Ответы на курс: Межсетевые экраны
В сети демилитаризованной зоны (DMZ) должны располагаться
Выберите правильное утверждение
Одна из причин, по которой коммутаторы не должны использоваться для предоставления каких-либо возможностей межсетевого экрана
Основное свойство коммутаторов (выберите самое точное определение, один ответ)
Политика безопасности – это (выберите самое точное определение, один ответ)
Основные классы атак на передаваемые по сети данные
Повторное использование перехваченного ранее сообщения называется
Под DoS-атакой понимается
Модификация передаваемого сообщения называется
Что не относится к атаке сканирования
При DoS-атаках наводнения
Атака называется пассивной, если
Разновидности DoS-атак
Механизм безопасности – это (выберите самое точное определение, один ответ)
Под reply-атакой понимается
Что не относится к replay-атаке
DoS-атаки шквальной эксплуатации
При разработке политики безопасности главное, что должен определить собственник информационных активов (один ответ)
Невозможность получения сервиса законным пользователем называется
Атака «man in the middle» является
При анализе производительности межсетевого экрана следует определить
Что из перечисленного всегда является уязвимостью
Под безопасностью информационной системы понимается
Сканирование сети
Что не относится к понятию «оборона в глубину»
Атака сканирования является разновидностью
Что понимают под «обороной в глубину»
Что не относится к сервисам безопасности
Активной называется такая атака, при которой
Риск — это
Атаки сканирования
Авторизация — это
Возможные стратегии управления рисками
В случае принятия риска необходимо
Централизованное управление идентификационными и аутентификационными данными имеет следующие преимущества
Аутентификация – это
При управлении доступом на уровне файловой системы для разграничения доступа используются
Использование третьей доверенной стороны необходимо для
Что из перечисленного относится к сервисам безопасности
Доступность — это
Идентификация – это
Под угрозой понимается
Идентификация пользователя дает возможность вычислительной системе
Управление доступом или авторизация означает
Сервис, который обеспечивает невозможность несанкционированного просмотра данных, называется
В системах управления доступом объектом может быть
При возникновении инцидента, связанного с информационной безопасностью, самое главное, что необходимо иметь
Целостность – это
Анализ рисков включает
Конфиденциальность – это
Сервис, который обеспечивает невозможность несанкционированного изменения данных, называется
В качестве аутентификации пользователя могут использоваться
Отчетность включает
Что из перечисленного не относится к механизмам безопасности
Многофакторная аутентификация означает
Основные компоненты управления доступом
Участниками аутентификационного процесса могут быть
Сервис, который гарантирует, что информация получена из законного источника и получателем является тот, кто нужно, называется
Технология VLAN не позволяет
Использование технологии VLAN позволяет
Если нет коммутатора с поддержкой VLAN, но необходимо создать VLAN для разграничения трафика
Гибкость технологии VLAN означает
VLAN ID – это
Если физический Ethernet-порт маршрутизатора соединен с неуправляемыми коммутаторами или другим оборудованием без поддержки VLAN (например, с рабочими станциями пользователей)
Канал между маршрутизатором и коммутатором с поддержкой стандарта 802.1Q, по которому передается трафик всех vlan-сетей, называется
Если к маршрутизатору подключены коммутаторы или другие устройства (например, рабочие станции пользователей), не поддерживающие технологию VLAN
При использовании технологии VLAN на основе Port-based VLAN
При использовании технологии VLAN
Стандарт IEEE 802.1Q определяет
При использовании VLAN на основе портов
Широковещательными пакетами называются пакеты, у которых
VLAN-трафик называется
Uplink-порт коммутатора, который соединен с межсетевым экраном и через который должен передаваться vlan-трафик, создается как
Порт коммутатора, к которому подключена рабочая станция, не поддерживающая технологию VLAN, создается как
Технология VLAN описана в стандарте
Технология, используемая на маршрутизаторе для создания vlan-сетей, при подключении устройств без поддержки стандарта 802.1Q, называется
Уменьшение количества хостов в широковещательном домене необходимо
При использовании технологии VLAN повышается безопасность, так как
VLAN создается
Широковещательным доменом называется
Технология VLAN обладает следующими характеристиками
При использовании VLAN увеличение пропускной способности происходит благодаря тому, что
Технология VLAN позволяет
Если физический Ethernet-порт маршрутизатора соединен с коммутатором (обычно управляемым), который поддерживает стандарт 802.1Q VLAN
Виртуальной локальной сетью называется (vlan)
Широковещательные пакеты передаются
Технология VLAN обладает следующими характеристиками
При использовании межсетевого экрана предполагается, что
Адреса сетевого уровня называются
Состояние ТСР-соединения LISTEN
Анализ состояния в пакетном фильтре означает
Прикладной уровень модели OSI
Конец ТСР-соединения может быть
Тип межсетевого экрана определяется
Лучшей политикой по умолчанию для межсетевого экрана считается
Транспортный уровень модели OSI
Основное назначение межсетевого экрана состоит в том, чтобы (выберите самое точное определение, один ответ)
Выберите правильные утверждения
Адреса канального уровня называются
Состояние ТСР-соединения ESTABLISHED
Сессия транспортного уровня — это
Пакетные фильтры с поддержкой состояния
Сокетом называется
Инициализация ТСР-соединения выполняется
Инициатором закрытия ТСР-соединения может быть
Под термином «сетевой периметр» понимают
Пакетный фильтр сравнивает параметры заголовка пакета со своим набором правил. После этого
При установлении ТСР-соединения
Межсетевые экраны для веб-приложений располагают
Отличия выделенного прокси-сервера от прикладных прокси-шлюзов
Прокси-сервер может быть
Прокси-шлюзов прикладного уровня
Под унифицированным управлением угрозами (Unified Threat Management – UTM) понимают
Недостатки межсетевых экранов прикладного уровня
Прокси-сервер не может быть
Персональные межсетевые экраны для настольных компьютеров и ноутбуков
Персональные межсетевые экраны для настольных компьютеров и ноутбуков являются
Межсетевой экран на основе приложения имеет следующие особенности
Межсетевые экраны прикладного уровня
При использовании прокси-шлюзов прикладного уровня
При использовании унифицированного управления угрозами проверка жизнеспособности обычно состоит в следующем
Под глубоким анализом пакета (deep packet inspection) понимают
Недостатки использования системы унифицированного управления угрозами
Межсетевые экраны прикладного уровня не могут
Ограниченность анализа межсетевого экрана
Межсетевые экраны прикладного уровня могут
Прокси-шлюзы прикладного уровня (выберите самое точное определение, один ответ)
Персональные межсетевые экраны для настольных компьютеров и ноутбуков устанавливаются
Недостатки межсетевых экранов прикладного уровня
Преимущества использования системы унифицированного управления угрозами
Под «управлением доступом в сеть (Network Access Control – NAC)» понимают
Межсетевые экраны для веб-приложений
Межсетевые экраны прикладного уровня
Общие свойства прокси-шлюзов прикладного уровня и межсетевых экранов прикладного уровня
Выделенные прокси-серверы предназначены для того, чтобы обрабатывать трафик
Существует необходимость в межсетевых экранах для виртуальных инфраструктур, так как
Технология UPnP, которая позволяет приложению, установленному на компьютере за межсетевым экраном, автоматически запрашивать у межсетевого экрана открытие определенных портов
Предпочтительная последовательность этапов внедрения межсетевого экрана
Взаимное расположение прокси-сервера и традиционного межсетевого экрана прикладного уровня
Выходное фильтрование необходимо, так как
Управление доступом в пакетном фильтре осуществляется на основании
Политика по умолчанию для всего трафика должна быть
На границе сетевого периметра
При осуществлении атаки IP Spoofing
Особенности Правил фильтрования для протокола IPv6
Для фильтрования IPv6 межсетевые экраны должны обладать следующими возможностями
Блокирование всего ICMP-трафика
Межсетевые экраны, расположенные на границе сетевого периметра
Для прохождения трафика прикладных серверов следует учитывать, что
Политика межсетевого экрана должна
Проверка доступности с интерфейса, на который пришел данный пакет IP-адреса источника
Для фильтрования IPv6 межсетевые экраны должны обладать следующими возможностями
Входящий трафик, IP-адресом получателя в котором является сам межсетевой экран
Правило доступа по умолчанию
Для фильтрования IPv6 межсетевые экраны должны обладать следующими возможностями
При осуществлении атаки IP Spoofing
Для того, чтобы пакетный фильтр пропустил определенный трафик, следует указать следующее действие
Особенности Правил фильтрования для протокола IPv6
Межсетевые экраны, расположенные на границе сетевого периметра
Определение экстранет
Примеры IP-адресов, которые не должны появляться в пакетах
На границе сетевого периметра следует
Особенности NAT-пулов типа Fixed
Использование GRE-туннеля для соединения двух локальных сетей через магистральную сеть
Маршрутизатор NAT
При использовании Двунаправленного (Two-Way) NAT
Отличия двойного NAT от традиционного и двунаправленного NAT
NAT используется
Двойной NAT необходим,
Завершение ТСР-сессии
Прохождение NAT может вызывать трудности, если
Начало сессия, отслеживаемое NAT, и начало ТСР-сессии
Маршрутизатор NAT
Сессия, отслеживаемая NAT, и прикладная сессия
Двойной NAT является вариантом NAT, который
Преимущества NAT-пулов типа Fixed
Понятие сессии в NAT
Трансляция сетевых адресов (NAT) позволяет
Свойства NAT-пула типа Stateless
Традиционный (или исходящий) NAT
Недостатки NAT-пула типа Stateless
В магистральных (Backbone), разделенных на сегменты частных сетях использование NAT
Свойства NAT-пула типа Stateful
Необходимость поддержки FTP маршрутизаторами NAT связано с тем, что
Анализ логов при использовании маршрутизатора NAT
Основные принципы, которым необходимо следовать при разработки окружения межсетевого экрана
Какие из перечисленных веб-серверов следует расположить во внешней DMZ
Сетевой уровень, на котором функционируют коммутаторы
Какие из перечисленных серверов Вы расположили бы во внешней DMZ
Определение и реагирование на инциденты безопасности
Компоненты логической сетевой инфраструктуры
На аппаратном межсетевом экране интерфейс, маркированный как dmz, обладает свойствами
Service Leg конфигурация межсетевого экрана должна иметь как минимум
Выберите наиболее оптимальное окружение межсетевого экрана
Типичная ситуация, когда требуется несколько уровней межсетевых экранов
Определение интранет
Между DMZ и ISP следует установить
Встроенный в ОС межсетевой экран по сравнению с аппаратным межсетевым экраном обеспечивает
Развертывание межсетевого экрана
Если в организации есть веб-сервер для внешних пользователей и веб-сервер для получения информации своими сотрудниками, то оптимальным количеством DMZ является
При анализе возможностей управления межсетевым экраном следует определить
Аббревиатура DMZ расшифровывается как
При анализе назначения межсетевого экрана следует определить
Выберите правильное утверждение
IDS могут быть реализованы
Преимущества application-based IDS
При определении аномалий
При определении злоупотреблений
Недостатками методики определения аномалий являются
Выберите правильное утверждение
Недостатками методики определения злоупотреблений являются
Выберите правильное утверждение
Какие ответные действия IDS относятся к активным
При использовании IDS
Преимущества host-based IDS
Недостатки host-based IDS
Недостатки application-based IDS
Недостатки host-based IDS
Преимущества application-based IDS
Преимущества использования IDS
Допустимые активные ответы IDS
IDS может обеспечивать следующие возможности
Преимущества network-based IDS
Недостатки network-based IDS
Причины, по которым необходимо использовать IDS
По скорости обработки событий IDS делятся на
Преимущества host-based IDS
При выборе IDS следует учитывать
Преимущества анализа состояния протокола
Причины, по которым необходимо использовать IDS
Возможные технологии определения аномалий
Последовательность действий при анализе уязвимостей
IDPS хорошо выполняют следующие функции
Системы анализа уязвимостей используются
IDPS хорошо выполняют следующие функции
Инструментальные средства проверки целостности файлов позволяют определить
Разница между системами анализа уязвимостей и системами обнаружения проникновения
Метод анализа создаваемых объектов в network-based анализаторах уязвимостей состоит в том, что
Преимуществом расположения сенсоров network-based IDS позади внешнего межсетевого экрана является
IDS обычно определяют следующие типы атак
Общие свойства системам анализа уязвимостей и системам обнаружения проникновения
Метод тестирования ошибок (exploit’ов) в network-based анализаторах уязвимостей состоит в том, что
Методы, используемые network-based системами анализа уязвимостей для оценки уязвимостей
К ограничениям IDPS относятся
Преимущества систем анализа уязвимостей
По способу управления IDРS бывают
К ограничениям IDPS относятся
Преимущества систем анализа уязвимостей
К ограничениям IDPS относятся
Недостатки и проблемы систем анализа уязвимостей
Преимуществом расположения сенсоров network-based IDS на основной магистральной сети является
Записи Routing Rules
Если в таблице доступа (Access Rules) нет ни одного правила доступа, или не найдено соответствие параметров пакета ни одному из правил доступа, то в выбранной в соответствии с правилами маршрутизации (Routing Rules) таблице маршрутизации осуществляется поиск маршрута к IP-адресу источника. Если такой маршрут не найден, то
Приоритеты шейпинга трафика, вводимые NetDefendOS
Шейпинг реализован в NetDefendOS с помощью следующих механизмов
Шейпинг трафика может применяться
В NetDefendOS определены следующие компоненты, с помощью которых задается шейпинг трафика
Термин сущность (entity) часто лучше подходит для обозначения предъявителя идентификации, чем термин пользователь, так как
Межсетевые экраны регулируют поток сетевого трафика между сетями или хостами
Атака IP Spoofing состоит в том, что
В политике пакетного фильтра определено понятие
Особенности Правил фильтрования для протокола IPv6
При использовании NAT необходим шлюз прикладного уровня (ALG), если
Multihomed NAT означает, что
Методы network-based анализа уязвимостей
К ограничениям IDPS относятся
Если в альтернативной таблице маршрутизации параметр Ordering установлен в значение Default, и ни в таблице main, ни в альтернативной таблице не найден маршрут с сетью назначения, отличной от all-nets (0.0.0.0/0), то
Параметр Ordering альтернативной таблицы определяет
Подсистема шейпинга трафика в NetDefendOS
Правило каналов в NetDefendOS определяет
Межсетевые экраны являются (выберите самое точное определение, один ответ)
Маршрутизация на основе правил (Policy-based Routing – PBR) предоставляет следующие возможности
Шейпингом трафика (traffic shaping) называется
В определении шейпинга канал является объектом, с помощью которого задаются возможные приоритеты трафика, используемые для
Проверка доступности IP-адреса источника с входящего интерфейса выполняется следующим образом.
Выберите правильное утверждение