CISSP练习题第四章通信与网络安全.docx
- 文档编号:6946205
- 上传时间:2023-01-13
- 格式:DOCX
- 页数:13
- 大小:24.86KB
CISSP练习题第四章通信与网络安全.docx
《CISSP练习题第四章通信与网络安全.docx》由会员分享,可在线阅读,更多相关《CISSP练习题第四章通信与网络安全.docx(13页珍藏版)》请在冰豆网上搜索。
CISSP练习题第四章通信与网络安全
CISSP练习题:
第四章:
通信与网络安全
1、TKIP如何为WLAN环境提供更多的保护?
A.它使用了AES算法。
B.它减少了IV值的长度以及使用了AES算法。
C.它将更多元素添加到密钥材料中。
(正确答案)
D.它使用了MAC和IP过滤。
答案解析:
1、C.TKIP实际上是在WEP中注入加密信息(即用于生成新动态密钥的数据)发展而来。
该协议增加了IV值的长度,保证每个数据帧都有一一个随机的IV值,并将发送方的MAC地址添加到密钥材料中。
2、下列哪项不是IEEE802.11a标准的特征?
A.在5GHz频率段下工作。
B.使用OFDM扩展频谱技术。
C.它提供了54Mbps的带宽。
(正确答案)
D.操作范围比802.11b小。
答案解析:
2、C.IEEE标准802.11a使用OFDM扩展频谱技术,在5GHz频率段下工作,可提供最大为54Mbps的带宽。
操作范围较小,因为它以较高的频率工作。
3、为什么交换架构比路由网络更安全?
A.因为计算机之间会建立-一个虚拟私有连接,因此很难对流量抓包。
(正确答案)
B.它们与非交换环境一-样不安全。
C.数据链路加密,不允许窃听。
D.交换机比桥接器更智能,以及实现了安全机制。
答案解析:
3、A.交换环境使用交换机来允许不同网段和或系统之间的通信。
在进行通信时,通信设备之间会建立一个虚拟连接。
因为这是一一个专用的连接,所以广播和冲突数据不会影响其他系统,就像在纯粹使用网桥和路由器的环境中一样。
4、下列哪个协议称为面向连接的协议?
A.IP
B.ICMP
C.UDP
D.TCP(正确答案)
答案解析:
4、D.在列出的协议中,TCP是唯一面向连接的协议。
面向连接协议提供了可靠的连通性和数据传输;而无连接协议提供不可靠的连接,并且不保证数据的传输。
5、如果一个攻击者能够把标签插入基于网络或基于交换的协议中,这样做的目的是操纵对数据链路层上流量的控制,这种行为被称为什么?
A.开发中继操作
B.VLAN跳频攻击(正确答案)
C.虚拟管理层拒绝式服务攻击
D.Smurf攻击
答案解析:
5、B.VLAN跳频攻击指攻击者访问各个VLAN分段上的流量。
攻击者可以让系统像交换机-样工作。
系统理解网络中使用的标记值和中继协议,然后把自已插入其他VLAN设备之间以访问来往流量。
攻击者也能插入标记值来操纵对数据链路层上流量的控制。
6、以下哪种代理类型无法根据协议的命令结构进行访问决策?
A.应用
B.包过滤
C.电路(正确答案)
D.状态
答案解析:
6、C.这里列出的防火墙解决方案只有应用级和电路级是基于代理类型的。
电路级代理基于首部信息(而不是根据协议的命令结构)进行决策;应用级代理是唯-能够细粒化理解每种协议的解决方案。
7、以下哪项是桥接模式技术,这种技术可以监控虚拟机之间的每个流量链接,或者它们也能集成到管理程序中?
A.正交频分
B.统一威胁管理调制解调
C.虚拟防火墙(正确答案)
D.互联网安全连接和密钥管理协议
答案解析:
7、C.虚拟防火墙可以是桥接模式的产品,监控虚拟机之间的每个流量链接,或者它们也能集成到管理程序中。
管理程序是软件组件,执行虚拟机管理和监督访客系统软件的执行。
如果该防火墙被嵌入这个管理程序中,那么它能“看见"和监控所有发生在这个系统内的活动。
8、第2、5、7、4和3层对应的名称是以下哪项?
A.数据链路层、会话层、应用层、传输层和网络层(正确答案)
B.数据链路层、传输层、应用层、会话层和网络层
C.网络层、会话层、应用层、网络层和传输层
D.网络层、传输层、应用层、会话层和表示层
答案解析:
8、A.OSI由7层组成:
应用层(第七层)、表示层(第六层)、会话层(第五层)、传输层(第四层)、网络层(第三层)、数据链路层(第二层)以及物理层(第一层)。
9、以下哪项技术可将先前出现的独立安全解决方案集成在一起,其目的是提供简约、集中的控制流线化?
A.网络融合
B.安全即服务
C.统一威胁管理(UTM)(正确答案)
D.综合融合管理
答案解析:
9、C.管理这么长-列几乎每个网络都需要有的安全解决方案是极具挑战的工作。
其中包括(但不限于)防火墙、防病毒软件、反垃圾邮件、IDS/IPS、内容过滤、数据渗漏预防、VPN功能以及持续监控和报告。
统-威胁管理(UTM)设备产品可以把所有(或许多)这些功能统到一个网络设备中。
utM的目标是简约、流线化安装和维护、集中管理以及能够从整体角度理解网络安全。
10、城域以太网是一种MAN协议,这种协议可以工作在由接入、聚合、城域和核心层组成的网络基础设施中。
以下哪项最恰当地描述了这种网络基础设施?
A.访问层把客户的设备与服务提供商的聚合网络连接在一起。
聚合出现在核心网络中。
都市层是城域网。
其核心连接着不同的城域网络。
B.访问层把客户的设备与服务提供商的核心网络连接在一起。
聚合在核心层出现在分布式网络中。
都市层是城域网。
C.访问层把客户的设备与服务提供商的聚合网络连接在一-起。
聚合出现在分布式网络中。
都市层是城域网。
其核心连接着不同的访问。
D.访问层把客户的设备与服务提供商的聚合网络连接在一起。
聚合出现在分布式网络中。
都市层是城域网。
其核心连接着不同的城域网络。
(正确答案)
答案解析:
10、D.访问层把客户的设备与服务提供商的聚合网络连接在一起。
聚合出现在分布式网络中。
都市层是城域网。
其核心连接着不同的城域网络。
11、以下哪项关于组成IPSec特定组件或协议的定义是不正确的?
A.身份验证首部协议提供数据完整性、数据源验证和抵御重放攻击。
B.封装安全有效载荷协议提供机密性、数据源验证和数据完整性。
C.互联网安全连接和密钥管理协议(ISAKMP)提供安全关联创建和密钥交换的框架。
D.互联网密钥交换(IKE)提供经验证的密钥材料与ISAKMP--起使用。
(正确答案)
答案解析:
11、D.身份验证首部协议提供数据完整性、数据源验证和抵御重放攻击。
封装安全有效载荷协议提供机密性、数据源验证和数据完整性。
互联网安全连接和密钥管理协议(ISAKMP)提供安全关联创建和密钥交换的框架。
互联网密钥交换(IKE)提供经验证的密钥材料与ISAKMP一起使用。
12、基于OSI框架构建的系统被认为是开放系统。
这是什么意思?
A.它们没有默认的身份验证机制配置。
B.它们有互操作性问题。
C.它们采用国际公认的协议和标准,因此可以轻松与其他系统进行通信。
(正确答案)
D.它们建立在国际协议和标准之上,因此它们可以选择与哪些类型的系统通信。
答案解析:
12、C.开放式系统是基于标准的协议和接口开发的系统,遵循这些标准开发的系统可以与遵循相同标准的系统高效地互操作。
13、以下哪些协议工作在应用层、数据链路层、网络层和传输层中?
A.FTP、ARP、TCP和UDP
B.FTP、ICMP、IP和UDP
C.TFTP、ARP、IP和UDP(正确答案)
D.TFTP、RARP、IP和ICMP
答案解析:
13、C.不同协议具有不同的功能。
OSI模型试图从概念上描述不同功能在网络互联协议栈中的位置,该模型试图绘出接近现实的功能组成模块,以帮助人们更好地理解协议栈。
每层协议都有特定的功能,并且每层可以有几种不同的协议实现特定的功能。
所列协议分别工作在以下几层:
TFTP(应用层)、ARP(数据链路层)、IP(网络层)和UDP(传输层)。
14、以下哪项工作在数据链路层?
A.端到端的连接
B.对话控制
C.帧(正确答案)
D.数据语法
答案解析:
14、C.多数情况下,数据链路层是唯理解系统工作环境的层,无论它是以太网、令牌环、无线还是到WAN链路的连接。
这-层在帧内添加了必要的首部和尾部信息。
在同-网络上使用同样技术的其他系统只能理解使用相同技术封装的首部和尾部。
15、以下哪项工作在会话层?
A.对话控制(正确答案)
B.路由
C.包序列
D.寻址
答案解析:
15、A.会话层负责控制应用程序之间的通信方式,而不是计算机之间的通信方式。
并非所有的应用层都使用会话层的协议,因此不是所有网络互联功能中都使用这一一层。
会话层协议用于建立一个应用程序与其他应用程序的逻辑连接,并控制它们之间的往返对话。
会话层协议允许应用程序保持对话的状态。
16、以下哪项最恰当地描述了IP协议?
A.IP协议是无连接的,它可以处理对话建立、维持和销毁
B.IP协议是无连接的,它可以处理寻址和IP包的路由(正确答案)
C.IP协议是面向连接的,它可以处理寻址和IP包的路由
D.IP协议是面向连接的,它可以处理排序、错误探测和流控
答案解析:
16、B.IP协议是无连接的,它工作在网络层。
在数据封装过程中,IP在数据上增加了源地址和目标地址。
IP路由决策基于目标地址。
17、以下哪项不是受保护的可扩展的身份验证协议(PEAP)的特征?
A.用于无线网络和点对点连接中的身份验证协议
B.PEAP的设计旨在为802.11WLAN提供身份验证
C.PEAP的设计支持802.1X端口访问控制和TLs
D.PEAP的设计支持密码保护连接(正确答案)
答案解析:
17、D.PEAP是EAP的一个版本,是用于无线网络和点对点连接中的身份验证协议。
PEAP的设计旨在为802.11WLAN提供身份验证,支持802.1X端口访问控制和TLS。
该协议把EAP封装在一个可能被加密和验证过的TLS隧道中。
18、是IETF定义的信令协议,广泛用于控制多媒体通信会话,如通过IP进行的语音和视频呼叫。
A.会话初始化协议(SessionInitiationProtocol,SIP)(正确答案)
B.实施传输协议
C.SS7
D.VoIP
答案解析:
18、A.会话初始化协议(SessionInitationProtocol,SIP)是IETF定义的信令协议,广泛用于控制多媒体通信会话,如通过IP进行的语音和视频呼叫。
这个协议可用于创建、修改和中断包含一个或者多个媒体流的两方(单播)或者多方(多播)会话。
19、以下哪项不是DHCP租用流程的阶段之一?
i.发现
ii.提供
iii.请求
iv.响应
A.以上都是
B.以上都不是(正确答案)
C.i,ii
D.ii,iii
答案解析:
19、B.四步DHCP租用流程是:
(1)DHCPDISCOVER消息这个消息用来请求来自DHCP服务器的IP地址租用。
(2)DHCPOFFER消息这个消息是对DHCPDISCOVER消息的响应,由一个或者多个DHCP服务器发送。
(3)DHCPREQUEST消息客户端发送给最初响应其请求的DHCP服务器一个DHCP请求
(4)DHCPACK消息DHCP认可消息由DHCP服务器发送给DHCP客户端,是DHCP服务器分配IP地址租用给DHCP客户端的过程。
20、通过在网络交换机上使用来屏蔽未经身份验证的DHCP客户端是一种有效的方法。
A.DHCP嗅探(正确答案)
B.DHCP保护
C.DHCP屏蔽
D.DHCP缓存
答案解析:
20、A.DHCP嗅探确保DHCP服务器只为由其MAC地址标识的所选系统分配IP地址。
此外,高级网络交换机目前能将客户端指向合法的DHCP服务器,以获取IP地址并限制恶意系统成为网络上的DHCP服务器。
使用以下场景回答问题21~23.Don是家大型医疗机构的安全经理。
他的团队开发了一套专有软件,这个软件通过客户端/服务器模式提供分布式计算。
他发现一些维护专有软件的系统已经遭受到半开放拒绝服务攻击。
一些软件是陈旧的,仍然使用基本的远程过程调用,这种调用方式会遭受到伪装攻击。
21、当客户端需要与服务器通信时,Don应该确定该机构的软件使用何种类型的客户端口?
A.已知端口
B.注册端口
C.动态端口(正确答案)
D.任意端口
答案解析:
21、C.已知端口被映射到常用服务(HTTP、FTP等),注册端口是1024-49151,供货商注册特定端口与他们的专属软件相对应。
动态端口(私有端口)可供任何应用程序使用。
22、Don的团队应该实施以下哪种有效的控制措施?
A.状态防火墙
B.网络地址转换
C.SYN代理(正确答案)
D.IPv6
答案解析:
22、C.半开放攻击是DoS的一种,也称为同步洪流,为应对这种攻击,你可以使用SYN代理来限制开放的和废弃的网络连接数量。
SYN代理是一个驻留在发送方和接收方之间的软件,如果TCP握手流程成功完成,它仅将TCP流量发送到接收系统。
23、如果已经遭受到的伪装攻击,Don的团队应该采取什么措施来制止?
A.动态包过滤防火墙
B.ARP欺骗保护
C.在边缘路由器上禁用不必要的ICMP流量
D.SRPC(正确答案)
答案解析:
23、D.基本的RPC不具备身份验证功能,它允许伪装攻击的发生。
而安全的RPC(SRPC)可以实现这一功能,它要求在远程系统相互通信之前先进行身份验证。
可以用共享秘密、公钥或者Kerberos票证等方法进行身份验证。
使用以下场景回答问题24-26。
Grace是一-所医疗机构的安全管理员,她负责几个不同的团队。
其中的一一个团队报告说,当他们的主FDDI连接失败时,即使切换到冗余链接,三个关键系统也会停机。
Grace还需要向她的团队建议:
校园内部建筑之间应该使用光纤来连接。
由于这是一一个医疗设施培训机构,有许多手术录像,并且数据必须持续从一个建筑传输到另一个建筑。
Grace还收到了另外一个事件的报告,这个报告称有周期性的DoS对内部网络中的特定服务器进行攻击。
攻击者向特定子网上的所有主机发送大量ICMPECHOREQUEST数据包,特定的服务器都在这个子网里。
24、当他们的服务器停机时,Grace的团队最可能经历以下哪个问题?
A.三个关键系统链接到一个双衔接埠工作站
B.三个关键系统链接到一个单衔接埠工作站(正确答案)
C.备用FDDI环无法承载流量,并放弃了这三个关键系统
D.FDDI环在城域网中被共享,并且仅允许每个公司将一定数量的系统连接到这两个环上
答案解析:
24、B.单衔接埠工作站(SingleAttachmentStation,SAS)通过集线器只连接-一个环(主环)。
如果主环停机,它不会被链接到备份副环。
双衔接埠工作站Dul-AtachmentStation,DAS)有两个端口,每个端口提供一个连接,连接到主环和副环。
25、在这个场景中,最好用什么模式的光纤?
A.单模
B.多模(正确答案)
C.光载体
D.SONET
答案解析:
25、B.在单一模式下,小玻璃芯用于远距离高速数据传输。
这种情况一般指定建立短距离的校园内部建筑之间的连接。
在多模式下,大玻璃芯得以应用,它能够承载比单模式光纤更多的数据,但因其较高的衰减水平而更适用于短距离传输。
26、以下哪项是Grace团队应该实施的对策,这些对策应该是最佳的,并且最具成本效益?
A.地址转换
B.不允许非必要的ICMP流量从非信任网络通过(正确答案)
C.基于应用代理的防火墙
D.用两台来自不同供应商的防火墙组成屏蔽子网
答案解析:
26、B.该攻击是-一个Smurf攻击。
在这种攻击中,攻击者将一个带欺骗源地址的ICMP回波请求数据包发送到一个受害者的网络广播地址。
这意味着受害者子网上的每个系统都接收到一个ICMP回波请求数据包,然后,每个系统用ICMP回波响应数据包来回应,根据请求发送到数据包所提供的欺骗地址(即受害者的地址)上。
所有这些响应数据包都去往受害系统并击垮它,因为它遭受了其不一定知道如何处理的数据包的狂轰滥炸。
过滤掉不必要的ICMP流量是最经济的解决方案。
使用以下场景回答问题29-31。
John是他公司的安全团队经理。
他了解到攻击者已经在公司不知情的情况下在整个网络中安装了嗅探器。
除了这个问题,他的团队还发现两台DNS服务器没有记录复制限制,而且服务器中已经缓存了可疑的域名解析数据。
27、采取以下哪项对策,可以有效地缓解网络嗅探器嗅探网络管理流量?
A.SNMPv3(正确答案)
B.L2TP
C.CHAP
D.动态包过滤防火墙
答案解析:
27、A.SNMP的版本1和版本2在明文中发送社区字符串,但版本3有加密功能,提供加密、消息完整性和身份验证安全。
所以,安装在网络上的嗅探器嗅探不到SNMP流量。
28、在这个场景下,最有可能发生以下哪种XX的活动?
A.域名重复
B.钓鱼
C.转发
D.区域传送(正确答案)
答案解析:
28、D.主要DNS服务器和次要DNS服务器通过区域传送同步它们的信息。
主DNS服务器上发生变更后,这些变更必须被复制到次要DNS服务器上。
配置DNS服务器以只允许在特定服务器之间进行区域传送是很重要的。
攻击者会通过区域传送从受害者的DNS服务器收集非常有用的网络信息。
如果DNS服务器配置不当而没有限制这类活动的话,就会发生XX的区域传送。
29、以下哪项是John团队应该实施的最佳对策,用这种对策防止不正确的缓存问题?
A.PKI
B.DHCPsnooping
C.ARP保护
D.DNSSEC(正确答案)
答案解析:
29、D.当DNS服务器收到一个不恰当(可能恶意)的名称解析响应时,除非实施DNSSEC,否则它会缓存该响应并把它提供给所有服务的主机。
如果在DNS服务器上启用了DNSSEC,那么该服务器在收到一个响应时,会验证该消息上的数字签名,之后才接受这个信息,从而确保这个响应来自授权的DNS服务器。
使用以下场景回答问题30-32。
Sean是一家大型金融机构的新安全管理人员。
Sean在他的新职位的第一个星期中意识到了几个问题。
首先,即使在每个网络的网关位置都有严格配置的防火墙来控制来往这些服务器的流量,伪造数据包似乎还可以访问关键服务器。
Sean的一个团队成员抱怨当前的防火墙日志过大,并且有太多无用的数据。
他还告诉Sean;团队需要使用“少允许”的规则,而不是现在的"any-any"规则类型。
Sean还发现,一一些团队成员希望将tarpit部署软件到一一些经常受到攻击的系统上。
30、以下哪种情况最有可能允许伪造数据包XX的访问关键服务器?
A.TCP序列劫持正在发生
B.源路由信息不被限制(正确答案)
C.片段攻击正在进行中
D.攻击者通过PPP进行隧道通信
答案解析:
30、B.源路由指数据包决定它到达目的地的路线,而不是由源和目标计算机之间的路由器决定。
源路由在预先定义的路径上通过网络传输数据包。
为确保在路由过程中不出错,会配置许多防火墙,检查数据包内的源路由信息,一旦存在该信息,便拒绝它。
31、以下哪项最贴合Sean的团队成员关于防火墙配置问题的描述?
A.清理规则,隐形规则
B.隐形规则,沉默规则
C.沉默规则,否定规则(正确答案)
D.隐形规则,否定规则
答案解析:
31、C.下面描述了不同类型的防火墙规则:
数以工作在IEEE8021XEAP-TLS框架内。
最新的版本(8021X-2010)集成了IEEE802.1AE和IEEE802.1AR,以支持服务识别和可选的点对点加密。
32、以下哪项最恰当地描述了Sean的团队要为经常受到攻击的系统部署对策的原因?
A.防止生产系统被劫持
B.减少DoS攻击的影响(正确答案)
C.在攻击过程中收集统计信息
D.提高取证能力
答案解析:
32、B.Tarpit通常是配置为模仿脆弱的运行服务的软件。
一旦攻击者开始发送数据包到这个“服务”,与这个受害系统的连接似乎是正在进行的,但是来自受害系统的响应却很缓慢,导致连接可能会超时。
多数攻击和扫描活动都是通过自动化工具完成的,都要求受害系统快速予以响应。
如果受害系统没有响应或者响应很慢,自动化攻击会因为协议连接超时而失败。
这能减弱DoS攻击的效果。
使用以下场景回答问题33-35.Tom的公司遇到了许多问题,在网络中被安装了未授权的嗅探器。
由于员工可以将笔记本电脑、智能手机和其他移动设备接入到网络中,而这些设备可能在其拥有者不知道的情况下安装了嗅探器,这是原因之-一。
因为所有的网络设备都需要为特定的VPN进行配置,而有些设备如交换机,不具备这样的功能,所以无法实施VPN.Tom的团队正在处理的另一个问题是如何保护内部的无线流量。
虽然无线接入点可以配置数字证书用于认证,但是在每个无线用户设备上部署和维护证书的成本是十分高昂的,并且会对网络团队造成很多负担。
Tom的老板也告诉他,公司需要从一-个城域网解决方案转移到无线解决方案。
33、Tom的团队应该在数据链路层实施什么,来提供源身份验证和数据加密?
A.IEEE802.1AR
B.IEEE802.1AE
C.IEEE802.1AF
D.IEEE802.1X(正确答案)
答案解析:
33、D.IEEE802.1AR为设备提供唯一-的ID.IEEE802.1AE提供数据加密、完整性和源身份验证功能。
IEE802.1AF为用于数据加密的会话密钥执行密钥协议功能。
每个标准都提供具体的参
34、以下哪项解决方案最能满足公司保护无线流量的需求?
A.EAP-TLS
B.EAP-PEAP
C.LEAP
D.EAP-TTLS(正确答案)
答案解析:
34、D.EAP隧道传输层安全(EAP-TunneledTransportLayerSecurity,EAP-TTLS)是一个扩展了TLs的EAP协议,其目的是提供和EAP-TLS,一样强大的身份验证,但不要求向每个无线设备颁发证书,只向验证服务器颁发证书。
用户身份验证通过密码来进行,但这些密码凭证在一一个安全的、基于服务器证书而建立的加密隧道中传输。
35、以下哪项是满足公司对宽带无线连接需求的最佳解决方案?
A.WiMAX(正确答案)
B.IEEE802.12
C.WPA2
D.IEEE802.15
答案解析:
35、A.IEEE802.16是一个MAN无线标准,允许无线流量覆盖较广泛的地理区域。
这个技术也称为宽带无线访问。
802.16的商业名称是WiMAX.
使用以下场景回答问题36-38。
Lancer入职一家大型医疗设备公司担当新的安全官员。
他了解到许多防火墙和IDS产品未做过滤IPv6流量的配置:
因此,许多攻击在安全团队不知道的情况下发生了。
虽然网络团队尝试通过实施自动化隧道功能来处理此问题,但他们一一直遇到网络NAT设备问题。
Lance还发现针对公司面向公众的DNS服务器曾遭受缓冲攻击。
Lance已经认识到目前的LDAP请求需要额外的身份验证,但是现有技术只提供基于密码的身份验证。
36、基于场景中的信息,网络团队应该如何实施IPv6隧道?
A.Teredo(又称为面向IPv6的IPv4NAT网络地址转换穿越)应该在可识别IPv6的设备上配置,并且放置在NAT设备之后(正确答案)
B.6to4应该在可识别IPv6的设备上配置,并且放置在NAT设备之后
C.站内自动隧道寻址协议应该在可识别IPv6的设备上配置,并且放置在NAT设备之后
D.IPv6应该在所有设备上禁用
答案解析:
36、A.Teredo把IPv6封装在带有IPv4寻址的UDP数据报内。
NAT设备后面的IPv6系统可以用作Teredo隧道终端,即使它们没有一个专用的公共IPv4地址。
37、以下哪项是解决场景中攻击类型的最佳对策?
A.DNSSEC(正确答案)
B.IPSec
C.拆分服务器配置
D.禁用区域传输
答案
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CISSP 练习题 第四 通信 网络安全