Внимание ! Вопросы к тесту выложены исключительно в ознакомительных целях: количество вопросов может не совпадать с действительным, актуальность не поддерживается,- за решением теста Welcome to the cashier! Тип firewall'а определяется:
уровнем модели OSI, заголовки которого он анализирует ОС, на которой установлен firewall производительностью firewall'а
Управление доступом в пакетном фильтре осуществляется на основании:
множества формул множества аккаунтов пользователей множества правил
Для того чтобы пакетный фильтр отбросил определенный трафик без оповещения об этом источника, следует указать следующее действие:
discard deny reject
Прокси прикладного уровня могут:
выполнять аутентификацию пользователя автоматически распознавать новые протоколы выполнять авторизацию пользователя
Stateful Inspection firewall'ы являются пакетными фильтрами, которые:
анализируют логин и пароль пользователя анализируют транспортный уровень модели OSI анализируют прикладной уровень модели OSI
Управление доступом в пакетном фильтре осуществляется на основании:
адреса источника адреса назначения аккаунта и пароля пользователя
Управление доступом в пакетном фильтре осуществляется на основании:
типа трафика порта источника порта назначения
Выделенные прокси-серверы предназначены для того, чтобы обрабатывать трафик:
конкретного уровня модели OSI конкретного прикладного протокола конкретного пользователя
администрирование firewall'а должно осуществляться только через интерфейс командной строки администрирование firewall'а должно осуществляться только через графический интерфейс пользователя администрирование firewall'а может осуществляться как через интерфейс командной строки, так и через графический интерфейс пользователя
Выберите правильное утверждение:
администрирование firewall'а должно всегда выполняться по защищенному каналу администрирование firewall'а из Интернета должно всегда выполняться по защищенному каналу с использованием строгой аутентификации администрирование firewall'а должно всегда выполняться с использованием строгой аутентификации
Какие из перечисленных серверов Вы расположили бы во внешней DMZ?
сервер базы данных почтовый сервер аутентификационный сервер
Основные принципы, которым необходимо следовать при разработке окружения firewall'а:
необходимо сделать окружение firewall'а максимально простым необходимо сделать окружение firewall'а максимально сложным необходимо предусмотреть дополнительные инструментальные средства обеспечения безопасности
Выберите наиболее оптимальное окружение firewall'а:
конечные точки VPN совмещены с firewall'ом конечные точки VPN расположены за firewall'ом конечные точки VPN расположены перед firewall'ом
Если в организации есть web-сервер для внешних пользователей и web-сервер для получения информации своими сотрудниками, то оптимальным количеством DMZ является:
одна DMZ две DMZ три DMZ
В сети демилитаризованной зоны (DMZ) должны располагаться:
рабочие станции пользователей серверы, которые должны быть доступны из Интернета серверы, содержащие наиболее чувствительные данные
Firewall всегда должен иметь:
один интерфейс ровно два интерфейса два или более интерфейсов
Встроенный в ОС firewall обеспечивает:
лучшую защиту лучшую масштабируемость лучшую производительность
В ОС FreeBSD IPF является:
пакетным фильтром без поддержки возможности stateful inspection пакетным фильтром c поддержкой возможности stateful inspection прокси прикладного уровня
Для использования NAT в IPFW необходимо откомпилировать ядро с опцией:
IPFIREWALL IPFIREWALL_DEFAULT_TO_ACCEPT IPDIVERT
В IPFW действие check-state означает:
создание динамического правила для отслеживания правильности создания ТСР-соединения выполнение проверки пакета в таблице динамических правил выполнение трансляции сетевых адресов
В IPFW критерий выбора keep-state означает:
создание динамического правила для отслеживания правильности создания ТСР соединения выполнение проверки пакета в таблице динамических правил выполнение трансляции сетевых адресов
NAT предназначен для:
отслеживания состояния ТСР-сессии отображения IP адреса хоста в Интернете в IP адрес пакетного фильтра отображения IP адреса хоста в локальной сети в IP адрес пакетного фильтра
В ОС FreeBSD пакетный фильтр PF портирован из:
ОС Linux OC Solaris OC OpenBSD
В IPF опция quick означает, что:
для любого пакета данное правило является последним проверяемым правилом если пакет соответствует параметрам выбора, то данное правило является последним проверяемым правилом если пакет соответствует параметрам выбора, пакет отбрасывается
В IPFW, если информация в пакете соответствует параметрам, указанным в правиле, то:
выполняется дальнейший поиск до следующего правила, которому соответствует пакет поиск всегда прекращается существуют правила, после которых поиск будет прекращен, и существуют правила, после которых поиск будет продолжен
В IPFW, если информация в пакете соответствует параметрам, указанным в правиле, то:
пакет отбрасывается пакет пропускается через пакетный фильтр выполняется указанное в правиле действие
Опция ядра IPFW IPFIREWALL_VERBOSE_LIMIT предназначена для:
ограничения количества выводимых на экран администратора сообщений ограничения количества выводимых в утилиту syslogd записей ограничения количества используемых правил
В IPF, если включена функция NAT и пакет поступает в пакетный фильтр из локальной сети с адресом получателя в Интернете, пакет обрабатывается в следующей последовательности:
сначала пакет пропускается через правила фильтрации для исходящего трафика, затем - через правила NAT сначала пакет пропускается через правила NAT, затем - через правила фильтрации для исходящего трафика сначала пакет пропускается через правила фильтрации для входящего трафика, затем - через правила NAT
В IPF, если включена функция NAT и пакет поступает в пакетный фильтр из Интернета с адресом получателя в локальной сети, пакет обрабатывается в следующей последовательности:
сначала пакет пропускается через правила фильтрации для исходящего трафика, затем - через правила NAT сначала пакет пропускается через правила NAT, затем - через правила фильтрации для входящего трафика сначала пакет пропускается через правила фильтрации для входящего трафика, затем - через правила NAT
Преимущества network-based IDS:
network-based IDS имеют возможность анализировать зашифрованную информацию network-based IDS имеют сравнительно небольшое влияние на производительность сети network-based IDS не зависят от того, используются ли в сети концентраторы или коммутаторы
Преимущества host-based IDS:
host-based IDS имеют небольшое влияние на производительность сети host-based IDS часто могут функционировать в окружении, в котором сетевой трафик зашифрован host-based IDS могут быть сделаны более прозрачными, чем network-based IDS
При определение злоупотреблений:
анализируются события на соответствие некоторым образцам, называемым "сигнатурами атак" анализируются события для обнаружения неожиданного поведения анализируется частота возникновения некоторого события
Недостатками методики определения аномалий являются:
хуже, по сравнению с определением злоупотреблений, обнаруживают неожиданное поведение пользователя создают большое количество ложных срабатываний требуют частого обновления базы данных сигнатур атак
Инструментальные средства проверки целостности файлов позволяют определить:
нарушение авторизации пользователей размещение Троянских программ подмененные системные файлы
Недостатки network-based IDS:
network-based IDS существенно снижают производительность сети при расположении network-based IDS следует учитывать наличие коммутаторов в сети network-based IDS не могут анализировать зашифрованную информацию
При определении аномалий:
анализируется частота возникновения некоторого события анализируются различные статистические и эвристические метрики анализируется исключительно интенсивность трафика
Системы анализа уязвимостей используются:
для создания "моментального снимка" состояния безопасности системы как альтернатива IDS, полностью заменяя ее как альтернатива firewall'ам, полностью заменяя их
По скорости обработки событий IDS делятся на:
пакетные удаленные реального времени
Недостатки host-based IDS:
host-based IDS должны учитывать, что в сети присутствуют коммутаторы host-based IDS не могут быть более прозрачными, чем network-based IDS host-based IDS лучше, чем network-based IDS, определяют атаки сканирования
Преимуществом расположения сенсоров network-based IDS на основном сетевом backbone'е является:
могут определять внутренние атаки видят атаки, целями которых являются сервера, расположенные в DMZ определяют атаки, целями которых являются критичные системы и ресурсы
IDS обычно определяют следующие типы атак:
таки сканирования атаки "man-in-the-middle" Replay-атаки
IDS может обеспечивать следующие возможности:
возможность определения внешних угроз возможность шифрования трафика возможность фильтрации трафика
Выберите правильное утверждение:
IDS не требуют частых обновлений IDS часто имеют большое количество ложных срабатываний IDS, как правило, плохо масштабируются на большие распределенные сети
Honey Pot предназначены для того, чтобы:
расположить там наиболее чувствительные системы отвлечь нарушителя от реальной системы, заставив его атаковать ложную расположить там серверы, доступные из Интернета
не зависят от наличия коммутаторов видят внешние атаки, которые смогли проникнуть через оборону сетевого периметра могут анализировать зашифрованную информацию
IDS обычно определяют следующие типы атак:
DoS-атаки атаки сетевого прослушивания атаки проникновения в систему
При выборе IDS следует учитывать:
ценность защищаемых информационных ресурсов количество пользователей, подключенных к локальной сети загруженность сети
IDS может обеспечивать следующие возможности:
возможность аутентификации пользователей возможность сканирования портов возможность определения внутренних угроз
Выберите правильное утверждение:
IDS являются аналогом политики безопасности предприятия IDS могут компенсировать уязвимости сетевых протоколов IDS могут являться доказательством осуществления атаки
По наличию информации о тестируемой системе инструментальные средства анализа уязвимостей делятся на:
средства с использованием credential'ов и без использования средства с использованием базы данных сигнатур атак и без использования средства с использованием информации о топологии сети и без использования
Преимуществом расположения сенсоров network-based IDS перед внешним firewall'ом является:
определяют и документируют все атаки, исходящие из Интернета не влияют на производительность сети предотвращают атаки, исходящие из Интернета
Выберите правильное утверждение:
IDS могут заменить аутентификацию пользователей IDS могут заменить управление доступом пользователей IDS могут обнаружить неправильное управление доступом пользователей
Сервис DNS предназначен для:
преобразования IP-дресов в МАС-адреса преобразования IP-адресов в доменные имена преобразования доменных имен в IP-адреса
Результатом неправильного делегирования будет:
недоступность дочерней зоны нарушение конфиденциальности дочерней зоны нарушение целостности дочерней зоны
Дрейф зоны означает:
несоответствие между данными зоны в первичном и вторичном name-серверах несоответствие между данными конфигурационных файлов в первичном и вторичном name серверах неправильные данные в ответах DNS
К stub resolver'у для разрешения имен обращаются следующие типы ПО:
прикладные программы, которым необходим сервис разрешения имен авторитетные name серверы, которые не содержат запрошенной записи кэширующие name серверы, в кэше которых нет запрошенной записи
Для конфигурационного файла DNS требуются следующие сервисы безопасности:
обеспечение конфиденциальности конфигурационного файла обеспечение целостности конфигурационного файла обеспечение аутентификации при доступе к конфигурационному файлу
Выберите правильное утверждение:
зонная пересылка требует столько же сетевых ресурсов, что и транзакции запросов и ответов DNS зонная пересылка требует меньше сетевых ресурсов, чем транзакции запросов и ответов DNS зонная пересылка требует больше сетевых ресурсов, чем транзакции запросов и ответов DNS
Для динамических обновлений существуют следующие угрозы:
возможность неавторизованной модификации зонного файла возможность осуществления replay-атаки возможность нарушения конфиденциальности данных зонного файла
Списки управления доступом в конфигурационном файле name сервера создаются для:
удобства администратора обеспечения ограничений доступа к конфигурационному файлу name сервера обеспечения конфиденциальности информации в конфигурационном файле name сервера
Утверждение allow-transfer может быть указано внутри утверждения:
options zone blackhole
При использовании TSIG для защиты транзакций общий разделяемый секрет указывается:
в конфигурационном файле каждого участника в зонном файле каждого участника в отдельном файле в файловой системе каждого участника
Для запросов и ответов DNS существуют следующие угрозы:
возможен поддельный или выдуманный ответ возможна неавторизованная модификация данных зонного файла возможно удаление некоторых ресурсных записей из ответа
Для ограничения раскрытия информации через зонные файлы следует:
использовать split DNS использовать различные name серверы для внутренних серверов и серверов в DMZ выполнять ПО name сервера от имени непривилегированного пользователя
Ограничение участников транзакций на основе IP адреса имеет следующие недостатки:
для указания участников необходимо знать их IP адреса, а не доменные имена нельзя указать подсеть возможна подделка IP адресов
Для защиты транзакций с использованием TSIG участники должны:
разделять общий секрет знать открытые ключи друг друга отправитель должен иметь закрытый ключ, а получатель - открытый ключ отправителя
Общий разделяемый секрет пересылается на участвующие в транзакциях серверы:
с использованием общих транзакций DNS с использованием специальных транзакций DNS внешними по отношению к DNS способами
В утверждении allow-query указывается список хостов, которым разрешено:
выполнять зонную пересылку запрашивать конкретную зону запрашивать весь сервер целиком
Время создания TSIG RR указывается для того, чтобы:
отправитель и получатель могли синхронизовать свои часы предотвратить replay-атаки получатель знал период действительности TSIG RR
Ограничение привилегий при выполнении ПО name сервера означает:
ограничение функциональных возможностей name сервера выполнение ПО name-сервера от имени непривилегированного пользователя возможность доступа ПО name сервера только к указанным каталогам файловой системы ОС
Выберите верное утверждение:
при использовании TSIG для каждой пары серверов должен всегда создаваться свой ключ при использовании TSIG для всех серверов всегда используется один и тот же ключ при использовании TSIG рекомендуется для каждой пары серверов создавать свой ключ
При проверки подписи зоны данная подпись находится:
в полученном ответе в зонном файле в каталоге LDAP
Тип ресурсной записи DS (Delegation Signer) предназначен для:
указания name-серверов дочерней зоны выполнения проверки подлинности открытых ключей дочерней зоны указания IP адресов дочерней зоны
Ключ KSK предназначен для:
подписывания открытого ключа родительской зоны подписывания открытого ключа, соответствующим закрытым ключом которого подписываются ресурсные записи в данной зоне подписывания открытого ключа дочерней зоны
Выберите правильное утверждение:
ключ ZSK используется чаще, чем ключ KSK, в операциях подписывания ключи ZSK и KSK в операциях подписывания используются одновременно ключ ZSK используется реже, чем ключ KSK, в операциях подписывания
При плановом обновлении ключа ZSK в локально безопасной зоне следует:
заранее добавить открытый ключ из новой пары в зонный файл заранее переслать открытый ключ из новой пары в родительскую зону заранее подписать зону новым открытым ключом
Тип ресурсной записи RRSIG содержит:
цифровую подпись и связанную с ней информацию для некоторого типа ресурсной записи открытый ключ, соответствующий закрытому ключу, которым подписаны ресурсные записи данной зоны открытый ключ дочерней зоны
Выберите правильное утверждение:
ключ KSK меняется чаще, чем ключ ZSK ключи KSK и ZSK меняются одновременно ключ KSK меняется реже, чем ключ ZSK
При плановом обновлении ключа KSK в глобально безопасной зоне следует:
заранее добавить открытый ключ из новой пары в зонный файл заранее переслать открытый ключ из новой пары в родительскую зону заранее подписать зону новым открытым ключ
Доверие к открытому ключу зоны устанавливается:
с помощью посылки цепочки сертификатов вместе с ответом из подписанной зоны с помощью построения доверенной цепочки, используя иерархию доменных имен DNS с помощью получения доверенной цепочки из каталога LDAP
При создании глобально безопасной зоны дополнительно следует выполнить:
безопасную пересылку открытого ключа KSK зоны своей дочерней зоне безопасную пересылку открытого ключа KSK зоны своей родительской зоне безопасную пересылку открытого ключа KSK зоны в каталог LDAP
Цифровая подпись, созданная для ресурсных записей зонного файла, хранится:
в специальном файле в специальной ресурсной записи в специальной базе данных
Выберите правильное утверждение:
компрометация ключа ZSK сильнее влияет на безопасность, чем компрометация ключа KSK компрометация ключа KSK сильнее влияет на безопасность, чем компрометация ключа ZSK компрометация ключей KSK и ZSK в одинаковой степени влияет на безопасность
Ключ KSK:
посылается родительской зоне для создания аутентифицированного делегирования посылается дочерней зоне для создания аутентифицированного делегирования посылается в каталог LDAP для создания аутентифицированного делегирования
Выберите правильное утверждение:
администратор DNS может обновить компрометированный ключ ZSK более быстро, чем компрометированный ключ KSK при компрометации ключа ZSK достаточно создать новую пару ключей и переподписать зону при компрометации ключа KSK достаточно создать новую пару ключей и переподписать ключи ZSK данной зоны
Основные принципы, которыми нужно руководствоваться при обеспечении безопасности web-сервера:
не следует использовать свободно распространяемые программы если произошел сбой, то лучше потеря функциональности, чем потеря безопасности следует использовать принцип разделения привилегий как для пользователей, так и для систем.
Обеспечение безопасности лежащей в основе ОС означает:
удаление всех ненужных сетевых сервисов удаление всех аккаунтов, кроме уровня root или Администратор удаление всех инструментальных средств разработки
Средствами ОС следует предоставить доступ уровня root (Администратор) к файлам, содержащим:
логи сервера и файлы системного аудита JSP страницы web сервера системное ПО и его конфигурационные файлы
Недопустимость переходов по ссылкам для ПО web-сервера помогает предотвратить:
DoS-атаки неавторизованный доступ неаутентифицированный доступ
При первом использовании программы проверки целостности следует гарантировать, что:
все пользователи системы аутентифицированы все данные системы корректны все исполняемые программы корректны
ПО web-сервера должно выполняться от имени пользователя:
root (Администратор) guest аккаунт с ограниченными правами, созданный специально для web-сервера
Средствами ОС следует предоставить доступ уровня root (Администратор) к файлам, содержащим:
скрипты на JavaScript авторизационную информацию, используемую при управлении доступом криптографический материал ключа
Активным содержимым на стороне клиента являются:
интерактивные элементы, обрабатываемые клиентом (web-браузером) интерактивные элементы, создающие HTML страницы на стороне сервера интерактивные элементы HTML, с помощью которых сервер может получать информацию клиента
Модель безопасности ActiveX основывается на:
изолировании памяти и методов доступа в отдельных sandbos'ах использовании web-браузера в качестве окружения использовании цифровой подписи и сертификатов для гарантирования отсутствия опасного кода
Java Servlets:
является языком на стороне сервера, встроенным в HTML-страницы является языком на стороне сервера; жизненным циклом сервлетов управляет сервер является языком на стороне сервера, имеющим свою собственную модель безопасности, которая отличается от модели безопасности ОС
наличия в них тега <form> наличия в них тегов, которые могут привести к выполнению программы на стороне клиента наличия в них cookies
Необходимость отфильтровывать символы во входных данных, полученных из <form>, вызвана тем, что:
пользователь может попытаться выполнить какие-либо программы на хосте web-сервера и в приложениях, к которым общается web сервер пользователь может попытаться указать сразу несколько логинов и паролей, чтобы пройти аутентификацию пользователь может попытаться подделать логин и пароль, чтобы пройти аутентификацию
Выберите правильную упорядоченность технологий по возрастанию степени рисков:
является языком на стороне сервера, встроенным в HTML страницы является языком на стороне сервера; жизненным циклом программ на SSI управляет сервер является языком на стороне сервера, имеющим свою собственную модель безопасности, которая отличается от модели безопасности ОС
Cookies представляют собой небольшой блок информации, который:
записывается на сервере для того, чтобы обеспечить поддержку состояния записывается на диск клиента для того, чтобы обеспечить поддержку состояния пересылается от клиента к серверу для выполнения аутентификации клиента
Для генераторов содержимого на стороне сервера следует:
для данных формы определить список допустимых символов и отфильтровывать все остальные символы не использовать cookies для поддержки состояния использовать полные имена пути при вызове внешних программ
Кодировка набора символов должна быть явно указана на каждой странице, чтобы:
проще было отфильтровать последовательность байтов, означающих специальные символы для данной схемы кодирования нельзя было вставить последовательность байтов, означающих специальные символы для различных схем кодирования нельзя было вставить последовательность байтов, означающих специальные символы для данной схемы кодирования
При DIGEST-аутентификации может выполняться аутентификация:
клиента сервера и того, и другого
При BASIC-аутентификации в качестве аутентификатора используется:
определения и предотвращения атак, осуществляемых по протоколу SMTP определения и предотвращения атак, осуществляемых по протоколу НТТР определения и предотвращения атак, осуществляемых на уровне протокола IPопределения и предотвращения атак, осуществляемых на уровне протокола IP
Действие может быть:
задано по умолчанию указано для каждого правила наследовано из родительского контекста
Первичными действиями являются:
deny status pass
При DIGEST-аутентификации в качестве аутентификатора используется:
импорт единственного правила из родительского контекста импорт всех правил из родительского контекста импорт всех правил в дочерние контексты
Выберите правильное выражение:
в фильтре может быть только одно первичное действие в фильтре может быть только одно вторичное действие в фильтре может быть любое число первичных действий в фильтре может быть любое число вторичных действий
При BASIC-аутентификации может выполняться аутентификация:
клиента сервера и того, и другого
Защиту публичного web-сервера от атак из Интернета должен выполнять:
пакетный фильтр firewall прикладного уровня IDS
Выберите правильное утверждение:
network-based IDS не могут анализировать SSL/TLS-трафик host-based IDS используются только для тех web-серверов, на которых установлен SSL/TLS если на web-сервере установлен SSL/TLS, то оптимальнее использовать host-based IDS
Преимущества полного backup'а по сравнению с инкрементальным в том, что:
он быстрее выполняется его проще восстановить при сбоях более надежное восстановление
Необходимость полной переинсталляции ОС и всего ПО зависит от:
изолированности web-сервера от локальной сети организации уровня доступа, который получил атакующий нанесенных повреждений
Создание логов необходимо для того, чтобы:
определить загруженность web-сервера отследить деятельность атакующего определить наиболее часто используемые страницы
Хостинг web сервера во внешней организации имеет преимущества:
DoS-атаки, направленные на web-сервер, не воздействуют на сеть предприятия на web-сервер не могут влиять атаки, направленные на другие web серверы, которые размещены в той же самой сети web-сервер имеет более быстрое подключение к интернет
Частота выполнения backup'а web сервера зависит от:
уровня угроз для web-сервера частоты изменения информации на web-сервере необходимости поддерживать SSL/TLS соединения
При удаленном администрировании необходимо:
разрешать доступ только из локальной сети использовать безопасные протоколы разрешать доступ только из демилитаризованной зоны
При динамических обновлениях производится редактирование информации:
в зонном файле в конфигурационном файле в кэше кэширующего name-сервера
Наследование фильтров в ModSecurity предназначено для того, чтобы:
можно было не указывать фильтры во вложенных контекстах Apache можно было не указывать фильтры во вложенных конфигурационных файлах ModSecurity можно было не указывать фильтры во внешних контекстах
В ОС FreeBSD IPFILTER является:
пакетным фильтром без поддержки возможности stateful inspection пакетным фильтром c поддержкой возможности stateful inspection прокси прикладного уровня
Для ликвидации угроз, связанных с запросами и ответами DNS, следует обеспечить:
application-based IDS лучше защищены от атак, направленных на хост, чем network-based или host-based IDS application-based IDS меньше влияют на производительность системы, чем host-based IDS application-based IDS, как правило, могут лучше определить неавторизованное поведение пользователя
Firewall, блокирующий все порты, за исключением 80 и 443:
обеспечивает полную защиту web-сервера не влияет на безопасность web-сервера является только первой линией обороны web-сервера
К HTML страницам процессы web сервера должны иметь доступ по:
чтению записи выполнению
Выберите правильные утверждения:
firewall может анализировать несколько уровней модели OSI firewall может анализировать только прикладной уровень модели OSI firewall может анализировать только один уровень модели OSI
Для зонного файла требуются следующие сервисы безопасности:
обеспечение целостности зонного файла обеспечение конфиденциальности зонного файла обеспечение аутентификации при доступе к зонному файлу
Выберите правильное утверждение:
тестовый web-сервер должен находиться в той же подсети, что и производственный на тестовом web-сервере должно быть установлено такое ПО, что и на производственном тестовый web-сервер должен иметь такую же конфигурацию оборудования, что и производственный
Контрольные суммы, используемые при проверке целостности, следует вычислять заново при:
любой успешной атаки на web-сервер любой модификации программ любом запуске программ, создающих динамическое содержимое сайта
Вы можете обратится к нам напрямую, через:
По Skype: molodoyberkut По Telegram: @MolodoyBerkut По ICQ: 657089516