Network+
Bezpieczeństwo sieci
1. Która koncepcja bezpieczeństwa wymaga, aby użytkownik otrzymywał jedynie pozwolenie na wykonywanie swojej pracy?
A. Zero zaufania
B. Dostęp oparty na rolach
C. Najmniejsze przywileje
D. Obrona dogłębna
2. Jaka zasada opisuje proces weryfikacji tożsamości użytkownika?
A. Uwierzytelnianie
B. Autoryzacja
C. Księgowość
D. Audyt
3. Który system uwierzytelniania jest otwartym standardem pierwotnie zaproponowanym przez Internet Engineering Task Force (IETF)?
A. RADIUS
B.TACACS+
C. Kerberosa
D.LDAP
4. Który system uwierzytelniania może wykorzystywać szyfrowanie Advanced Encryption Standard (AES) do szyfrowania danych uwierzytelniających użytkownika?
A. RADIUS
B.TACACS+
C. Kerberosa
D.LDAP
5. Który protokół jest często używany w przypadku pojedynczego logowania (SSO) do wymiany danych uwierzytelniających?
A.LDAP
B. SAML
C. ADFS
D. Kerberos
6. Która zasada opisuje proces weryfikacji uprawnień użytkownika?
A. Uwierzytelnianie
B. Autoryzacja
C. Księgowość
D. Audyt
7. Jakiego protokołu i numeru portu używa LDAP do przeszukiwania katalogów?
A. TCP/389
B.TCP/1812
C. UDP/389
D. UDP/1812
8. Która opcja dokładnie opisuje exploit?
A. Znana słabość systemu operacyjnego
B. Konfiguracja osłabiająca bezpieczeństwo systemu operacyjnego
C. Znana luka w zabezpieczeniach systemu operacyjnego
D. Technika uzyskiwania nieautoryzowanego dostępu
9. Który atak polega na tym, że atakujący podszywa się pod obie strony rozmowy pomiędzy dwoma hostami?
A. Atak na ścieżce
B. Cofnięcie uwierzytelnienia
C. DoS
D. Podszywanie się
10. Jaki typ ataku będzie próbował skonfigurować hosty ze złośliwą bramą domyślną?
A. DoS
B. Przeskakiwanie przez VLAN
C. Cofnięcie uwierzytelnienia
D. Nieuczciwy DHCP
11. Jakiego wektora ataku można użyć do ataku na ścieżce?
A. DHCP
B. DNS
C. Bezprzewodowe
D. Wszystkie powyższe
12. Jakiego ataku można użyć na natywnej sieci VLAN?
A. Podwójne tagowanie
B. Przejście przez VLAN
C. Pęknięcie bagażnika
D. Odmowa usługi
13. Jakiego rodzaju filtry można umieścić nad monitorem, aby dane na ekranie nie były czytelne przy oglądaniu z boku?
A. Ochrona
B. Prywatność
C. Rozmagnesowanie
D. Hartowany
14. Która forma inżynierii społecznej to nic innego jak zaglądanie komuś przez ramię podczas wprowadzania lub przeglądania poufnych informacji?
A. Surfowanie na barkach
B. Wyłudzanie informacji
C. Tailgating
D. Wielorybnictwo
v
15. Musisz chronić swoich użytkowników przed trojanami, wirusami i wiadomościami phishingowymi. Co powinieneś wdrożyć?
A. Uwierzytelnianie wieloczynnikowe
B. Zapory programowe
C. Oprogramowanie chroniące przed złośliwym oprogramowaniem
D. Program antywirusowy
16. Czego możesz użyć, aby zabezpieczyć się przed fałszowaniem wewnętrznych adresów IP na obrzeżach Twojej sieci?
A. Listy kontroli dostępu
B. Systemy wykrywania włamań
C. Bezpieczeństwo warstwy transportowej
D. Systemy wykrywania włamań hosta
17. Wdrażasz publiczną sieć bezprzewodową dla gości i wymagasz od użytkowników zaakceptowania zasad dopuszczalnego użytkowania (AUP). Co należy wdrożyć, aby osiągnąć cel?
A. Listy ACL
B. Filtrowanie adresów MAC
C. Portal niewoli
D. 802.1X
18. Wdrażasz sieć bezprzewodową i musisz się upewnić, że mogą do niej dołączyć tylko hosty posiadające aktualną ochronę antywirusową. Jaką technologię wdrożyć?
A. NAC
B. 802.1X
C. EAP-TLS
D. Listy ACL
19. Które stwierdzenie dotyczące stosowania list ACL do interfejsu jest poprawne?
O. Listę kontroli dostępu można zastosować tylko w jednym kierunku.
B. Listę kontroli dostępu można zastosować tylko do jednego protokołu.
C. Listę kontroli dostępu można zastosować tylko do jednego portu.
D. Wszystkie powyższe.
20. Który protokół zarządzania oparty na konsoli ma wbudowane zabezpieczenia?
A. Odpowiedź: SSH
B. SCP
C. HTTPS
D. FTP
21. Masz kilku zdalnych pracowników, którzy wprowadzają dane pacjentów i wymagają wysokiego poziomu bezpieczeństwa. Która technologia najlepiej sprawdzi się w zakresie łączności dla tych pracowników?
A. Tunel GRE
B. Bezprzewodowa sieć WAN
C. VPN typu klient-lokacja
D. Sieć VPN typu lokacja-lokacja
22. Na jakim protokole sieciowym i porcie działa SSH?
Odp. Port TCP 3389
B. Port TCP 22
C. Port TCP 23
D. Port TCP 443
23. Który system detekcji ruchu posiada panel odblaskowy tworzący strefy detekcji?
A. Mikrofalówka
B. Wibracje
C. Pasywna podczerwień (PIR)
D. Sejsmiczne
24. Potrzebujesz fizycznego systemu bezpieczeństwa, który uwierzytelnia i autoryzuje pracowników na danym obszarze. Który system warto wdrożyć?
A. Breloki
B. Identyfikatory
C. Biometria
D. Zamki szyfrowe
25. Jaka jest metoda zatrzymania "tailgatingu"?
A. Uwierzytelnianie użytkownika
B. Przedsionki kontroli dostępu
C. Silne hasła
D. Zmiana identyfikatorów SSID
Odpowiedzi
1. C. Zasada najmniejszych uprawnień nakazuje użytkownikowi otrzymać najmniejsze uprawnienia do wykonywania swojej pracy. Zero zaufania to metoda wymagająca od użytkownika uwierzytelnienia w przypadku każdego zasobu, do którego uzyskuje dostęp, niezależnie od tego, gdzie znajduje się zasób. Dostęp oparty na rolach to metoda przyznawania uprawnień w oparciu o rolę w organizacji. Koncepcja bezpieczeństwa głębokiej obrony to warstwowe podejście do bezpieczeństwa, w którym do ochrony organizacji wykorzystuje się kilka warstw.
2. A. Uwierzytelnianie to proces weryfikacji tożsamości użytkownika. Można to przeprowadzić, biorąc pod uwagę różne czynniki, takie jak coś, co znasz, coś, czym jesteś lub coś, co posiadasz, a także inne czynniki. Autoryzacja to proces sprawdzania uprawnień uwierzytelnionego użytkownika do zasobu. Księgowość i inspekcja służą do rejestrowania działań użytkownika lub komputera, takich jak uwierzytelnianie i dostęp do zasobów.
3. A. Usługa zdalnego uwierzytelniania (RADIUS) została pierwotnie zaproponowana przez IETF i stała się otwartym standardem uwierzytelniania, często używanym w standardzie 802.1X. TACACS+ to technologia Cisco, która stała się otwartym standardem. Kerberos jest używany wyłącznie przez firmę Microsoft do uwierzytelniania użytkowników. Lekki protokół dostępu do katalogu (LDAP) to protokół używany również wyłącznie przez firmę Microsoft do wyszukiwania obiektów w usłudze Active Directory.
4. C. Kerberos to system uwierzytelniania wykorzystujący standard szyfrowania danych (3DES) i szyfrowanie Advanced Encryption Standard (AES) do szyfrowania danych uwierzytelniających użytkownika. Jest używany wyłącznie przez Microsoft Active Directory jako protokół uwierzytelniania. Usługa Remote Authentication Dial-In User Service (RADIUS) to protokół używany do uwierzytelniania użytkowników i komputerów, obsługujący zabezpieczenia TLS. TACACS+ to protokół uwierzytelniania, który nie obsługuje szyfrowania AES. Protokół LDAP (Lightweight Directory Access Protocol) nie jest protokołem uwierzytelniania.
5. B. Język SAML (Security Assertion Markup Language) to otwarty standard oparty na języku XML, używany do przesyłania informacji o uwierzytelnianiu i autoryzacji użytkowników i komputerów. Lightweight Directory Access Protocol (LDAP) to protokół używany wyłącznie przez firmę Microsoft do wyszukiwania obiektów w usłudze Active Directory. Usługi federacyjne Active Directory (ADFS) to platforma pojedynczego logowania firmy Microsoft. Kerberos jest używany wyłącznie przez firmę Microsoft do uwierzytelniania użytkowników w usłudze Active Directory.
6. B. Autoryzacja to proces sprawdzenia, czy użytkownik ma uprawnienia do określonej akcji; po nim następuje uwierzytelnienie użytkownika. Uwierzytelnianie to proces weryfikacji tożsamości użytkownika. Można to przeprowadzić, uwzględniając różne czynniki, takie jak coś, co znasz, czym jesteś lub co posiadasz, a także inne czynniki. Księgowość i inspekcja służą do rejestrowania działań użytkownika lub komputera, takich jak uwierzytelnianie i dostęp do zasobów.
7. A. Do wyszukiwania LDAP używany jest protokół TCP i numer portu 389. Wszystkie pozostałe odpowiedzi są nieprawidłowe.
8. D. Exploit to skrypt, kod, aplikacja lub technika wykorzystywana do uzyskania nieautoryzowanego dostępu do systemu operacyjnego poprzez lukę w zabezpieczeniach. Za luki w zabezpieczeniach uważa się słabość systemu operacyjnego i znaną lukę w zabezpieczeniach systemu operacyjnego. Konfiguracja osłabiająca bezpieczeństwo systemu operacyjnego jest uważana za zagrożenie.
9. A. Atak on-path, znany również jako atak typu man-in-the-middle MiTM, umożliwia atakującemu podszywanie się pod obie strony uczestniczące w rozmowie sieciowej. Atak polegający na cofnięciu uwierzytelnienia to metoda polegająca na cofnięciu uwierzytelnienia wszystkich użytkowników sieci bezprzewodowej w celu przejęcia punktu dostępu. Odmowa usługi (DoS) to atak, który próbuje uruchomić usługę bez zasobów, odrzucając w ten sposób prawidłowe żądania usług. Spoofing to podszywanie się pod użytkownika lub komputer.
10. D. Nieuczciwy DHCP to atak, podczas którego inny DHCP udostępnia adresy IP wraz ze złośliwą bramą domyślną. Ruch użytkowników jest następnie przekierowywany przez złośliwą bramę w celu kradzieży informacji. Odmowa usługi (DoS) to próba odrzucenia uzasadnionych żądań usług poprzez nadmierne wykorzystanie zasobów. Przeskakiwanie do sieci VLAN to atak, podczas którego złośliwy ruch jest podwójnie znakowany w celu przeskoczenia do innej sieci VLAN. Cofnięcie uwierzytelnienia to atak mający na celu cofnięcie uwierzytelnienia ruchu 802.11 i przejęcie bezprzewodowego identyfikatora SSID.
11. D. Dowolna usługa umożliwiająca użytkownikowi nawiązanie połączenia lub dostęp do informacji może zostać wykorzystana jako wektor ataku. W przypadku DHCP atakujący ustawi bramę na swój adres IP. W przypadku DNS osoba atakująca może sfałszować żądanie przekierowania ruchu. W przypadku sieci bezprzewodowej atakujący może sfałszować identyfikator bezpiecznego zestawu (SSID).
12. A. Podwójne tagowanie to atak, który można zastosować przeciwko natywnej sieci VLAN. Osoba atakująca oznaczy natywną sieć VLAN w ramce, a następnie oznaczy w tej ramce inną sieć VLAN, którą atakujący zamierza złamać. Kiedy przełącznik odbierze pierwszą ramkę, usuwa domyślny znacznik VLAN i przekazuje go do innych przełączników poprzez port trunk. Gdy drugi przełącznik odbierze ramkę z drugim znacznikiem VLAN, przekazuje ją do sieci VLAN, na którą atakujący kieruje atak. Przejście przez VLAN nie jest atakiem; jest to termin opisujący sieć VLAN przechodzącą przez łącze trunkingowe pomiędzy dwoma przełącznikami. Wyskakiwanie pnia nie jest prawidłowym atakiem; nie jest to termin używany w sieciach i dlatego jest to nieprawidłowa odpowiedź. Atak typu "odmowa usługi" (DoS) to atak polegający na próbie wyczerpania zasobów usługi w celu wyłączenia jej.
13. B. Filtry przyciemniające to foliowe lub szklane dodatki umieszczane na monitorze. Uniemożliwiają one odczytanie danych na ekranie przy oglądaniu z boków. Bezpieczeństwo jest celem ogólnym, a nie poprawną odpowiedzią. Rozmagnesowanie wiąże się z usuwaniem nośników magnetycznych. Szkło hartowane jest rodzajem szkła i nie zapobiega patrzeniu z boku.
14. A. Surfowanie po ramieniu polega na patrzeniu przez ramię podczas wprowadzania informacji. Phishing to próba kradzieży danych uwierzytelniających poprzez wysłanie wiadomości e-mail, która przenosi odbiorcę na fałszywy login. Tailgating to czynność polegająca na śledzeniu osoby przez punkt kontroli dostępu przy użyciu jej danych uwierzytelniających. Wielorybnictwo to forma phishingu, której celem są znane osoby.
15. C. Ochrona przed złośliwym oprogramowaniem obejmuje szeroką gamę zagrożeń bezpieczeństwa użytkowników, w tym trojany, wirusy i wiadomości e-mail typu phishing. Uwierzytelnianie wieloczynnikowe łączy dwie lub więcej metod uwierzytelniania jednoskładnikowego, aby zapewnić użytkownikom bardzo bezpieczne uwierzytelnianie. Zapory programowe nie zapobiegają zagrożeniom, takim jak trojany, wirusy i wiadomości e-mail typu phishing. Oprogramowanie antywirusowe chroni Cię tylko przed wirusami i trojanami, a nie przed wiadomościami phishingowymi.
16. A. Listy kontroli dostępu (ACL) to skuteczny sposób zapobiegania fałszowaniu wewnętrznych adresów IP spoza zaufanej sieci. Listy ACL służą do kontrolowania ruchu poprzez zezwalanie, blokowanie lub rejestrowanie ruchu w zależności od określonych warunków. System wykrywania włamań (IDS) może zostać użyty do powiadomienia Cię w przypadku wykrycia ataku, ale nie zapobiegnie atakowi. Komunikacja Transport Layer Security (TLS) oferuje zarówno szyfrowanie, jak i uwierzytelnianie danych poprzez podpisywanie certyfikatów. Zapobiegłoby to manipulowaniu danymi od początku do końca, ale nie zapobiegłoby fałszowaniu. System wykrywania włamań hosta (HIDS) to aplikacja uruchamiana na hoście w celu wykrywania włamań. HIDS jest podobny do IDS, ale w całości opiera się na oprogramowaniu i znajduje się na hoście, który ma chronić.
17. C. Portal przechwytujący przechwyci pierwsze żądanie użytkownika dotyczące strony internetowej i przekieruje go albo na stronę logowania, albo na stronę AUP. Listy kontroli dostępu (ACL) i filtrowanie adresów MAC ograniczają określony ruch. Protokół 802.1X służy do uwierzytelniania użytkowników i urządzeń w celu kontrolowania portu przełącznika warstwy 2.
18. A. Kontrola dostępu do sieci (NAC) jest używana w połączeniu ze standardem 802.1X i może ograniczać klientów, jeśli nie są spełnione określone zasady bezpieczeństwa, takie jak aktualne aktualizacje oprogramowania antywirusowego i oprogramowania. Protokół 802.1X służy do uwierzytelniania użytkowników i urządzeń w celu kontrolowania portu przełącznika warstwy 2. EAP-TLS to protokół używany do uwierzytelniania użytkowników i komputerów. Listy kontroli dostępu (ACL) służą do ograniczania określonego ruchu.
19. D. Listy dostępu można zastosować do portu, protokołu i kierunku. Na przykład można zastosować tylko jedną listę ACL do interfejsu Fa0/1, do protokołu IP w kierunku ruchu przychodzącego.
20. A. Secure Shell (SSH) negocjuje szyfrowanie podczas nawiązywania połączenia. SSH jest używany jako zamiennik niezaszyfrowanego protokołu Telnet. Bezpieczna kopia (SCP) służy do bezpiecznego kopiowania plików. Hypertext Transfer Protocol Secure (HTTPS) wykorzystuje szyfrowanie TLS do bezpiecznego przesyłania treści internetowych. File Transfer Protocol (FTP) to niezaszyfrowany protokół przesyłania plików.
21. C. Ponieważ masz kilku zdalnych pracowników, którzy pracują zdalnie, najlepszą opcją połączenia jest VPN typu klient-lokacja. Tunel GRE nie jest szyfrowany i nie zapewnia żadnego bezpieczeństwa. Do łączenia klientów z Internetem można używać bezprzewodowej sieci WAN, ale klient-lokacja
połączenie byłoby prywatnym połączeniem z siecią organizacji. Połączenia VPN typu lokacja-lokacja służą do łączenia witryn ze sobą za pośrednictwem szyfrowanego tunelu przez Internet.
22. B. Protokół SSH działa na porcie TCP 22. Protokół Remote Desktop Protocol działa na porcie TCP 3389. Usługa Telnet działa na porcie TCP 23. HTTPS działa na porcie TCP 443.
23. C. Pasywna podczerwień (PIR) zawiera panel odblaskowy, który tworzy różne strefy detekcji. Panel odblaskowy jest charakterystyczny dla czujników PIR. Czujniki mikrofalowe współpracują z falami radiowymi. Czujnik wibracji i czujniki sejsmiczne działają na podstawie wibracji, a nie podczerwieni.
24. C. Breloki, identyfikatory i zamki szyfrowe nie umożliwiają uwierzytelnienia pracowników. Tylko dane biometryczne zapewnią czynnik uwierzytelniający.
25. B. Korzystanie z przedsionków kontroli dostępu, zwanych także pułapkami (małe pomieszczenia, do których dostęp ma jedna lub kilka osób), to świetny sposób na zaprzestanie podążania za ogonem. Uwierzytelnianie użytkownika nie zapobiegnie ani nie zatrzyma tailgatingu. Silne hasła nie zapobiegną tailgatingowi, ponieważ tailgating stanowi problem bezpieczeństwa fizycznego. Zmiana identyfikatorów SSID nie zatrzymuje "tailgatingu", ponieważ "tailgating" nie dotyczy sieci bezprzewodowej.
