Экзамен "Обеспечение безопасности сетевого оборудования Cisco" (Securing Cisco Network Devices)

    Номер экзамена:     642-552
Сертификаты, связанные с экзаменом: CCSP/Cisco Firewall Specialist/Cisco IPS Specialist/Cisco VPN Specialist
Продолжительность: 75 минут
Языки, на которых можно сдавать экзамен: Английский
Нажмите здесь для регистрации: Pearson VUE или Prometric
Правила проведения экзамена: См. текущие правила и требования
Пособие по сдаче экзамена: Типы экзаменационных вопросов

Описание экзамена

Экзамен "Обеспечение безопасности сетевого оборудования Cisco" (Securing Cisco Network Devices) 642-552 SND связан с сертификатами Cisco Certified Security Professional, Cisco Firewall Specialist, Cisco IPS Specialist и Cisco VPN Specialist. Для подготовки к экзамену кандидаты могут прослушать курс "Обеспечение безопасности сетевого оборудования Cisco" (Securing Cisco Network Devices) v2.0 (SND). Цель экзамена – проверить знания кандидатов в области обеспечения безопасности маршрутизаторов и коммутаторов Cisco, а также связанных с ними сетей. Экзамен охватывает следующие темы: Угрозы безопасности современных сетевых инфраструктур, обеспечение безопасности маршрутизаторов Cisco, реализация простейшей системы аутентификации, авторизации и учета (AAA), подавление атак на сеть и маршрутизаторы при помощи списков контроля доступа (ACL), реализация защищенных систем управления и отчетности, подавление типичных атак 2-го уровня, реализация возможностей межсетевых экранов Cisco IOS, систем предотвращения вторжений Cisco IOS, а также возможностей IPsec VPN при помощи Cisco Security Device Manager

Темы экзамена

Ниже представлено описание материалов, которые могут быть включены в экзаменационные вопросы. Однако в каждый конкретный экзамен могут быть включены и другие темы, близкие описанным. Для лучшего отражения материалов экзамена и большей ясности приведенное ниже описание может быть изменено в любое время без дополнительного уведомления.


Описать угрозы безопасности современных сетевых инфраструктур

  • Описать и обеспечить подавление типичных угроз на физическом уровне
  • Перечислить и описать методы подавления типичных сетевых атак
  • Перечислить и описать методы подавления червей, вирусов и троянских коней
  • Описать основные задачи на каждом этапе жизненного цикла защищенной сети
  • Объяснить, как комплексная политика безопасности может удовлетворить типичные потребности предприятия в области безопасности
  • Описать архитектуру Cisco Self Defending Network

Обеспечение безопасности маршрутизаторов Cisco

  • Обеспечить безопасность маршрутизаторов Cisco при помощи функции SDM Security Audit
  • Обеспечить безопасность маршрутизатора Cisco при помощи функции One-Step Lockdown в SDM
  • Обеспечить безопасность администраторского доступа к маршрутизаторам Cisco путем установки стойких шифрованных паролей, таймаутов исполнения, ограничению числа неудачных попыток входа в систему, а также использованию расширенных возможностей управления входом в систему IOS
  • Обеспечить безопасность администраторского доступа к маршрутизаторам Cisco путем настройки нескольких уровней привилегий
  • Обеспечить безопасность администраторского доступа к маршрутизаторам Cisco путем настройки интерфейса командной строки на основе ролей (role based CLI)
  • Обеспечить безопасность файла образа и настроек Cisco IOS

Реализовать простейшую систему аутентификации, авторизации и учета при помощи маршрутизаторов Cisco

  • Объяснить функции и важность системы аутентификации, авторизации и учета (AAA)
  • Описать возможности протоколов аутентификации, авторизации и учета TACACS+ и RADIUS
  • Описать методы аутентификации, использующиеся для обеспечения доступа через маршрутизатор (пакетный режим) и к маршрутизатору (посимвольный режим)

Подавление атак на маршрутизаторы Cisco и сети при помощи списков контроля доступа (ACL)

  • Объяснить функциональные возможности стандартных, расширенных и именованных списков контроля доступа в IP-сетях, используемых маршрутизаторами для фильтрации пакетов
  • Настроить и проверить работу списков контроля доступа по подавлению конкретных угроз (фильтрация IP-трафика, предназначенного для атак на Telnet, SNMP и распределенных атак типа "отказ в обслуживании") в сети при помощи интерфейса командной строки
  • Настроить списки контроля доступа (IP ACL) для предотвращения использования поддельных IP-адресов через интерфейс командной строки
  • Объяснить меры предосторожности при создании списков контроля доступа

Реализовать защищенную систему управления и отчетности

  • Описать факторы, которые необходимо учитывать при планировании защищенной системы управления и отчетности для сетевых устройств
  • При помощи интерфейса командной строки настроить на маршрутизаторах Cisco SSH для обеспечения безопасного доступа администратора
  • Через интерфейс командной строки настроить в маршрутизаторе Cisco отправку сообщений Syslog серверу Syslog
  • Описать SNMPv3 и NTPv3

Подавление типичных атак 2-го уровня

  • Описать типичные атаки 2-го уровня и способы их подавления (VLAN hopping, атаки на STP, ARP spoofing, MAC spoofing, CAM overflow)
  • Описать принцип работы и преимущества функций безопасности коммутаторов Cisco Catalyst (IBNS, PVLAN, SPAN port)
  • Описать типичные угрозы безопасности беспроводных локальных сетей
  • Описать функции безопасности протокола 802.11

Реализовать функции межсетевого экрана Cisco IOS при помощи SDM

  • Описать сильные и слабые стороны различных технологий межсетевых экранов
  • Объяснить принцип работы межсетевого экрана с полным анализом состояния сессий (stateful firewall), а также функции таблицы состояний (state table)
  • Рассказать, какие типы трансляции сетевых адресов (NAT) могут быть реализованы в межсетевом экране
  • Настроить и проверить работу базовых и расширенных функций межсетевого экрана на маршрутизаторе Cisco при помощи SDM

Реализовать функции системы предотвращения вторжений Cisco IOS при помощи SDM

  • Объяснить, чем отличаются системы обнаружения и предотвращения вторжений, работающие на уровне сети и на уровне хоста
  • Рассказать о технологиях предотвращения вторжений, ответных действиях при атаках, а также возможностях для мониторинга
  • Обеспечить и проверить работу системы предотвращения вторжений Cisco IOS при помощи SDM

Реализовать IPsec VPN на маршрутизаторах Cisco при помощи SDM

  • Рассказать о функциональных возможностях и фазах протокола IKE
  • Описать базовые элементы IPsec, а также возможности протокола с точки зрения безопасности
  • Объяснить принцип работы функции Hash-Based Message Authentication Code (HMAC)
  • Объяснить различные методы шифрования
  • Объяснить назначение протокола обмена ключами Diffie-Hellman Key Agreement Protocol
  • Описать, как IPsec проводит аутентификацию источника
  • Дать общее описание среды PKI
  • Описать различные типы реализации IPsec VPN
  • Настроить и проверить работу межсетевой (site-to-site) IPsec VPN с аутентификацией на базе общих ключей при помощи SDM
  • Рассказать о Cisco Easy VPN Server и Cisco Easy VPN Remote
  • Настроить и проверить работу VPN удаленного доступа с использованием функции Cisco Easy VPN Server, встроенной в Cisco SDM

Рекомендуемая подготовка

Для подготовки к экзамену рекомендуется прослушать курс "Обеспечение безопасности сетевого оборудования Cisco" (Securing Cisco Network Devices, SND) .


Перечисленные курсы предлагаются Образовательными партнерами Cisco – единственным авторизованным источником подготовки по решениям Cisco под руководством инструкторов, сертифицированных Cisco. Найдите ближайшего авторизованного образовательного партнера Cisco в списке образовательных партнеров.

Дополнительные ресурсы

Для подготовки к этому экзамену может быть использована различная литература издательства Cisco Press. Приобрести литературу можно напрямую в Cisco Press через магазин Cisco Marketplace Bookstore.



[ В начало ]