iPAS 資訊安全工程師 考試重點

IS151 網路安全
主題分類
1
網路基礎 & 模型
2
網路協定安全
3
防火牆 & 網路設備安全
5
VPN & 通道技術
6
常見網路攻擊 & 防禦
7
網路監控 & 記錄
#1
★★★★★
OSI 模型 - 網路層 (OSI Model - Network Layer)
核心概念
開放式系統互聯模型 (OSI - Open System Interconnection) 的第三層網路層
主要功能:
  • 邏輯定址 (Logical Addressing):定義 IP (Internet Protocol) 位址,用於在整個網路中唯一標識主機。
  • 路由 (Routing):決定資料封包從來源到目的地的最佳路徑。路由器 (Router) 是此層的主要設備。
  • 路徑選擇和轉發封包。
常見協定:IP (IPv4, IPv6), ICMP (Internet Control Message Protocol), IPSec (Internet Protocol Security)。 OSI模型中,網路層負責IP之間的傳輸。
#2
★★★★★
防火牆規則 - 封包過濾 (Firewall Rules - Packet Filtering)
核心概念
封包過濾防火牆根據預先定義的規則集來檢查網路封包。這些規則基於封包標頭中的資訊,例如:
  • 來源IP位址 (Source IP Address)
  • 目的IP位址 (Destination IP Address)
  • 協定 (Protocol) - 如 TCP, UDP, ICMP
  • 來源埠號 (Source Port)
  • 目的埠號 (Destination Port)
防火牆會依序比對規則,一旦找到符合的規則,就會執行該規則指定的動作(允許 Allow拒絕 Deny),並且停止比對後續規則。通常在規則列表的最後會有一條隱含的拒絕所有規則Implicit Deny)。防火牆主要防禦OSI模型中第四層(傳輸層)的攻擊,因為它判別封包的IP與埠號(Port)。
#3
★★★★
網路位址轉換 (NAT - Network Address Translation)
核心概念
NAT 是一種在 IP 網路中,修改網路封包來源目的IP位址資訊的技術。其主要功能包括:
  • 將多個私有IP位址 (Private IP) 對應到單一或少數公有IP位址 (Public IP),以節省公有IP資源
  • 隱藏內部網路的拓撲結構,提升一定的安全性,因為外部網路無法直接看到內部裝置的真實IP。
  • 允許內部網路使用私有IP網段(如 10.x.x.x, 172.16.x.x-172.31.x.x, 192.168.x.x)。
然而,NAT 本身並非安全機制,它無法直接防止針對透過 NAT 對外開放服務的暴力破解攻擊 (Brute-Force Attack) 或其他應用層攻擊。
#4
★★★
私有IP位址 (Private IP Address)
核心概念
私有IP位址是被保留用於內部網路(如家庭、學校或企業內部)的IP位址範圍。這些位址不能在公共網際網路上路由
主要的私有IP位址範圍由IANA (Internet Assigned Numbers Authority) 定義在 RFC 1918 中:
  • Class A: 10.0.0.010.255.255.255 (10.0.0.0/8)
  • Class B: 172.16.0.0172.31.255.255 (172.16.0.0/12)
  • Class C: 192.168.0.0192.168.255.255 (192.168.0.0/16)
使用私有IP位址可以節省公有IP位址,並且可以透過NAT技術與外部網路通訊。題目中 10.10.10.10 屬於私有IP範圍。
#5
★★
微軟網路芳鄰 (NetBIOS) 常用通訊埠
核心概念
網路基本輸入輸出系統 (NetBIOS - Network Basic Input/Output System) 及其後續協定(如 SMB/CIFS)是 微軟 Windows 系統中用於檔案印表機共享(俗稱網路芳鄰)的傳統協定。它通常使用 UDP/137、UDP/138、TCP/139 埠。
#6
★★★
防火牆規則管理 (Firewall Rule Management)
核心概念
管理防火牆規則是維護網路安全的重要環節。
  • 規則數量影響效能:規則數量過多可能會降低防火牆的處理效能。
  • 需要管理辦法:即使管理員熟悉設備,也應制定明確的管理辦法和變更流程,以確保規則的一致性、正確性和可追溯性。
  • 白名單優於黑名單白名單 (Whitelist) 模式(僅允許明確許可的流量,拒絕其他所有流量)通常比黑名單 (Blacklist) 模式(僅拒絕明確禁止的流量,允許其他所有流量)更安全。
  • 標準化與避免衝突:應制定一套標準的規則制定方法,避免因管理模式不同導致規則衝突或管理困難。
#7
★★★★
狀態檢視防火牆 (Stateful Inspection Firewall) 特性
核心概念
狀態檢視防火牆透過追蹤網路連線的狀態來決定是否允許封包通過。
  • 檢查內容較多:除了來源/目的IP和埠號,還會檢查連線狀態資訊
  • 記錄連線狀態:維護狀態表 (State Table)。
  • 可根據目的埠號目的位址進行阻擋。
因此,「所檢查的內容較封包過濾防火牆少」是錯誤的描述。
#8
★★★
代理防火牆 (Proxy Firewall) 運作層級
核心概念
代理防火牆(也稱為應用層閘道)運作在 OSI 模型的第七層,即應用層 (Application Layer)。
  • 作為用戶端和伺服器之間的中介
  • 處理應用層協定(如 HTTP, FTP)。
  • 不直接轉發網路層或傳輸層封包。
  • 可進行深度內容檢查
  • 駭客可能透過多層代理隱藏來源。
描述代理防火牆運作於第四層網路層是錯誤的。
#9
★★★★
DNS 使用的傳輸層協定
核心概念
DNS (Domain Name System) 在運作時,根據不同的操作需求,會使用兩種傳輸層協定:
  • UDP (User Datagram Protocol) 埠 53:主要用於客戶端向伺服器發起的標準名稱解析查詢
  • TCP (Transmission Control Protocol) 埠 53:主要用於伺服器之間的區域傳輸 (Zone Transfer) 或當回應大小超過限制時。
#10
★★★
交換器溢送 (Switch Flooding) 觸發條件
核心概念
交換器在以下情況會將訊框溢送至所有埠口(除了來源埠):
  • 目的 MAC 位址未知 (Unknown Unicast)。
  • 目的 MAC 位址為廣播位址 (FF:FF:FF:FF:FF:FF)。
  • 目的 MAC 位址為多點傳送位址 (且無特殊處理機制)。
來源 MAC 位址未知時,交換器會學習該位址,不會觸發溢送
#11
★★★★
VPN 建立安全連線的技術
核心概念
虛擬私有網路 (VPN - Virtual Private Network) 使用通道技術 (Tunneling) 在公共網路上建立安全連線。
  • 通道技術涉及封裝加密驗證
#12
★★★
Web Service 資料交換安全
核心概念
安全措施包含使用 HTTPS、資料加密、隱藏敏感資訊於原始碼外、以及謹慎選擇 GETPOST 方法。POST 方法通常比 GET 方法安全
#13
★★★
TCP 連線狀態 (TCP Connection States)
核心概念
TCP 連線有多種狀態。關鍵狀態包括:SYN-SENT (已發送SYN), SYN-RECEIVED (已收SYN發SYN+ACK), ESTABLISHED (三向交握完成,可傳輸資料), CLOSE-WAIT (被動關閉方收到FIN,已回ACK,等待本地應用關閉)。CLOSE-WAIT 狀態下仍可傳送資料。
#14
★★★★
阻斷服務攻擊 (DoS - Denial of Service Attack)
核心概念
DoS 攻擊目的在於耗盡目標資源,使其無法提供服務。DDoS 則是利用多台電腦發動攻擊。攔截並轉送資料不屬於 DoS 的範疇。
#15
★★★
整合式威脅管理 (UTM - Unified Threat Management)
核心概念
UTM 整合多種安全功能於單一設備,如防火牆、IPS、防毒、VPN等。其核心目標是簡化管理,但通常不包含完整的路由功能Honeypot (蜜罐) 功能並非 UTM 的標準常見功能。
#16
★★★
Syslog 安全性
核心概念
傳統的 Syslog 通常使用 UDP 協定傳輸,存在不穩定(可能丟包)和不安全(明文傳輸,無驗證)的問題。可透過基於 TCP 的 Syslog 或使用 TLS/SSLIPSec 加密來加強安全。
#17
★★★★
SYN 洪水攻擊 (SYN Flood)
核心概念
SYN Flood 攻擊利用 TCP 三向交握。攻擊者大量發送 SYN 封包,目標伺服器回應 SYN+ACK 並等待最終的 ACK,由於來源 IP 常被偽造,導致伺服器連線資源耗盡
#18
★★★
IP 位址欺騙 (IP address spoofing)
核心概念
IP 位址欺騙是指攻擊者偽造封包的來源IP位址,以冒充他人身份或隱藏自身來源。
#19
★★★★
Cookies連線劫持 (Session Hijacking)
核心概念
Cookies 可能儲存 Session ID 等敏感資訊。駭客可透過 XSS 等方式竊取 Cookie,進而冒充使用者進行連線劫持
#20
★★★
防禦 ARP 欺騙 (ARP Spoofing Defense)
核心概念
最佳防禦方式是使用靜態 ARP 表,並綁定 IP 與 MAC
#21
★★★
DDoS 攻擊方法 - Slowloris Attack
核心概念
Slowloris 攻擊透過建立多個連線並極其緩慢地發送請求資料,以佔用伺服器連線資源
#22
★★
點擊劫持 (Clickjacking / UI Redress Attack)
核心概念
點擊劫持使用透明框架覆蓋在其他網頁元素上,誘騙使用者點擊隱藏的按鈕或連結。
沒有找到符合條件的重點。