Wondershare EdrawMind
Галерея диаграмм связей Учебные заметки CISSP - Домен 4 (Коммуникации и сетевая безопасность)
- 6
Учебные заметки CISSP - Домен 4 (Коммуникации и сетевая безопасность)
Это интеллектуальная карта учебных заметок CISSP - Домен 4 (Коммуникации и сетевая безопасность). Основное содержание включает в себя практические вопросы и знания.
Отредактировано в 2024-03-31 11:18:11
- Cent ans de solitude - Tableau des relations entre les personnages
Cent ans de solitude est le chef-d'œuvre de Gabriel Garcia Marquez. La lecture de ce livre commence par l'analyse des relations entre les personnages, qui se concentre sur la famille Buendía et raconte l'histoire de la prospérité et du déclin de la famille, de ses relations internes et de ses luttes politiques, de son métissage et de sa renaissance au cours d'une centaine d'années.
- Cent ans de solitude - Tableau des relations entre les personnages
Cent ans de solitude est le chef-d'œuvre de Gabriel Garcia Marquez. La lecture de ce livre commence par l'analyse des relations entre les personnages, qui se concentre sur la famille Buendía et raconte l'histoire de la prospérité et du déclin de la famille, de ses relations internes et de ses luttes politiques, de son métissage et de sa renaissance au cours d'une centaine d'années.
- Modèle de processus de gestion de projet
La gestion de projet est le processus qui consiste à appliquer des connaissances, des compétences, des outils et des méthodologies spécialisés aux activités du projet afin que celui-ci puisse atteindre ou dépasser les exigences et les attentes fixées dans le cadre de ressources limitées. Ce diagramme fournit une vue d'ensemble des 8 composantes du processus de gestion de projet et peut être utilisé comme modèle générique.
Учебные заметки CISSP - Домен 4 (Коммуникации и сетевая безопасность)
- Cent ans de solitude - Tableau des relations entre les personnages
Cent ans de solitude est le chef-d'œuvre de Gabriel Garcia Marquez. La lecture de ce livre commence par l'analyse des relations entre les personnages, qui se concentre sur la famille Buendía et raconte l'histoire de la prospérité et du déclin de la famille, de ses relations internes et de ses luttes politiques, de son métissage et de sa renaissance au cours d'une centaine d'années.
- Cent ans de solitude - Tableau des relations entre les personnages
Cent ans de solitude est le chef-d'œuvre de Gabriel Garcia Marquez. La lecture de ce livre commence par l'analyse des relations entre les personnages, qui se concentre sur la famille Buendía et raconte l'histoire de la prospérité et du déclin de la famille, de ses relations internes et de ses luttes politiques, de son métissage et de sa renaissance au cours d'une centaine d'années.
- Modèle de processus de gestion de projet
La gestion de projet est le processus qui consiste à appliquer des connaissances, des compétences, des outils et des méthodologies spécialisés aux activités du projet afin que celui-ci puisse atteindre ou dépasser les exigences et les attentes fixées dans le cadre de ressources limitées. Ce diagramme fournit une vue d'ensemble des 8 composantes du processus de gestion de projet et peut être utilisé comme modèle générique.
- Рекомендовано вам
- Структура
Примечания к исследованию CISSP-21 (атаки с использованием вредоносного кода и приложений)
- 4
Учебные заметки CISSP - Домен 4 (Коммуникации и сетевая безопасность)
Очки знаний
4.1 Оценка и внедрение принципов проектирования безопасности в сетевой архитектуре
4.1.1 Модели OSI и TCP/IP
4.1.1.1 Сравнение OSI и TCP/IP
4.1.1.2 Векторы атак для каждого уровня сетевой модели
1. Физический уровень
• Пассивное обнюхивание
• Электрические помехи
• Обрежьте кабель
2. Канальный уровень передачи данных
• Поддельный MAC-адрес (например, подмена ARP).
3. Сетевой уровень
• MITM-атака
• Атака типа «отказ в обслуживании» (DoS).
4. Транспортный уровень
• SYN-флуд-атака
• Перехват сеанса
5. Сеансовый уровень
• Подводные камни протокола Secure Sockets Layer (SSL).
• Менее безопасная версия Transport Layer Security (TLS).
6. Уровень представления
•Атаки на схемы шифрования
7. Прикладной уровень
•Слабые стороны протоколов прикладного уровня (таких как HTTP, FTP и т. д.).
• SQL-инъекция
• Распространенные веб-атаки, такие как атаки с использованием межсайтовых сценариев (XSS).
4.1.2. Сети Интернет-протокола (IP).
Используя основные протоколы, такие как IP, ARP, ICMP и IGMP, уровень Интернета отвечает за функции адресации, упаковки и маршрутизации пакетов данных, которые делают Интернет реальностью. Существует две версии IP: IPv4 (версия 4) — основная версия, используемая сегодня, и IPv6 (версия 6) — версия, которая развивается для устройств, подключенных к Интернету.
4.1.2.1 IP v4
IP v4 использует 32-битные адреса, которые теоретически были исчерпаны много лет назад. Однако срок службы IPv4 был продлен с появлением трансляции сетевых адресов (NAT), частных IP-адресов и других технологий.
1. Диапазон IPv4
2.НАТ
NAT — это технология, используемая для сопоставления одного или нескольких локальных (внутренних) IP-адресов с одним или несколькими глобальными (внешними) IP-адресами и наоборот.
4.1.2.2 IP V6
IPv6 расширяет ограниченный 32-битный адрес IPv4 до 128 бит для адресации. Он также включает в себя такие функции, как область адресов, автоматическую настройку, безопасность и качество обслуживания (Q0S).
4.1.2.3 Кибератаки
4.1.2.3.1 Распределенная атака типа «отказ в обслуживании»
Типичная DDoS-атака состоит из большого количества отдельных машин, которые управляются таким образом, чтобы бомбардировать цель чрезмерным трафиком в течение короткого периода времени.
4.1.2.3.2 SYN-флуд
SYN-флуд — это DoS-атака, запускаемая с использованием характеристик протокола TCP. Злоумышленник отправляет большое количество пакетов SYN цели, но не отвечает пакетами SYN-ACK, что приводит к исчерпанию ресурсов целевой системы и сбою программного обеспечения. Меры защиты включают: расширение очереди резервного копирования, полуоткрытые соединения в дни переработки и использование технологии файлов cookie SYN.
4.1.2.3.3 Атака «человек посередине» (MTM)
При атаке MITM злоумышленник перехватывает сигнал и тайно пересылает (и, возможно, изменяет) сообщение, прежде чем остановить передачу или позволить сообщению достичь предполагаемого получателя.
Методы защиты: аутентификация, обнаружение взлома.
4.1.2.3.4 Анализ пакетов
Кража пакетов может включать перехват пакетов в пути и попытку извлечь полезную информацию из их содержимого.
Некоторые пакеты содержат имена пользователей, пароли, IP-адреса, номера кредитных карт и другие ценные данные. Шифрование конфиденциального трафика — лучший способ предотвратить кражу сети.
4.1.2.3.5 Угонная атака
Атаки перехвата — это злонамеренное вмешательство в сетевые коммуникации. Они подразделяются на перехват соединения (например, подмена ARP и перехват DNS) и перехват сеанса (например, атака «человек посередине»). Они предназначены для перехвата токенов сеанса или файлов cookie. получить конфиденциальную информацию и выдать себя за жертву.
4.1.2.3.6 Структура MITRE ATT&CK
MITRE ATT&CK был разработан корпорацией MITRE, чтобы предоставить специалистам по безопасности основу для разработки моделей и методологий угроз в своих организациях, а также для предоставления тактики и методов.
4.1.3. Протоколы безопасности.
4.1.3.1 SSH (протокол Secure Shell)
••Альтернатива Telnet для зашифрованной интерактивной текстовой связи через TCP.
• Предотвращение перехвата сеанса и атак MITM.
•SSH-1 небезопасен, SSH-2 безопасен.
4.1.3.2TLS (безопасность транспортного уровня)
•Заменен SSL в качестве основного протокола для безопасного сетевого трафика.
•Безопасные сеансы HTTP и другие потребности в сквозном шифровании.
•Поддержка аутентификации сервера и взаимной аутентификации между клиентом и сервером.
SSL3.0 оказался уязвимым для атаки POODLE и больше не является безопасным.
4.1.3.3 Керберос
• Протокол связи для защиты учетных данных для входа в систему.
•Использует концепцию билетов, чтобы позволить системам в незащищенных сетях безопасно подтверждать личность.
4.1.3.4. IPSec (Протокол безопасности P).
IPSec — это набор протоколов, предназначенных для обеспечения конфиденциальности, целостности и аутентификации данных, передаваемых по IP-сетям.
•IPSec в основном состоит из следующих частей:
1Заголовок аутентификации (AH): обеспечивает аутентификацию источника данных и защиту целостности данных. Он может обнаружить любое вмешательство в данные во время передачи и подтвердить личность отправителя.
2. Инкапсулированная полезная нагрузка безопасности (ESP): обеспечивает аутентификацию источника данных, защиту целостности данных и шифрование. Зашифровывая полезные данные, ESP обеспечивает конфиденциальность передаваемого содержимого.
3. Ассоциация безопасности (SA): предоставляет параметры протокола IPSec, включая ключи и алгоритмы шифрования. SA определяет, как обрабатываются передаваемые данные, а также как обрабатываются AH и ESP.
•IPSec имеет два режима работы:
1. Транспортный режим: шифруется и аутентифицируется только полезная нагрузка (часть данных) IP-пакета. Подходит для обеспечения сквозной безопасности связи для защиты целостности и конфиденциальности данных.
2 Туннельный режим: шифрование и аутентификация всего IP-пакета, включая данные и информацию IP-заголовка. Этот режим используется для создания безопасного коммуникационного туннеля, такого как VPN, соединяющего два узла сети и защищающего весь процесс передачи данных.
4.1.3.5 Интернет-обмен ключами (IKE)
-Часть пакета IPSec, используемая для установления безопасного канала связи между двумя объектами.
• Обычно для аутентификации используется сертификат X.509 PK с использованием протокола обмена ключами Дитти-Хеллмана-Меркла для создания общего сеансового ключа.
• Две версии: IKEV1 и 1KEv2, обе уязвимы для автономных атак и требуют защиты паролем с высокой энтропией.
4.1.4. Влияние многоуровневых протоколов.
1. Введение
•Многоуровневые сетевые протоколы связи позволяют различным системам взаимодействовать друг с другом.
• Общие многоуровневые протоколы: набор сетевых протоколов TCP/IP.
•Пример: протокол распределенной сети (DNP3) для промышленных систем управления (ICS) и сетей диспетчерского управления и сбора данных (SCADA), включая уровень структуры данных, транспортный уровень и уровень приложений.
2. Преимущества многоуровневых протоколов
•На более высоких уровнях можно использовать различные протоколы.
• Шифрование может быть включено на разных уровнях.
•Поддержка гибкости и устойчивости в сложных сетевых структурах.
3. Недостатки многоуровневых протоколов
• Разрешить тайный проход.
•Фильтры можно обходить
•Логически заданные границы сегментов могут быть преодолены.
4.1.5. Протокол слияния.
Протоколы Fusion сочетают в себе проприетарные и стандартные протоколы (например, набор протоколов TCP/P) и предназначены для снижения зависимости от дорогостоящего проприетарного оборудования и обеспечения различной производительности в зависимости от используемого протокола Fusion. Вот некоторые из основных протоколов конвергенции:
4.1.5.1 Fibre Channel через Ethernet (FCOE)
•Применение: решения для сетей хранения данных (SAN).
•Технологии: используются протоколы Fibre Channel и специализированное сетевое оборудование.
•Скорость: высокая скорость (минимум 10 Гбит/с).
• Расположение модели OS1: второй уровень.
• Разработка: Fibre Channel over IP (FCIP) в качестве последующей технологии, подходящей для более широкого спектра сетевых сред.
4.1.5.2 Интерфейс малых компьютерных систем Интернета (iSCSI)
•Применение: недорогая альтернатива Fibre Channel.
•Технологии: стандарты сетевого хранения данных на базе IP.
•Преимущества: легкое подключение к удаленным томам хранения по сети.
4.1.5.3 Многопротокольная коммутация по меткам (MPLS)
•Применение: Высокопроизводительная сетевая технология для создания виртуальных частных каналов.
•Технология: направляйте данные по меткам короткого пути для повышения скорости пересылки.
• Местоположение модели 0S1: уровень 2.5 (между уровнем канала передачи данных и сетевым уровнем).
4.1.5.4 Голосовая связь по интернет-протоколу (VoP)
•Применение: недорогое решение для телефонии.
Технология: используйте различные технологии для инкапсуляции голосовых коммуникаций и мультимедийных сеансов через IP-сети.
• Преимущества: Становление основным телефонным решением для предприятий и частных лиц.
4.1.6. Микросегментация.
Микросегментация — это метод создания зон в сети, которые изолируют ресурсы и обеспечивают независимую защиту для каждого сегмента сети. Микросегментация требует повторной аутентификации, когда требуется доступ к межзональным ресурсам. Вот некоторые методы, связанные с микросегментацией:
4.1.6.1 Программно-конфигурируемая сеть (SDN)
1. Метод управления: централизованное управление сетью для достижения унифицированного управления поставщиками, приложениями и технологиями.
2. Стандарт: OpenFlow (один из первых стандартов SDN).
3. Уровень архитектуры:
. Уровень инфраструктуры (плоскость данных): включает сетевые коммутаторы, маршрутизаторы и процессы пересылки данных.
. Уровень управления: определение потока трафика и принятие решений на основе состояния уровня инфраструктуры и потребностей уровня приложений.
• Уровень приложений: сетевые службы, утилиты и приложения, которые взаимодействуют с уровнем управления.
4.1.6.2 Программно-конфигурируемая безопасность (SDS)
•Режим безопасности: механизм безопасности, контролируемый и управляемый программным обеспечением безопасности.
• Возможности: на основе политик, включая сегментацию сети, обнаружение и предотвращение вторжений, идентификацию пользователей и устройств, контроль приложений и т. д.
4.1.6.3 Программно-определяемая глобальная сеть (SD-WAN)
•Приложения: поддержка архитектуры глобальной сети, особенно связанной с облачными средами.
• Возможности: используйте программное обеспечение для контроля соединений и услуг управления между центром обработки данных и удаленной сетью.
•Четыре характеристики, упомянутые Gartner:
1) Должен поддерживать несколько типов подключения (например, Интернет, MPLS, LTE и т. д.).
2) Можно выполнить динамический выбор пути для поддержки распределения нагрузки между соединениями WAN.
3) Предоставьте простой интерфейс для управления глобальной сетью.
4) Должна поддерживаться VPN и другие сторонние сервисы
4.1.6.4 Виртуальная расширяемая локальная сеть (VxLAN)
•Технология: технология виртуализации сети, инкапсулирующая второй уровень в большие сетевые кадры в дейтаграмме UDP четвертого уровня.
•Преимущества: позволяет более масштабно разбивать сети (по сравнению с VLAN), удовлетворяя потребности крупных мультитенантных поставщиков общедоступных облаков.
4.1.7. Беспроводная сеть.
3. Точка беспроводного доступа (WAP)
Точка беспроводного доступа (WAP), иногда называемая просто точкой доступа (AP), представляет собой сетевое устройство, которое позволяет устройствам с поддержкой беспроводной связи подключаться к проводной сети. WAP подключается напрямую к проводной локальной сети, а затем использует Wi-Fi или другие беспроводные технологии (например, Li-Fi) для обеспечения беспроводного подключения к этой проводной локальной сети.
4.1.7.11 Защита точек беспроводного доступа
1.
Изучение сайта
• Цель: выявить несанкционированные точки доступа и определить местоположение и конфигурацию точек доступа.
•Важность: регулярно обеспечивать соблюдение требований и безопасность.
2. Определите местоположение точки беспроводного доступа.
• Оптимизируйте зону покрытия сигнала: используйте центральное расположение.
• Затухание сигнала Уэстбрука: избегайте препятствий, помех и отражений.
3 Выберите подходящий тип антенны
• Всенаправленная антенна: широкий охват.
• Направленные антенны: фокусируют зону покрытия в определенном направлении.
4. Выберите соответствующий беспроводной канал.
•Примечание: в разных странах разное количество каналов.
5. Выберите подходящую модель развертывания.
•Базовый режим: включая независимый режим (между беспроводными клиентами), проводное расширение (беспроводные клиенты подключаются к проводным сетям), корпоративное расширение (несколько WAP обеспечивают покрытие для одного и того же ESSID) и мост (соединение двух проводных сетей).
6. Настройка идентификаторов набора услуг (SSID) и управление ими.
• Одноранговый режим: беспроводные устройства обмениваются данными без централизованного управления.
•ESSID: имя беспроводной сети в режиме инфраструктуры.
°B5S10: Имя беспроводной сети в режиме Ad hoc.
• Улучшенная безопасность: не транслируйте SSID и используйте WPA3.
7. Используйте порталы с ограниченным доступом для аутентификации.
• Сценарий: общедоступная беспроводная сеть, например гостиницы, аэропорты и т. д.
•Метод: требует ввода учетных данных, кода платежа или доступа.
8. Внедрите MAC-фильтры
•Функция: Список авторизованных устройств, которым разрешен доступ к WAP.
• Недостатки: сложно управлять и масштабировать до больших сред.
4. Беспроводные атаки
4.1.7.12 Помехи сигнала
Обзор: Вредоносная активность, которая перегружает WAP и препятствует обработке законного трафика.
Меры профилактики: использовать оборудование с технологией защиты от помех, проводить мониторинг сигнала, своевременно обнаруживать и устранять источники помех и т. д.
4.1.7.13 Вождение в условиях войны
Обзор: поведение злоумышленников заключается в поиске и обнаружении беспроводных сетей с целью обнаружения уязвимостей во время движения. Эти сети обычно недоступны для злоумышленников.
Меры предосторожности: используйте надежные протоколы шифрования, не разглашайте SSID, не ограничивайте разрешения на доступ к сети и т. д.
5. Технология беспроводной передачи
4.1.7.14 ЛиФи
Обзор: Технология беспроводной связи, использующая свет для передачи данных с использованием видимого, ультрафиолетового или инфракрасного света.
Преимущества: преимущества безопасности, возможность управления в физическом пространстве, высокая скорость, пропускная способность в 100 раз выше, чем у Wi-Fi;
4.1.7.15 Bluetooth
Обзор: стандарт беспроводной технологии, поддерживающий беспроводную передачу данных «точка-точка» на короткие расстояния.
Преимущества: не требуется базовая станция, устройства подключаются напрямую.
Недостатки: Отсутствие шифрования, медленная скорость;
4.1.7.16 ЗигБи
Обзор: недорогой стандарт беспроводной связи с низким энергопотреблением и малой задержкой, основанный на IEEE 802,15.4, применяемый в Интернете вещей.
Функции безопасности: списки контроля доступа (ACL) шифрование (с использованием 123-битных ключей AES);
4.1.8. Сотовая сеть.
Сотовая сеть — это система беспроводной связи, которая осуществляет связь через соты и базовые станции, рассредоточенные в пределах географической области. Пользователи подключаются к сотовым сайтам, другим сотовым устройствам или Интернету через портативные устройства на определенных радиочастотах.
Одним из сценариев атак, с которыми сталкиваются сотовые сети, являются атаки «человек посередине» с использованием вышек сотовой связи для перехвата трафика. Эти угрозы следует учитывать при разработке или управлении политикой использования собственных устройств (BYOD) в вашей организации.
4.1.9. Сеть доставки контента (CDN).
Сеть доставки контента (CDN), также известная как сеть доставки контента, представляет собой географически распределенную совокупность ресурсных служб, прокси-серверов и центров обработки данных. Суть этой архитектурной модели заключается в обеспечении низкой задержки, высокой производительности и высокой доступности контента, особенно мультимедиа, сайтов электронной коммерции и социальных сетей.
Контент извлекается как можно ближе к запрашивающему клиенту, что приводит к снижению задержки и увеличению пропускной способности. Поскольку данные хранятся или обрабатываются в нескольких юрисдикциях, CDN и их пользователи должны понимать, как местные правила влияют на их бизнес и клиентов.
4.2. Компоненты безопасной сети.
4.2.1. Работа оборудования.
1. Безопасность и корректная работа сетевого оборудования.
•Стандарты, политики и процедуры
Организациям следует установить стандарты базовой безопасности аппаратных устройств, установить политики для эксплуатации и управления этими устройствами, а также формализовать ежедневные рабочие процедуры для поддержки согласованного управления устройствами.
•Обучение
Сетевые администраторы и другие лица, которые управляют оборудованием или эксплуатируют его, должны регулярно проходить обучение правильной и безопасной эксплуатации.
• Управление изменениями
Конфигурации, исправления и другие изменения должны быть надлежащим образом документированы и соответствовать стандартным процедурам управления изменениями организации.
• Резервный источник питания
Разверните резервные источники питания в критически важной сетевой инфраструктуре, чтобы обеспечить доступность в случае отключения электроэнергии.
•мониторить
Контролируйте сетевое оборудование на предмет сбоев, аномалий или других событий, связанных с безопасностью.
• Гарантия и поддержка
На все сетевое оборудование должна действовать действующая гарантия, обеспечивающая покрытие в случае сбоя системы.
2. Интернет-терминология
4.2.1.1 коллизия данных
Если две системы передают данные одновременно, пытаясь одновременно использовать сетевую среду, произойдет конфликт данных, в результате чего одно или оба сообщения могут быть повреждены.
4.2.1.2 Широковещательный домен
Это логическое разделение компьютерной сети, в котором все узлы могут связываться друг с другом посредством широковещательной передачи на уровне канала передачи данных (уровень 2).
4.2.1.3 Домен коллизий (домен коллизий)
Состоит из всех устройств, подключенных с использованием общих носителей. Конфликты между устройствами могут произойти в любой момент.
3. Сетевые компоненты
4.2.1.4 Брандмауэр
Брандмауэры используются для предотвращения несанкционированного перемещения данных из одной области сети в другую.
Тип брандмауэра:
1. Межсетевой экран со статической фильтрацией пакетов. Самая ранняя и простая конструкция межсетевого экрана, работающая на сетевом уровне (уровень 3) модели OSI, проверяет каждый пакет в соответствии с установленными правилами. Этот тип брандмауэра не обеспечивает механизм аутентификации и может быть подвержен подмене.
2 Блокировка огня на уровне приложений: работает на уровне приложений (уровень 7) и выполняет углубленную проверку пакетов данных и сетевого трафика. Этот брандмауэр действует как барьер между конечными пользователями и внешней сетью, выступая в роли прокси. Глубокая проверка требует времени, поэтому этот тип межсетевого экрана является самым медленным из всех типов.
3 Брандмауэр проверки состояния: работает на сетевом и транспортном уровнях (уровни 3 и 4 соответственно) модели OSI и отслеживает состояние сетевых подключений. В зависимости от режима работы TCP записывается состояние соединения и другие атрибуты, а затем эти атрибуты фильтруются.
4 Межсетевой экран на уровне канала: работает только на сеансовом уровне (уровень 5) модели OSI, гарантируя завершение TCP-квитирования. Никакие фактические пакеты не проверяются, а отдельные пакеты не отбрасываются. Преимущество этого типа брандмауэра заключается в том, что он аутентифицирует сеансы, маскируя при этом любые сведения о защищаемой сети.
5 Межсетевой экран следующего поколения (NGFW): сочетает в себе традиционные возможности межсетевого экрана с расширенными возможностями других сетевых устройств безопасности, таких как IDS или IPS. Работает на нескольких уровнях модели OSl.
6. Многоинтерфейсный межсетевой экран. Межсетевой экран с двумя или более сетевыми интерфейсами использует набор программно определяемых правил для определения того, какой трафик может проходить между сетями, к которым он подключен, что снижает риск непреднамеренной передачи данных между двумя сетями. Биржевые риски.
7 Хост-бастион/экранированный хост: Межсетевой экран специального назначения или хост, расположенный за службами на оборудовании маршрутизации базовой сети или в демилитаризованной зоне. Отделите внутренние частные сети от ненадежных сетей (возможно, Интернета). Действует как прокси-сервер как единственное устройство, доступное из внешних источников, маскируя идентичность внутренних узлов и добавляя уровень защиты.
Архитектура развертывания межсетевого экрана:
. Выберите тип межсетевого экрана: включая статическую фильтрацию пакетов, уровень приложения, проверку состояния, уровень канала, следующее поколение.
• Определите место развертывания: например, периметр сети, внутренние разделы сети, демилитаризованную зону или базовую сеть.
•Выберите форму брандмауэра: аппаратный брандмауэр или программный брандмауэр.
• Выберите технологию: технология брандмауэра с открытым исходным кодом или собственная технология брандмауэра.
•Метод развертывания: физическое устройство или виртуальное устройство.
•Управление и обслуживание: настройка, мониторинг, обновление и обработка событий безопасности.
4.2.1.5 Повторители, концентраторы и усилители
•Работает на физическом уровне
• Увеличить максимальную длину передачи сигнала на определенном типе носителя.
•Подключайтесь к сегментам сети, используя тот же протокол.
4.2.1.6 Хабы
•Работает на физическом уровне
• Подключите несколько сетевых устройств, используя один и тот же протокол, к одному и тому же домену коллизий.
•С ростом популярности коммутаторов концентраторы постепенно исчезли.
4.2.1.7 Мосты
•Работает на уровне канала передачи данных.
. Соединяйте сегменты сети, используя один и тот же протокол, и разделяйте домены коллизий.
• Используйте алгоритм связующего дерева (STA) для предотвращения широковещательных штормов.
• Был заменен переключателями из-за их более высокой производительности.
4.2.1.8 Переключатели
• В основном работает на канальном уровне.
• Интеллектуальный концентратор: подключайте несколько устройств и создавайте независимые домены коллизий.
•Усовершенствованные коммутаторы могут работать на сетевом уровне и обеспечивать возможности маршрутизации.
• Поддерживает разделение VLAN для повышения безопасности и эффективности сети.
4.2.1.8 Маршрутизаторы
••Работает на сетевом уровне.
•Переадресация на основе IP, отвечает за принятие решений и контроль сетевого трафика.
• Возможность подключения к различным типам сетей, таким как LAN и WAN.
4.2.1.9 Шлюзы
•Обычно работает на прикладном уровне.
• Транслятор протоколов для реализации связи между различными сетями.
•Возможность конвертировать формат потока данных из одной сети в совместимый формат, который может использоваться другой сетью.
4.2.1.10 Прокси
• — специальный шлюз
• Выступать в качестве посредника, фильтра, сервера хранилища или сервера трансляции адресов между сетями.
•Отсутствует межпротокольная трансляция, часто используемая на серверах NAT.
4.2.1.11 Удлинители локальной сети
•Многоуровневые переключатели
•Используется для расширения сегмента сети за пределы расстояний определенного типа кабеля.
•Может быть реализован как коммутатор WAN, маршрутизатор WAN, ретранслятор или усилитель.
4.2.1.12 Точки беспроводного доступа (WAP)
•Работает на уровне канала передачи данных.
. Обеспечивает подключение к беспроводной сети, позволяя устройствам подключаться к проводным сетям по беспроводной сети.
4.2.2. Средства передачи.
1. Технология локальной сети:
4.2.2.1 Ethernet
•Технология вещания на основе стандарта IEEE 802.3, позволяющая нескольким устройствам обмениваться данными по одной и той же среде.
• Низкая стоимость внедрения, простота понимания, внедрения и обслуживания.
• Обычно развертывается в топологии «звезда» или «шина».
•Поддерживает двустороннюю полнодуплексную связь с использованием витой пары.
•Работает на физическом уровне и канальном уровне модели OSI.
• Классификация по скорости передачи данных и расстоянию: Fast Ethernet (100 Мбит/с), Gigabit Ethernet (1 Гбит/с), 10 Gigabit Ethernet (10 Гбит/с).
4.2.2.2 Беспроводная локальная сеть (Wi-Fi)
• Технология беспроводной связи, соответствующая стандарту IEEE 802.11.
• Разделен на режим инфраструктуры (подключение устройств через точки доступа) и режим Ad Hoc (прямое соединение между устройствами).
2. Сетевые кабели:
4.2.2.3 Коаксиальный кабель
• Центральная жила представляет собой медный провод, а внешний слой имеет изоляционный слой и проводящий экранирующий слой.
• Обеспечивает двустороннюю связь и имеет возможности защиты от электромагнитных помех (EMI).
• Более дорогой и громоздкий, чем витая пара, но сигналы передаются на большие расстояния.
4.2.2.4 Кабели основной полосы и широкополосные кабели
• Соглашение об именах соответствует шаблону xxyyyzZ.
xx представляет собой максимальную скорость, предлагаемую типом кабеля, yyy представляет собой кабель основной или миллиполосной связи, а zZ представляет максимальное расстояние, на котором может использоваться кабель, или является аббревиатурой кабельной технологии. Например, кабель 10Base2 означает: кабель основной полосы пропускания 10 Мбит/с имеет дальность передачи примерно 200 метров.
STP оснащен проводами, обернутыми фольгой, для дополнительной защиты от перекрестных помех и электромагнитных помех.
4.2.2.6 Проводники
• Медный провод: экономически эффективен и хорошо работает при комнатной температуре. Но с сопротивлением сила сигнала будет уменьшаться.
• Волоконно-оптический кабель: передает световые импульсы быстро, устойчив к подслушиванию и помехам, имеет большое расстояние передачи, но сложен в установке и имеет высокую первоначальную стоимость.
4.2.2.7 Другие рекомендации по прокладке кабелей
• Избегайте использования более четырех репитеров подряд.
•Следуйте правилу 5-4-3: максимум пять сегментов сети, соединенных максимум четырьмя повторителями и концентраторами, только к трем из которых могут быть подключены дополнительные или другие пользователи, серверы или сетевые устройства.
3. Топология сети
Существует четыре основных варианта физической топологии сети: кольцо, шина, звезда и ячеистая сеть.
4.2.2.8 Кольцевая топология
В кольцевой топологии устройства подключаются, а пакеты передаются по однонаправленной кольцевой схеме. Данные передаются система за системой, и если одна система выйдет из строя, вся сеть выйдет из строя.
4.2.2.9 Топология шины
Каждый узел или система в топологии шины соединены линией или основным кабелем. Если шина отключена от сегмента, этот сегмент становится отключенным. Однако внутри сегмента узлы по-прежнему могут связываться друг с другом.
Типы топологии шины: линейная и древовидная.
4.2.2.10 Топология «звезда»
•Каждый независимый узел напрямую подключен к центральному узлу (коммутатору, концентратору или концентратору).
• Вся передача данных должна проходить через центральный узел, который может стать узким местом или единственной точкой отказа.
•Простота установки и обслуживания, неисправности сети легко изолировать и не влияют на другие части.
•Логическая архитектура шинной или кольцевой топологии может образовывать звездообразную топологию.
•Сеть Ethernet может быть развернута как физическая звезда, поскольку она основана на шине.
4.2.2.11 Сетчатая топология
Сетчатая топология — это сеть, в которой все системы соединены друг с другом отдельными путями.
Преимущества: резервные соединения повышают доступность.
Недостатки: Сложное управление и дополнительные затраты.
4.2.3. Устройства контроля доступа к сети (NAC).
Технология NAC перехватывает сетевой трафик устройства и проверяет авторизацию его подключения, используя протокол аутентификации 802.1x. Цели NAC включают соблюдение сетевой политики, обеспечение соблюдения политики безопасности, а также аутентификацию и авторизацию сетевых подключений. Косвенно предотвращайте или сокращайте атаки нулевого дня, выполняя ряд сетевых политик.
1. Два этапа внедрения НАК:
• Перед допуском: проверьте, соответствует ли конечная точка политике, такой как IP, MAC, идентификационная информация и т. д.
• После допуска: предоставление доступа к сети, контроль над поведением пользователя и принятие решения об отмене доступа на основе соблюдения правил.
2.Метод реализации NAC:
. Прокси-сервер NAC: использует прокси-сервер для аутентификации и авторизации. Аутентификация и авторизация могут быть достигнуты с помощью протоколов аутентификации, таких как 802.1× и RADIUS.
• NAC без агента: включает функции аутентификации и авторизации на сетевых устройствах. Аутентификация и авторизация могут быть достигнуты с помощью протоколов аутентификации, таких как 802.1X и RADIUS.
• Внеполосный NAC: разделяет функции анализа и выполнения, отправляя отчеты на центральную консоль. Однако без мер безопасности внеполосная конфигурация может подорвать безопасность сети.
• Внутриполосный NAC: устройство находится в центре сетевого трафика и решает, разрешить или ограничить трафик, в зависимости от того, когда конечная точка входит в систему. Преимущество состоит в том, что аутентификация и авторизация могут выполняться непосредственно в середине потока трафика, но это может стать узким местом производительности сети, если устройство перегружено.
3. Метод ремонта:
Исправление является необходимым шагом для устранения заблокированного доступа. Существует два различных метода ремонта:
• Изоляция: конечные точки ограничены определенной IP-сетью или VLAN, что обеспечивает ограниченный доступ.
. Портал захвата: перенаправление веб-доступа на определенную веб-страницу, например страницу входа или страницу авторизации.
4.2.4. Безопасность конечных точек.
4.2.4.1 Конечная точка
К конечным точкам относятся ноутбуки, настольные компьютеры, серверы, мобильные устройства, устройства Интернета вещей, промышленные системы управления, автономные мобильные системы, роботы и многое другое.
4.2.4.2 Обнаружение конечной точки и реагирование (EDR)
EDR обеспечивает непрерывный мониторинг и реагирование на сложные угрозы на всех типах конечных точек. Обнаруживайте, расследуйте подозрительную активность и реагируйте на нее, отслеживая события на конечных точках и в сети и анализируя эти события.
4.2.4.3 Политика безопасности конечной точки
Стратегия глубокоэшелонированной защиты сочетает в себе элементы управления конечными точками нового поколения, такие как архитектура с нулевым доверием, брандмауэры локальных хостов, приложения расширенной защиты от угроз, многофакторную аутентификацию, аудит (например, UEBA) и клиентскую 1DS/IPS для изоляции. зараженные или подозрительные конечные точки за пределами сети.
4.2.4.4 Меры безопасности конечной точки
Безопасность конечных точек должна включать в себя эффективность антивирусного и вредоносного программного обеспечения, правильно настроенные межсетевые экраны на хосте, усиленные конфигурации, отключающие ненужные службы, и исправленные операционные системы.
4.2.4.5 Мобильные устройства
1. Политики безопасности мобильных устройств включают:
• Хранение: минимальный срок хранения данных и регулярное удаление данных, превышающих политику хранения данных.
• Аутентификация: используйте многофакторную аутентификацию, такую как пароли, биометрические данные и т. д., чтобы заблокировать устройство, когда оно не используется.
• Шифрование: шифруйте данные, хранящиеся на мобильных устройствах, в сочетании с аппаратными модулями безопасности (HSM) для обеспечения более высокого уровня управления безопасностью.
• Удаленное стирание: удаление содержимого потерянного устройства по сети.
2. Управление мобильными устройствами (MDM) и его развитие:
•MDM: регистрируйте мобильные устройства сотрудников и управляйте ими, включая управление активами, управление конфигурацией, удаленное удаление данных и другие функции.
•EMM: расширенная версия MDM, обеспечивающая более детальный контроль контента и защиту корпоративных данных.
• UEM: интеграция MDM и EMM для расширения сферы управления и контроля, включая мобильные устройства, ПК, 1oT, носимые устройства, АСУ ТП и т. д.
3 стратегии управления мобильными устройствами:
• Контроль приложений: управление приложениями на мобильных устройствах в режиме черного или белого списка.
• Контейнеризация и сегментация хранилища: обеспечивает безопасные зашифрованные части конфиденциальных данных организации, предоставляя пользователям неограниченный доступ к другим частям устройства.
• Съемный накопитель: отключите использование съемного накопителя на устройстве, чтобы снизить риск утечки данных.
•Фильтрация контента: предотвращение доступа пользователей к несанкционированному контенту на их устройствах.
4. Отслеживание мобильных устройств
• Отслеживание активов: управляйте всем жизненным циклом устройства, включая применение устройства, заказ, получение, первоначальную настройку, применение политики безопасности, назначение устройства пользователям и списание устройства.
• Геолокация: для определения местоположения устройства используются возможности GPS вашего мобильного устройства.
. Геозенс: установите виртуальный забор вокруг определенной области и подавайте сигнал тревоги, когда устройство покидает забор.
•Необходимо знать о вопросах конфиденциальности и обеспечивать юридическое и этическое раскрытие информации о слежке и разрешенном использовании контролируемым сотрудникам.
5. Безопасность мобильных приложений.
• Аутентификация: требуется аутентификация для приложений, обращающихся к данным или ресурсам.
• Шифрование данных. Обеспечьте шифрование конфиденциальных данных вашего приложения при хранении и передаче, а также внедрите надежное управление ключами.
• Разрешения на добавление геотегов. Убедитесь, что разрешения вашего приложения на добавление геотегов соответствуют корпоративным требованиям.
6 Обеспечение безопасности мобильных устройств
• Избегайте использования сторонних магазинов приложений.
• Предотвратите взлом или рутирование, отслеживая устройства на наличие признаков взлома и гарантируя актуальность прошивки устройства и исправление известных уязвимостей.
4.2.4.6 Режим мобильного развертывания
1. Принесите свое собственное устройство (BYOD)
Сотрудники используют персональные устройства для подключения к сети компании и выполнения рабочих задач. Эта модель повышает эффективность работы, но включает в себя проблемы конфиденциальности и требует управления безопасностью компании и ограничений.
2 Выберите свое устройство (CYOD)
Компания предоставляет сотрудникам широкий выбор устройств. Эта модель предоставляет сотрудникам свободу, позволяя компаниям централизованно управлять устройствами и внедрять меры безопасности.
3 Принадлежит компании, осуществляется лично (COPE)
Компания предоставляет устройства, позволяющие сотрудникам свободно переключаться между работой и личной жизнью. Эта модель хороша для баланса между работой и личной жизнью, но усложняет управление компанией и безопасность.
4 Принадлежит организации, только бизнес (COBO/COMS):
Компания приобретает мобильные устройства, которые соответствуют политике безопасности и предназначены только для корпоративного использования. Это самое безопасное развертывание
5 Инфраструктура виртуальных рабочих столов (VDI)
Компании используют виртуальные рабочие столы в центрах обработки данных или в облаке, а сотрудники подключаются к ним с помощью личных устройств. Данные всегда хранятся в виртуализированной среде, что обеспечивает безопасность.
7. Типичные проблемы, связанные со стратегиями внедрения мобильных устройств, включают:
•Управление устройствами: регистрация, настройка, обновление, замена и отзыв и т.д.
•Управление приложениями: установка, обновление, отключение и удаление и т.д.
•Безопасность данных: шифрование, резервное копирование, восстановление и удаление и т. д.
•Сетевая безопасность: сетевые подключения, брандмауэры, VPN и т. д.
•Позиционирование устройства: позиционирование, мониторинг, блокировка и т. д.
•Безопасность беспроводной сети: безопасность беспроводной сети, шифрование Wi-Fi и многое другое.
• Защита конфиденциальности: личная конфиденциальность и защита информации.
• Управление аккумулятором: использование аккумулятора, управление питанием, стратегия зарядки и т. д.
•Поддержка и услуги: поддержка управления мобильными устройствами, помощь пользователям и многое другое.
•Управление сторонними приложениями: Управление, мониторинг, отключение сторонних приложений и т. д.
. Политика и рекомендации. Разработайте четкие политики и рекомендации по использованию.
• Управление мобильными устройствами (MDM): конфигурация, политика, безопасность, мониторинг и многое другое.
• Управление идентификацией пользователей (UIM): обеспечивает доступ к корпоративным сетям и данным только авторизованным пользователям.
• Многофакторная аутентификация: повышение уровня безопасности, например с помощью отпечатков пальцев, распознавания лиц, пароля и т. д.
•Управление устойчивым развитием: Управление жизненным циклом оборудования, включая покупку, использование, техническое обслуживание, обновление и переработку.
• Аварийное восстановление: Разработайте план аварийного восстановления для устранения сбоя или потери оборудования, вызванных чрезвычайными ситуациями.
• Управление журналами: собирайте и анализируйте журналы устройств, чтобы понять их использование и обнаружить угрозы безопасности.
•Централизованное управление: повышение эффективности и безопасности управления.
•Обучение пользователей: повышение осведомленности и навыков пользователей в области безопасности.
•Соответствие: соблюдайте законы, правила и отраслевые стандарты.
4.3. Внедрите безопасные каналы связи.
4.3.1. Голос
4.3.1.1 Частная телефонная станция (АТС)
PBX (Private Branch Exchange) — это телефонная система корпоративного уровня. УАТС с аналоговыми сигналами могут подвергаться риску мошенничества со счетами. Меры по смягчению последствий включают выявление проблем, управление уязвимостями, обучение и мониторинг.
4.3.1.2 POTS (старая обычная телефонная служба)
POTS — это традиционная телефонная служба, использующая линии PSTN для предоставления услуг телефонной связи. Голосовая связь по соединениям POTS подвержена перехвату, подслушиванию и т. д. Меры безопасности основаны на физическом контроле, изоляции сетевого трафика и мониторинге уязвимых областей.
4.3.1.3 Телефонная сеть общего пользования (ТСОП)
PSTN (коммутируемая телефонная сеть общего пользования) — это традиционная сеть телефонной связи, которая в основном предоставляет услуги голосовых вызовов. Сигналы PSTN могут быть преобразованы в цифровые сигналы через модем для подключения к Интернету DSL или ISDN.
4.3.1.4 ВолП
VolP (Voice over Internet Protocol) Голосовая связь через Интернет-протокол. Уязвимости VoIP включают фишинг, атаки SPIT, взлом системы диспетчера вызовов, атаки MITM и утечки незашифрованного трафика. Средства правовой защиты включают использование технологий шифрования, сегментации сети и контроля доступа к сети.
4.3.2. Мультимедийное сотрудничество.
Мультимедийное сотрудничество — это общий термин, который включает в себя видеоконференции, обмен мгновенными сообщениями, электронную почту и т. д. Во время пандемии COVID-19 эти технологии стали критически важными услугами для ведения бизнеса. Многие организации считают удаленную работу приемлемым вариантом.
4.3.2.1 Удаленная конференция
Удаленные собрания требуют обеспечения аутентификации, например предварительной регистрации на собрание с использованием уникального пароля. Передача голоса, данных или видео может потребовать шифрования для их защиты. Зумбомбинг — это действие несанкционированного входа физических или юридических лиц в видеоконференцию с масштабированием, которое обычно включает в себя публикацию неприемлемого контента или вмешательство в нормальный ход видеоконференции.
4.3.2.2 Обмен мгновенными сообщениями
• Мгновенные сообщения (IM) также известны как личные сообщения (PM). IM может подвергаться следующим угрозам безопасности:
• Подмена учетной записи. Это ставит под угрозу подлинность, если IM не обеспечивает строгую аутентификацию.
• Кража пакетов. Без шифрования обмен мгновенными сообщениями уязвим для кражи пакетов, что ставит под угрозу их целостность.
• Хранение вредоносного кода, заражение или утечка данных. Передача файлов и удаленный доступ повышают эти риски.
• Атаки социальной инженерии: пользователи мгновенных сообщений часто подвергаются различным формам атак социальной инженерии.
•SPIM: спам-SMS, то есть отправка большого количества бесполезных или несанкционированных SMS-сообщений.
Примечание. Блокировка портов на брандмауэре для предотвращения IM-атак неэффективна, поскольку IM обычно использует открытые порты (например, 80/443).
4.3.2.3 Электронная почта
Сервер электронной почты: Sendmail и Microsoft Exchange — это распространенное программное обеспечение сервера электронной почты, которое поддерживает протокол SMTP для отправки электронной почты и протоколы POP3 и IMAP для получения электронной почты. SMTP-сервер должен убедиться, что он правильно настроен для строгой аутентификации входящей и исходящей почты.
• Цели безопасности электронной почты: обеспечение конфиденциальности, целостности, доступности, невозможности отказа и аутентичности электронной почты (CIANA).
• Атаки по электронной почте: фишинг, спам и т. д.
• Политика безопасности электронной почты: правила использования, контроль доступа, конфиденциальность, политика резервного копирования и хранения электронной почты.
• Решения по обеспечению безопасности электронной почты: цифровые подписи, сканирование на наличие вредоносных программ, блокировка подозрительных вложений и потенциально опасных расширений имен файлов, фильтры, шифрование, обучение пользователей, антивирусная защита и защита конечных точек и многое другое.
• Стандарты безопасности электронной почты:
Обеспечьте уверенность, принудительно используя TLS для шифрования электронной почты.
1) S/MIME (безопасные многоцелевые почтовые расширения Интернета)
Включите аутентификацию и конфиденциальность электронной почты с помощью шифрования с открытым ключом и цифровых подписей. Используйте цифровые сертификаты X.509 для обеспечения аутентификации и шифрование по стандарту шифрования открытого ключа (PKCS) для обеспечения конфиденциальности.
2) MOSS (Служба безопасности объектов MIME)
Существуют уязвимости безопасности, использующие алгоритмы MD2 и MD5. MOSS никогда не получил широкого распространения, и сейчас от него отказались, в основном из-за популярности PGP.
3) PEM (электронная почта с улучшенной конфиденциальностью)
Предоставляет механизмы шифрования электронной почты, включая службы аутентификации, целостности, конфиденциальности и неотказуемости. Использует RSA, DES и X.509.
4)DKIM (почта, идентифицированная ключом доменного имени)
Подтвердите идентичность домена, чтобы убедиться, что электронное письмо приходит от организации, за которую оно выдает себя. Реализация DKM основана на открытых ключах и цифровых подписях.
5) PGP (довольно хорошая конфиденциальность)
Защитите сообщения электронной почты и другие цифровые активы, используя различные алгоритмы шифрования. PGP — это не стандарт, а независимо разработанный продукт, широко используемый в Интернете. OpenPGP и GnuPG — продукты с открытым исходным кодом, основанные на PGP.
6) Принудительное шифрование
Шифрование электронной почты через TLS
4.3.3. Удаленный доступ.
4.3.3.1 Технология удаленного доступа
• Удаленный доступ к определенным службам. Разрешите пользователям удаленный доступ и использование определенных служб, например только электронной почты.
• Дистанционное управление: позволяет авторизованному пользователю получать удаленный доступ к другой системе и осуществлять физический контроль над удаленной системой.
• Очистка экрана: копирование информации, отображаемой в одном приложении, в другое приложение для использования или отображения.
Шифрование реализовано для снижения риска несанкционированного раскрытия или уничтожения.
4.3.3.2 Управление безопасностью удаленного доступа
• Многофакторная аутентификация: используйте несколько методов проверки для дополнительной безопасности.
. Ограничьте удаленный доступ: разрешите удаленный доступ только тем, кто в нем нуждается и часто его использует.
• Шифрование канала передачи: Защитите передачу данных с помощью таких технологий, как VPN, SSL, TLS, SSH и IPSec.
4.3.3.3 Метод аутентификации
4.3.3.4 VPN
Это коммуникационный туннель, который устанавливает безопасное соединение «точка-точка» через ненадежную сеть (например, Интернет). Большинство VPN используют шифрование для защиты инкапсулированного трафика, но шифрование не является обязательным требованием для того, чтобы соединение считалось VPN.
•Туннельная технология
Исходный пакет защищен путем его инкапсуляции с использованием другого протокола, при этом трафик виден только системам на обоих концах туннеля и скрыт от ненадежных сетей.
Распространенные протоколы VPN:
1 PPTP: протокол туннелирования «точка-точка», разработанный на основе протокола коммутируемого доступа PPP, используется для инкапсуляции трафика на уровне канала передачи данных и используется в IP-сетях. Трафик аутентификации защищен с использованием тех же протоколов аутентификации, которые поддерживаются pPP. Сейчас считается небезопасным и устаревшим.
2 L2TP: протокол туннелирования уровня 2, используемый для создания туннелей «точка-точка» для соединения различных сетей. L2TP сам по себе не обеспечивает шифрование и, следовательно, не обеспечивает конфиденциальность или надежную аутентификацию, но его можно объединить с IPSec для предоставления этих услуг. L2TP поддерживает TACACS и RADIUS. Версия L2TPV3 имеет улучшенные функции безопасности, включая улучшенную инкапсуляцию и поддержку большего количества технологий связи, таких как Frame Relay, Ethernet и ATM.
3 IPSec: протокол безопасности сетевого уровня, который может добавлять информацию о шифровании и аутентификации в пакеты IP-данных.
4 OpenVPN: протокол VPN с открытым исходным кодом, основанный на протоколе SSLITLS и поддерживающий несколько алгоритмов шифрования.
5 SSTP: протокол туннелирования на основе HTTPS, который может передаваться через межсетевые экраны.
4.3.4.1 Ретрансляция кадров
•Технология быстрой передачи данных, основанная на технологии коммутации пакетов.
• Используйте виртуальные каналы, а не выделенные физические каналы.
•Шифрование трафика на общих виртуальных каналах через VPN для обеспечения конфиденциальности.
•Линии глобальной сети (WAN) в основном используются на малых и средних предприятиях.
•Постепенно заменяются ATM, IP и другими протоколами (включая VPN).
4.3.4.2 Асинхронный режим передачи (ATM)
•Технология высокоскоростной передачи данных, в основном используемая для обеспечения высокоскоростной передачи данных и различных видов услуг по передаче информации.
• Используйте блоки данных (ячейки) фиксированного размера (53 байта) для передачи данных.
•Поддержка высокоскоростной передачи, высокая гибкость и высокая надежность.
•С ростом популярности IP-сетей банкоматы постепенно заменяются
4.3.4.3 Многопротокольная коммутация по меткам (MPLS)
См. 4.1.5.3 Введение в протокол Fusion для MPLS.
4.3.4. Передача данных.
4.3.5.Виртуализированная сеть
Виртуализация сети объединяет аппаратные и программные сетевые ресурсы в единый объект, при этом программное обеспечение управляет различными сетевыми функциями. Это облегчает чувствительную сегментацию сети и изоляцию хостов. Сетевую безопасность можно повысить за счет использования виртуальных локальных сетей (VLAN) и применения различных политик безопасности. Виртуализация сети также позволяет динамически переконфигурировать сеть в случае атаки или катастрофы, повышая отказоустойчивость.
4.3.6. Сторонние подключения.
1. К сторонним подключениям относятся:
•Поставщики данных и телекоммуникаций (например, интернет-провайдеры)
• Поставщик облачных услуг.
•Поставщики, клиенты, партнерские организации и т.д.
2 риска
Основным риском является комплаенс-риск. Как владельцы данных, организации несут ответственность за обеспечение соответствия методов управления и защиты данных сторонних партнеров законодательным и нормативным требованиям. Сюда входят такие аспекты, как расположение серверов и систем, на которых размещаются и обрабатываются данные.
3 лучших практики
•Используйте отчеты о соответствии (например, отчеты SOC2) для оценки рисков безопасности и соответствия требованиям, связанных со сторонними подключениями.
• Обеспечьте подотчетность третьих сторон посредством соглашений об уровне обслуживания (SLA).
•Защитите данные с помощью транспортного шифрования, строгих процедур контроля доступа и фильтрации электронной почты.
. Постоянно отслеживайте сторонние подключения для обнаружения новых угроз, аномального поведения или отклонений от соглашений об уровне обслуживания.
Практические вопросы
1.Гэри хочет распространить большой файл и предпочитает использовать одноранговую сеть доставки контента (CDN). Что из перечисленного является наиболее распространенным примером этого типа технологии? A.CloudFlare Б. БитТоррент В. Amazon CloudFront Д. Акамай Эдж
Б
2. Проводя оценку безопасности беспроводных сетей, Джим обнаружил, что сеть, использующая WPA, использует ПРЫГНУТЬ. Какой совет следует дать Джлиму? A. Продолжайте использовать LEAP. Для сетей WPA он обеспечивает лучшую безопасность, чем TKIP. Б. Используйте другие протоколы, такие как PEAP или EAP-TLS, и внедрите WPA2, если он поддерживается. C. Чтобы избежать проблем с аутентификацией, продолжайте использовать LEAP, но переключитесь на WPAz. D. Используйте другие протоколы, такие как PEAP или EAP-TLS, и реализуйте эквивалентную проводную конфиденциальность. чтобы избежать проблем с безопасностью беспроводной сети.
Б искать книги Р410 Существует два типа аутентификации личности WAP: OSA (обычный текст) и SKA (проверка подлинности перед соединением). Проводной эквивалент конфиденциальности в варианте D — WEP.
3.Бен подключил свой ноутбук и планшет по протоколу 802.11ac. Какой режим беспроводной сети он использует для подключения этих устройств? А. Модель инфраструктуры B. Режим проводного расширения C. Режим одноранговой сети D.Независимый режим
С
4. Компьютеры Селаха и Ника отправляют трафик одновременно, в результате чего они отправляют данные одновременно. Какой из следующих сетевых терминов описывает диапазон систем в сети, на которые может повлиять одна и та же проблема? А. Подсеть Б. Супернет C.Домен конфликта D.Домен широковещательной передачи
С
5. Сара вручную просматривает захват пакетов TCP-трафика и обнаруживает, что система повторно отправляет TCP-пакеты в течение короткого периода времени с установленным флагом RST. Что означает этот флаг в заголовке TCP-пакета? Флаг A.RST означает «Отдых». Сервер требует приостановить трафик на короткий период времени. Флаг B.RST представляет собой «Набор реле». Пакет будет перенаправлен на адрес, указанный в пакете. Флаг C.RST представляет собой «Стандарт резюме». Связь вернется в нормальный формат. D. RST означает «Сброс». Сеанс TCP будет отключен.
Д
6.Гэри развертывает беспроводную сеть и хочет внедрить самую быструю беспроводную технологию. Какой из следующих стандартов беспроводной сети следует использовать? А. 802.11а Б. 802.11г С. 802.11n Д. 802.11ac
Д
7Мишель надеется заменить FTP-трафик безопасным протоколом. Какой протокол безопасности ей выбрать? А.ТФТП Б. HFTPS C.SecFTP Д.СФТП
Д
8. Джейку сообщили, что в его сети возникла проблема третьего уровня. Что из перечисленного относится к № 3 в модели OSI? Связано со слоем? А.IP-адрес Протоколы B.TCP и UDP C.MAC-адрес порт Отправка и получение битов через оборудование.
А
9. Фрэнк отвечает за наличие в своей организации надежного и поддерживаемого сетевого оборудования. Что из перечисленного не является распространенной проблемой, с которой сталкиваются сетевые администраторы, пытаясь обеспечить непрерывную работу своих сетей? А. Поддерживается ли устройство поставщиком? B. Находится ли на оборудовании гарантийный срок? C. Поддерживает ли основное оборудование резервный источник питания Д. Все ли устройства поддерживают резервные источники питания
Д
10. Брайан выбирает протокол аутентификации для соединения PPP. Ему нужна была опция, которая шифровала бы имена пользователей и пароли и предотвращала бы повторные атаки посредством диалогов типа «запрос/ответ». Он также хочет регулярно проводить повторную сертификацию удаленной системы. Какой протокол ему следует использовать? А.ПАП Б. ГЛАВА С. ЕАП Д. Прыжок
Б
11. Какой из следующих протоколов обычно используется для предоставления серверных служб аутентификации для VPN? А. HTTPS Б. РАДИУС C.ESP Д.А.Х.
Б
12. Исса хочет убедиться, что инициализация его сеанса VoIP безопасна. Какой протокол он должен обязательно включить и потребовать? А. СВОИП Б.PBSX С. СИПС Д.СРТП
С P405 В исходных словах книги RTP или SRTP переносят возобновление протокола инициации сеанса (SIP) после того, как канал связи между конечными точками берется на себя. Используйте SIPS для обеспечения безопасности инициализации.
Для вопросов 13–15 обратитесь к следующему сценарию и диаграмме: Корис проектирует иерархическую сеть для своей организации. 13. Какая конструкция межсетевого экрана показана на схеме? А. Однослойный межсетевой экран Б. Двухслойный межсетевой экран C. Трехслойный межсетевой экран D. Четырехуровневый межсетевой экран 14. Если VPN предоставляет удаленному пользователю такой же доступ к сетевым и системным ресурсам, как и локальная рабочая станция, какой секретный вопрос должен задать Крис? Пользователи A.VPN не смогут получить доступ к веб-серверу. Б. Никаких дополнительных проблем с безопасностью; расположение логической сети VPN-агрегатора такое же, как логическая сеть рабочей станции. Расположение совпадает. C. Трафик веб-сервера не проверяется. D. Пользователи VPN должны подключаться только с контролируемых компьютеров. 15. Если Крис хочет предотвратить атаки с использованием межсайтовых сценариев на веб-сервер, какое устройство лучше всего подходит для этой цели и где ему следует его разместить? A. Брандмауэр, расположение A B. Система обнаружения вторжений (1DS), расположение A C. Система предотвращения вторжений (IPS), расположение B Брандмауэр приложения D.web (WAF), расположение C
Б
Д
С
16. Сьюзан внедряет протокол маршрутизации, который поддерживает список сетей назначения, включая количество переходов для достижения сети назначения и направление, в котором следует отправлять трафик. Какой тип протокола она использует? A. Протокол состояния канала B. Протокол расстояния соединения C. Протокол метрик назначения D. Протокол вектора расстояния
Д
17.Бен настроил свою сеть так, чтобы не транслировать SSID. По какой причине Бен отключил трансляцию SSID и как был обнаружен его SSID? О. Отключение широковещательной передачи SSID не позволяет злоумышленникам обнаружить ключи шифрования. SSID можно восстановить из расшифрованных пакетов. Б. Отключение трансляции SSID может скрыть сеть от несанкционированного доступа. SSID можно обнаружить с помощью беспроводного анализатора. C. Отключение широковещательной передачи SSID может предотвратить проблемы с кадрами маяка. SSID можно восстановить, перестроив BSSID. D. Отключение трансляции SSID помогает избежать конфликтов SSID. SSD можно обнаружить, попытавшись подключиться к сети.
Б
18. Какой из следующих сетевых инструментов защищает личность клиента и обеспечивает доступ в Интернет при приеме запроса клиента, изменении исходного адреса запроса, сопоставлении запроса клиенту и отправке измененного запроса на адрес назначения? Переключатель Б.Агент Маршрутизатор C Д. Брандмауэр
Б P423 Оригинальные слова в книге, основное внимание уделяется защите личности клиента в вопросе.
19 Сьюзен хочет защитить коммуникационный трафик, передаваемый из второго офиса ее компании через нескольких интернет-провайдеров. Какой метод следует использовать для защиты потока при постоянном соединении? А. ФКоЕ Б.СДВАН C. IPsec VPN типа «сеть-сеть» Д.Зигби
С
20. Мелисса хочет объединить несколько физических сетей в своей организации таким образом, чтобы это было прозрачно для пользователей и при этом позволяло распределять ресурсы в зависимости от потребностей сетевых служб. Какой тип сети ей следует развернуть? А. iSCSI Б. Виртуальная сеть C.SDWAN Д.КДН
Б
21. Какое решение по обеспечению безопасности электронной почты обеспечивает два основных режима использования: (1) обеспечение целостности, и шаблон инкапсулированного сообщения конфиденциальности? Подписанное сообщение с аутентификацией отправителя и невозможностью отказа: (2) Обеспечивает целостность, аутентификацию отправителя. AS/MIME Б. МОСС К.ПЕМ Д.ДКИМ
Поиск книг PEM предоставляет механизмы шифрования электронной почты, включая услуги аутентификации, целостности, конфиденциальности и неотказуемости. Использует RSA, DES и X.509. Но вопрос говорит, что есть два режима, поэтому выберите A P461
• Стандарты безопасности электронной почты:
1) S/MIME (безопасные многоцелевые почтовые расширения Интернета)
Включите аутентификацию и конфиденциальность электронной почты с помощью шифрования с открытым ключом и цифровых подписей. Используйте цифровые сертификаты X.509 для обеспечения аутентификации и шифрование по стандарту шифрования открытого ключа (PKCS) для обеспечения конфиденциальности.
Предусмотрено два механизма (типа сообщений): подписанные сообщения и сообщения в защищенном конверте. Подписанные сообщения обеспечивают целостность, аутентификацию личности и невозможность отказа от авторства, а сообщения в безопасном конверте обеспечивают аутентификацию личности получателя и конфиденциальность.
2) MOSS (Служба безопасности объектов MIME)
Существуют уязвимости безопасности, использующие алгоритмы MD2 и MD5. MOSS никогда не получил широкого распространения, и сейчас от него отказались, в основном из-за популярности PGP.
3) PEM (электронная почта с улучшенной конфиденциальностью)
Предоставляет механизмы шифрования электронной почты, включая службы аутентификации, целостности, конфиденциальности и неотказуемости. Использует RSA, DES и X.509.
4)DKIM (почта, идентифицированная ключом доменного имени)
Подтвердите идентичность домена, чтобы убедиться, что электронное письмо приходит от организации, за которую оно выдает себя. Реализация DKM основана на открытых ключах и цифровых подписях.
5) PGP (довольно хорошая конфиденциальность)
Защитите сообщения электронной почты и другие цифровые активы, используя различные алгоритмы шифрования. PGP — это не стандарт, а независимо разработанный продукт, широко используемый в Интернете. OpenPGP и GnuPG — продукты с открытым исходным кодом, основанные на PGP.
6) Неявный SMTPS
SMTP шифруется по TLS с использованием порта tcp465.
7) ДМАРК
Система аутентификации электронной почты на основе DNS для предотвращения фишинга и другого мошенничества.
22. Проводя оценку безопасности, Джим обнаружил, что организация, с которой он работал, использовала несколько уровней протоколов для управления SCADA. систем и, в последнее время, подключение сети SCADA к остальным производственным сетям организации. О протоколе TCP/IP Какую обеспокоенность он должен выразить по поводу последовательной передачи данных? О. Подключенные к сети устройства SCADA теперь могут быть атакованы по сети. Б. Невозможно зашифровать последовательные данные через TCP/IP. C. Последовательные данные не могут передаваться в TCP-пакетах. D.Пропускная способность TCP/IP может привести к простой атаке типа «отказ в обслуживании» на последовательном устройстве.
А P404 P292 Атака SCADA
23. Бен предоставляет услуги сети и безопасности небольшой сети кофеен. Сеть кофеен хочет предоставить клиентам бесплатный и безопасный Wi-Fi. Если Бену не нужно беспокоиться о поддержке протокола, какой из следующих вариантов лучше всего подойдет клиентам для безопасного подключения к беспроводной сети без необходимости учетной записи пользователя? A. WPA2 с использованием режима PSK. Б. WPA3 в режиме SAE. C. Используйте WPAz в режиме предприятия. D. Используйте захватывающий портал.
Б P412 SAE использует пароли по умолчанию, аутентификацию клиента и памяти точки доступа и обмен ключами. PSK использует фиксированные статические пароли для аутентификации личности. Очевидно, что B безопаснее. Дополнение режима предприятия ENT, поддержка RADIUS или TACACS
24.Компания Алисии внедрила многофакторную аутентификацию с использованием SMS-сообщений для предоставления цифровых кодов. Какие основные опасения по поводу безопасности Алисия могла бы выразить по поводу этого проекта? О. SMS-сообщения не шифруются. Б. SMS-сообщения могут быть замаскированы отправителем. C. SMS-сообщения могут приниматься несколькими мобильными телефонами. Д. SMS-сообщения могут храниться на принимающем мобильном телефоне.
А
Какие скорости и диапазоны частот использует 25.802.11n? А. Только 5 ГГц B.900 МГц и 2,4 ГГц C.2,4 ГГц и 5 ГГц Г. Только 2,4 ГГц
С
26. Протокол разрешения адресов (ARP) и протокол разрешения обратных адресов (RARP) в модели OSI. На каком уровне работы работает этот тип? А. Уровень 1 Б. Уровень 2 C.Уровень 3 Д. Уровень 4
Б
27.Что из перечисленного является конвергентным протоколом, который позволяет подключать хранилище через TCP и часто используется в качестве более дешевой альтернативы Fibre Channel? А. МПЛС Б.СДН C.VolP Д. iSCSI
Д
28. Крис строит сеть Ethernet и знает, что ему нужно охватить расстояние более 150 метров в сети 1000BaseT. Какую сетевую технологию ему следует использовать, чтобы решить эту проблему? А. Установите ретранслятор, коммутатор или концентратор на расстоянии 100 метров впереди. Б. Для более высоких скоростей используйте кабели категории 7 с лучшими характеристиками экрана. C. Установите шлюз для решения проблем с расстоянием. D. Используйте кабели STP для высокоскоростной передачи данных на большие расстояния.
А
Для вопросов 29–31 обратитесь к следующим сценариям и иллюстрациям: Организация Селаха уже много лет пользуется популярной службой обмена сообщениями. Недавно были высказаны некоторые опасения по поводу использования Сообщений. 29. Судя по схеме, какой протокол скорее всего используется для трафика сообщений? А. СЛАК Б.HTTP С SMTP Д HTTPS 30. Какие проблемы безопасности возникают при отправке внутренних сообщений из А в Б? А. Брандмауэр не может защитить систему Б. B. Система C может видеть широковещательный трафик от системы A к системе B. C. Он передается по незашифрованному протоколу. D. Обмен сообщениями не обеспечивает неотказуемости. 31. Как компания Селаха может наилучшим образом удовлетворить потребность в безопасном обмене сообщениями для пользователей внутренних систем A и C? А. Используйте стороннюю службу обмена сообщениями. Б. Внедряйте и используйте локально размещенные службы. В. Используйте HTTPS. D. Прекратите использовать обмен сообщениями и вместо этого используйте более безопасную электронную почту.
Б
С
Б помнить
32. Какой из следующих недостатков вызывает беспокойство при разрешении многоуровневых протоколов? О. На более высоких уровнях можно использовать ряд протоколов. Б. Разрешить скрытые каналы. C. Невозможно обойти фильтр. Д. Невозможно зашифровать на нескольких уровнях.
Б
33 Что из перечисленного не является протоколом слияния? А. МИМ Б. ФКоЕ В. iSCSI Д.ВолП
А P404
Конвергентные протоколы: SAN, FCoE, MPLS, iSCSI, VoIP, VPN, SDN, облако, виртуализация, SOA, микросервисы, инфраструктура как код, бессерверная архитектура.
34. Крис использует мобильную точку доступа для доступа в Интернет во время путешествия. Какую проблему безопасности он может вызвать, если будет поддерживать соединение с точкой доступа, в то время как его персональный компьютер подключен к корпоративной сети организации? О. Трафик может быть маршрутизирован неправильно, что приведет к раскрытию конфиденциальных данных. Б. Его система может выступать в качестве моста из Интернета в локальную сеть. C. Его система может стать точкой входа для отраженной DDoS-атаки. D. Администратор безопасности может оказаться не в состоянии определить свой IP-адрес при возникновении проблемы безопасности.
Б
35. Сьюзан, специалиста по информационной безопасности, попросили определить места в беспроводной сети ее организации, к которым потенциально можно получить доступ, хотя это и не было запланировано. Что следует сделать Сьюзен, чтобы определить, к какому адресу имеет доступ беспроводная сеть ее организации? А. Обследование на месте Б. Обнаружение ходьбы C. Обнаружение вождения D. Разработайте карту
А
36. Какие возможности IPsec предоставляет для безопасной связи? A. Шифрование, контроль доступа, неотказуемость и аутентификация сообщений B. Конвергенция протоколов, распространение контента, микросегментация и виртуализация сети C. Шифрование, авторизация, неотказуемость и проверка целостности сообщения. D. Микросегментация, виртуализация сети, шифрование и аутентификация сообщений.
А P471 не поддерживает авторизацию IPsec AH поддерживает аутентификацию, контроль доступа и защиту от повторного воспроизведения. IPsec ESP поддерживает шифрование и аутентификацию личности. AH обеспечивает целостность и неоспоримость ESP обеспечивает конфиденциальность и целостность
37. Кейси попросили определить, можно ли защитить трафик сети Zigbee при передаче. Какие механизмы безопасности использует zigbee для защиты трафика данных? Шифрование A.3DES Шифрование B.AES C. Шифрование ROT13 D. Шифрование Blowfish
Б P420 Zigbee использует технологию Bluetooth, низкое энергопотребление и низкую пропускную способность, близость к устройству и поддерживает 128-битный алгоритм шифрования. P190 Ключ 3DES — 168 бит или 112 бит. AES поддерживает 128 192 256
38. Сью меняет свой MAC-адрес, чтобы разрешить доступ к сетям, использующим MAC-фильтрацию для обеспечения безопасности. Какую технику использовала Сью и какие проблемы, не связанные с безопасностью, могли вызвать ее действия? A. Использование широковещательного домена, конфликт адресов Б. Обман, потеря жетона C. Подмена, конфликт адресов D. Создан поддельный EUI, токен утерян.
С
39.jim хочет внедрить 4GLTE в качестве решения для внешнего управления на всех центрах сертификации. Что из перечисленного безопасно Функция обычно недоступна у поставщиков услуг 4G? А. Функция шифрования Б. Аутентификация на основе устройства C. Выделенные вышки и антенны для абонентов служб безопасности D. Аутентификация на основе SIM-карты
С
40. К какому уровню модели 0SI относятся SMTP, HTTP и SNMP? А. Уровень 4 Б. Уровень 5 С Уровень 6 D.Уровень 7
Д
41. Мелисса использует утилиту ping в рамках тестирования на проникновение, чтобы проверить, находится ли удаленная система в сети. Если она не хочет видеть свои пинг-пакеты в журналах анализатора пакетов, какой протокол ей следует отфильтровать? А.UDP Б ПТС C.IP Д. ICMP
Д
42.selah хочет обеспечить аутентификацию на основе порта в своей сети, чтобы гарантировать, что клиенты должны пройти аутентификацию перед использованием сети. Какая из следующих технологий является подходящим решением для этого требования? А. 802.11а Б.802.3 С. 802.15.1 Д. 802.1x
Д
43. Бен развернул гигабитную сеть 1000BaseT, и ему нужно проложить кабель через здание. Если Бен подключает свое соединение напрямую от одного коммутатора к другому коммутатору в здании, каково максимальное расстояние, которое Бен может преодолеть в соответствии со спецификацией 1000BaseT? А.2 километра Б.500 метров Около 185 метров Д.100 метров
Д
44.Какой элемент управления безопасностью в проводной сети пытается обойти клонирование MAC? А. Безопасность порта Б. Переключение VLAN C.802.1q Тысяча дорог D. Защита от эфиркиллера
А
45.Компания Кэтлин перевела большинство своих сотрудников на удаленную работу и хочет убедиться, что их мультимедийная платформа для совместной работы с помощью голоса, видео и текстовых сообщений безопасна. Какой из следующих вариантов безопасности обеспечивает наилучшее взаимодействие с пользователем и соответствующую безопасность? О. Требуется программное VPN-подключение к корпоративной сети для всех коммуникаций с использованием платформы для совместной работы. Б. Требовать использования SIPS и SRTP для всех коммуникаций. C. Используйте TLS для всего трафика на платформу совместной работы. D. Разверните безопасные конечные точки VPN в каждом удаленном месте и используйте VPN «точка-точка» для связи.
С Выбор помех D, они не должны быть двухточечными
46.Крис хочет использовать беспроводной протокол персональной сети с низким энергопотреблением для устройства, которое он разрабатывает. Какой из следующих беспроводных протоколов лучше всего подходит для связи между небольшими устройствами с низким энергопотреблением, подключенными на относительно коротких расстояниях между зданиями или помещениями? А. Wi-Fi Б.Зигби C.NFC D. Инфракрасный луч
Б
47. Какой из следующих вариантов содержит стандарты или протоколы, существующие на уровне 6 модели OSI? NFS, SQL и RPC Б. TCP, UDP и TLS C.JPEG, ASCII и MIDI D.HTTP, FTP и SMTP
С
48.cameron обеспокоен распределенной атакой типа «отказ в обслуживании» на основное веб-приложение компании. Какой из следующих вариантов обеспечивает наибольшую устойчивость к крупномасштабным DDoS-атакам? А.CDN Б. Увеличение количества серверов в кластере серверов веб-приложений. C. Подпишитесь на услуги по предотвращению DDoS-атак через интернет-провайдера вашей компании. D. Увеличение пропускной способности, предоставляемой одним или несколькими интернет-провайдерами.
А
49. Существует четыре общих протокола VPN. Какой вариант ниже содержит все распространенные протоколы VPN? А. PPTP, LTP, L2TP, IPsec Б. PPP. В. PPTP L2F. Д. PPTP L2TP, СПАП.
С
50. Уэйн хочет развернуть безопасную сеть голосовой связи. Какую из следующих технологий следует рассмотреть? (Выбрать все, что подходит.) А. Используйте частные VLAN для телефонов и устройств VoIP. Б. Требуется SIPS и SRTP. C. Требовать VPN для всех удаленных устройств VoIP. D. Внедрить VoIP IPS.
АБ Помните
Какой уровень модели 51.0S1 включает электрические спецификации, протоколы и стандарты интерфейсов? А. Транспортный уровень Б. Уровень устройства C.Физический уровень D. Канальный уровень передачи данных
С
52. Бен проектирует сеть Wi-Fi, и его просят выбрать наиболее безопасный стандарт сетевой безопасности. Какой стандарт безопасности беспроводной сети ему выбрать? А.WPA2 Б. ВПА C.WEP Д.WPA3
Д
53. У Кэтлин есть две основные локации в городе, и она хочет, чтобы обе среды выглядели как одна и та же локация. сеть. Маршрутизаторы, коммутаторы и точки беспроводного доступа развернуты в каждом месте. Какой из следующих методов лучше всего подходит для создания видимости, что два объекта находятся в одном сегменте сети? А.СДВАН Б. ВКСЛАН В. VMWAN Д. iSCSI
Б
54 Сегментация, упорядочивание и проверка ошибок — все это происходит в рамках модели OS!I, связанной с SSL, TLS и UDP. -слой? Богословский слой Сетевой уровень B Уровень сеанса C D. Уровень представления
А
55. Команда Windows ip-config отображает следующую информацию: BC-5F-F4-78-48-7D. Что это за термин? Какую информацию обычно можно получить из него? IP-адрес, сетевое расположение системы B MAC-адрес, производитель сетевой карты C. MAC-адрес, используемый тип носителя. D.IPV6 Client 1D, производитель сетевых карт
Б
56. Крис попросил сделать выбор между внедрением PEAP и LEAP для беспроводной аутентификации. он должен выбрать что почему? ПРЫЖОК. Потому что он устраняет проблемы, связанные с TKIP, тем самым обеспечивая более высокий уровень безопасности. Б.ПЭАП. Потому что он реализует CCMP для обеспечения безопасности. C. LEAP, поскольку он реализует EAP-TLS для сквозного шифрования сеанса. Д.ПЭАП. Потому что он может предоставить туннель TLS, инкапсулирующий метод EAP, защищающий весь сеанс.
Д
57.Бен устраняет сетевую проблему и обнаруживает, что внутренняя сеть NAT-маршрутизатора, к которому он подключен, не работает. Подсеть 192.168.x.x, а за ее пределами — 192.168.1.40. В чем его проблема? 192.168.x.x является немаршрутизируемой сетью и не передается в Интернет. B.192.168 1.40 не является допустимым адресом, поскольку он зарезервирован RFC 1918. C Невозможно выбрать двойной NAT, используя один и тот же диапазон 1 • D. Восходящая система не может декапсулировать его пакеты, и вместо этого ему необходимо использовать PAT.
С
58. Какова маска подсети по умолчанию для сети класса B? А. 255.0.0.0 Б. 255.255.0.0 С. 255.254.0.0 Д. 255.255.255.0
Б
59.Организация Джима использует традиционную АТС для голосовой связи. Каковы наиболее распространенные проблемы безопасности внутренних коммуникаций? Какие меры он должен рекомендовать, чтобы предотвратить это? А. Подслушивание, шифрование B Атака «человек посередине», сквозное шифрование C подслушивание, физическая охрана D. Сканирование коммутируемого доступа и развертывание системы предотвращения вторжений (IPS).
С P452 легко подслушать и перехватить. Безопасность голосовой связи должна быть защищена с помощью физической безопасности.
60 Каковы технические различия беспроводной связи через WiFi и LiFi А. LiFi не подвержен электромагнитным помехам. B.LiFi не может обеспечить скорость широкополосного доступа. C. Wi-Fi не подвержен электромагнитным помехам. D.WiFi не может обеспечить скорость широкополосного доступа.
А
61. В организации Соана есть VoIP-телефоны, подключенные к тому же коммутатору, что и настольные компьютеры. Какие проблемы безопасности это может вызвать и какие решения могут помочь их решить? A. Атака с переключением VLAN с использованием физически разделенных коммутаторов. B. Атака VLAN с использованием шифрования. C. Подмена номера вызывающего абонента: используйте фильтрацию MAC-адресов. D. Атака типа «отказ в обслуживании»; использование брандмауэров между сетями.
А
Для вопросов 62–65 обратитесь к следующему сценарию: Сьюзан проектирует новую сетевую инфраструктуру организации для филиала. 62. Сьюзен хочет использовать немаршрутизируемый набор IP-адресов для внутреннего сетевого адреса местоположения. Основываясь на ваших знаниях принципов проектирования безопасных сетей и IP-сетей, какой из следующих диапазонов IP-адресов можно использовать для этой цели? (Выбрать все, что подходит.) А. 172.16.0.0/12 Б. 192.168.0.0/16 С. 128.192.0.0/24 Д. 10.0.0.0/8 63. Сьюзан знает, что ей нужно будет реализовать сеть Wi-Fi для своих клиентов, и хочет собирать информацию о клиентах, например их адреса электронной почты, без необходимости предоставлять им пароли или ключи беспроводной сети. Какой тип решения обеспечит такое сочетание возможностей? А.НАК Б. Портал для захвата C. Предварительный общий ключ D. Режим SAE WPA3 64. Настроив свою беспроводную сеть, Сьюзан решила убедиться, что ее сеть останется работоспособной даже в случае сбоев. Если произошло временное отключение или другая временная проблема с электропитанием, какой из следующих способов является самым простым способом обеспечить, чтобы ее сетевое оборудование, включая маршрутизаторы, точки доступа и сетевые коммутаторы, оставалось включенным? А. Приобретите и установите генератор с функцией автозапуска. Б. Разверните два источника питания для всех сетевых устройств. C. Установите систему ИБП и предварительно защитите все сетевые устройства, которые должны оставаться в сети. D. Заключите контракт с несколькими различными энергетическими компаниями для получения резервной мощности. 65. Сьюзан хочет обеспечить сетевое соединение 10Gigabrt для оборудования в новом филиале. Какой из следующих вариантов структурированной кабельной системы может удовлетворить эти требования к скорости? (Выбрать все, что подходит.) А. Cat5e Б оптоволокно С Кат6 коаксиальный кабель D
АБД
Б
С
ДО Н.Э.
66 На каких трех уровнях модели OSl появляются потоки данных? A. Прикладной уровень, уровень представления и сеансовый уровень. B. Уровень представления, сеансовый уровень и транспортный уровень. C. Физический уровень, уровень канала передачи данных и сетевой уровень. D. Уровень канала передачи данных, сетевой уровень и транспортный уровень.
А помнить
67.Лукка хочет защитить конечные точки, которые используются в производстве, но больше не поддерживаются и не могут быть исправлены, от кибератак. Какие меры ему следует принять, чтобы наилучшим образом защитить эти устройства? А. Установите на устройство брандмауэр. Б. Отключите все службы и откройте порты на устройстве. C. Поместите аппаратное устройство сетевой безопасности перед устройством. D. Отключите устройства от сети, поскольку эти устройства не могут быть должным образом защищены.
С помнить
68. Сетевую команду Селаха попросили найти технологию, которая могла бы динамически изменять сеть организации, рассматривая сеть как код. Какой тип архитектуры ей следует порекомендовать? А. Сеть, которая следует правилу 5-4-3 Б. Конвергентная сеть C. Программно-определяемые сети D. Сеть на основе виртуализации
С
69.Джейсон знает, что протоколы, использующие модель OSI, полагаются на инкапсуляцию, когда данные передаются с одного уровня на другой. Что добавляет каждый уровень по мере прохождения данных через уровни OSI? А. Информация добавляется в шапку. Б. Информация добавляется в тело данных. С. Данные шифруются с использованием нового секретного ключа. D. Защищенный конверт, обеспечивающий полную секретность пересылки.
А
70 В процессе устранения неполадок, когда Алисса связалась со службой технической поддержки, они заявили, что проблема связана с проблемой уровня 3. Какая из следующих возможных проблем не является проблемой уровня 3? А. Несоответствие TTL Несоответствие B.MTU C. Неправильный список контроля доступа (ACL) D. Неисправность сетевого кабеля
Д
71, проводя аудит сети организации, Анджела обнаружила, что сеть пострадала от широковещательного шторма и что предварительные подрядчики, гости и менеджеры организации находились в одном сегменте сети. Какой дизайн порекомендует Анджела? A. Требовать от всех пользователей шифрования Б. Установите межсетевые экраны на границах сети. С. Включите обнаружение петель связующего дерева. D. Сегментируйте сеть на основе функциональных требований.
Д
72. На каком уровне модели OSI выполняются ICMP, RIP и преобразование сетевых адресов? А. Уровень 1 Б. Уровень 2 С. Уровень 3 D.Уровень 4
С
Для вопросов 73–75 рассмотрите следующий сценарий: Бен — специалист по информационной безопасности, чья организация заменяет физические серверы виртуальными машинами, размещенными в облаке. По мере того, как организации создают виртуальные среды, они переходят к гибридной облачной операционной модели, в которой некоторые системные службы остаются в локальных центрах обработки данных, а другие системы и службы размещаются в облаке. На изображении ниже показаны диапазоны IP-адресов сети для этого центра обработки данных и облачного VPC (используется тот же адрес, 10.0.0.0/24). Эту информацию необходимо учитывать при ответе на вопросы. 73.Бен хочет обеспечить безопасность трафика между экземплярами (от системы к системе) в его облачной среде «инфраструктура как услуга». Что он может сделать, чтобы полностью гарантировать, что трафик виртуализированной сети не будет перехватываться и анализироваться? О. Запретите установку анализаторов пакетов на всех хостах. Б. Отключите беспорядочный режим для всех виртуальных сетевых интерфейсов. C. Использование любого виртуального ТАР запрещено. D. Шифруйте весь трафик между хостами. 74. Какая проблема наиболее вероятна из-за подсетей, настроенных для центра обработки данных и VPC? Конфликт IP-адресов A. Б. Маршрутная петля Конфликт адресов C.MAC Д. Все вышеперечисленное 75. Бен хочет использовать нескольких интернет-провайдеров (ISP) для подключения к своему облачному VPC, чтобы обеспечить надежный доступ и пропускную способность. Какие методы он может использовать для управления и оптимизации этих связей? А. ФКоФ Б. ВКСЛАН C.SDWAN Д.ЛиФи
Д
А
С P406 SDWAN в основном используется для управления и контроля каналов WAN в облачных сервисах.
76. На какой общей схеме шифрования основан протокол блочного режима аутентификации сообщений WPA2 (CCMP)? А.ДЕС Б. 3DES CAES Д.ТЛС
С P410 AES-CCMP
77. Что происходит дальше, когда хост в сети Ethernet обнаруживает коллизию и отправляет сигнал помехи? О. Хосту, отправляющему сигнал помех, разрешено повторно отправить данные, в то время как другие хосты приостанавливают отправку до тех пор, пока передача не будет успешно получена. Б. Все хосты прекращают отправку, и каждый хост ждет случайный период времени, прежде чем попытаться повторить отправку. С. Все хосты прекращают отправку, и каждый хост ожидает определенный период времени, основанный на последней успешной отправке. D. Хост ожидает передачи токена, а затем возобновляет передачу данных после передачи токена.
Б помнить
78.Марк обеспокоен физической безопасностью сетевых кабелей. Какой тип сетевого подключения сложнее всего подслушать без специального оборудования? А. Wi-Fi Б. Bluetooth C. Витая пара Cat5/Cat6. D. Оптическое волокно
Д
79.Рич хочет подключить свою сеть к зданию в полумиле от его текущего местоположения. На пути встречаются деревья и особенности местности, но тропа ведет сквозь деревья в другое место. Какая среда передачи лучше всего подходит для этого развертывания? А. Установите повторитель через каждые 200–300 ярдов кабеля Ethernet. Б. Направленная антенна Wi-Fi C. Волоконно-оптический кабель Д. Система ЛиФи
С
80. Каковы наиболее распространенные проблемы, с которыми сталкиваются при развертывании систем безопасности конечных точек? А. поврежден Б. Большой объем данных C Мониторинг зашифрованного трафика в сети D Обрабатывает протоколы, отличные от TCP.
Б P432 После обобщения первого абзаца ответ Б.
81. Какой тип адреса 127.0.0.1? А. Публичный IP-адрес Б. Адрес RFC 1918. Адрес C.APIPA D. Адрес обратной связи
Д
82.Сьюзен пишет рекомендации по передовому опыту для пользователей организаций, которым необходимо использовать Bluetooth. Она знает, что у Bluetooth есть потенциальные проблемы с безопасностью. Какие из следующих правил следует включить в заявление Сьюзен? О. Используйте надежное шифрование, встроенное в Bluetooth, измените PIN-код по умолчанию на своем устройстве и отключите режим обнаружения и Bluetooth во время неактивного использования. Б. Используйте Bluetooth только в том случае, если вы не участвуете в конфиденциальных действиях, измените PIN-код по умолчанию на устройстве и Выключайте режим обнаружения и Bluetooth при использовании. C. Используйте надежное шифрование, встроенное в Bluetooth, и используйте расширенный (восьмизначный или более длинный) PIN-код Bluetooth. код для отключения режима обнаружения и функций Bluetooth во время неактивного использования. D. Используйте Bluetooth только в том случае, если вы не участвуете в конфиденциальной деятельности. Используйте расширенный (восьмизначный или более длинный) Bluetooth. PIN-код для отключения режима обнаружения и функции Bluetooth во время неактивного использования.
Б P416 Нет расширенного пароля
83. Какой тип сетевого устройства чаще всего используется для назначения конечных систем виртуальным локальным сетям (VLAN)? А. Брандмауэр Б. Маршрутизатор C.Переключатель Д. концентратор
С
84. Стиву поручено реализовать протокол сетевого хранения в IP-сети. Какой протокол конвергенции, ориентированный на системы хранения данных, он, скорее всего, использует в своей реализации? А. МПЛС Б. ФКоЕ Ц.СДН Д. VoIP
Б
85. Мишель сообщили, что организация, в которую она присоединяется, использует архитектуру контроллера SD-WAN для управления подключением к глобальной сети (WAN). Какие предположения она может сделать об управлении и контроле сети? (Все, что применимо.) Сеть использует предопределенные правила для оптимизации производительности. Б. Сеть постоянно контролируется для обеспечения более высокой производительности. C. Сеть использует технологию самообучения для реагирования на изменения в сети. D. Все соединения управляются основным поставщиком услуг Интернета организации.
АВС помнить
86 На следующей фотографии показаны горизонтальные слои 03) в правильном порядке от свежего строительного слоя до 7-го слоя. Пожалуйста, расположите слои показанной здесь модели OS1 в правильном порядке: от слоя 1 до слоя 7. Уровень 1 = уровень канала передачи данных; Уровень 2 = физический уровень, Уровень 3 = сетевой уровень 4, передача; Уровень 5 = уровень сеанса; Уровень 6 — уровень представления; Уровень 7 = уровень приложения; B. Уровень 1 = физический уровень; Уровень 2 = уровень канала передачи данных; Уровень 5 = уровень сеанса; уровень 6 = уровень представления; уровень 7 = уровень приложения; C Уровень 1 = Физический уровень: Уровень 2 и уровень канала передачи данных. Уровень 3 = Сетевой уровень 4 = Передача; Уровень 5 = уровень сеанса; Уровень 6 = уровень приложения; Уровень 7 = уровень представления; 口 Уровень 1 = физический уровень; Уровень 2 = уровень канала передачи данных; Уровень 3 = сетевой уровень; Уровень 5 = транспортный уровень; Уровень 7 = уровень приложений.
Б
87. Валери включила безопасность портов на своем сетевом коммутаторе. Какой тип атаки она, скорее всего, пытается предотвратить? А. Подмена IP-адреса Агрегация B.MAC C. Заполнение таблицы CAM Переключение D.VLAN
С Безопасность порта P402 блокирует связь с неизвестными, неавторизованными и вредоносными устройствами. Другой метод — статические записи ARP.
88. Алайна хочет убедиться, что система соответствует ее настройкам сетевой безопасности, прежде чем ей будет разрешен доступ к сети, и хочет максимально протестировать и проверить настройки системы. Какой тип системы NAC ей следует развернуть? A. Предварительная аутентификация, система NAC на стороне клиента не требуется. B. Клиентская система NAC после аутентификации C. Клиентская система NAC с предварительной аутентификацией Д. Постоутентификация, нет необходимости в системе NAC на стороне клиента
С
89. Дерек хочет развернуть резервные основные маршрутизаторы, как показано на рисунке. Какая модель кластера высокой доступности обеспечит ему максимальную пропускную способность? А. Мастер/Мастер-режим B. Режим взаимодействия с линией C. Активный/режим ожидания D. Режим соседней линии
А
90 Анжела хочет выбрать один из следующих протоколов для безопасной аутентификации и не хочет вводить ненужные технические сложности. Какой протокол аутентификации ей следует выбрать? Почему? A.EAP, поскольку он по умолчанию обеспечивает надежное шифрование. B.LEAP, поскольку он обеспечивает частую повторную аутентификацию и смену ключей WEP. C.PEAP, поскольку он обеспечивает шифрование и не подвержен тем же уязвимостям, что и LEAP. D. EAP-TLS
С
91. Какие проблемы часто возникают в отношении систем, требующих высокопроизводительного подключения к Интернету, когда спутниковый Интернет является единственным доступным вариантом? А. Безопасность Б. Совместимость с такими протоколами, как LiFi C. Совместимость с такими протоколами, как zigbee Д. Задержка
Д
92. Какой уровень реализации SDN использует программы для передачи требований к ресурсам через API? А. Плоскость данных Б. Плоскость управления C. Плоскость применения D.Плоскость мониторинга
С API-приложение не найдено
93. Что из перечисленного не является недостатком многоуровневых протоколов? О. Они могут обходить фильтры и правила. Б. Они могут работать на более высоких уровнях OSI. C. Они могут разрешить тайный проход. D. Они могут обходить границы сегментов сети.
Б
94. Расположите следующие уровни модели TCP/IP по порядку, начиная с прикладного уровня и продвигаясь вниз по стеку протоколов. 1. Прикладной уровень 2. уровень доступа к сети 3. Интернет-слой 4. Транспортный уровень А.1,2.3.4 Б. 1,4,2,3 С. 1,4,3,2 Д. 4,1,3,2
С
95. Какова максимальная скорость кабеля категории 5e? А. 5 Мбит/с Б. 10 Мбит/с С. 100 Мбит/с Д. 1000 Мбит/с
Д
Каковы два основных преимущества сети 96.56G перед сетью 4G? (Выбрать все, что подходит.) Функция защиты от помех B Улучшенная защита личности пользователя. C Возможность взаимной аутентификации D.Многофакторная аутентификация
ДО Н.Э. Не найден, помните
97. Какую функцию выполняет VXLAN в среде центра обработки данных? A Устраняется ограничение максимального расстояния кабелей Ethernet. B Это позволяет нескольким подсетям существовать в одном IP-пространстве, используя хосты с одним и тем же IP-адресом. Д. Все вышеперечисленное C. Он туннелирует соединение уровня 2 через сеть уровня 3, расширяя его до сети нижележащего уровня.
С помнить
98.Крис настраивает сеть отеля и должен убедиться, что системы в каждом номере или люксе могут подключаться друг к другу, а системы в других люксах или номерах — нет. В то же время ему также необходимо убедиться, что все системы отеля могут подключаться к Интернету. Какое решение он должен порекомендовать как наиболее эффективное бизнес-решение? А. VPN для каждой комнаты Б.ВЛАН C. Безопасность порта Д. Брандмауэр
Б
99. В ходе судебно-медицинского расследования Чарльз смог определить адреса управления доступом к среде передачи (MAC) систем, подключенных к скомпрометированной сети. Чарлиз знает, что MAC-адрес связан с производителем или поставщиком и является системным. часть отпечатка пальца. На каком уровне OSI находится MAC-адрес? А. Прикладной уровень Б. Сеансовый уровень C.Физический уровень Д. канальный уровень
Д
100. Микайла просматривает конфигурацию среды VoIP своей организации и находит диаграмму, показывающую следующую структуру. Какую озабоченность она должна выразить? О. Голосовое соединение не шифруется и может быть прослушано. Б. На этой диаграмме нет никаких проблем с безопасностью. C. Соединение инициализации сеанса не зашифровано и его можно просмотреть. D. Инициализация сеанса и соединение для голосовых данных не зашифрованы и могут быть захвачены и проанализированы.
С Инициализация должна использовать SIPS