地理圍欄:在特定區域週國設立虛擬圍欄,當設備離開圍欄時觸發警報
•需要注意隱私問題,並確保合法、道德地向受監控員工揭露監控情況和授權用途。
5. 行動應用安全
•身份驗證:要求存取資料或資源的應用程式進行認證。
•資料加密:確保應用程式的敏感資料在靜止和傳輸狀態下都加密,並實施強大的金鑰管理。
•地理標記權限:確保應用程式的地理標記權限符合企業要求。
6 行動裝置安全執行
•避免使用第三方應用程式商店
•防止越獄或 Root,監測設備是否有越獄跡象,確保設備韌體是最新的並已打補丁以防已知漏洞。
4.2.4.6 行動部署模式
1. 自帶設備(BYOD)
員工使用個人設備連接公司網路並完成工作任務。這種模式提高了工作效率,但涉及隱私問題,且需要公司進行安全管理和限制。
2 選擇自己的設備(CYOD)
本公司提供一組設備供員工選擇。這種模式為員工提供了自由度,同時使公司能夠統一管理設備並實施安全控制。
3 公司擁有,個人啟用(COPE)
公司提供設備,員工可以在工作和個人生活之間自由切換。這種模式有利於平衡工作和生活,但增加了公司的管理和安全難度。
4 組織自有,僅限業務(COBO/COMS):
本公司購買符合安全策略的行動設備,僅供公司業務使用。這是最具安全性的部署
5 虛擬桌面基礎架構(VDI)
企業在資料中心或雲端運行虛擬桌面,員工使用個人裝置連線。資料始終保持在虛擬化環境內,確保了安全性。
七、行動裝置實施策略的典型關注點包括:
•設備管理:註冊、設定、更新、替換和撤銷等。
•應用程式管理:安裝、更新、停用和解除安裝等。
•資料安全:加密、備份、復原和清除等。
•網路安全:網路連線、防火牆、VPN等。
•設備定位:定位、監控與鎖定等。
•無線安全:無線網路安全、Wi-Fi 加密等。
•隱私保護:個人隱私和資訊保護。
•電池管理:電池使用、電量管理、充電策略等。
•支援與服務:行動裝置管理支援、使用者協助等。
•第三方應用管理 :第三方應用程式的管理、監控、停用等。
。策略與指導:制定明確的使用政策與指引。
•行動裝置管理平合(MDM):設定、 策略、安全性、監控等。
•使用者身分管理 (UIM):確保只有授權使用者存取公司網路和資料。
•多因素驗證:提高安全性,如指紋、臉部辨識、密碼等。
•永續性管理:設備壽命週期管理,包括購買、使用、維護、更新和回收等。
•災難餃子復:制定災難復原計劃,應對突發事件導致的設備故障或遺失。
•日誌管理:收集、分析設備日誌,了解使用情況和發現安全威脅。
•集中管理:提高管理效率與安全性。
•使用者培訓:提高使用者安全意識和技能。
•合規性:遵循法律、法規和行業標準。
4.3. 根據設計實施安全的通訊通道
4.3.1. 語音
4.3.1.1 專用交換器 (PBX)
PBX (Private Branch Exchange) 是企業級電話系統。類比訊號的PBX 可能有話費詐欺風險。減輕措施包括識別問題、漏洞管理、訓練和監控。
4.3.1.2 POTS (Plain Old Telephone Service)
POTS 是傳統電話服務,使用PSTN線路提供通話服務。 POTS 連線的語音通訊容易被截獲、竊聽等。安全控制依賴實體控制、隔離網路流量和監控脆弱區域。
4.3.1.3 公共交換電話網路 (PSTN)
PSTN (Public Switched Telephone Network)是傳統電話通訊網絡,主要提供語音通話服務。 PSTN訊號可透過 modem 轉換為數位訊號,用於撥打 DSL或 ISDN網路連線。
4.3.1.4 VolP
VolP (Voice over Internet Protocol) 透過 網際網路協定進行語音通訊。 VoIP漏洞包括釣魚、SPIT 攻擊、呼叫管理器系統受攻擊、MITM 攻擊和未加密流量外洩。補救措施包括使用加密、網路分段和網路存取控制技術。
4.3.2. 多媒體協作
多媒體協作是一個統稱,包括視訊電話會議、即時通訊、電子郵件等。在COVID-19 大流行期間,這些技術成為開展業務的關鍵服務。許多組織已經接受了遠距工作作為可接受的選擇。
4.3.2.1 遠距會議
遠距會議需要確保認證,例如使用唯一的密碼預先登記參加會議。語音、資料或視訊的傳輸可能需要加密來保護。 Zoombombing 是未經授權的個人或因體進入zoom 視訊會議的行為,通常包括在祝頻會議中發布不當內容或乾擾正常進行。
4.3.2.2 即時通訊
•即時資訊 (IM)也被稱為私人資訊(PM)。 IM 可能面臨以下安全威脅:
•帳號欺騙:在IM 不強制執行強認證的情況下,會威脅到真實性。
•封包竊取:如果沒有加密,即時通訊很容易受到封包的竊取,使其完整性受到威脅。
•惡意程式碼存放、感染或資料外洩:文件傳輸和遠端存取增加了這些風險。
•社會工程攻擊:IM 使用者經常受到許多形式的社會工程攻擊。
•SPIM:垃圾短信,即發送大量無用或未經授權的短信。
注意:在防火牆上阻斷連接埠以阻止IM 攻擊是無效的,因為 IM 通常使用開放連接埠(如 80/443)。
4.3.2.3 電子郵件
電子郵件伺服器:Sendmail 和 Microsoft Exchange 是常見的電子郵件伺服器軟體,支援發送郵件的SMTP 協定以及接收郵件的POP3 和IMAP 協定。 SMTP伺服器應確保被正確配置為入站和出站郵件的強認證。
•電子郵件安全目標:確保電子郵件的保密性、完整性、可用性、不可否認性和真實性 (CIANA)。
•電子郵件攻擊:網路釣魚、垃圾郵件(spam)等。
•郵件安全政策:使用準則、存取控制、隱私權、電子郵件備份和保留政策。
•電子郵件安全解決方案:數位簽章、反惡意軟體掃描、阻止可疑附件和有潛在風險的檔案名稱副檔名、過濾器、加密技術、訓練使用者、防毒和端點保護等。
•電子郵件安全標準:
透過強制使用 TLS 進行電子郵件加密來提供保證。
1) S/MIME(安全多用途互聯網郵件擴充)
使用公鑰加密和數位簽章啟用電子郵件的身份驗證和保密性。使用X.509數位憑證提供身分驗證,公鑰加密標準 (PKCS) 加密提供隱私。
2)MOSS (MIME 物件安全服務)
使用 MD2 和 MD5 演算法,存在安全漏洞。 MOSS 從未被廣泛部署,現已放棄,主要由於 PGP 的普及。
3) PEM(隱私增強郵件)
提供電子郵件加密機制,包括身分驗證、完整性、 保密性和不可否認性服務。使用 RSA、DES 和X.509。
4)DKIM(網域金鑰識別郵件)
透過驗證網域身分確保郵件來自聲稱的組織。實作 DKM 依賴公鑰和數宇簽章。
5)PGP (Pretty Good Privacy)
使用各種加密演算法保護電子郵件訊息和其他數位資產。 PGP 不是標準,而是廣泛應用於互聯網上的獨立開發產品。 OpenPGP 和GnuPG 是基於 PGP 的開源產品。
6) 強制加密
透過TLS進行電子郵件加密
4.3.3. 遠端訪問
4.3.3.1 遠端存取技術
•特定服務的遠端存取:允許使用者遠端存取和使用特定服務,如僅可使用電子郵件
•遠端控制:允許授權使用者取得另一個系統的遠端存取權限並具有實際在遠端系統前的控制權。
•螢幕擷取:將一個應用程式中顯示的資訊複製到另一個應用程式中使用或顯示。
實施加密以降低未經授權的揭露或破壞的風險。
4.3.3.2 遠端存取安全管理
•多因素身份認證:使用多種驗證方式增加安全性。
。限制遠端存取:僅允許需要和經常使用遠端存取的人員。
•傳輸鏈路加密:使用 VPN、SSL、TLS、SSH 和 IPSec 等技術保護資料傳輸。
4.3.3.3 認證方法
4.3.3.4 VPN
是一條通訊隧道,在一個不受信任的網路(如網路)上建立一個安全的點對點連線。大多數 VPN使用加密來保護封裝的流量,但加密並不是連線被視為VPN的必要條件。
•隧道技術
使用另一種協定封裝資料包來保護初始資料包,通訊量僅對隧道兩端的系統可見,對不受信任的網路隱藏。
常見 VPN 協定:
1 PPTP:點對點隧道協議,從PPP 撥號協議發展而來,用於資料鏈路層對流量進行封裝,並在IP網路上使用。使用pPP 支援的相同認證協定保護認證流量。現被認為不安全且過時。
2 L2TP:第二層隧道協議,用於建立點對點隧道連接不同的網路。 L2TP 本身不提供加密,因此不提供保密性或強認證,但可以與 IPSec 結合提供這些服務。 L2TP 支援 TACACS 和 RADIUS。 L2TPV3 版本改進了安全功能,包括改進的封裝和支援更多的通訊技術,如幀中繼、乙太網路和ATM等。
3 IPSec :一種網路層的安全協議,可以在 IP封包上新增加密和鑑權資訊。
4 OpenVPN:一種基於 SSLITLS協定的開源VPN協議,支援多種加密演算法。
5 SSTP:基於 HTTPS 的隧道協議,可以透過防火牆進行傳輸。
4.3.4.1 幀中繼 (Frame Relay)
•一種基於分組交換技術的快速資料傳輸技術
•使用虛擬電路而非專用實體電路
•透過 VPN 加密共享虛擬電路上的流量以確保保密性
•主要應用於中小型企業的廣域網路(WAN)線路
•逐漸被 ATM、IP 等協定(包括 VPN) 取代
4.3.4.2 非同步傳輸模式 (ATM)
•一種高速資料傳輸技術,主要用於提供高速資料傳輸和多種類型的資訊傳輸服
•使用固定大小(53 位元組)的資料單元(信元)進行資料傳輸
•支援高速傳輸、高度靈活性和高度可靠性
•隨著 IP 網路的普及,ATM 逐漸被取代
4.3.4.3 多重協定標籤交換 (MPLS)
請參閱 4.1.5.3 融合協議介紹的 MPLS
4.3.4. 數據通信
4.3.5.虛擬化網絡
網路虛擬化將硬體和軟體網路資源整合為一個統一實體,由軟體控制各種網路功能。這有助於實現敏感網路分段和主機隔離。透過使用虛擬區域網路 (VLAN)和應用不同的安全性策略,可以提高網路安全性。網路虛擬化還能在遇到攻擊或災難時動態地重新配置網絡,提高彈性。
4.3.6.第三方連接
1. 第三方連接包括:
•數據和電信供應商(如ISP)
•雲端服務供應商
•供應商、客戶、合作夥伴組織等。
2 風險
主要風險是合規風險。作為資料所有者,組織有責任確保第三方合作夥伴的資料管理和保護措施符合法律和監管要求。這包括託管和處理資料的伺服器和系統的位置等方面。
3 最佳實踐
•使用合規報告(如SOC2 報告)評估與第三方連線相關的安全和合規風險。
•透過服務等級協定(SLA)確保第三方的責任。
•採用傳輸加密、強大的存取控製程式和電子郵件過濾來保護資料。
。持續監控第三方連接,以便及時發現新的威脅、異常行為或 SLA 的偏離。
練習題
1.Gary 想要分發一個大文件,並且傾向於使用點對點內容分發網路(CDN)。 下列哪一項是這種類型技術最常見的例子? A. CloudFlare B. BitTorrent C. Amazon CloudFront D. Akamai Edge
B
2.在無線網路進行安全評估時,Jim 發現一個使用 WPA 的網路正在使用 LEAP。 Jlim 該提出什麼建議? A 繼續使用 LEAP。對於 WPA 網路來說,它提供比TKIP 更好的安全性。 B.使用其他協議,如PEAP 或 EAP-TLS,並在支援的情況下實施 WPA2。 C. 為避免認證問題,請繼續使用 LEAP,但切換到 WPAz。 D.使用其他協議,如PEAP 或 EAP-TLS. 並實施 Wired Equivalent Privacy 以避免無線安全問題。
B 查書 P410 WAP的身份認證有兩種:OSA(明文)和SKA(通訊前認證) D選項中的Wired Equivalent Privacy 就是WEP
3.Ben 使用 802.11ac 連接了他的筆記型電腦和平板電腦。他使用了什麼無線網路模式來連接這些設備? A.基礎設施模式 B. 有線擴充模式 C.自組網模式 D.獨立模式
C
4. Selah 和 Nick 的個人電腦同時發送流量,導致它們同時發送資料。下列哪個網路術語描述了可能受到相同問題影響的網路中的系統範圍? A. 子網路 B. 超網 C.衝突域 D.廣播域
C
5. Sarah 正在手動審查一個TCP 流量的封包捕獲,並發現一個系統在短時間內反覆發送的 TCP 封包中設定了RST 標誌位元。在TCP資料包頭中,這個標誌位代表什麼意思? A.RST 標誌位代表「Rest」。伺服器需要流量暫停一小段時間。 B.RST標誌位代表 “Relay-set”。資料包將被轉送到資料包中設定的位址。 C.RST標誌位元代表「Resume Standard"。通信將恢復到正常格式。 D. RST 代表 “Reset”。 TCP 會話將會被斷開連線。
D
6.Gary 正在部署一個無線網,並希望部署速度最快的無線技術。下列哪一種無線網路標準應該使用? A. 802.11a B. 802.11g C. 802.11n D. 802.11ac
D
7Michele希望以-個安全的協定取代FTP 流量。她應該選擇哪一個安全協議? A. TFTP B. HFTPS C. SecFTP D. SFTP
D
8.Jake 被告知他的網路存在一個第3層的問題。下列哪一個與 OSI模型中的第3 層相關聯? A.IP位址 B.TCP 和 UDP協議 C. MAC位址 口.透過硬體發送和接收比特
A
9. Frank 負責確保他的組織擁有可靠的、受支援的網路硬體。下列哪一個不是網路管理員在努力確保網路持續運作時的常見問題? A. 設備是否有供應商支持 B. 設備是否在保固期內 C.主要設備是否支援冗餘電源供應 D.所有設備是否支援冗餘電源供應
D
10.Brian 正在為一個PPP 連線選擇認證協定。他想選擇一個可以加密使用者名稱和密碼,並透過挑戰/回應對話來防止重播攻擊的選項。他還希望定期重新認證遠端系統。他應該使用哪個協議? A. PAP B. CHAP C. EAP D. LEAP
B
11. 下列哪一個協定通常用於為 VPN 提供後端驗證服務? A. HTTPS B. RADIUS C. ESP D. AH
B
12. Issca想確保他的 VoIP 會話初始化是安全的。他應該確保啟用和要求哪個協議? A. SVOIP B. PBSX C. SIPS D. SRTP
C P405 書中原話,RTP或SRTP載會話初始協定(SIP)簡歷端點之間的通訊連結後接管 初始化安全要用SIPS
對於問題 13-15,請參考以下情境和圖表 :Coris 正在為他的組織設計分層網絡 13. 圖表中展示的是哪一種防火牆設計? A. 單層防火牆 B. 雙層防火牆 C.三層防火牆 D.四層防火牆 14. 如果 VPN 授予遠端使用者與本地工作站相同的網路和系統資源存取權限,Chris 應該提出哪個安全問顆? A.VPN 使用者將無法存取 Web 伺服器。 B. 沒有額外的安全問題;VPN 聚合器的邏輯網路位置與工作站的邏輯網路 位置匹配。 C. Web 伺服器流量未經過狀態檢查。 D. VPN 使用者應僅從受控的個人電腦連線。 15. 如果Chris 想要阻止針對web伺服器的跨站腳本攻擊,最適合此目的的設備是什麼,他應該將其放在哪裡? A. 防火牆,位置A B. 人侵檢測系統 (1DS),位置A C. 人侵防禦系統 (IPS),位置 B D.web 應用防火牆 (WAF),位置C
B
D
C
16. Susan 正在部署一種路由協議,該協議維護一個目標網路列表,其中包括到達目標網路的跳數和應發送流量的方向。她使用的是哪種類型的協議? A. 鏈路狀態協定 B. 鏈路距離協定 C. 目的地度量協議 D.距離向量協議
D
17.Ben 已經設定了他的網路不廣播 SSID。 Ben 停用 SSID 廣播的原因是什麼,以及他的 SSID 如何被發現? A. 停用 SSID廣播可以防止攻擊者發現加密金鑰。 SSID 可以從解密的封包中復原。 B.停用 SSID 廣播可以隱藏網路不被末授權人員發現。 SSID 可以透過使用無線嗅探器進行發現。 C.停用 SSID 廣播可以防止信標訊框的問題。 SSID 可以透過重建 BSSID 來復原。 D.停用SSID 廣播有助於避免 SSID 衝突。 SSD 可以透過嘗試連接到網路來發現。
B
18. 下列哪一個網路工具可以在接受客戶請求、修改請求的來源位址、將請求對應到客戶端並將修改後的請求傳送到目標位址的過程中保護客戶端的身份並提供網路存取? A. 交換機 B. 代理 C 路由器 D.防火牆
B P423 書中原話,關注題中保護客戶端身份
19 Susan 希望透過多個網路服務供應商對其公司的第二個位置發送的通訊流量進行安全保護。對於始終保持連接的鏈接,她應該使用哪種技術來保護流 A. FCoE B. SDWAN C. 點對點 IPsec VPN D. Zigbee
C
20. Melissa 希望以對使用者透明的方式將她組織中的多個實體網路合併起來,同時允許根據網路服務的需求進行資源分配。她應該部署哪種類型的網路? A. iSCSI B. 虛擬網絡 C. SDWAN D. CDN
B
21. 哪一種電子郵件安全解決方案提供了兩種主要的使用模式 :(1)提供完整性、 和機密性的封裝訊息模式? 寄件者身分驗證與不可否認性的簽名訊息 :(2) 提供完整性、寄件者身分驗證 A. S/MIME B. MOSS C. PEM D. DKIM
A 查書 PEM提供電子郵件加密機制,包括身分驗證、完整性、 保密性和不可否認性服務。使用 RSA、DES 和X.509。但題中說兩種模式,所以選A P461
•電子郵件安全標準:
1) S/MIME(安全多用途互聯網郵件擴充)
使用公鑰加密和數位簽章啟用電子郵件的身份驗證和保密性。使用X.509數位憑證提供身分驗證,公鑰加密標準 (PKCS) 加密提供隱私。
提供兩種機制(訊息類型):簽署訊息和安全信封訊息。簽名訊息提供完整性、身份認證和不可否認性,安全信封訊息提供收件人身份認證和保密性
2)MOSS (MIME 物件安全服務)
使用 MD2 和 MD5 演算法,存在安全漏洞。 MOSS 從未被廣泛部署,現已放棄,主要由於 PGP 的普及。
3) PEM(隱私增強郵件)
提供電子郵件加密機制,包括身分驗證、完整性、 保密性和不可否認性服務。使用 RSA、DES 和X.509。
4)DKIM(網域金鑰識別郵件)
透過驗證網域身分確保郵件來自聲稱的組織。實作 DKM 依賴公鑰和數宇簽章。
5)PGP (Pretty Good Privacy)
使用各種加密演算法保護電子郵件訊息和其他數位資產。 PGP 不是標準,而是廣泛應用於互聯網上的獨立開發產品。 OpenPGP 和GnuPG 是基於 PGP 的開源產品。
6) 隱式SMTPS
SMTP透過TLS進行加密,使用連接埠 tcp465
7) DMARC
基於DNS的電子郵件身分認證系統,防止網路釣魚和其他詐騙行為
22. 在進行安全評估時,Jim 發現他正在與的組織使用多層協定來處理 SCADA 系統,並且最近將 SCADA 網路連接到組織的其他生產網路。關於透過 TCP/IP 傳輸的串列資料傳輸,他應該提出哪種關注? A.現在連接到網路的 SCADA 設備可以透過網路進行攻擊。 B. 無法對通過 TCP/IP 的串列資料進行加密。 C. 串列資料無法在 TCP 資料包中傳輸。 D.TCP/IP 的吞吐量可能會導致對串行設備的簡單拒絕服務攻擊。
A P404 P292 SCADA攻擊
23.Ben 為一家小型咖啡連鎖店提供網路和安全服務。咖啡連鎖店希望為顧客提供安全的免費無線網路。如果 Ben 不需要擔心協議支援問題,以下哪個選項對於讓顧客安全地連接到無線網路而無需用戶帳戶是最佳選擇? A.使用 PSK 模式的 WPA2。 B. 使用 SAE 模式的 WPA3。 C. 使用企業模式的WPAz。 D.使用強制門戶。
B P412 SAE使用預設密碼以及客戶端和AP記性身份認證和金鑰交換 PSK使用固定靜態密碼進行身份認證 顯然B更安全 補充ENT企業模式,支援RADIUS或TACACS
24.Alicia 的公司已經實施了使用簡訊訊息提供數宇代碼的多因素身份驗證。關於這種設計,Alicia 可能要表達的主要安全關注是什麼? A. 簡訊訊息沒有加密。 B. 簡訊訊息可以被寄件者偽裝。 C. 簡訊訊息可能會被多支手機接收。 D.簡訊訊息可能儲存在接收手機上。
A
25.802.11n 使用的速度和頻率範圍是多少? A. 僅限 5 GHz B.900 MHz 與2.4 GHz C.2.4 GHz 和5 GHz D.僅限 2.4 GHz
C
26. 位址解析協定 (ARP)和逆位址解析協定 (RARP)在OSI模 型的哪一層操作? A. 第1層 B. 第2層 C.第3層 D. 第4層
B
27.下列哪一個是一種融合協議,允許透過TCP 進行儲存掛載,並經常被用作比光纖通道更低成本的替代方案? A. MPLS B. SDN C. VolP D. iSCSI
D
28. Chris 正在建立一個乙太網路,並且知道他需要在 1000BaseT 網路中跨越超過 150 公尺的距離。他應該使用什麼網路技術來幫助解決這個問題? A. 在100 公尺之前安裝一個中繼器、交換器或集線器。 B. 使用具有更好屏薇性能的7 類電纜以實現更高的速度。 C.安裝一個網關來處理距離問題。 D. 使用 STP 電纜來處理較長距離的高速傳輸。
A
問題 29-31,請參考以下情境和圖示: Selah 的組織多年來一直使用一種流行的訊息服務。最近,人們對訊息的使用提出了一些擔憂 29. 基於圖示,訊息流量最有可能使用的協定是什麼? A. SLACK B. HTTP C SMTP D HTTPS 30. 將內部通訊從 A 發送到 B引發了什麼安全關注? A. 防火牆不能保護系統 B。 B.系統C可以看到從系統 A 到 B的廣播流量。 C.它經過了一個未加密的協定傳輸。 D.訊息傳遞不提供不可否認性。 31. Selah 的公司如何最好地滿足對內部系統 A 和C的使用者進行安全訊息傳遞的需求? A. 使用第三方訊息服務。 B. 實施並使用本地託管的服務。 C. 使用 HTTPS。 D. 停止使用訊息傳遞,改為使用更安全的電子郵件
B
C
B 記住
32. 當允許多層協定時,下列哪個缺點是一個關注點? A.可以在更高層使用一系列協定。 B. 允許隱藏通道。 C.無法繞過過濾器。 D.無法在多個層次上加密。
B
33 下列哪一個不是融合協議 A. MIME B. FCoE C. iSCSI D. VolP
A P404
融合協定:SAN、FCoE、MPLS、iSCSI、VoIP、VPN、SDN、雲端、虛擬化、SOA、微服務、基礎架構即程式碼、無伺服器架構
34.Chris 在旅行時使用行動熱點提供網路存取。如果他在他的個人電腦連接到組織的企業網路時保持熱點連接,他可能引發哪個安全問題? A.流量可能無法正確路由,暴露敏感資料。 B. 他的系統可能作為從網路到本地網路的橋接器。 C. 他的系統可能成為反射式 DDoS 攻擊的入口。 D.安全管理員在發生安全問題時可能無法確定他的IP位址。
B
35. 身為資安專業人員,Susan 被要求確定她所在組織的無線網路可能會被存取的地方,儘管並不打算如此。為了確定她所在組織的無線網路可以存取的地方,Susan 該怎麼做? A. 實地勘測 B.步行探測 C.駕車偵測 D.設計地圖
A
36. IPsec 可以為安全通訊提供哪些功能? A. 加密、存取控制、不可否認和訊息認證 B. 協議融合、內容分發、微分割與網路虛擬化 C.加密、授權、不可否認和訊息完整性檢查 D. 微分割、網路虛擬化、加密與訊息認證
A P471 不支援授權 IPsec AH支援認證、存取控制、防重播 IPsec ESP支援加密、身份認證 AH提供完整性和不可否認 ESP提供保密性和完整性
37.Casey 被要求確定 Zigbee 網路流量是否可以在傳輸過程中受到保護。 zigbee 使用什麼安全機制來保護資料流量? A.3DES 加密 B.AES 加密 C. ROT13 加密 D. Blowfish 加密
B P420 Zigbee使用藍牙技術,低功耗低吞吐率,接近設備,支援128位元加密演算法 P190 3DES密鑰是168位元或112位 AES支援128 192 256
38. Sue 將自己的MAC 位址修改為允許在使用 MAC 過濾提供安全性的網路上。 Sue 使用了什麼技術,而她的行為可能引起哪個非安全問題? A. 廣播域利用,位址衝突 B. 欺騙,令牌遺失 C. 欺騙,地址衝突 D. 虛假EUI 創建,令牌遺失
C
39.jim 想整在證程站點都署 4GLTE作為帶外管理解決方案。下列哪一種安全 功能通常不可用於 4G 服務提供者? A.加密功能 B. 基於裝置的身份驗證 C.為安全服務訂戶提供的專用塔和天線 D. 基於SIM 卡的身份驗證
C
40. SMTP、HTTP 和 SNMP 都屬於 0SI模型的哪一層? A. 第4層 B. 第5層 C 第6層 D.第7層
D
41. Melissa 使用 ping 實用程式作為滲透測試練習的一部分來檢查遠端系統是否在線。如果她不想在資料包嗅探器的日誌中看到自己的ping 資料包,她應該過濾掉哪個協定? A. UDP B TCP C. IP D. ICMP
D
42.selah 希望在她的網路上提供基於連接埠的身份驗證,以確保客戶端在使用網路之前必須進行身份驗證。下列哪一種技術是符合此要求的適當解決方案? A. 802.11a B. 802.3 C. 802.15.1 D. 802.1x
D
43. Ben 部署了一個 1000BaseT 千兆網絡,並需要在一棟大樓中鋪設一條電纜。 如果 Ben 將其連結直接從一個交換機連接到該建築物中的另一個交換機,根據1000BaseT 規範,Ben 最多可以覆蓋多遠的距離? A.2公里 B.500米 C.185米 D.100米
D
44.MAC 克隆試圖繞過有線網路中的哪種安全控制? A. 連接埠安全 B. VLAN跳躍 C.802.1q 千道 D. Etherkiller 防護
A
45.Kathleen 所在的公司大部分員工已轉向遠端工作,並希望確保他們用於語音、視訊和基於文字的協作的多媒體協作平合是安全的。下列哪一種安全選項能夠為通訊提供最佳使用者體驗,並提供適當的安全性? A. 要求所有使用協作平台的通訊都需要軟體 VPN 連接到公司網路。 B. 要求所有通訊使用 SIPS 和 SRTP。 C.對協作平台的所有流量使用 TLS。 D. 在每個遠端位置部署安全的 VPN終端,並使用點對點 VPN 進行通訊。
C 幹擾選擇D,不應該是點對點
46.Chris 希望為他正在設計的設備使用低功耗的個人區域網路無線協定。下列哪一種無線協定最適合在建築物或房間之間相對短距離連接的小型低功耗設備之間進行通訊? A. WiFi B. Zigbee C. NFC D.紅外線
B
47. 以下選項包含了OSI 模型第6層存在的標準或協定? A NFS、SQL和RPC B. TCP、UDP和TLS C.JPEG、ASCIl 和 MIDI D.HTTP、FTP和 SMTP
C
48.cameron 對針對公司主要網路應用的分散式阻斷服務攻擊感到擔憂。以下選項中哪個選項能夠對大規模 DDoS 攻擊提供最強的彈性? A. CDN B. 增加 Web 應用程式伺服器叢集中的伺服器數量 C. 透過公司的 ISP 簽署 DDoS 緩解服務 D.增加一個或多個 ISP 提供的頻寬量
A
49. VPN 有四種常見的協定。下列哪個選項包含所有常見的VPN協定? A. PPTP、LTP、L2TP、IPsec B. PPP. L2TP. IPsec. VNC C. PPTP. L2F. L2TP. IPsec D. PPTP. L2TP. IPsec, SPAP
C
50. Wayne 想部署一個安全的語音通訊網路。下列哪些技術應該考慮使用? (選擇所有適用項目。) A. 為VoIP 電話和設備使用專用 VLAN。 B. 要求使用 SIPS 和 SRTP。 C. 對所有遠端 VoIP 設備要求使用 VPN。 D. 實施 VoIP IPS。
AB 記住
51.0S1模型的哪一層包括電氣規範、協定和介面標準? A. 傳輸層 B. 設備層 C.物理層 D.資料鏈路層
C
52.Ben 正在設計一個 WiFi 網絡,並被要求選擇最安全的網路安全標準。他應該選擇哪個無線安全標準? A. WPA2 B. WPA C. WEP D. WPA3
D
53.Kathleen 在城鎮上有兩個主要位置,並希望這兩個環境看起來像同一個本地 網路。每個位置都署了路由器、交換器和無線存取點。下列哪一種技術最適合讓這兩個設施看起來屬於同一個網路段? A. SDWAN B. VXLAN C. VMWAN D. iSCSI
B
54 分段、排序和錯誤檢查都發生在與 SSL、TLS和UDP 相關的 OS!I模型的 -層? A 傳論層 B 網路層 C會話層 D.表示層
A
55. Windows 的 ip-config 指令顯示以下資訊:BC-5F-F4-78-48-7D。這個術語是什麼。通常可以從中獲取哪些資訊? A IP位址,系統的網路位置 B MAC 位址,網路介面卡的製造商 C. MAC 位址,使用的媒體類型 D.IPV6 用戶端 1D,網路介面卡的製造商
B
56. Chris 要求在無線認證中選擇實施PEAP 和LEAP之間的一個。他應該選擇 什麼,為什麼? A LEAP。因為它修復了與TKIP 相關的問題,從而提供更強的安全性 B.PEAP。因為它實作了 CCMP 以提供安全性 C. LEAP,因為它實作了 EAP-TLS 進行端對端會話加密 D.PEAP。因為它可以提供封裝 EAP 方法的TLS 遂道,保護整個會話
D
57.Ben 正在解決一個網路故障,並發現他連接的NAT 路由器的內部網路是 192.168.x.x 子網,而其外部是192.168.1.40。他這到了什麼問題? A 192.168.x.x 是一個不可路由的網絡,不會傳送到互聯網。 B.192.168 1.40 不是一個有效的地址,因為它校 RFC 1918 保留。 C 使用相同的 1 範圍無法選行雙重 NAT• D. 上游系統無法解封裝他的資料包,他需要使用PAT 代替。
C
58. 一個B類網路的預設子網路遮罩是什麼? A. 255.0.0.0 B. 255.255.0.0 C. 255.254.0.0 D. 255.255.255.0
B
59.Jim 的組織在語音通訊中使用傳統PBX。內部通訊最常見的安全問題是什麼?他應該建議採取什麼措施來防止它? A.竊聽,加密 B 中間人攻擊,瑞對端加密 C 竊聽,物理安全 D. 拔號掃描,部署入侵防禦系統 (IPS)
C P452 容易被竊聽、攔截,要透過實體安全保護語音通訊的安全
60 透過WiFi和LiFi進行無線通訊的技術差異是什麼 A. LiFi 不容易受到電磁幹擾。 B.LiFi 無法提供寬頻速度。 C. WiFi 不容易受到電磁幹擾。 D.WiFi 無法提供寬頻速度。
A
61.Soan的組織在與桌上型電腦相同的交換器上都部署了VoIP 電話。這可能會造成什麼安全問題,有什麼解決方案可以幫助解決? A. VLAN跳越攻擊;使用實體分離的交換器。 B.VLAN跳越攻擊 ;使用加密。 C.來電號碼欺騙:使用 MAC 過濾。 D.拒絕服務攻擊;網路之間使用防火牆。
A
問題 62-65,請參考以下場景: Susan 正在為分公司設計組織的新網路基礎設施。 62. Susan 希望為該地點的內部網路位址使用一組不可路由的 IP位址。根據您對安全網路設計原則和IP 網路的了解,下列哪些 IP位址範圍可用於此目的? (選擇所有適用的選項。) A. 172.16.0.0/12 B. 192.168.0.0/16 C. 128.192.0.0/24 D. 10.0.0.0/8 63. Susan 知道她將需要為客戶實施一個 WiFi 網絡,並希望收集客戶的信息,例如他們的電子郵件地址,而不必向他們提供無線網絡密碼或密鑰。什麼類型的解決方案將提供這種功能組合? A. NAC B.一個強制性門戶 C.預共享金鑰 D. WPA3 的SAE模式 64. 透過設定無線網路後,Susan 開始確保即使發生中斷,她的網路也能保特運作。如果出現電力暫時中斷或其他臨時電力問題,她可以採取以下哪種最簡單的方式確保她的網路設備,包括路由器、存取點和網路交換機,保持通電? A. 購買並安裝有自動啟動功能的發電機。 B. 為所有網路設備部署雙電源供應。 C.安裝UPS 系統,預蓋所有必須保持在線的網路設備。 D.與多個不同的電力公司簽訂合同,以獲得冗餘電力。 65. Susan 希望為新分公司的設備提供 10Gigabrt 的網路連線。下列哪些結構化佈線選項可以滿足這些速度要求? (選擇所有適用的選項。) A. Cat5e B 光纖 C Cat6 D 同軸電纜
ABD
B
C
BC
66 資料流出現在 OSl模型的哪三個層次? A. 應用層、表示層和會話層 B.表示層、會話層和傳輸層 C.實體層、資料鏈結層與網路層 D.資料鏈結層、網路層和傳輸層
A 記住
67.Lucca 希望保護正在生產使用但不再得到支援且無法進行修補程式更新的終端免受網路攻擊。為了最好地保護這些設備,他應該採取什麼措施? A. 在設備上安裝防火牆。 B. 在裝置上停用所有服務和開放連接埠。 C.在設備前方放置一個硬體網路安全設備。 D.將設備從網路中拔掉,因為無法正確保護這些設備。
C 記住
68. selah 的網路團隊被要求找到一種技術,可以透過將網路視為程式碼來動態更改組織的網路。她應該推薦哪種類型的架構? A.遵循5-4-3 規則的網絡 B. 融合網路(converged network) C. 軟體定義網絡 D.基於虛擬化的網絡
C
69.Jason 知道使用 OSI模型的協定在資料從一層流向另一層時依賴封裝。隨著資料在 OSI 層級上流動,每個層級都添加了什麼? A. 訊息被加到頭部。 B. 資訊被加入到資料的主體部分。 C.資料使用新的秘密密鑰進行加密。 D.提供完全前向保密性的安全信封。
A
70 在故障排除過程中,Alyssa與技術支援人員溝通時,對方表示問題是第3層的問題。以下可能的問題中,哪一個不是第3層的問題? A. TTL不匹配 B.MTU 不匹配 C.錯誤的存取控制清單 (ACL) D.網路纜線故障
D
71,在對組織的網路進行審查時,Angela 發現網路遭受了廣播風暴,並且承包前、訪客和組織管理人員都在同一網路段上。 Angela 應該建議進行哪種設計更 A. 要求所有用戶進行加密 B. 在網路邊界安裝防火牆。 C.啟用生成樹環路偵測。 D.依功能需求對網路進行分段。
D
72. ICMP、RIP 和網路位址轉換都發生在 OSI 模型的哪一層? A. 第1層 B. 第2層 C. 第3層 D.第4層
C
問題 73-75,請參考以下情境: Ben是一名資訊安全專業人員,所在的組織正在以雲端託管的虛擬機器取代其物伺服器。隨著組織建構虛擬環境,它正朝著混合雲營運模式邁進,一些系統服務保留在本地資料中心,而其他系統和服務則託管在雲端。下圖顯示了本資料中心和雲端 VPC 的網路 IP範圍(位址相同,都是用的10.0.0.0/24),你需要在回答問題時考慮這些資訊。 73.Ben 想要確保在他的雲端託管基礎設施即服務環境中的實例之間(系統與系統之間)的流量是安全的。為了完全確保虛擬化網路流量不會被捕獲和分析,他可以做什麼? A. 阻止在所有主機上安裝封包嗅探器。 B. 停用所有虛擬網路介面的混雜模式。 C. 禁止使用任何虛擬 TAP。 D.加密主機之間的所有流量。 74. 由於為資料中心和 VPC 配置的子網,最可能出現什麼問題? A.IP 位址衝突 B. 路由環路 C.MAC 位址衝突 D.以上全部 75. Ben 希望使用多個網路服務供應商 (ISP) 連接到他的雲端VPC,以確保可靠的存取和頻寬。他可以使用什麼技術來管理和優化這些連接? A. FCoF B. VXLAN C. SDWAN D. LiFi
D
A
C P406 SDWAN主要用於WAN連結在雲端服務中間的管理與控制
76. WPA2 的計數器模式密碼塊連結訊息認證模式協定(CCMP) 基於哪種常見的加密方案? A. DES B. 3DES C. AES D. TLS
C P410 AES-CCMP
77.當乙太網路中的主機偵測到碰撞並發送幹擾訊號後,接下來會發生什麼? A. 發送幹擾訊號的主機被允許重新發送數據,而其他主機暫停發送,直到該傳輸成功接收。 B.所有主機停止發送,每個主機在嘗試重新發送之前等待一個隨機時間段。 C.所有主機停止發送,並且每個主機根據其最近的成功發送時間等待一段時間。 D.主機等待令牌傳遞,然後在通過令牌時恢復傳輸資料。
B 記住
78.Mark 擔心網路電纜的實體安全性。在沒有專門設備的情況下,哪種類型的網路連線最難竊聽? A. WiFi B. Bluetooth C. Cat5/ Cat6 雙絞線 D.光纖
D
79.Rich 希望將他的網路連接到距離他目前位置半英里的一棟建築物。沿途有樹木和地形特徵,但是一條道路穿過樹木通往另一個位置。哪種傳輸媒體最適合這種部署? A. 每200到 300 碼設定中繼器的乙太網路電纜 B. WiFi 定向天線 C.光纖電纜 D. LiFi 系統
C
80. 端點安全系統部署的最常見挑戰是什麼? A. 受損 B. 數據量大 C 監控網路上的加密流量 D 處理非TCP協議
B P432 第一段概括後就是答案B
81. 127.0.0.1 是什麼類型的位址? A.公有IP位址 B. RFC 1918 地址 C.APIPA 位址 D.回環地址
D
82.Susan 正在為需要使用藍牙的組織使用者撰寫最佳實務聲明。她知道藍牙有潛在的安全問題,以下哪一組指導原則應該包合在Susan 的聲明中? A 使用藍牙內建的強加密功能,變更裝置上的預設PIN碼馬,在非活動使用時關閉發現模式和藍牙功能。 B. 僅在不涉及機密活動時使用藍牙,更改裝置上的預設 PIN 碼,在非活動 使用時關閉發現模式和藍牙功能。 C. 使用藍牙內建的強加密功能,使用擴充的 (八位數或更長)藍牙 PIN 碼,在非活動使用時關閉發現模式和藍牙功能。 D.僅在不涉及機密活動時使用藍牙,使用擴展的 (八位數或更長)藍牙 PIN碼,在非活動使用時關閉發現模式和藍牙功能。
B P416 沒有擴充密碼
83. 哪種類型的網路設備最常用於將端點系統指派到虛擬局城網路 (VLAN)? A.防火牆 B. 路由器 C.交換機 D.集線器
C
84.Steve 的任務是在 IP 網路上實施一種網路儲存協定。在他的實施中,他很可能使用哪種以儲存為中心的融合協議? A. MPLS B. FCoE C. SDN D. VoIP
B
85. Michelle 被告知她即將加入的組織使用 SD-WAN 控制器架構來管理他們的廣域網路(WAN)連線。 關於網路的管理與控制,她可以做哪些假設? (所有適用項。) A 網路使用預定義規則來最佳化效能。 B. 網路進行持續監控以支援更好的效能。 C.網路使用自學習技術來因應網路變化。 D.所有連線都由組織的主要網路服務供應商管理。
ABC 記住
86下面接照正確的順中以鮮工層到年7層顯示了03)橫型的各層?請特這裡顯示的 OS1模型層依正確順序排列,從第1層到第7層。 A第1層=資料鏈結層 ;第2層=物理層,第3層=網路層;第4層二傳輸 層;第5層=會話層 ;第6層-表示層;第7層=應用層 B.第1層=物理層;第2層=資料鏈結層 ;第3層=網路層;第4層=傳輸 層;第5層=會話層;第6層=表示層;第7層=應用層 C第1層=物理層 :第2層二資料鏈結層;第3層=網路層;第4層=傳輸 層;第5層=會話層;第6層=應用層;第7 層=表示層 口.第1層=物理層;第2層=資料鏈結層;第3層=網路層;第4層=會話層;第5層=傳輸層,第6層=表示層;第7層=應用層
B
87. 瓦萊麗在她的網路交換器上啟用了連接埠安全性。她最有可能試圖防止哪種類型的攻擊? A. IP 欺騙 B.MAC 聚合 C. CAM 表洪氾 D.VLAN跳躍
C P402 連接埠安全性可以禁止與未知、未經授權的惡意裝置之間的通訊 另一個方法是靜態ARP條目
88. 阿萊娜希望確保系統在被允許接入網路之前符合她的網路安全設置,並希望盡可能測試和驗證系統設置。她應該部署哪種類型的 NAC 系統? A.預先驗證,無需客戶端的 NAC 系統 B. 後驗證,基於客戶端的 NAC 系統 C. 預先驗證,基於客戶端的 NAC 系統 D.後驗證,無需客戶端的 NAC 系統
C
89. 德里克希望部署冗餘核心路由器,如圖所示。哪種高可用性集群模型將為他提供最大吞吐量? A. 主/主模式 B. 線互動模式 C. 主/備模式 D.鄰線模式
A
90 安琪拉語要在以下協定進行選擇,以進行安全認證,不想引如不必要的技術複雜性。她應該選擇哪種認證協議?為什麼? A.EAP,因為它預設提供強加密 B.LEAP,因為它提供頻繁的重新認證和更改 WEP 金鑰 C.PEAP, 因為它提供加密,並且不會受到 LEAP 相同的漏洞的影響 D. EAP-TLS
C
91. 當衛星網路是唯一可用選項時,對於需要高性能網路連線的系統,經常出現的擔憂是什麼? A. 安全性 B. 與諸如 LiFi 的協議的兼容性 C. 與諸如 zigbee 的協議的兼容性 D.延遲
D
92.SDN 實施的哪個層使用程式透過 API 進行資源需求通訊? A. 資料平面 B. 控制平面 C. 應用平面 D.監控平面
C 沒找到 API-應用
93. 下列哪一個不是多層協定的缺點? A. 它們可以繞過過濾器和規則。 B. 它們可以在較高的 OSI層級上運作。 C.它們可以允許隱藏通道。 D.它們可以繞過網路段邊界。
B
94. 將TCP/IP 模型的以下層依序排列,從應用層開始,向下移動到協定堆疊。 1. 應用層 2.網路存取層 3. 互聯網層 4. 傳輸層 A. 1,2.3.4 B. 1,4,2,3 C. 1,4,3,2 D. 4,1,3,2
C
95. Category 5e 電纜的最大速度是多少? A. 5 Mbps B. 10 Mbps C. 100 Mbps D. 1000 Mbps
D
96.56G網路相對於 4G 網路具有的兩個主要優勢是什麼? (選擇所有適用項目。) A 抗干擾功能 B 增強的使用者身分保護 C 互認證能力 D.多因素認證
BC 沒找到,記住
97. 在資料中心環境中,VXLAN 扮演什麼功能? A 它消除了乙太網路電纜的最大距離限制。 B 它允許多個子網路在相同的IP 空間中存在,使用相同的 IP 位址的主機。 D.以上全部 C.它在層3網路上進行層2連接的隧道封裝,將其擴展到底層的層了網路。
C 記住
98.Chris 正在設置一個飯店網絡,需要確保每個房間或套房中的系統可以彼此連接,但其他套房或房間中的系統不能連接。同時,他也需要確保飯店中的所有系統都能連接到網路。作為最有效的商業解決方案,他應該推薦哪個解決方案? A. 每個房間的 VPN B. VLAN C.連接埠安全 D.防火牆
B
99. 在進行取證調查時,Charles 能夠確定連接到受損網路的系統的媒體存取控制(MAC)位址。 Chariles 知道 MAC 位址與製造商或供應商相關,並且是系統 指紋的一部分。 MAC 位址是OSI的哪一層? A. 應用層 B. 會話層 C.物理層 D.資料鏈路層
D
100. Mikayla 正在審查她所在組織的VoIP 環境配置,並找到了一個顯示以下設計的圖表。她應該表達哪種關注? A 語音連線未加密,可能被竊聽。 B. 這個圖表中沒有安全問題。 C.會話初始化連線末加密,可能被檢視。 D.會話初始化和語音資料連線都未加密,可能被捕獲和分析。
C 初始化應該使用SIPS