CISSP All-in-One(二十六)

TKIP

what is TKIP
TKIP过时了

TKIP本质上是一个WEP补丁,解决了攻击者通过获得少量的路由器流量解析出路由器密钥的问题。TKIP还提供了一个较为完善的安全升级,但是对于保护网络不受黑客攻击上不够全面。

TKIP较WEP加密方式有所改进,是一种rc4算法,避免了若iv共计

TKIP 仍被视为安全协议吗?

不可以,TKIP 自 2011 年起已被弃用,并且不再被视为无线网络安全的安全协议。

TKIP 有哪些漏洞?

TKIP 容易受到重放攻击和密钥恢复攻击。

TKIP 可以与 AES 一起使用吗?

不可以,TKIP 和 AES 是独立的安全协议,不能一起使用。

IEEE 标准 802.11a

802.11 是一种无线局域网标准。802.11 a/b/g/n/ac 都是由802.11 发展而来的。不同的后缀代表着不同的物理层标准工作频段和不同的传输速率,也就是说它们的物理层和传输速度不同。

VLAN 跳频攻击 vlan hopping attack

virtual local area network (VLAN)

什么是虚拟局域网跳频(VLAN跳频)?
虚拟局域网跳频(VLAN 跳频)是一种通过将数据包发送到终端系统通常无法访问的端口来攻击 VLAN 网络资源的方法。 这种形式的攻击的主要目标是访问同一网络上的其他 VLAN。

在 VLAN 跳跃中,威胁行为者必须首先破坏网络上的至少一个 VLAN。 这使得网络犯罪分子能够创建攻击基地来攻击连接到网络的其他 VLAN。

VLAN跳频如何导致网络安全漏洞?
VLAN 的漏洞与其主要功能有关,包括:
使网络管理员能够对一个交换网络进行分区,以满足其系统的功能和安全要求,而无需铺设新电缆或对其网络基础设施进行重大更改;
通过将频繁通信的设备分组在一起来提高网络性能; 和通过更好地控制哪些设备可以相互访问,为大型网络提供安全性。
通过隔离用户,VLAN 有助于提高安全性,因为用户只能访问适合其角色的网络。 此外,如果外部攻击者访问某个 VLAN,他们将被限制在该网络中。

城域以太网

什么是城域以太网?
城域以太网是通过城域网 (MAN) 提供点到点或多点连接服务的以太网传输网络

IPSec

IPsec(Internet Protocol Security)是为IP网络提供安全性的协议和服务的集合,它是VPN(Virtual Private Network,虚拟专用网)中常用的一种技术。 由于IP报文本身没有集成任何安全特性,IP数据包在公用网络如Internet中传输可能会面临被伪造、窃取或篡改的风险。通信双方通过IPsec建立一条IPsec隧道,IP数据包通过IPsec隧道进行加密传输,有效保证了数据在不安全的网络环境如Internet中传输的安全性。

DHCP 嗅探

DHCP嗅探(DHCP Snooping)是一种网络安全技术,用于防止未经授权的DHCP(Dynamic Host Configuration Protocol)服务器在局域网中分配IP地址给设备。DHCP是一种用于自动分配IP地址和其他网络配置信息的协议,通常由网络管理员配置并控制。然而,如果在局域网中存在未经授权的DHCP服务器,它可能会导致网络问题和安全漏洞,例如IP地址冲突或未经授权的设备访问网络。

DHCP嗅探工作原理如下:

  1. 网络交换机或路由器上启用DHCP嗅探功能。
  2. 当有设备在局域网上请求IP地址时,DHCP嗅探会监视DHCP请求和响应报文。
  3. DHCP嗅探会检查每个DHCP响应,验证其是否来自已经授权的DHCP服务器。
  4. 如果DHCP响应来自未经授权的DHCP服务器,DHCP嗅探会将其丢弃或标记为不受信任的,并不允许分配给设备。

通过使用DHCP嗅探,网络管理员可以有效地防止未经授权的DHCP服务器引入网络中,从而提高网络的安全性和稳定性。这种技术通常用于企业网络和公共无线网络等环境中,以确保网络配置的合法性和一致性。

PEAP

PEAP(Protected Extensible Authentication Protocol)是一种网络认证协议,通常用于在无线局域网(Wi-Fi)和虚拟专用网络(VPN)等环境中提供安全的用户身份验证。PEAP的主要特性和设计目标包括以下内容:

  1. 安全性: PEAP旨在提供强大的认证和数据保护,以确保用户身份的安全性。它通过使用TLS(Transport Layer Security)来保护通信的机密性,确保用户的凭证和数据不会被未经授权的人员窃取。

  2. 灵活性: PEAP是一个灵活的协议,可以与多种认证方法一起使用,通常与EAP(Extensible Authentication Protocol)方法配合使用,例如EAP-MSCHAPv2(Microsoft Challenge Handshake Authentication Protocol version 2)或EAP-GTC(Generic Token Card)。这使得PEAP适用于各种身份验证要求。

  3. 用户友好: PEAP的设计目标之一是提供对用户而言相对无缝的认证体验。用户通常只需提供用户名和密码等凭证,而无需处理复杂的证书管理。

  4. 中间受信任服务器: PEAP设计中的一个关键特性是支持一个中间受信任的RADIUS服务器(通常是身份验证服务器),该服务器负责处理TLS握手并验证用户凭证。这可以降低客户端设备上的配置复杂性,并将认证过程的安全性集中在服务器端。

  5. 保护身份信息: PEAP通过在TLS隧道内进行认证,可以有效地隐藏用户的身份信息,因此,即使在未加密的无线网络中进行认证,也不容易泄露用户的凭证。

至于你提到的PEAP的设计支持密码保护连接不属于PEAP的特性之一,这是因为PEAP本身并不提供加密连接或保护数据的功能。PEAP的主要目标是提供安全的身份验证,而不是加密数据传输。因此,虽然PEAP通过TLS确保了用户凭证的安全性,但它并不涉及数据的加密。为了实现数据加密,通常需要在PEAP认证之后使用其他协议(如WPA2或WPA3)来保护数据通信。这是一个分层的安全模型,其中PEAP负责身份验证,而其他协议负责加密通信

会话初始化协议(Session Initiation Protoco1 , SIP)

会话初始化协议(Session Initiation Protocol,SIP)是一种用于建立、修改和终止多媒体通信会话的网络协议。它是一种应用层协议,通常用于互联网电话(Voice over IP,VoIP)和实时通信应用,如视频通话、即时消息传递和在线会议等。

SIP的主要功能包括:

  1. 会话控制: SIP允许两个或多个终端设备协商和建立通信会话,这可以是音频通话、视频通话、文本消息传递或其他类型的实时通信。SIP用于建立和维护会话的起始和结束。

  2. 媒体协商: SIP可以用于协商通信会话中使用的媒体类型、编解码器和媒体参数,以确保通信双方可以正确解码和呈现媒体数据,如音频或视频。

  3. 用户位置服务: SIP允许查找和识别用户的位置,以便将通信请求路由到正确的终端设备。这通常涉及到DNS(Domain Name System)用于查找用户的SIP地址。

  4. 状态通知: SIP支持状态通知,可以用于通知用户是否在线、可用以及当前的通信状态。这对于即时消息传递和在线状态的管理非常有用。

  5. 重定向和代理: SIP支持重定向请求和代理功能,允许在通信会话过程中将请求路由到适当的终端设备或服务。

SIP是一个开放标准,由IETF(Internet Engineering Task Force)制定和维护。它被广泛用于VoIP系统和实时通信应用中,是实现互联网电话和多媒体通信的重要协议之一。由于其灵活性和可扩展性,SIP可以支持多种通信设备和服务,使不同供应商的系统能够互操作,从而促进了通信行业的发展。

虚拟防火墙

虚拟防火墙是一种网络安全解决方案,旨在提供虚拟环境中的防火墙保护。它与传统硬件防火墙类似,但是被部署在虚拟化环境中,以保护虚拟机(VM)或云计算实例之间的流量,或者保护虚拟化数据中心的网络边界。

虚拟防火墙的工作原理与传统防火墙类似,主要功能包括以下方面:

  1. 流量过滤: 虚拟防火墙可以检查和过滤网络流量,根据预定义的规则和策略来允许或阻止特定类型的流量通过。这有助于防止恶意流量和攻击进入虚拟化环境。

  2. 安全策略实施: 它可以执行安全策略,如访问控制列表(ACL)或规则集,以确保只有经过授权的虚拟机可以相互通信,从而提高网络安全性。

  3. 入侵检测和预防: 虚拟防火墙通常集成了入侵检测系统(IDS)和入侵防御系统(IPS),以检测和阻止潜在的网络攻击和威胁。

  4. 网络地址转换(NAT): 它可以执行网络地址转换以隐藏虚拟机的内部IP地址,增加网络的隐私和安全性。

  5. 虚拟化感知: 虚拟防火墙具有对虚拟化环境的深刻了解,可以识别虚拟机迁移、自动扩展和缩减等虚拟化操作,以确保安全策略的一致性。

  6. 日志和报告: 它可以生成安全日志和报告,以帮助管理员监视网络活动、检测威胁和进行合规性审计。

虚拟防火墙通常以虚拟设备或虚拟实例的形式提供,可以在虚拟化平台上部署,如VMware、Microsoft Hyper-V、KVM等,也可以在云计算平台上使用,如Amazon Web Services(AWS)、Microsoft Azure、Google Cloud Platform(GCP)等。

使用虚拟防火墙有助于增强虚拟化环境的网络安全性,保护虚拟机和云实例之间的通信,同时提供了更灵活的部署和管理选项,适应了现代的云计算和虚拟化需求。

[8/20]

TKIP如何为 WLAN 环境提供更多的保护?
A. 它使用了 AES 算法。 它使用了rc4算法
B. 它减少了 IV 值的长度以及使用了 AES 算法。
C. 它将更多元素添加到密钥材料中。
D. 它使用了 MAC IP 过滤。

  1. C
    TKIP 实际上是在 WEP 中注入加密信息(即用于生成新动态密钥的数据)发展而来。该协议增加了 IV 值的长度,保证每个数据帧都有一个随机的 值,并将发送方的 MAC 地址添加到密钥材料中。

下列哪项不是 IEEE 802.11a 标准的特征?
A.在 5GHz频率段下工作。
B. 使用 OFDM 扩展频谱技术。
c. 它提供了 54Mbp 的带宽。 最大为54Mbps 的带宽
D. 操作范围比 802.11b 小。
2. D
C
IEEE 标准 802.11a 使用 OFDM 扩展频谱技术,在 5GI也频率段下工作,可提供最大为54Mbps 的带宽。操作范围较小,因为它以较高的频率工作。

为什么交换架构比路由网络更安全?
A. 因为计算机之间会建立一个虚拟私有连接,因此很难对流量抓包。
B. 它们与非交换环境一样不安全。
c. 数据链路加密,不允许窃听。
D. 交换机比桥接器更智能,以及实现了安全机制。

  1. C
    A
    交换环境使用交换机来允许不同网段和/或系统之间的通信。在进行通信时,通信设备之间会建立一个虚拟连接。
    因为这是一个专用的连接,所以广播和冲突数据不会影响其他系统,就像在纯粹使用网桥和路由器的环境中一样。
  1. D
    在列出的协议中, TCP 是唯一面向连接的协议。面向连接协议提供了可靠的连通性和数据传输:而无连接协议提供不可靠的连接,并且不保证数据的传输。

如果一个攻击者能够把标签插入基于网络或基于交换的协议中,这样做的目的是操纵对数据链路层上流量的控制,这种行为被称为什么?
A.开发中继操作
B. VLAN 跳频攻击
虚拟管理层拒绝式服务攻击
D. Smurf 攻击
5. ?
B
VLAN 跳频攻击指攻击者访问各个 VLAN 分段上的流量。攻击者可以让系统像交换机一样工作。系统理解网络中使用的标记值和中继协议,然后把自己插入其他 VLAN 设备之间以访问来往流量。
攻击者也能插入标记值来操纵对数据链路层上流量的控制。

以下哪种代理类型无法根据协议的命令结构进行访问决策?
A.应用 (唯一能够细粒化理解每一种协议)
B.包过滤
C. 电路 (基于首部信息)
D. 状态
6. ?
C
这里列出的防火墙解决方案只有应用级和电路级是基于代理类型的。电路级代理基于首部信息(而不是根据协议的命令结构)进行决策:应用级代理是唯一能够细粒化理解每一种协议的解决方案。

  1. C
  2. A
  3. C

城域以太网是一种 MAN 协议,这种协议可以工作在由接入、聚合、城域和核心层组成的网络基础设施中。以下哪项最恰当地描述了这种网络基础设施?
A.访问层把客户的设备与服务提供商的聚合网络连接在→起。聚合出现在核心网络中。都市层是城域网。其核心连接着不同的城域网络。
B. 访问层把客户的设备与服务提供商的核心网络连接在一起。聚合在核心层出现在分布式网络中。都市层是城域网。
C. 访问层把客户的设备与服务提供商的聚合网络连接在一起。聚合出现在分布式网络中。都市层是城域网。其核心连接着不同的访问。
D. 访问层把客户的设备与服务提供商的聚合网络连接在一起。聚合出现在分布式网络中。都市层是城域网。其核心连接着不同的城域网络。

  1. 城域以太网
    C
    访问层把客户的设备与服务提供商的聚合网络连接在一起。聚合出现在分布式网络中。都市层是城域网。其核心连接着不同的城域网络。

以下哪项关于组成 IPSec 特定组件或协议的定义是不正确的?
A.身份验证首部协议提供数据完整性、数据源验证和抵御重放攻击。
B.封装安全有效载荷协议提供机密性、数据源验证和数据完整性。
C. 互联网安全连接和密钥管理协议(ISAKMP)提供安全关联创建和密钥交换的框架。
D. 互联网密钥交换(IKE)提供经验证的密钥材料与 ISAKMP 一起使用。

  1. IPsec的组件或协议
    D
    身份验证首部协议提供数据完整性、数据源验证和抵御重放攻击。封装安全有效载荷协议提供机密性、数据源验证和数据完整性。互联网安全连接和密钥管理协议ISAKMP提供安全关联创建和密钥交换的框架。互联网密钥交换(IKE)提供经验证的密钥材料与 IS MP 一起使用。
  1. C

以下哪些协议工作在应用层、数据链路层、网络层和传输层中?
A. FTP(应用层) ARP(数据链路层) TCP (传输层), UDP(传输层)
B. FTP(应用层) ICMP(网络层) ,IP( 网络层), UDP(传输层)
C. TFTP(应用层) ARP(数据链路层) ,IP( 网络层) UDP(传输层)
D. TFTP(应用层), RARP, IP( 网络层), ICMP(网络层)

  1. B
    C
    不同协议具有不同的功能。 OSI 模型试图从概念上描述不同功能在网络互联协议楼中的位置,该模型试图绘出接近现实的功能组成模块,以帮助人们更好地理解协议棋。每层协议都有特定的功能,并且每层可以有几种不同的协议实现特定的功能。所列协议分别工作在以下几层:TFTP(应用层)、 ARP(数据链路层)、 IP( 网络层)和 UDP(传输层)。
  1. C
    多数情况下,数据链路层是唯一理解系统工作环境的层,无论它是以太网、令牌环、无线还是到 WAN 链路的连接。这一层在帧内添加了必要的首部和尾部信息。在同一网络上使用同样技术的其他系统只能理解使用相同技术封装的首部和尾部。
  2. A

以下哪项最恰当地描述了 IP 协议?
A. IP 协议是无连接的,它可以处理对话建立、维持和销毁
B. IP 协议是无连接的,它可以处理寻址和 IP 包的路由
C.IP 协议是面向连接的,它可以处理寻址和 IP 包的路由
D.IP 协议是面向连接的,它可以处理排序、错误探测和流控

  1. C
    B
    IP 协议是无连接的,它工作在网络层。在数据封装过程中, IP 在数据上增加了源地址和目标地址。 IP 路由决策基于目标地址。

以下哪项不是受保护的可扩展的身份验证协议(PEAP) 的特征?
A.用于无线网络和点对点连接中的身份验证协议
B. PEAP 的设计旨在为 802.11 WLAN 提供身份验证
C. PEAP 的设计支持 802.1X 端口访问控制和 TLS
D. PEAP 的设计支持密码保护连接

  1. PEAP?
    D
    PEAP EAP 的一个版本,是用于无线网络和点对点连接中的身份验证协议。
    PEAP的设计旨在为 802.11 WLAN 提供身份验证,支持 802.1 端口访问控制和 TLSo 该协议把 EAP装在一个可能被加密和验证过的 TLS 隧道中。

什么是IETF 定义的信令协议,广泛用于控制多媒体通信会话,如通过 进行的语音和视频呼叫。
A.会话初始化协议(Session Initiation Protoco1 , SIP)
B. 实施传输协议
C. SS7
D. VoIP
18. D.
A
会话初始化协议(Session Initiation Prot 01 , SIP) Eτ? 定义的信令协议,广泛用于控
制多媒体通信会话,如通过 进行的语音和视频呼叫。这个协议可用于创建、修改和中断包含一个
或者多个媒体流的两方(单播)或者多方(多播)会话。

  1. A
    B
    四步 DHCP 租用流程是
    (1) DHCPDISCOVER 消息这个消息用来请求来自 DHCP 服务器的 E 地址租用。
    (2) DHCPOFFER 消息这个消息是对 DHCPDISCOVER 消息的响应,由一个或者多个 DHCP
    服务器发送。
    (3) DHCPREQUEST 消息客户端发送给最初响应其请求的 DHCP 服务器一个 DHCP 请求
    消息。
    (4)DHCPACK 消息 DHCP 认可消息由 DHCP 服务器发送给 DHCP 客户端,是 DHCP 服务器
    分配 IP 地址租用给 DHCP 客户端的过程。
  2. C
    A
    DHCP 嗅探确保 DHCP 服务器只为由其 MAC 地址标识的所选系统分配 地址。此外,
    高级网络交换机目前能将客户端指向合法的 DHCP 服务器,以获取 地址并限制恶意系统成为网
    络上的 DHCP 服务器。

[18/20]

  1. C TKIP是加密WEP的方法,已过期
  2. C 最大54Mbps
  3. A 交换架构是什么
    交换架构用交换机,路由构架用路由器。
  4. D
  5. B
  6. C
    [C]7. B
  7. A
  8. C
  9. D
    [D]11. A
  10. C
  11. C
  12. C
  13. A
  14. B
  15. D
  16. A
  17. B
  18. A