Saturday, December 30, 2017

O que é o Blockchain?


O blockchain é o razão geral de todas as transações Bitcoin que já foram executadas. Está crescendo constantemente à medida que os mineiros adicionam blocos novos (a cada 10 minutos) para registrar as transações mais recentes. Os blocos são adicionados ao bloco em uma ordem linear, cronológica. Cada nó completo (isto é, cada computador conectado à rede Bitcoin usando um cliente que executa a tarefa de validar e retransmitir transações) possui uma cópia da cadeia de blocos, que é baixada automaticamente quando o mineiro se junta à rede Bitcoin. O bloco possui informações completas sobre endereços e saldos do bloco de gênese (as primeiras transações já executadas) até o último bloco concluído. O bloco como um livro público significa que é fácil consultar qualquer explorador de blocos (como https://blockchain.info/) para transações associadas a um endereço de Bitcoin específico, por exemplo, você pode procurar seu próprio endereço de carteira para ver a transação na qual você recebeu seu primeiro Bitcoin.

A cadeia de blocos é vista como a principal inovação tecnológica da Bitcoin porque é um mecanismo de prova "sem confiança" de todas as transações na rede. Os usuários podem confiar no sistema do razão pública armazenado em todo o mundo em muitos nós descentralizados diferentes mantidos por "mineradores-contadores", ao contrário de ter que estabelecer e manter confiança com a contraparte da transação (outra pessoa) ou um intermediário externo (como um banco). O bloqueio como a arquitetura para um novo sistema de transações descentralizadas sem confiança é a inovação chave. O bloqueio permite a desintermediação e descentralização de todas as transações de qualquer tipo entre todas as partes em uma base global.

O blockchain é como outra camada de aplicação para ser executada na pilha de protocolos de Internet existente, adicionando uma nova camada inteira à Internet para permitir transações econômicas, pagamentos em moeda digital imediatos (em uma criptografia universalmente utilizável) e a longo prazo, mais complicado financeiro contratos. Qualquer moeda, contrato financeiro ou recurso rígido ou suave pode ser negociado com um sistema como uma cadeia de blocos. Além disso, o bloqueio pode ser usado não apenas para transações, mas também como um sistema de registro e inventário para gravação, rastreamento, monitoramento e transação de todos os ativos. Um bloco é literalmente como uma planilha gigante para registrar todos os ativos e um sistema de contabilidade para transacioná-los em uma escala global que pode incluir todas as formas de ativos detidas por todas as partes em todo o mundo. Assim, o blockchain pode ser usado para qualquer forma de registro de ativos, inventário e troca, incluindo todas as áreas de finanças, economia e dinheiro; ativos rígidos (propriedade física); e ativos intangíveis (votos, idéias, reputação, intenção, dados de saúde, etc.).

Friday, December 22, 2017

SCADA com VLAN

Os dispositivos da rede SCADA se comunicam exclusivamente na camada 2. Qual dos seguintes itens deve ser usado para evitar sistemas não autorizados que usam ataques baseados em ARP para comprometer a rede SCADA?

Firewall de aplicativos
IPSec
Encriptação de hardware
VLANS

Firewall de aplicativos - Layer 7
IPSec- Layer 3
Encriptação de hardware - camada 1
VLANS- Layer 2
A resposta correta é D. De fato, você pode atribuir a rede SCADA a uma VLAN separada.

https://www.quora.com/What-OSI-layer-does-IPSec-work-on

EAL4



Hash algorithm, encryption cipher, key stretching library


Ataques transitivos

Os ataques transitivos são ataques que se tornam difíceis de prevenir. Você precisa passar muito tempo procurando configurações e certificando-se de que seus sistemas em sua rede não estão configurados para permitir que algo como isso ocorra. Um ataque transitivo é onde uma máquina A confia na máquina B e a máquina B confia na máquina C. Portanto, eu posso atacar a máquina C e a máquina C será automaticamente confiada por A.

Agora, isso pode não ser algo que você deseja que ocorra. Isso pode ser algo que está acontecendo apenas porque a série de confiança que foi configurada. Talvez, na realidade, você não quis um C confiante, mas por causa dessa natureza transitiva da confiança nos sistemas operacionais, é algo que já existe. Então, novamente, é algo que você realmente precisa procurar.

Na segurança da rede, esta é uma preocupação constante. Ele costumava estar em sistemas Unix mais antigos, esta era uma parte normal do sistema operacional. Nós configuraríamos configurações específicas no sistema operacional que permitiam a confiança de muitos, muitos computadores diferentes. Ele pulou sobre o passo de ter que se autenticar toda vez que fomos a um servidor confiável.

Nossos firewalls não confiam em ninguém. Nossos sistemas operacionais de computadores não confiam em ninguém. Nossos sistemas operacionais de servidor não confiam em ninguém. E, na realidade, com o tipo de preocupações de segurança que temos hoje, provavelmente é uma boa idéia manter as coisas funcionando dessa forma.

Firewalls são freqüentemente usados ​​para ajudar com isso também, especialmente se você tiver muitos parceiros comerciais diferentes conectando-se à sua rede. É muito comum, infelizmente, que as pessoas criem um firewall e se esqueçam de bloquear o acesso a vários parceiros de negócios. Hoje em dia, nós os bloqueamos muito bem.

Obviamente, seu firewall não poderá bloquear tudo. Então, se você tem parceiros comerciais em sua organização, algumas pessoas podem configurar firewalls completamente diferentes e tipos de acesso completamente diferentes a todos. Mas, finalmente, você tem um buraco lá para que seus usuários finais possam acessar esse parceiro comercial ou o parceiro comercial pode entrar em sua organização.

E, infelizmente, quando você constrói um buraco e cria acesso a um firewall, você pode ter muito mais do que exatamente o que você criou para passar por esse firewall atingindo sua rede. Portanto, esses ataques transitivos são coisas que você deve ter em mente sempre que estiver configurando conexões entre sistemas e entre organizações. Claro, os bandidos notaram que estamos colocando firewalls, estamos endurecendo nossos servidores, estamos fazendo muito, muito difícil para as pessoas ir diretamente para a fonte para obter o tipo de acesso que eles querem.

Se um cara mau quer chegar a um banco de dados, é muito, muito difícil agora ir a esse servidor de banco de dados. Colocamos todos os tipos de métodos de segurança para evitar o acesso direto a esse banco de dados. Então, os bandidos decidiram, bem, se você vai proteger o servidor, vamos agora e atacamos o cliente porque o cliente não será protegido do servidor. Seu cliente tem que falar com o servidor. Portanto, esse é um ótimo lugar para ir.

E se você pode encontrar um aplicativo mal programado que me permita acessar esses dados de uma maneira que talvez você não esperasse, agora tenho acesso a tudo no banco de dados. E isso se torna uma grande preocupação. Então, nossos bandidos estão agora atingindo esses clientes.

E temos tantos aplicativos diferentes em execução em nossos computadores. Temos navegadores. Nós temos jogadores de mídia. Nós temos aplicativos de e-mail. Cada um desses pode ter vulnerabilidades associadas a eles que permitiriam que os bandidos acessassem seu computador, acessassem seus dados ou acessassem o servidor seguindo esse aplicativo.

E um único bug pequeno em qualquer um desses aplicativos agora pode causar uma enorme quantidade de dados para serem explorados em seus servidores. Então é por isso que você precisa se certificar de que você está mantendo seu sistema operacional atualizado, você está mantendo seus aplicativos atualizados. Você quer evitar essa vulnerabilidade única, por isso, mantendo-se atualizado com todos esses patches e todas essas atualizações, você pode estar pelo menos um pouco mais seguro de que seus usuários finais serão protegidos de alguém tentando aproveitar alguns desses ataques do lado do cliente.


Um invasor ganhou acesso ao servidor da web da empresa usando as credenciais do administrador. O atacante então começa a comprometer os dados confidenciais em outros servidores. Qual dos seguintes melhor descreve esse tipo de ataque?

Escalação de privilégio
Ataque do lado do cliente
Homem no meio
Acesso transitivo


Referencia:
https://www.professormesser.com/security-plus/sy0-401/transitive-and-client-side-attacks-2/ 


Diferença entre SFTP e FTPS?

FTPS é FTP com SSL. Ele usa um canal de controle e abre novas conexões para a transferência de dados. À medida que aplica SSL, requer um certificado.

SFTP (SSH File Transfer Protocol / Secure File Transfer Protocol) foi projetado como uma extensão de SSH para fornecer capacidade de transferência de arquivos, portanto geralmente usa apenas a porta SSH para dados e controle.

Na maioria das instalações do servidor SSH você terá suporte SFTP, mas o FTPS precisaria da configuração adicional de um servidor de FTP para receber a conexão de maneira apropriada.


Corrigir NAT no VirtualBox

Sunday, December 17, 2017

SDN

A arquitetura SDN é:

DIRECTAMENTE PROGRAMÁVEL
O controle de rede é diretamente programável porque está desacoplado das funções de encaminhamento.

ÁGIL
O controle de abstração do encaminhamento permite aos administradores ajustar dinamicamente o fluxo de tráfego em toda a rede para atender às necessidades em constante mudança.

GERENCIADO CENTRALMENTE
A inteligência de rede é (logicamente) centralizada em controladores SDN baseados em software que mantêm uma visão global da rede, que aparece em aplicativos e mecanismos de política como uma única chave lógica.

CONFIGURADO PROGRAMÁTICAMENTE
O SDN permite aos gerentes de rede configurar, gerenciar, proteger e otimizar recursos de rede muito rapidamente através de programas SDN dinâmicos e automatizados, que eles podem escrever, porque os programas não dependem de software proprietário.

OPEN STANDARDS-BASED AND VENDOR-NEUTRAL
Quando implementado através de padrões abertos, o SDN simplifica o design e a operação da rede porque as instruções são fornecidas pelos controladores SDN em vez de vários dispositivos e protocolos específicos do fornecedor.


Systems Hardening


Thursday, December 14, 2017

Key stretching - explicação

Você pode fazer uma chave fraca se tornar mais forte ao executar múltiplos processos para a mesma chave. Por exemplo, você pode ter uma senha e, em seguida, você pode ter o hash dessa senha e, em seguida, hash o hash do hash dessa senha e assim por diante. Isso é chamado de alongamento de chave ou fortalecimento de chave, e a única maneira que você poderia então forçar essa chave em particular é reverter cada um desses hashes para voltar à chave original.

Isso significa que se você quisesse forçar a chave original, você precisaria reverter esse hashing a cada momento para tentar voltar para a chave original. Isso certamente limita o quanto um hacker. 

Se você é um desenvolvedor de aplicativos, você pode querer usar esse fortalecimento essencial ou algoritmos de alongamento de chave, e não há motivos para reconstruí-lo do zero. Existem muitas bibliotecas por aí que você poderia usar.

Perfeito para se proteger contra brute-force attack.

Certificate Pinning - explicação

Os canais seguros são uma pedra angular para usuários e funcionários que trabalham de forma remota e em movimento. Usuários e desenvolvedores esperam uma segurança de ponta a ponta ao enviar e receber dados - especialmente dados confidenciais em canais protegidos por VPN, SSL ou TLS. Embora as organizações que controlam o DNS e a CA provavelmente reduziram o risco na maioria dos modelos de ameaça, usuários e desenvolvedores subjugados ao DNS de outros e uma hierarquia pública da CA estão expostos a quantidades de risco não triviais. Na verdade, a história mostrou que aqueles que dependem de serviços externos sofreram brechas crônicas em seus canais seguros.

O abuso na confiança resultou em usuários, desenvolvedores e aplicativos que tomaram decisões relacionadas à segurança na entrada não confiável. A situação é um pouco paradoxal: entidades como DNS e CAs são confiáveis ​​e supostamente fornecer entrada confiável, mas a sua entrada não pode ser confiável. 

Pinning efetivamente remove a "conferência de confiança". Um aplicativo que define um certificado ou uma chave pública não precisa mais depender de outros - como DNS ou CAs - ao tomar decisões de segurança relacionadas à identidade de um parceiro. Para aqueles familiarizados com o SSH, você deve perceber que o bloqueio da chave pública é quase idêntico à opção StrictHostKeyChecking do SSH. O SSH teve certo o tempo todo, e o resto do mundo está começando a perceber as virtudes de identificar diretamente um host ou serviço por sua chave pública.

]

Wednesday, December 13, 2017

Carrey - Depressão

Com base em sua própria experiência, Carrey então conecta essa verdade com a condição de depressão:

"As pessoas falam sobre depressão o tempo todo. A diferença entre depressão e tristeza é que a tristeza é apenas por casualidade - seja lá o que aconteceu ou não aconteceu para você.

Depressão é o seu corpo dizendo foda se você, eu não quero mais ser esse personagem, não quero mais ser este avatar. É muito para mim.

Você deve pensar na palavra "deprimido" como "descanso profundo". Seu corpo precisa estar deprimido. Precisa de um profundo descanso do personagem que você está tentando jogar ".

Essa pode ser a melhor avaliação da depressão que já ouvi.

Vamos dar a nós mesmos (o que é "auto", de qualquer maneira?) Um intervalo e soltar qualquer identidade que tenhamos trabalhado tão difícil de criar. Vamos ao invés de viver com um coração aberto e um senso de humor sobre nós mesmos e nosso mundo - já que, nas palavras de Jim Carrey, nada disso importa de qualquer maneira.

multiusuários

Os sistemas operacionais multiusuários devem incluir vários recursos:

Um mecanismo de autenticação para verificar a identidade do usuário

Um mecanismo de proteção contra programas de usuário que podem bloquear outros aplicativos que funcionam no sistema

Um mecanismo de proteção contra programas de usuários mal-intencionados que podem interferir ou espionar a atividade de outros usuários

Um mecanismo de contabilidade que limita o número de unidades de recursos atribuídas a cada usuário

Monday, December 11, 2017

DHCP relay agents instead of multiple routers

What do you think is the benefit of using DHCP relay agents instead of multiple routers acting as DHCP servers?


Each router works harder to manage its DHCP addressing, in addition to the primary function of routing traffic. One DHCP server (router or computer) that is dedicated to the job is easier to manage and more centralized.

Sunday, December 10, 2017

Ferramenta rápida de enumeração de subdomínios

Sublist3r é uma ferramenta de python projetada para enumerar subdomínios de sites usando OSINT. Isso ajuda os testadores de penetração e os caçadores de bugs a coletar subdomínios para o domínio que eles estão direcionando. Sublist3r enumera subdomínios usando muitos mecanismos de pesquisa como Google, Yahoo, Bing, Baidu e Ask. Sublist3r também enumera subdomínios usando Netcraft, Virustotal, ThreatCrowd, DNSdumpster e ReverseDNS.
subbruta foi integrada com Sublist3r para aumentar a possibilidade de encontrar mais subdomínios usando bruteforce com uma lista de palavras melhorada. 

Instalação
git clone https://github.com/aboul3la/Sublist3r.git

Versão recomendada do Python:
Sublist3r atualmente suporta Python 2 e Python 3.
A versão recomendada para o Python 2 é 2.7.x
A versão recomendada para o Python 3 é 3.4.x

Dependências:
Sublist3r depende dos módulos de pedidos, dnspython e argparse python.
Essas dependências podem ser instaladas usando o arquivo de requisitos:
Instalação no Windows:
c: \ python27 \ python.exe -m pip install -r requirements.txt
Instalação no Linux
sudo pip install -r requirements.txt
Alternativamente, cada módulo pode ser instalado de forma independente, conforme mostrado abaixo.

Módulo de Solicitações (http://docs.python-requests.org/en/latest/)
Instalar para Windows:
c: \ python27 \ python.exe -m solicitações de instalação de pip
Instalar para Ubuntu / Debian:
sudo apt-get install python-requests
Instale para Centos / Redhat:
sudo yum instale python-requests
Instale usando pip no Linux:
pedidos de instalação de sudo pip

Módulo dnspython (http://www.dnspython.org/)
Instalar para Windows:
c: \ python27 \ python.exe -m pip install dnspython
Instalar para Ubuntu / Debian:
sudo apt-get install python-dnspython
Instale usando pip:
sudo pip instala dnspython

Módulo Argparse
Instalar para Ubuntu / Debian:
sudo apt-get install python-argparse
Instale para Centos / Redhat:
sudo yum install python-argparse
Instale usando pip:
sudo pip install argparse
Para colorir no Windows, instale as seguintes bibliotecas
c: \ python27 \ python.exe -m pip instalar win_unicode_console colorama

Uso
Descrição do formulário longo 
-d --domínio Nome de domínio para enumerar subdomínios de
-b --bruteforce Habilite o módulo sub-brute da força bruta
-p --ports Digitalize os subdomínios encontrados contra portas específicas do tcp
-v --verbose Habilite o modo detalhado e exiba os resultados em tempo real
-t - threads Número de tópicos a serem usados para a força bruta sub-bruta
-e --engines Especifica uma lista de motores de busca separada por vírgulas
-o --output Salva os resultados no arquivo de texto
-h - help mostre a mensagem de ajuda e saia

Exemplos
Para listar todas as opções e switches básicos use -h switch:
python sublist3r.py -h
Para enumerar subdomínios de domínio específico:
python sublist3r.py -d website.com
Para enumerar subdomínios de domínio específico e mostrar apenas subdomínios que possuem portas abertas 80 e 443:
python sublist3r.py -d website.com -p 80.443
Para enumerar subdomínios de domínio específico e mostrar os resultados em tempo real:
python sublist3r.py -v -d example.com
Para enumerar subdomínios e ativar o módulo bruteforce:
python sublist3r.py -b -d example.com
Para enumerar subdomínios e usar mecanismos específicos, tais motores Google, Yahoo e Virustotal
python sublist3r.py -e google, yahoo, virustotal -d example.com

Usando Sublist3r como um módulo em seus scripts python
Exemplo
importar sublist3r
subdomains = sublist3r.main (domain, no_threads, savefile, ports, silent, verbose, enable_bruteforce, engines)
A função principal retornará um conjunto de subdomínios exclusivos encontrados pelo Sublist3r
Uso de Função:
domínio: o domínio que você deseja enumerar subdomínios de.
savefile: salve a saída no arquivo de texto.
portas: especifique uma lista com permuta de vírgulas das portas tcp para digitalizar.
silencioso: configure o sublist3r para funcionar em modo silencioso durante a execução (útil quando você não precisa de muito barulho).
detalhado: exiba os subdomínios encontrados em tempo real.
enable_bruteforce: habilite o módulo bruteforce.
motores: (opcional) para escolher motores específicos.
Exemplo para enumerar subdomínios do Yahoo.com:
importar sublist3r
subdomains = sublist3r.main ('yahoo.com', 40, 'yahoo_subdomains.txt', ports = None, silent = False, verbose = False, enable_bruteforce = False, engines = None)

Qual é a diferença entre Tabela MAC and Tabela ARP?

Tabela MAC (camada 2)

A tabela MAC é usada para mapear endereços MAC para uma interface específica no switch. Estes geralmente expiram a cada 5 minutos ou mais, e são atualizados lendo o endereço de origem do quadro que entra na interface. Seu switch deve ter uma tabela MAC / CAM como um dispositivo de camada 2.

Tabela ARP (camada 3)

A tabela ARP é usada para mapear endereços MAC para endereços IP. Se não existe uma entrada ARP, uma transmissão ARP é enviada e a tabela é atualizada com a resposta. Estes geralmente expiram após 2-4 horas. Cada host conectado à rede deve manter sua própria tabela ARP.

Saturday, December 9, 2017

recuperar seus atributos de arquivo - DOS


Uma maneira segura de recuperar seus atributos de arquivos

PASSO 1:
Conecte sua pen drive à porta USB do seu computador. Verifique se ele é detectado.
PASSO 2:
Inicie o prompt de comando clicando em Iniciar >> Executar e digite cmd e, em seguida, pressione enter.
ETAPA 3:
Encontre a letra da unidade para a unidade USB conectada. Por exemplo, F:
prompt de comando, digite F:
Em seguida, digite
attrib -s -h /s /d *.*
Certifique-se de colocar espaço entre cada elemento no código.


Pressione Enter, espere um momento e isso deve exibir todos os seus arquivos em seu pen drive. Confira abaixo


Rastreadores da Web - ROBOTS.TXT


Os motores de busca coletam informações sobre o conteúdo da Web automaticamente. Eles usam softwares especiais que sistematicamente "rastreiam" a Web, seguindo os links que encontra em páginas da Web. Estes softwares geralmente são chamados de rastreadores da Web, ou uma aranha, ou mesmo um robô. Os sites individuais podem controlar o modo como os mecanismos de pesquisa controlam o site instalando um arquivo especial chamado "ROBOTS.TXT". Se o arquivo estiver presente, um rastreador examina seu conteúdo para obter instruções antes de rastrear o site.





Sunday, December 3, 2017

Os 3 erros mais comuns que os desenvolvedores de JavaScript fazem

POR RYAN J. PETERSON - SOFTWARE ENGINEER

Hoje, o JavaScript está no cerne de praticamente todas as aplicações web modernas. Nos últimos anos, em particular, testemunhamos a proliferação de uma ampla gama de poderosas bibliotecas e estruturas baseadas em JavaScript para o desenvolvimento de aplicativos de página única (SPA), gráficos e animações e até mesmo plataformas de JavaScript do lado do servidor. O JavaScript realmente se tornou onipresente no mundo do desenvolvimento de aplicativos web e, portanto, é uma habilidade cada vez mais importante para dominar.

Em primeiro lugar, o JavaScript pode parecer bastante simples. E de fato, criar funcionalidade básica de JavaScript em uma página da web é uma tarefa bastante intensa para qualquer desenvolvedor de software experiente. No entanto, o idioma é significativamente mais matizado, poderoso e complexo do que inicialmente seria levado a acreditar. Na verdade, muitas das sutilezas do JavaScript levam a uma série de problemas comuns que impedem que funcione.

Erro comum nº 1: referências incorretas --- this

Como as técnicas de codificação de JavaScript e os padrões de design tornaram-se cada vez mais sofisticados ao longo dos anos, houve um aumento correspondente na proliferação de escopos de auto referência dentro de call-backs[i] e fechamentos, que são uma fonte bastante comum de "this/that confusion".

Considere este exemplo de trecho de código:

Game.prototype.restart = function () {
  this.clearLocalStorage ();
  this.timer = setTimeout (function () {
    this.clearBoard (); // o que é isso (this)"?
  }, 0);
};
Executar o código acima resulta no seguinte erro:

Uncaught TypeError: indefinido não é uma função
Por quê?

É tudo sobre o contexto. A razão pela qual você obtém o erro acima é porque, quando invoca setTimeout (), você está realmente invocando window.setTimeout (). Como resultado, a função anônima passada para setTimeout () está sendo definida no contexto do objeto de window, que não possui nenhum método clearBoard ().

Uma solução tradicional, compatível com o navegador antigo, é simplesmente salvar sua referência this em uma variável que pode ser herdada pelo fechamento; por exemplo.:

Game.prototype.restart = function () {
  this.clearLocalStorage ();
  var self = this; // salve a referência a 'this', enquanto ainda é isso!
  this.timer = setTimeout (function () {
    self.clearBoard (); // oh OK, eu sei quem é o "eu"!
  }, 0);
};
Alternativamente, em navegadores mais novos, você pode usar o método bind () para passar na referência apropriada:

Game.prototype.restart = function () {
  this.clearLocalStorage ();
  this.timer = setTimeout (this.reset.bind (this), 0); // bind to 'this'
};

Game.prototype.reset = function () {
    this.clearBoard (); // ahhh, de volta ao contexto do direito 'this'!
};


Erro comum # 2: pensando que existe um escopo de nível de bloco

Uma fonte comum de confusão entre desenvolvedores de JavaScript (e, portanto, uma fonte comum de bugs) é assumir que o JavaScript cria um novo escopo para cada bloco de código. Embora isso seja verdade em muitos outros idiomas, não é verdade em JavaScript. Considere, por exemplo, o seguinte código:

for (var i = 0; i <10; i ++) {
  / * ... * /
}
console.log (i); // qual será esse resultado?
Se você adivinhar que a chamada console.log () emitiria indefinido ou lançaria um erro, você adivinhou incorretamente. Acredite ou não, ele emitirá 10. Por quê?

Na maioria dos outros idiomas, o código acima levaria a um erro porque a "vida" (ou seja, o escopo) da variável i seria restrita ao bloco for. Em JavaScript, porém, esse não é o caso e a variável i permanece no escopo mesmo após o loop for concluído, mantendo seu último valor depois de sair do loop. (Esse comportamento é conhecido, aliás, como elevação de variável).

Vale ressaltar, no entanto, que o suporte para escopos de nível de bloco está fazendo o seu caminho para o JavaScript através da nova palavra-chave Let. A palavra-chave Let está disponível no JavaScript 1.7 e está programada para se tornar uma palavra-chave JavaScript oficialmente aceita a partir do ECMAScript 6.

Erro comum # 3: Criando vazamentos de memória

Os vazamentos de memória são problemas de JavaScript quase inevitáveis se você não estiver codificando conscientemente para evitá-los. Existem inúmeras maneiras de ocorrerem, então vamos destacar algumas das suas ocorrências mais comuns.

Vazamento de memória Exemplo 1: referências de manobra para objetos desaparecidos

Considere o seguinte código:

var theThing = null;
var replaceThing = function () {
  var priorThing = theThing; // aguarde a coisa anterior
  var unused = function () {
    // 'não utilizado' é o único lugar onde 'priorThing' é referenciado,
    //, mas "não utilizado" nunca é invocado
    se (priorThing) {
      console.log ("oi");
    }
  };
  theThing = {
    longStr: nova Array (1000000) .join ('*'), // cria um objeto de 1MB
    someMethod: function () {
      console.log (someMessage);
    }
  };
};
setInterval (replaceThing, 1000); // invoca `replaceThing 'uma vez a cada segundo
Se você executar o código acima e monitorar a utilização da memória, você achará que você obteve um enorme vazamento de memória, vazando um megabyte por segundo! E mesmo um GC manual não ajuda. Então, parece que estamos vazando longStr sempre que o replaceThing é chamado. Mas por que?

Vamos examinar as coisas com mais detalhes:

Cada objeto TheThing contém seu próprio objeto LongStr de 1 MB. A cada segundo, quando chamamos o replaceThing, ele mantém uma referência ao objeto anterior do theThing no PriorThing. Mas ainda não pensamos que isso seria um problema, já que cada vez, o PriorThing anteriormente referenciado seria referenciado (quando o PriorThing é reiniciado via priorThing = theThing;). E, além disso, é apenas referenciado no corpo principal de replaceThing e na função não utilizada que, de fato, nunca foi usada.

Então, novamente ficamos nos perguntando por que há um vazamento de memória aqui!?

Para entender o que está acontecendo, precisamos entender melhor como as coisas funcionam em JavaScript sob o capô. A maneira típica em que os encerramentos são implementados é que cada objeto de função tem um link para um objeto de estilo de dicionário que representa seu escopo lexical. Se ambas as funções definidas dentro do replaceThing realmente usado anteriormente, seria importante que ambos obtivessem o mesmo objeto, mesmo que PriorThing seja atribuído uma e outra vez, de modo que ambas as funções compartilhem o mesmo ambiente lexical. Mas assim que uma variável é usada por qualquer fechamento, ela termina no ambiente lexical compartilhado por todos os encerramentos nesse escopo. E essa pequena nuance é o que leva a esse vazamento de memória gnarly. (Mais detalhes sobre isso estão disponíveis aqui.)

Folha de memória Exemplo 2: Referências circulares

Considere este fragmento de código:

função addClickHandler (elemento) {
    element.click = function onClick (e) {
        alerta ("clicou o" + element.nodeName)
    }
}
Aqui, onClick tem um fechamento que mantém uma referência ao elemento (via element.nodeName). Ao também atribuir onClique para element.click, a referência circular é criada; isto é .: elemento -> onClick -> elemento -> onClick -> elemento ...

Curiosamente, mesmo que o elemento seja removido do DOM, a auto-referência circular acima evitaria elementos e onClick de serem coletados e, portanto, um vazamento de memória.

Evitando vazamentos de memória: o que você precisa saber

O gerenciamento de memória de JavaScript (e, em pacotes, coleta de lixo) é amplamente baseado na noção de acessibilidade do objeto.

Os seguintes objetos são assumidos como acessíveis e são conhecidos como "raízes":

Objetos referenciados de qualquer lugar na pilha de chamadas atual (isto é, todas as variáveis e parâmetros locais nas funções atualmente invocadas e todas as variáveis no escopo)
Todas as variáveis globais
Os objetos são mantidos na memória pelo menos desde que sejam acessíveis a partir de qualquer uma das raízes através de uma referência, ou uma cadeia de referências.

Existe um colector de lixo (GC) no navegador que limpa a memória ocupada por objetos inacessíveis; ou seja, os objetos serão removidos da memória se e somente se o GC acreditar que eles são inacessíveis. Infelizmente, é bastante fácil acabar com objetos "zumbis" extintos que de fato não estão em uso, mas que o GC ainda pensa ser "acessível".



[i] A chamada de retorno é qualquer código executável que seja passado como um argumento para outro código, o que é esperado para chamar (executar) o argumento em um determinado momento.

Saturday, December 2, 2017

Firewall aplica as regras em ordem

Quando um pacote chega, o firewall aplica as regras em ordem. Se o pacote, ou sua conexão, corresponder a uma das regras, o firewall aplica a regra. Se a regra permitir o tráfego, o firewall entrega o pacote. Se a regra nega o tráfego, o firewall descarta o pacote.

Este firewall implementa "Negar por padrão" e, em seguida, aplica as regras na tabela. Se o firewall não implementar Negar por Padrão e a regra da compania requer Negar por Padrão, o firewall deve negar as conexões restantes.

Port Numbers for email protocols from Smith (Elementary Information Security)


Friday, December 1, 2017

Questions MPLS and IPSec

QUESTION 1
The different Enterprise locations are connected via an MPLS network. Which device is responsible for attaching a VPN label to a packet traversing an MPLS network?

A. The customer (C) router
B. The provider (P) router
C. The customer edge (CE) router
D. The provider edge (PE) router
E. None of the above

Answer: D


QUESTION 2
Leading the way in IT testing and certification tools, www.Enterprise.com If enterprise Label Switch Router (LSR) is properly configured, which three combinations are possible? (Select three)
A. An IP destination exists in the IP forwarding table. A received labeled packet is dropped because the label is not found in the LFIB table.
B. A received labeled packet is forwarded based on the label. After the label is swapped, the newly labeled packet is sent.
C. There is an MPLS label-switched path toward the destination. A received IP packet is dropped because the destination is not found in the IP forwarding table.
D. A received IP packet is forwarded based on the IP destination address and the packet is sent as an IP packet.
E. A received labeled IP packet is forwarded based on both the label and the IP address.
F. A received IP packet is forwarded based on the IP destination address and the packet is sent as a labeled packet.
G. None of the above are possible
Answer: BDF


QUESTION 3
Enterprise uses frame-mode MPLS in a portion of its WAN. Which statement is true about the default operation of frame-mode MPLS?
A. LSRs must wait to get the next-hop label from their downstream neighbors before propagating information.
B. LSRs will only propagate label mappings to their neighbors by request.
C. Labels are sequentially generated for neighbors.
D. Interfaces can share the same labels.
E. None of the above
Answer: D

QUESTION 4
Enterprise uses a frame-mode MPLS WAN. Which three statements about frame-mode MPLS are true? (Select three)
Leading the way in IT testing and certification tools, www.Enterprise.com
A. The MPLS data plane takes care of forwarding based on either destination addresses or labels.
B. MPLS has three distinct components consisting of the data plane, the forwarding plane, and the control plane.
C. Whenever a router receives a packet that should be CEF-switched, but the destination is not in the FIB, the packet is dropped.
D. The CEF FIB table contains information about outgoing interfaces and their corresponding Layer 2 header.
E. The control plane is a simple label-based forwarding engine that is independent of the type of routing protocol or label
exchange protocol.
F. To exchange labels, the control plane requires protocols such as Tag Distribution Protocol (TDP) or MPLS Label Distribution Protocol (LDP).
G. None of the above
Answer: ACF
Section: (none)

QUESTION 5
You are responsible for managing and maintaining the Enterprise MPLS network.
What is the function of the MPLS data plane?
A. The data plane exchanges Layer 3 routing information using OSPF, EIGRP, IS-IS, and BGP protocols.
B. The data plane exchanges label using the label exchange protocols TDP, LDP, BGP, and RSVP.
C. The data plane uses the Forwarding Information Base (FIB) to forward packets based on the routing information.
D. The data plane uses Label Forwarding Information Base (LFIB) to forwards packets based on the labels.
Answer: D
Section: (none)

QUESTION 6
While troubleshooting a problem the Enterprise network administrator used a protocol analyzer to capture the contents of an MPLS
label. What are the four fields in an MPLS label? (Select four)
Leading the way in IT testing and certification tools, www.Enterprise.com
A. TTL
B. Version
C. Label
D. Bottom-of-stack indicator
E. Experimental
F. Protocol
Answer: ACDE
Section: (none)

QUESTION 7
Enterprise is an MPLS network provider connecting multiple customer networks. In an MPLS VPN implementation, how are overlapping customer prefixes propagated?
A. A route target is attached to each customer prefix.
B. Because customers have their own interfaces, distributed CEFs keep the forwarding tables separate.
C. Separate BGP sessions are established between each customer edge LSR.
D. A separate instance of the core IGP is used for each customer.
E. Because customers have their own unique LSPs, address space is kept separate.
F. None of the above.
Answer: A
Section: (none)

QUESTION 8
The Enterprise network administrator is trying to optimize the convergence time in their MPLS network. Which statement is true about convergence in an MPLS network?
A. MPLS convergence will take place at the same time as the routing protocol convergence.
B. MPLS convergence will take place after the routing protocol convergence.
C. MPLS must be reconfigured after the routing protocol convergence.
D. MPLS convergence will take place before the routing protocol convergence.
E. None of the above.
Answer: B
Section: (none)

QUESTION 9
Enterprise is an MPLS provider connecting multiple customer VPNs. Which three statements below are correct concerning
MPLS-based VPNs? (Select three)
A. A VPN client is required for client-initiated deployments.
B. An MPLS-based VPN is highly scalable because no site-to-site peering is required.
C. Scalability becomes challenging for a very large, fully meshed deployment.
D. Route Targets (RTs) are attributes attached to a VPNv4 BGP route to indicate its VPN membership.
E. A VPN client is not required for users to interact with the network.
F. Authentication is done using a digital certificate or pre-shared key.
Answer: BDE
Section: (none)

QUESTION 10
All Enterprise remote locations connected via a fully meshed MPLS WAN. Which three statements regarding MPLS are true? (Select
three)
A. Frame-mode MPLS inserts a 32-bit label between the Layer 3 and Layer 4 headers.
B. The control plane is responsible for forwarding packets.
C. The two major components of MPLS include the control plane and the data plane.
D. Cisco Express Forwarding (CEF) must be enabled as a prerequisite to running MPLS on a Cisco router.
E. MPLS is designed for use with frame-based Layer 2 encapsulation protocols such as Frame Relay but is not supported by ATM because of ATM fixed-length cells.
F. OSPF, EIGRP, IS-IS, RIP, and BGP can be used in the control plane.
Answer: CDF
Section: (none)
QUESTION 11
Many Enterprise remote offices use DSL for their connectivity. Which four features are usually required for an 827 ADSL router to support a home ADSL broadband Internet connection with multiple end-user PCs? (Choose four)
A. IPSec
B. Bridging (IRB or RBE)
C. PPPoE client
D. PAT
E. DHCP server
F. Static default route
Answer: CDEF
Section: (none)

QUESTION 12
You need to set up the Cisco VPN client software on a new Enterprise laptop. When configuring the Cisco VPN Client with transparent tunneling, what is true about the IPSec over TCP option?
Leading the way in IT testing and certification tools, www.Enterprise.com
A. The port number is negotiated automatically.
B. Clients will have access to the secured tunnel and local resources.
C. Packets are encapsulated using Protocol 50 (Encapsulating Security Payload, or ESP).
D. The port number must match the configuration on the secure gateway.
Answer: D
Section: (none)

QUESTION 13
Two Enterprise routers are configured as IPSec VPN peers. Which IPsec VPN term describes a policy contract that specifies how two peers will use IPsec security services to protect network traffic?
A. Encapsulation security payload
B. Security Association
C. Transform set
D. Authentication Header
E. None of the above
Answer: B
QUESTION 14
Enterprise uses GRE tunnels over an IPSec VPN. Which three statements are correct about a GRE over IPsec VPN tunnel configuration on Cisco IOS routers? (Select three)
A. Crypto maps must specify the use of IPsec transport mode.
B. A crypto ACL will dictate the GRE traffic to be encrypted between the two IPsec peers.
C. A crypto ACL will dictate the ISAKMP and IPsec traffic to be encrypted between the two IPsec peers.
D. A dynamic routing protocol can be configured to run over the tunnel interface.
E. The crypto map must be applied to the tunnel interface.
F. The crypto map must be applied to the physical interface.
Answer: BDF                                                       
Section: (none)

QUESTION 15
You have been tasked with configuring a new router to be added to te Enterprise IPSec VPN. What are the four main steps in configuring an IPsec site-to-site VPN tunnel on Cisco routers? (Choose four)
A. Create a crypto access list to define which traffic should be sent through the tunnel.
B. Create a crypto map and apply it to the outgoing interface of the VPN device.
C. Define the ISAKMP policy.
D. Define the pre-shared key used in the DH (Diffie-Hellman) exchange.
E. Define the IPsec transform set.
F. Configure dynamic routing over the IPsec tunnel interface.
Answer: ABCE
Section: (none)

QUESTION 16
Enterprise uses IPSec technology throughout their network. Which three benefits do IPsec VPNs provide? (Select three)
A. Data integrity
B. QoS
C. Confidentiality
D. Adaptive threat defense
E. Origin authentication
F. A fully-meshed topology with low overhead
Answer: ACE

QUESTION 17
The branch Enterprise locations are connected via an IPSec VPN. Which three IPsec VPN statements are true? (Select three)
A. The main mode is the method used for the IKE phase two security association negotiations.
B. To establish IKE SA, the main mode utilizes six packets while aggressive mode utilizes only three packets.
C. IKE keepalives are unidirectional and sent every ten seconds.
D. Quick mode is the method used for the IKE phase one security association negotiations.
E. IKE uses the Diffie-Hellman algorithm to generate symmetrical keys to be used by IPsec peers.
F. IPsec uses the Encapsulating Security Protocol (ESP) or the Authentication Header (AH) protocol for exchanging keys.
Answer: BCE
QUESTION 18
Leading the way in IT testing and certification tools, www.Enterprise.com Enterprise uses GRE tunnels over their IPSec VPN. Which three features are benefits of using GRE tunnels in conjunction with IPsec for building site-to-site VPNs? (Select three)
A. It supports multi-protocol (non-IP) traffic over the tunnel
B. It uses Virtual Tunnel Interface (VTI) to simplify the IPsec VPN configuration
C. It allows dynamic routing over the tunnel
D. It reduces IPsec headers overhead since tunnel mode is used
E. It simplifies the ACL used in the crypto map
Answer: ACE

QUESTION 19
Enterprise uses GRE tunnels to pass routing protocol traffic across its IPSec VPN. Which IPsec mode will encrypt a GRE tunnel to provide multiprotocol support and reduced overhead?
A. Transport
B. Tunnel
C. Multipoint GRE
D. 3DES
E. None of the above
Answer: A

QUESTION 20
Two Enterprise IPsec routers use DH to establish a VPN connection. Which feature is an accurate description of the Diffie-Hellman (DH) exchange between two IPsec peers?
A. It allows the two peers to communicate its digital certificate to each other during IKE phase 1
B. It allows the two peers to jointly establish a shared secret key over an insecure communications channel
C. It allows the two peers to negotiate its IPsec transforms during IKE phase 2
D. It allows the two peers to communicate the pre-shared secret key to each other during IKE phase 1
E. It allows the two peers to authenticate each other over an insecure communications channel
F. None of the above
Answer: B
Section: (none)
QUESTION 21
Enterprise uses GRE tunnels over their IPSec VPN to pass routing information. Which statement is true about an IPsec/GRE tunnel?
A. Crypto map ACL is not needed to match which traffic will be protected.
B. GRE encapsulation occurs before the IPsec encryption process.
C. The GRE tunnel source and destination addresses are specified within the IPsec transform set.
D. An IPsec/GRE tunnel must use IPsec tunnel mode.
E. None of the above.
Answer: B
Section: (none)

QUESTION 22
AN IPSec secure tunnel is being built between routers TK1 and TK2. In IPSec, what are the common services provided by
Authentication Header (AH) and Encapsulation Security Payload (ESP)?
A. Data origin authentication, confidentiality, and anti-replay service Leading the way in IT testing and certification tools,
www.Enterprise.com
B. Confidentiality, data integrity, and anti-replay service
C. Data integrity, data origin authentication, and anti-replay service
D. Confidentiality, data integrity, and data origin authentication
E. Confidentiality, data integrity and authorization.
Answer: C
Section: (none)

QUESTION 23
IPSec is being used for the Enterprise VPN. In the IPSec protocol; what are the responsibilities of the Internet Key Exchange (IKE)?
(Choose all that apply)
A. Negotiating protocol parameters
B. Integrity checking user hashes
C. Authenticating both sides of a connection
D. Implementing tunnel mode
E. Exchanging public keys
F. Packet encryption
Answer: ACE
Section: (none)
Explanation/Reference:

QUESTION 24
IPSec is being used for the Enterprise VPN. Which of the IPSEC protocols is capable of negotiating security associations?
Leading the way in IT testing and certification tools, www.Enterprise.com
A. AH
B. ESP
C. IKE
D. SSH
E. MD5
F. None of the above
Answer: C
Section: (none)
QUESTION 25
IPSec is being used for the Enterprise VPN. Which of the phrases below are true about IPSec IKE Phase 2? (Choose all that apply)
A. It determines the key distribution method
B. It identifies IPSec peer details
C. It selects manual or IKE-initiated SAs
D. It determines the authentication method
E. It negotiates ISAKMP policies for peers
Leading the way in IT testing and certification tools, www.Enterprise.com
F. It selects the IPSec algorithms and parameters for optimal security and performance
Answer: CEF

QUESTION 26
IPSec is being used for the Enterprise VPN. What is true about the security protocol ESP (Encapsualtion Security Payload) in IPSec?
(Choose three)
A. IP packet is expanded by transport mode: 37 bytes (3DES) or 63 bytes (AES); tunnel mode: 57bytes (3DES) or 83
bytes (AES).
B. IP packet is expanded by: transport mode 56 bytes: tunnel mode 128 bytes.
C. Authentication is mandatory and the whole packet as well as the header is authenticated.
D. Authentication is optional and the outer header is not authenticated.
E. The ESP security protocol provides data confidentiality.
F. The ESP security protocol provides no data confidentiality.
Answer: ACE

QUESTION 27
What is true about the security protocol AH (Authentication Header) used in a secure IPSec tunnel? (Choose three)
A. Authentication is mandatory.
B. Authentication is optional.
C. The IP packet is expanded by transport mode 37 bytes(3DES( or 63 bytes(AES); tunnel mode 57 bytes(3DES) or 83
bytes(AES).
D. The IP packet is expanded by transport mode 56 bytes; tunnel mode 128 bytes.
E. The IPSec AH security protocol does provide data confidentiality.
F. The IPSec AH security protocol does not provide data confidentiality.
Answer: ACF
Section:

QUESTION 28
Which of the following statements is true about IPSec security associations (SAs)?
A. SAs contain unidirectional specifications only.
B. SAs describe the mechanics if implementing a key exchange protocol.
C. A single SA ca be used for both AH and ESP encapsulation protocols.
D. A single SA is negotiated by peers requesting secure communication.
E. Active SAs are stored in a local database called the IPSec database.
Answer: A
Section: (none)

QUESTION 29
Leading the way in IT testing and certification tools, www.Enterprise.com You need to configure a GRE tunnel on a Enterprise IPSec
router. When you are using the SDM to configure a GRE tunnel over IPsec, which two parameters are required when defining the
tunnel interface information? (Select two)
A. The crypto ACL number
B. The IPSEC mode (tunnel or transport)
C. The GRE tunnel interface IP address
D. The GRE tunnel source interface or IP address, and tunnel destination IP address
E. The MTU size of the GRE tunnel interface
Answer: CD
Section:

QUESTION 30
You want to use dynamic routing protocols over the Enterprise IPSec WAN using GRE tunnels. Which three routing protocols can be
configured when configuring a site-to-site GRE over IPsec tunnel using SDM? (Select three)
A. IGRP
Leading the way in IT testing and certification tools, www.Enterprise.com
B. EIGRP
C. BGP
D. OSPF
E. RIP
F. IS-IS
Answer: BDE
Section: (none)

QUESTION 31
A new Enterprise router must be added to the IPSec VPN. When configuring a site-to-site IPsec VPN tunnel on this router, which configuration must be the exact reverse of the other IPsec peer?
A. The crypto map
B. The crypto ACL
C. The IPsec transform
D. The pre-shared key
E. The ISAKMP policy
F. None of the above
Answer: B
Section: (none)

QUESTION 32
Two Enterprise locations are trying to connect to each other over a VPN, but the connection is failing. Which common problem causes an IPSEC VPN to fail?
A. ACLs configured in the IPSEC traffic path blocking ISAKMP, ESP, and AH traffic.
B. Multiple transform sets configured but only one transform set is specified in the crypto map entry.
C. Crypto ACL configuration errors where permit is used to specify that matching packets must be encrypted.
D. Multiple interfaces sharing the same crypto map set.
E. None of the above
Answer: A
Section: (none)
QUESTION 33
An IPSec tunnel has just been created on the Enterprise network, and you wish to verify it. Which command will display the
configured IKE policies?
A. show crypto isakmp policy
B. show crypto ipsec
C. show crypto isakmp
D. show crypto map
E. None of the above
Answer: A
Section: (

QUESTION 34
EIGRP is being used in the Enterprise IPSev VPN. When configuring an IPsec VPN to backup a WAN connection, what can be configured to influence the EIGRP routing process to select the primary WAN link over the backup IPsec tunnel?
A. Configure the EIGRP variance to 2.
B. Configure a longer delay value on the tunnel interface.
C. Configure the EIGRP variance to 1.
D. Configure a longer EIGRP hello interval on the tunnel interface.
E. Configure a lower clock rate value on the tunnel interface.
F. Configure a higher bandwidth value on the tunnel interface.
G. None of the above
Answer: B

QUESTION 35
In order to increase the uptime of the network, you have been tasked with designing and configuring a fault tolerant IPSec WAN.
What can be configured to provide resiliency when using SDM to configure a site-to-site GRE over IPsec VPN tunnel?
A. A backup GRE over IPsec tunnel
B. Redundant dynamic crypto maps
C. HSRP
D. Load balancing using two GRE over IPsec tunnels
E. Stateful IPsec failover
Leading the way in IT testing and certification tools, www.Enterprise.com
Answer: A
Section: (

QUESTION 36
You need to increase the network availability of the Enterprise IPSec WAN. Which high availability option uses the concept of a
virtual IP address to ensure that the default IP gateway for an IPsec site-to-site tunnel is always reachable?
A. Reverse Route Injection (RRI)
B. Dynamic Crypto Map
C. Backup IPsec peer
D. HSRP
E. GRE over IPsec
F. None of the above
Answer: D
Section: (none)
QUESTION 37
You have been assigned the task of setting up Easy VPN connection in the Enterprise network. During the Easy VPN Remote connection process, which phase involves pushing the IP address, Domain Name System (DNS), and split tunnel attributes to the
client?
A. The VPN client establishment of an ISAKMP SA
B. Mode configuration
C. VPN client initiation of the IKE phase 1 process
D. IPsec quick mode completion of the connection
E. None of the above
Answer: B
Section: (

QUESTION 38
You need to configure Easy VPN on a new Enterprise router using the SDM. Which two statements are true about the use of SDM to
configure the Cisco Easy VPN feature on a router? (Select two)
Leading the way in IT testing and certification tools, www.Enterprise.com
A. The Easy VPN server address must be configured when configuring the SDM Easy VPN Server wizard.
B. An Easy VPN connection is a connection that is configured between two Easy VPN clients.
C. The SDM Easy VPN Server wizard displays a summary of the configuration before applying the VPN configuration.
D. The SDM Easy VPN Server wizard recommends using the Quick setup feature when configuring a dynamic multipoint
VPN.
E. The SDM Easy VPN Server wizard can be used to configure user XAuth authentication locally on the router or
externally with a RADIUS server.
F. The SDM Easy VPN Server wizard can be used to configure a GRE over IPSec site-to-site VPN or a dynamic
multipoint VPN (DMVPN).
Answer: CE
Section: (none)

QUESTION 39
The Enterprise security administrator is concerned about reconnaissance attacks. Which two protocols can be used to prevent a reconnaissance attack? (Select two)
A. IPsec
B. NTP
C. SNMP
D. SSH
E. Telnet
F. FTP
Answer: AD
Section: (none)

QUESTION 40
The Enterprise security administrator wants to increase the security of all the routers within the network. Which three techniques
should be used to secure management protocols in Cisco routers? (Select three)
A. Synchronize the NTP master clock with an Internet atomic clock.
B. Configure SNMP with only read-only community strings.
C. Implement RFC 2827 filtering at the perimeter router when allowing syslog access from devices on the outside of a
firewall.
D. Encrypt TFTP and Syslog traffic in an IPSec tunnel.
E. Use SNMP version 2.
F. Use TFTP version 3 or above because these versions support a cryptographic authentication mechanism between
peers.
Answer: BCD

QUESTION 41
Based on the information provided above, which peer authentication method and which IPSEC mode is used to connect to the branch locations? (Select two)
A. Digital Certificate
B. GRE/IPSEC Transport Mode
C. Transport Mode
D. GRE/IPSEC Tunnel Mode
E. Tunnel Mode
F. Pre-Shared Key
Answer: EF
Section: (none)

QUESTION 42
Based on the information provided above, which IPSec rule is used for the enterprise branch and what does it define? (Select two)
A. IP traffic sourced from 10.10.10.0/24 destined to 10.8.28.0/24 will use the VPN.
B. 127
C. IP traffic sourced from 10.10.10.0/24 destined to 10.5.15.0/24 will use the VPN.
D. IP traffic sourced from 10.10.10.0/24 destined to 10.5.33.0/24 will use the VPN.
E. 102
F. 116
Answer: AF
Section: (none)






Remote Hybrid and Office work