Экзамен "Защита сетей при помощи систем предотвращения вторжений" (Securing Networks Using Intrusion Prevention Systems)

    Номер экзамена:     642-532
Сертификаты, связанные с экзаменом: CCSP, Cisco IPS Specialist
Продолжительность: 90 минут (60-70 вопросов)
Языки, на которых можно сдавать экзамен: Английский
Нажмите здесь для регистрации: Pearson VUE или Prometric
Правила проведения экзамена: См. текущие правила и требования
Пособие по сдаче экзамена: Типы экзаменационных вопросов

Описание экзамена

Экзамен "Защита сетей при помощи систем предотвращения вторжений" (Securing Networks Using Intrusion Prevention Systems) – это один из экзаменов, связанных с сертификатами Cisco Certified Security Professional и Cisco IPS Specialist. Для подготовки к экзамену кандидаты могут прослушать курс IPS v5.0. Экзамен включает симуляции и призван проверить способность кандидата описать, настроить, проверить работу и обеспечить управление аппаратно-программными решениями Cisco IPS.

Темы экзамена

Ниже представлено описание материалов, которые могут быть включены в экзаменационные вопросы. Однако в каждый конкретный экзамен могут быть включены и другие темы, близкие описанным. Для лучшего отражения материалов экзамена и большей ясности приведенное ниже описание может быть изменено в любое время без дополнительного уведомления.


Описать использование сенсоров Cisco IDS/IPS для подавления угроз сетевой безопасности

  • Выбрать наилучшую платформу сенсоров для защиты конкретной сети
  • Описать возможности IDSM-2
  • Описать возможности NM-CIDS
  • Перечислить требования к сенсорам для работы "в канале" (inline)
  • Перечислить платформы, поддерживающие образ 50
  • Объяснить разницу между работой сенсора в режиме inline и в смешанном (promiscuous) режиме
  • Выбрать наилучшее местоположение сенсора и других компонентов глубокой защиты
  • Объяснить, как системы Cisco IDS/IPS защищают сетевые устройства от атак (описать сигнатуры, сигналы тревоги и действия)
  • Объяснить сходство и различия между технологиями обнаружения вторжений
  • Объяснить техники, применяемые хакерами, а также способы противостояния этим техникам в Cisco IDS
  • Объяснить разницу между HIPS и сетевой IPS
  • Описать доступные в настоящее время сетевые сенсоры и их возможности
  • Описать факторы, влияющие на выбор, размещение и развертывание системы предотвращения вторжений в сеть
  • Объяснить возможности, преимущества и системные требования IDM
  • Описать случаи, когда трафик не проверяется NM-CIDS
  • Дать определение обнаружения вторжения
  • Дать определение предотвращения вторжения
  • Объяснить возможности сигнатур Cisco IDS/IPS

Установить сенсоры Cisco IDS/IPS и настроить основные параметры системы

  • Установить сенсорную аппаратуру в сети
  • Настроить соединения SSH и TLS при помощи IDM
  • Установить программный образ сенсора через интерфейс командной строки
  • Выбрать соответствующий файл образа для сенсора
  • Выбрать маршрутизатор, на котором будет размещена система NM-CIDS
  • Настроить связь между маршрутизатором и NM-CIDS
  • Описать функции различных портов IDSM-2
  • Описать задачи настройки NM-CIDS
  • Описать интерфейсы и компоненты NM-CIDS
  • Объяснить принцип работы NM-CIDS
  • Объяснить, как IDSM-2 получает доступ к сетевому трафику
  • Объяснить важность точной настройки времени на NM-CIDS, а также способ получения точного времени для NM-CIDS
  • Объяснить важность точной настройки времени на IDSM-2, а также способ получения точного времени для IDSM-2
  • Установить IDSM-2 в коммутаторе
  • Установить NM-CIDS в маршрутизаторе
  • Выбрать коммутатор, на котором будет размещена IDSM-2
  • Инициализировать сенсор через интерфейс командной строки
  • Описать учетные записи пользователей и их использование для обеспечения безопасности сенсоров
  • Настроить и обеспечить управление учетными записями пользователей при помощи IDM
  • При помощи IDM проверить работу защищенного доступа для управления сенсором
  • Получить доступ к аппаратуре сенсора для управления
  • Получить доступ для управления NM-CIDS
  • Получить доступ для управления IDSM-2
  • Описать принцип работы разрешенных хостов (allowed hosts)
  • Настроить allowed hosts при помощи IDM
  • Описать интерфейсы сенсора и интерфейсные пары (interface pairs)
  • При помощи IDM настроить интерфейсы сенсора (включить, создать пары, назначить виртуальный сенсор)
  • Описать программный обходной режим (software bypass mode)
  • Настроить программный обходной режим при помощи IDM
  • При помощи IDM выполнить сетевую настройку сенсора (IP-адрес, маска сети, шлюз по умолчанию и т.д.)
  • Описать связь сенсора с внешними системами управления и мониторинга
  • Запустить, осуществить навигацию, а также при помощи IDM обеспечить управление и мониторинг сенсора
  • При помощи IDM установить время на сенсоре
  • Дать определение уведомления о потоке трафика (traffic flow notification)
  • При помощи IDM настроить уведомление о потоке трафика
  • Описать различные режимы интерфейса командной строки
  • Использовать интерфейс командной строки сенсора
  • Перечислить задачи, связанные с установкой и настройкой IDSM-2

Описать расширенные системные параметры сенсоров Cisco IDS/IPS

  • Разработать план подавления атак на определенные точки уязвимости
  • Описать настройку сенсоров (sensor tuning)
  • Описать методы настройки сенсоров
  • Объяснить методы сбора фрагментов IP-пакетов и потока TCP
  • Описать возможности ведения журнала событий IP на сенсоре
  • Объяснить способы применения журнала событий IP
  • Объяснить принцип использования переменных событий (Event Variables)
  • Определить, есть ли необходимость в индивидуальной сигнатуре (custom signature)
  • Описать механизмы сигнатур (signature engines) и их функциональные возможности
  • Описать типы сигнатур, поддерживаемые каждым из механизмов
  • Описать общие параметры механизмов и их влияние на сигнатуры
  • Описать специфические параметры различных механизмов и их влияние на сигнатуры
  • Описать функции сенсора по управлению устройствами и использование этих функций для блокирования устройств Cisco
  • Определить, какие ответные действия необходимо настроить для заданного сценария
  • Определить, необходимо ли в данном сценарии использовать фильтров действий (Event Action Filters)
  • Описать назначение генератора метасобытий (Meta Event Generator)
  • Объяснить назначение и использование Target Value Ratings
  • Определить, необходимо ли в данном сценарии использовать правила действий (Event Action Rules)
  • Объяснить назначение и принцип использования рейтингов риска событий (Risk Ratings)
  • Описать поддержку сенсором протокола SNMP
  • Определить, есть ли в данной ситуации необходимость в использовании функции сенсора по принудительному выполнению правил для приложений

Выполнить настройку расширенных системных параметров сенсоров Cisco IDS/IPS с целью оптимизации подавления атак

  • При помощи IDM настроить сенсор для оптимальной работы в сети
  • При помощи IDM настроить сигнатуры для максимальной защиты сети
  • При помощи IDM создать необходимые индивидуальные сигнатуры (custom signatures)
  • Настроить ответные действия для сигнатуры
  • Настроить в сенсоре выполнение ответных действий в зависимости от рейтинга риска
  • Настроить сенсор для минимизации ошибочных сигналов тревоги
  • При помощи IDM создать метасигнатуру (Meta signature) и отключить сигналы тревоги для сигнатур, входящих в ее состав
  • При помощи IDM настроить в сенсоре поддержку SNMP
  • Настроить фильтры действий (Event Action Filters)
  • Настроить игнорирование действий (Event Action Overrides)
  • Настроить Target Value Ratings
  • Выполнить общую настройку правил реагирования на события (Event Action Rules)
  • При помощи IDM настроить ведение журнала IP (IP logging)
  • Настроить переменные событий (Event Variables)
  • При помощи IDM настроить блокировку для заданного сценария
  • При помощи IDM настроить сенсор на использование главного блокирующего сенсора (Master Blocking Sensor)
  • При помощи IDM настроить сбор фрагментов IP и потока TCP
  • Применение функции сенсора по принудительному выполнению правил для приложений

Анализ событий сенсоров Cisco IDS/IPS и выбор ответных действий при сетевых атаках

  • Настроить отображение событий IDM
  • Проанализировать сигналы тревоги и изменить настройки в качестве ответных действий при атаке
  • Обеспечить мониторинг событий при помощи интерфейса командной строки и IDM
  • Определить, является ли сигнал тревоги действительным, ошибочным, положительным или отрицательным
  • Объяснить значения полей сигнала тревоги Cisco IDS/IPS
  • Описать различные типы событий, генерируемых сенсором
  • Объяснить разницу между действительными и ложными, а также между положительными и отрицательными сигналами тревоги

Модернизация и обслуживание сенсоров Cisco IDS/IPS

  • Настроить сенсор таким образом, чтобы позволить системе сетевого управления на базе SNMP получать информацию о его состоянии и работоспособности
  • Восстановить программный образ сенсора через интерфейс командной строки
  • При помощи IDM установить обновления сигнатур и пакеты обновлений
  • При помощи IDM настроить автоматическое обновление сигнатур и установку пакетов обновлений
  • Переместить программные образы и обновления, а также файлы настроек при помощи протоколов HTTP, HTTPS, SCP и FTP
  • При помощи IDM восстановить исходные настройки сенсора
  • Выбрать соответствующий файл обновления программного обеспечения для сенсора
  • Обновить программный образ через интерфейс командной строки
  • Описать различные типы файлов образов
  • Применить соответствующий образ системы на сервере
  • Описать задачи обслуживания, присущие NM-CIDS
  • Получить данные PEP от сенсора через интерфейс командной строки
  • При помощи IDM установить лицензию на сенсоре
  • Описать данные PEP и их назначение
  • Объяснить назначение пакетов обновлений и обновлений сигнатур
  • Описать имена файлов обновлений сигнатур и пакетов обновлений
  • Объяснить, для чего необходима лицензия на сенсоре
  • Получить лицензионный ключ

Найти и устранить неисправности в работе и настройках сенсоров Cisco IDS/IPS

  • При помощи команды packet отобразить и перехватить пакеты с интерфейсов данных
  • Скопировать (в область, находящуюся вне сенсора) пакеты, захваченные с интерфейсов данных
  • При помощи IDM проверить настройки сенсора
  • Выполнить резервное копирование настроек сенсора через интерфейс командной строки
  • Просмотреть записи журнала (логи) IP для поиска и устранения неисправностей
  • Найти и устранить неисправности в соединении между NM-CIDS и маршрутизатором, на котором работает система
  • Перезапустить сенсор и отключить его питание
  • Определить ситуацию в которой необходимы перезапуск или отключение сенсора
  • Описать основные компоненты архитектуры программного обеспечения IPS 50
  • Проверить работу NM-CIDS
  • Проверить работу коммутатора Catalyst 6500 и Catalyst IDSM-2
  • Получить статистику сенсора при помощи IDM и интерфейса командной строки
  • При помощи IDM получить диагностический отчет сенсора
  • При помощи IDM получить от сенсора системную информацию
  • Использовать общие команды поиска и устранения неисправностей
  • При помощи IDM отключить и перезапустить сенсор
  • Описать формат файлов настроек Cisco IDS/IPS
Рекомендуемая подготовка

Для подготовки к экзамену рекомендуется прослушать курс "Внедрение системы предотвращения вторжений Cisco" (Implementing Cisco Intrusion Prevention System, IPS).


Перечисленные курсы предлагаются Образовательными партнерами Cisco – единственным авторизованным источником подготовки по решениям Cisco под руководством инструкторов, сертифицированных Cisco. Чтобы найти авторизованного образовательного партнера Cisco в вашем районе, воспользуйтесь Системой глобального поиска образовательных партнеров.

Дополнительные ресурсы

Для подготовки к этому экзамену может быть использована различная литература издательства Cisco Press. Приобрести литературу можно напрямую в Cisco Press через магазин Cisco Marketplace Bookstore.


[ В начало ]