Внимание ! Вопросы к тесту выложены исключительно в ознакомительных целях: количество вопросов может не совпадать с действительным, актуальность не поддерживается,- за решением теста Welcome to the cashier! Какие понятия не определяют полностью политику безопасности
Административные меры, определяющие порядок доступа к рабочим станциям и серверам. Совокупность как административных мер, так и множества критериев для предоставления сервисов безопасности. Административные меры, определяющие порядок доступа в помещение. Множество коммутаторов и межсетевых экранов, используемых в организации.
При разработке политики безопасности главное, что должен определить собственник информационных активов
Атаки, которые возможны на информационные ценности. Информационные ценности, безопасность которых следует обеспечивать. Множество сервисов, которые не должны быть доступны посторонним. Множество файлов, доступ к которым должен быть запрещен.
Политика безопасности – это (выберите самое точное определение, один ответ)
Совокупность как административных мер, так и множества критериев для предоставления сервисов безопасности. Межсетевые экраны, используемые в организации. Совокупность административных мер, которые определяют порядок прохода в компьютерные классы. Множество критериев для предоставления сервисов безопасности.
Что из перечисленного может не являться уязвимостью
Ошибка в настройках маршрутизации. Слабое место в системе, с использованием которого может быть осуществлена атака. Ошибка в программном обеспечении. Ошибка в настройках межсетевого экрана.
Что из перечисленного всегда является уязвимостью
Слабое место в системе, с использованием которого может быть осуществлена атака. Отсутствие политики безопасности. Ошибка в программном обеспечении. Ошибка в настройках межсетевого экрана.
Что понимается под атакой на информационную систему
Действие или последовательность связанных между собой действий, использующих уязвимости данной информационной системы и приводящих к нарушению политики безопасности. Любое действие, нарушающее безопасность информационной системы. Исключительно несанкционированный доступ в систему. Использование ошибки в программном обеспечении.
Что не относится к сервисам безопасности
Выполнение аутентификации сервера. Используемые математические алгоритмы. Обнаружение и документирование проникновения. Предотвращение несанкционированного доступа.
Механизм безопасности – это (выберите самое точное определение, один ответ)
Программное и/или аппаратное средство, которое определяет и/или предотвращает атаку. Настройки программного обеспечения. Аппаратура, которая предотвращает несанкционированный доступ к файлам и программам. Настройки межсетевого экрана.
Сервис безопасности – это
Сервис, который обеспечивает взаимодействие с вышестоящей организацией. Сервис, который предотвращает несанкционированный доступ к файлам и программам. Сервис, который определяет осуществление атаки. Сервис, который обеспечивает задаваемую политикой безопасность информационных систем и/или передаваемых данных.
Причины, по которым необходимо создавать «оборону в глубину»
Сбой единственного используемого сервиса безопасности не должен означать, что нарушитель получает полный доступ в систему. Межсетевой экран не может быть конечной точкой VPN. Ни один из сервисов безопасности не может гарантировать 100%-ную защиту. Межсетевой экран не может выполнять аутентификацию пользователей.
Что не относится к понятию «оборона в глубину»
Использование нескольких взаимосвязанных между собой технологий. Использование аппаратных средств разных производителей. Использование нескольких межсетевых экранов. Использование нескольких коммутаторов.
Что понимают под «обороной в глубину»
Создание такой информационной инфраструктуры, в которой для минимизации отказов и проникновений используются несколько взаимосвязанных между собой технологий. Создание такой сетевой топологии, в которой используются межсетевые экраны нескольких производителей. Создание такой информационной инфраструктуры, в которой используется несколько межсетевых экранов. Создание такой сетевой топологии, в которой используются межсетевые экраны одного производителя.
Основные классы атак на передаваемые по сети данные
Видимая и невидимая. Активная и пассивная. Удаленная и локальная. Внешняя и внутренняя.
Риск - это
Невозможность исправить все ошибки в программном обеспечении. Вероятность того, что конкретная атака будет осуществлена с использованием конкретной уязвимости. Вероятность того, что в системе остались неизвестные уязвимости. Невозможность ликвидировать все уязвимости в информационной системе.
Под безопасностью информационной системы понимается
Меры, необходимые для определения, документирования и учета угроз. Защита от неавторизованного доступа или модификации информации во время хранения, обработки или пересылки. Отсутствие выхода в интернет. Защита от отказа в обслуживании законных пользователей.
Под reply-атакой понимается
Модификация передаваемого сообщения. Повторное использование нарушителем перехваченного ранее сообщения. Просмотр передаваемого сообщения. Невозможность получения сервиса законным пользователем.
Что не относится к replay-атаке
Выполнение незаконного проникновения в систему. Изменение передаваемых данных. Повторное использование нарушителем перехваченного ранее сообщения. Просмотр передаваемых данных.
Повторное использование перехваченного ранее сообщения называется
Невозможность доступа в систему законным пользователем. Модификация передаваемого сообщения. Повторное использование нарушителем перехваченного ранее сообщения. Невозможность получения сервиса законным пользователем.
Модификация передаваемого сообщения называется
DoS-атакой. Replay-aтакой. Пассивной атакой. Атакой «man in the middle».
Что не относится к атаке «man in the middle»
Выполнение незаконного проникновения в систему. Изменение передаваемых данных. Просмотр передаваемых данных. Исчерпание ресурсов на целевой системе.
Атака «man in the middle» является
Видимой. Может быть как активной, так и пассивной. Активной. Пассивной.
Активной называется такая атака, при которой
Оппонент анализирует перехваченные сообщения. Оппонент имеет возможность вставлять свои сообщения. Оппонент использует какое-либо инструментальное средство. Оппонент имеет возможность модифицировать передаваемые сообщения.
Атака называется пассивной, если
Оппонент не предполагает проникновение в систему. Оппонент не анализирует перехваченные сообщения. Оппонент не имеет возможности модифицировать передаваемые сообщения и вставлять в информационный канал между отправителем и получателем свои сообщения. Оппонент не использует никаких инструментальных средств для выполнения атаки.
Что не относится к пассивной атаке
Изучение топологии сети. Изменение передаваемых данных. Просмотр передаваемых данных. Выполнение незаконного проникновения в систему.
Атака сканирования является разновидностью
Законной атаки. Невидимой атаки. Пассивной атаки. Активной атаки.
Сканирование сети
Является ли атакой – определяется политикой безопасности. Не является атакой. Является ли атакой – определяется настройками межсетевого экрана. Всегда является атакой.
Атаки сканирования могут определять
Топологию целевой сети. ПО сервера, которое выполняется на хостах. Номера версий для всего обнаруженного ПО. Типы сетевого трафика, пропускаемые межсетевым экраном. Операционные системы, которые выполняются на хостах.
Что не относится к активной атаке
Изучение топологии сети. Определение версий установленного ПО. Изменение передаваемых данных. Просмотр передаваемых данных.
Атаки сканирования
Могут выполняться теми же инструментальными средствами, которые используются законными поисковыми системами в интернете. Должны выполняться специальными инструментальными средствами. Могут выполняться теми же инструментальными средствами, которые используют маршрутизаторы. Могут выполняться теми же инструментальными средствами, которые используют межсетевые экраны.
Что не относится к атаке сканирования
Определение версий установленного ПО. Определение топологии сети. Выполнение незаконного проникновения в систему. Определение номеров открытых портов.
Приводят к исчерпанию ресурсов на целевой системе. Приводят к исчерпанию ресурсов атакующего. Приводят к запуску всех программ, установленных на целевой системе. Приводят к открытию всех портов на целевой системе.
При DoS-атаках наводнения
Атакующий попытается монополизировать сетевое соединение с целевой системой. Атакующий пытается получить несколько вариантов доступа в систему. Атакующий попытается выполнить несанкционированный доступ в систему. Атакующий попытается исчерпать какие-либо ресурсы в целевой системе.
Что из перечисленного относится к сервисам безопасности
Алгоритмы симметричного шифрования. Обеспечение целостности. Обеспечение конфиденциальности. Алгоритмы асимметричного шифрования.
Сервис, который обеспечивает невозможность несанкционированного просмотра данных, называется
Гарантирование того, что информационные ресурсы могут быть изменены любым пользователем. Гарантирование того, что информационные ресурсы доступны 24 часа в сутки, 7 дней в неделю. Гарантирование того, что авторизованные пользователи могут иметь доступ к информационным ресурсам, и при этом обеспечивается требуемая производительность. Гарантирование того, что все пользователи могут иметь доступ к информационным ресурсам.
Сервис, который обеспечивает невозможность несанкционированного изменения данных, называется
Невозможность несанкционированного выполнения программ. Невозможность несанкционированного изменения информации. Невозможность несанкционированного доступа к информации. Невозможность несанкционированного просмотра информации.
Аутентификация – это
Невозможность несанкционированного просмотра информации. Невозможность несанкционированной модификации информации. Невозможность несанкционированного доступа к данным. Подтверждение того, что информация получена из законного источника и получателем является тот, кто нужно.
Сервис, который гарантирует, что информация получена из законного источника и получателем является тот, кто нужно, называется
Сервис, который определяет права и разрешения, предоставляемые индивидууму (или процессу) и обеспечивает возможность доступа к ресурсу. Невозможность несанкционированной модификации информации. Подтверждение того, что информация получена из законного источника и получателем является тот, кто нужно. Невозможность несанкционированного просмотра информации.
Идентификация – это
Сервис, с помощью которого пользователь указывает свою фамилию администратору. Сервис, с помощью которого указываются уникальные атрибуты пользователей, позволяющие отличать пользователей друг от друга. Сервис, с помощью которого прикладной сервер передает свой IP-адрес. Сервис, с помощь которого можно получить подтверждение, что информация получена из законного источника и получателем является тот, кто нужно.
Отчетность включает
Обнаружение проникновений. Мониторинг систем и сетевого трафика. Фильтрование нежелательного трафика. Создание и аудит системных логов.
Для гарантирования выполнения сервисов безопасности необходимо
Обеспечить обучение сотрудников, ответственных за ИБ. Разработать политику безопасности. Обеспечить отсутствие посторонних лиц в организации. Рассмотреть существующие нормативные требования и акты.
Анализ рисков включает
Идентификацию и категоризацию угроз этим активам. Приоритезацию рисков. Идентификацию и приоритезацию информационных активов. Идентификацию посторонних лиц в организации.
В случае принятия риска необходимо
Иметь полное представление о потенциальных угрозах и уязвимостях для информационных активов. Не подключать сеть организации к интернету. Не хранить в системе важные информационные ресурсы. Закрыть все порты в системе.
Возможные стратегии управления рисками
Избежать риск. Уменьшить риск. Передать риск. Принять риск.
Примерами уязвимостей являются
Наличие слабых мест в ПО. Наличие слабых мест в сетевой топологии. Наличие слабых мест, связанных с человеческим фактором. Наличие открытых портов в системе.
Под угрозой понимается
Наличие большого числа открытых портов в системе. Наличие большого количества ПО, установленного на каждой системе. Присутствие посторонних лиц в организации. Любое событие, которое может иметь нежелательные последствия для организации.
Примеры угроз
Невозможность использования информационных активов. Открытый порт в системе. Возможность раскрытия, модификации, уничтожения информационных активов. Проникновение или любое нарушение функционирования информационной системы.
Термин сущность (entity) часто лучше подходит для обозначения предъявителя идентификации, чем термин пользователь, так как
Участниками аутентификационного процесса являются не пользователи, а межсетевые экраны. Участниками аутентификационного процесса являются не пользователи, а аппаратные устройства. Участниками аутентификационного процесса могут быть не только пользователи, но и программы и аппаратные устройства. Участниками аутентификационного процесса являются не пользователи, а прикладные сервера.
Участниками аутентификационного процесса могут быть
Идентификация пользователя дает возможность вычислительной системе
Отличать одного пользователя от другого. Гарантировать отсутствие несанкционированного доступа. Гарантировать, что пользователь является тем, за кого он себя выдает. Обеспечить корректное управление доступом.
В качестве аутентификации пользователя могут использоваться
Пароли. Биометрические параметры. Фамилия пользователя. Цифровые сертификаты.
Централизованное управление идентификационными и аутентификационными данными имеет следующие преимущества
Возможность использования цифровых подписей. Возможность использования многофакторной аутентификации. Легкое администрирование. Возможность использования третьей доверенной стороны.
Многофакторная аутентификация означает
Аутентифицируемой стороне необходимо предоставить несколько параметров, чтобы установить требуемый уровень доверия. Аутентификация не может выполняться с помощью пароля. Аутентификация должна выполняться третьей доверенной стороной. Аутентификация должна выполняться с использованием смарт-карты.
В системах управления доступом субъектом может быть
Аппаратное устройство. Прикладная система. Пользователь. Процесс ОС.
Основные компоненты управления доступом
Субъекты. Разрешения (привилегии). Объекты или ресурсы. Маршрутизаторы.
Управление доступом или авторизация означает
Гарантирование того, что пользователь является тем, за кого он себя выдает. Гарантирование того, что пользователь обращается к требуемому ресурсу (серверу). Определение прав и разрешений пользователей по доступу к ресурсам. Невозможность несанкционированного просмотра и изменения данных.
При управление доступом на сетевом уровне для разграничения трафика используются
В системах управления доступом объектом может быть
Любой сетевой ресурс, к которому субъект хочет получить доступ. Аппаратное устройство. Файл. Прикладная система.
При управлении доступом на уровне файловой системы для разграничения доступа используются
Правила фильтрования межсетевого экрана. Списки управления доступом (Access Control List – ACL). БД политик безопасности. Статические маршруты.
При возникновении инцидента, связанного с информационной безопасностью, самое главное, что необходимо иметь
Эффективные способы создания логов. Эффективные способы предотвращения последующих инцидентов. Эффективные способы его распознавания. Эффективные способы изменения правил фильтрования трафика.
Гарантирование доступности предполагает
Определение точек возможного сбоя и ликвидация этих точек. Определение списков управления доступом. Определение критически важных устройств. Определение критически важных сервисов.
При управлении конфигурациями необходимо обеспечить следующее
Регулярное изменение правил фильтрования. Регулярное обновление ПО. Управление изменениями. Оценка состояния сетевой безопасности.
Что из перечисленного относится к механизмам безопасности
Использование третьей доверенной стороны необходимо для
Распределения между двумя участниками секретной информации, которая не стала бы доступна оппоненту. Решения споров между двумя участниками. Создания зашифрованных туннелей. Изменения правил фильтрования трафика.
Широковещательным доменом называется
Локальная сеть, определяемая маской подсети. Сеть, подключенная к lan-интерфейсу. Множество хостов, которые доступны командой ping. Сети, подключенные ко всем интерфейсам маршрутизатора или коммутатора.
Широковещательными пакетами называются пакеты, у которых
В части IP-адреса получателя, относящейся к номеру сети, стоят все нули. В части IP-адреса получателя, относящейся к номеру хоста, стоят все единицы. В части IP-адреса получателя, относящейся к номеру хоста, стоят все нули. В части IP-адреса получателя, относящейся к номеру сети, стоят все единицы.
Широковещательные пакеты передаются
Всем хостам сети, подключенным к lan-интерфейсам. Всем хостам сети, которые доступны со всех интерфейсов маршрутизатора. Всем хостам в сети, определяемой маской подсети. Всем хостам сети, подключенным ко всем интерфейсам маршрутизатора или коммутатора.
При использовании VLAN увеличение пропускной способности происходит благодаря тому, что
Увеличивается скорость передачи пакетов. Увеличивается скорость коммутации пакетов. Уменьшается размер пакета. Уменьшается широковещательный трафик.
Гибкость технологии VLAN означает
VLAN являются эффективным способом групповой аутентификации пользователей. VLAN обеспечивает эффективный способ шифрования трафика. VLAN обеспечивает эффективный способ аутентификации пользователей. VLAN являются эффективным способом группирования пользователей и компьютеров в виртуальные рабочие группы, независимо от их физического расположения в сети.
Анализ логов при использовании маршрутизатора NAT
В логах могут быть неправильные IP-адреса – один и тот же частный адрес может быть связан в разное время с разными внешними адресами. В логах могут быть неправильные IP-адреса – один и тот же внешний адрес может быть в разное время связан с разными частными хостами. В логах IP-адрес отправителя всегда правильный. В логах IP-адрес получателя всегда правильный.
Технология VLAN обладает следующими характеристиками
Шифрование трафика. Повышение безопасности, связанное с уменьшением широковещательного домена. Аутентификация на уровне пользователя. Гибкость, связанная с возможностью группирования пользователей в виртуальные рабочие группы.
Технология VLAN обладает следующими характеристиками
Аутентификация на канальном уровне. Увеличение пропускной способности сети. Целостность на канальном уровне. Целостность некоторой последовательности дейтаграмм.
Исключить передачу кадров между разными виртуальными сетями независимо от типа IP-адреса – уникального, группового или широковещательного. Выполнять фильтрование пакетов, основываясь на правилах, указанных при создании VLAN. Выполнять шифрование трафика. Выполнять аутентификацию пользователей.
Технология VLAN не позволяет
Выполнять шифрование трафика. Предотвратить широковещательные штормы. Выполнять фильтрование пакетов, основываясь на правилах. Выполнять аутентификацию на уровне пользователя.
Поддерживать технологию VLAN могут следующие типы аппаратных устройств
Могут проходить Ethernet-кадры, принадлежащие только двум VLAN. Могут проходить Ethernet-кадры, принадлежащие многим VLAN. Могут проходить Ethernet-кадры, принадлежащие одной VLAN. Могут проходить Ethernet-кадры, принадлежащие только двум VLAN.
Виртуальной локальной сетью называется (vlan)
Логическая группа хостов в сети, трафик которой, в том числе и широковещательный, полностью изолирован на канальном уровне от хостов из других виртуальных локальных сетей. Логическая группа хостов в сети, трафик которой аутентифицируется межсетевым экраном. Логическая группа хостов в сети, трафик которой полностью изолирован на прикладном уровне от хостов из других виртуальных локальных сетей. Логическая группа хостов в сети, трафик которой полностью изолирован на сетевом уровне от хостов из других виртуальных локальных сетей.
Использование технологии VLAN позволяет
Выполнить аутентификации трафика. На межсетевом экране указывать параметры шифрования трафика, не используя протоколы туннелирования. Обеспечить целостность трафика. На межсетевом экране создавать политики, которые управляют доступом друг к другу хостов из разных VLAN.
При использовании технологии VLAN повышается безопасность, так как
Для трафика, проходящего по VLAN, обеспечивается целостность. Трафик, проходящий по VLAN, аутентифицирован. Трафик, проходящий по VLAN, зашифрован. Трафик, проходящий по VLAN, может фильтроваться правилами межсетевого экрана.
Vlan-интерфейсы могут использоваться
В протоколах туннелирования. В правилах аутентификации. В правилах фильтрования. В статической маршрутизации.
Технология VLAN описана в стандарте
ISO 9000. RFC 2401. IEEE 802.3. IEEE 802.1Q.
Стандарт IEEE 802.1Q определяет
Использование аутентификационной информации для аутентификации пользователя. Использование дополнительных способов аутентификации пользователей и рабочих станций. Использование внешнего IP-адреса для туннелирования вложенных пакетов. Использование дополнительных полей кадра для хранения информации о принадлежности к VLAN при пересылке данного кадра по сети.
VLAN ID – это
Имя пользователя, использующего данную VLAN. Идентификатор межсетевого экрана, на котором настроена VLAN. Число от 0 до 4095, используемое для идентификации конкретной виртуальной локальной сети. Идентификатор коммутатора, на котором настроена VLAN.
Обработка Ethernet-кадров, содержащих теги VLAN основана на следующих принципах:
Если в полученном кадре нет VLAN ID, то интерфейсом источника для данного кадра считается физический Ethernet-порт, на котором получен кадр. Если в полученном кадре есть VLAN ID, и для данного Ethernet-порта определен vlan-интерфейс с тем же VLAN ID, будет использоваться этот vlan-интерфейс в качестве интерфейса источника для дальнейшей обработки кадра набором правил фильтрования и определения маршрута. Если на физический Ethernet-порт получен кадр, содержащий тег VLAN, и в конфигурации для этого Ethernet-порта не определен VLAN с тем же VLAN ID, то этот кадр отбрасывается и записывается соответствующее сообщение в лог. Если в кадре, полученном на Ethernet-порту, нет VLAN ID, то кадр отбрасывается, не зависимо от того, определен ли для данного Ethernet-порта VLAN или нет.
Цели создания VLAN
Один физический Ethernet-порт может присутствовать в различных правилах и маршрутах как несколько интерфейсов. Обеспечивается конфиденциальность и целостность трафика. Обеспечивается возможность группирования отдельных пользователей таким образом, чтобы трафик, принадлежащий разным группам пользователей, был полностью изолирован друг от друга. Обеспечивается аутентификация конечных точек VLAN.
VLAN создается
Посредством создания vlan-интерфейса, который связан с определенным физическим Ethernet-портом. Посредством создания vlan-правил статической маршрутизации. Посредством создания имен пользователей, которые могут использовать vlan. Посредством создания vlan-правил фильтрования.
Если физический Ethernet-порт маршрутизатора соединен с неуправляемыми коммутаторами или другим оборудованием без поддержки VLAN (например, с рабочими станциями пользователей)
Маршрутизатор может выполнять только сегментацию на виртуальные локальные сети, но не разграничение доступа. Данный Ethernet-порт маршрутизатора не может использовать vlan-сеть. Вся сегментация локальной сети на виртуальные локальные сети и разграничение доступа между ними выполняется маршрутизатором. Для создания vlan необходимо использовать протоколы туннелирования.
Если физический Ethernet-порт маршрутизатора соединен с коммутатором (обычно управляемым), который поддерживает стандарт 802.1Q VLAN
Соединение между межсетевым экраном и коммутатором не может передавать трафик, не принадлежащий ни одной из vlan-сетей. Соединение между межсетевым экраном и коммутатором может передавать трафик только одной vlan-сети. Соединение между межсетевым экраном и коммутатором может представлять собой совокупность vlan-каналов, по которым может передаваться трафик всех vlan-сетей, настроенных на коммутаторе. Соединение между межсетевым экраном и коммутатором не может передавать зашифрованный трафик.
Порт коммутатора, к которому подключена рабочая станция, не поддерживающая технологию VLAN, создается как
Uplink-порт коммутатора, который соединен с межсетевым экраном и через который должен передаваться vlan-трафик,
Должен являться членом VLAN с минимальным VLAN ID. Должен являться членом VLAN с максимальным VLAN ID. Должен являться членом всех VLAN, настроенных на коммутаторе. Не должен являться членом никакой VLAN, настроенной на коммутаторе.
Uplink-порт коммутатора, который соединен с межсетевым экраном и через который должен передаваться vlan-трафик, создается как
Если к маршрутизатору подключены коммутаторы или другие устройства (например, рабочие станции пользователей), не поддерживающие технологию VLAN
На маршрутизаторе нельзя выполнить сегментацию на виртуальные локальные сети. На маршрутизаторе можно создать только одну VLAN. На маршрутизаторе можно создать только две VLAN. На маршрутизаторе можно выполнить сегментацию на требуемое число виртуальных локальных сетей.
При использовании VLAN на основе портов
Каждый Ethernet-порт коммутатора должен принадлежать одной и той же VLAN. Каждый Ethernet-порт коммутатора должен принадлежать всем VLAN. Каждый Ethernet-порт коммутатора должен принадлежать единственной VLAN. Каждый Ethernet-порт коммутатора может принадлежать всем VLAN.
Технология, используемая на маршрутизаторе для создания vlan-сетей, при подключении устройств без поддержки стандарта 802.1Q, называется
Если нет коммутатора с поддержкой VLAN, но необходимо создать VLAN для разграничения трафика
Следует использовать рабочие станции с поддержкой VLAN. Следует использовать Port-based vlan на рабочей станции. Следует использовать Port-based vlan на маршрутизаторе. Следует использовать 802.1Q vlan на маршрутизаторе.
При использовании технологии VLAN на основе Port-based VLAN
Коммутаторы, к которым подключены рабочие станции, должны поддерживать стандарт 802.1Q. Хотя бы один из перечисленных типов устройств (рабочие станции, коммутаторы, межсетевые экраны) должен поддерживать стандарт 802.1Q. Рабочие станции должны поддерживать стандарт 802.1Q. Межсетевые экраны должны поддерживать стандарт 802.1Q.
При использовании технологии VLAN на основе стандарта 802.1Q
Коммутаторы, к которым подключены рабочие станции, должны поддерживать стандарт 802.1Q. Хотя бы один из перечисленных типов устройств (рабочие станции, коммутаторы, межсетевые экраны) должен поддерживать стандарт 802.1Q. Межсетевые экраны должны поддерживать стандарт 802.1Q. Рабочие станции должны поддерживать стандарт 802.1Q.
Основное назначение межсетевого экрана состоит в том, чтобы (выберите самое точное определение, один ответ)
Защитить хосты и сети от использования существующих уязвимостей в стеке протоколов ТСР/IP. Выполнить аутентификацию пользователей. Обеспечить полную безопасность локальной сети. Обнаружить проникновение в локальную сеть.
Межсетевые экраны регулируют поток сетевого трафика между сетями или хостами
Имеющими одинаковые требования к безопасности. Имеющими различные требования к безопасности. Не имеющими политики безопасности. Не имеющими маршрутизатора по умолчанию.
Межсетевые экраны являются (выберите самое точное определение, один ответ)
Специализированными программами, невозможна аппаратная реализация. Специализированными аппаратными устройствами со встроенной ОС, только программная реализация невозможна. Аппаратно-программными устройствами. Специализированными аппаратными устройствами без встроенной ОС.
При использовании межсетевого экрана предполагается, что
Атаки могут начинаться как с компьютеров, расположенных за пределами сетевого периметра, так и с компьютеров, расположенных в локальной сети. Атаки всегда начинаются с компьютеров, расположенных в другом помещении. Атаки всегда начинаются с компьютеров, которые не доступны с данного межсетевого экрана. Атаки всегда начинаются с компьютеров, расположенных за пределами сетевого периметра.
Под термином «сетевой периметр» понимают
Все компьютеры расположены за одним маршрутизатором. Вход в помещение, в котором расположены компьютеры, охраняется. Локальная сеть имеет четкие границы, т.е. про любой хост можно сказать, находится ли он в локальной сети или нет. Все компьютеры расположены в одном помещении.
Лучшей политикой по умолчанию для межсетевого экрана считается
Разрешить весь входящий трафик, который явно не запрещен. Запретить весь исходящий трафик, который явно не разрешен. Запретить весь входящий трафик, который явно не разрешен. Разрешить весь исходящий трафик, который явно не запрещен.
Пакетный фильтр сравнивает параметры заголовка пакета со своим набором правил. После этого
Выполняется правило, наиболее точно соответствующее параметрам заголовка пакета. Выполняется последнее правило, указанное в наборе правил пакетного фильтра. Выполняется первое правило, указанное в наборе правил пакетного фильтра. Выполняется первое правило, которое соответствует параметрам заголовка пакета.
К требованиям, которые накладывает внешнее окружение на функционирование межсетевого экрана, относятся
Специфика защищаемых сервисов. Используемые транспортные протоколы (IPv4 или IPv6). Количество комнат в помещении. Количество отделов в организации.
Сетевой уровень модели OSI
Маршрутизирует пакеты между локальными сетями. Обеспечивает конфиденциальность соединения. Обеспечивает целостность соединения. Обеспечивает надежность соединения.
Обеспечивает проверку и коррекцию ошибок. Выполняет аутентификацию пользователя. Маршрутизирует пакеты между локальными сетями. Упаковывает данные в стандартные кадры для передачи через физический уровень.
На транспортном уровне модели OSI определяются понятия
Некоторые протоколы данного уровня обеспечивают целостность соединения. Все протоколы данного уровня гарантируют надежность соединения. Предоставляет сервисы, ориентированные на соединение. Некоторые протоколы данного уровня гарантируют надежность соединения.
Порт транспортного уровня – это
Пара (IP-адрес, DNS-имя). Пара (IP-адрес, МАС-адрес). Разъем на коммутаторе или маршрутизаторе для подключения сетевого кабеля. Конечная точка сессии.
Сессия транспортного уровня - это
Поток данных между двумя серверами. Поток данных между двумя приложениями. Поток данных между двумя маршрутизаторами. Конфиденциальный поток данных между двумя приложениями.
Прикладной уровень модели OSI
Посылает и получает данные конкретных приложений. Обеспечивает маршрутизацию между локальными сетями. Выполняет шифрование трафика. Выполняет фрагментацию/ дефраг?
Внимание ! Вопросы к тесту выложены исключительно в ознакомительных целях: количество вопросов может не совпадать с действительным, актуальность не поддерживается,- за решением теста Welcome to the cashier! Анализ состояния в пакетном фильтре означает
Отслеживание состояния соединения и отбрасывание пакетов, которые не соответствуют ожидаемому. Отслеживание состояния соединения и вставка собственных пакетов, если обнаружен пакет, который не соответствует ожидаемому. Отслеживание состояния соединения и оповещение администратора о наличии пакета, который не соответствует ожидаемому. Отслеживание состояния соединения и запрещение всего трафика, если обнаружен пакет, который не соответствует ожидаемому.
Межсетевые экраны прикладного уровня могут
Шифровать данные пользователя. Выполнять авторизацию пользователя. Выполнять аутентификацию пользователя. Автоматически распознавать новые протоколы.
Межсетевые экраны прикладного уровня не могут
Выполнять аутентификацию пользователя. Выполнять авторизацию пользователя. Шифровать данные пользователя. Автоматически распознавать новые протоколы.
Под глубоким анализом пакета (deep packet inspection) понимают
Анализ протокола сетевого уровня модели OSI. Анализ протокола прикладного уровня, при котором сравнивается поведение протокола с определенными производителем профилями и определяются отклонения в этом поведении. Анализ протокола канального уровня и МАС-адресов. Анализ протокола транспортного уровня модели OSI.
Выделенные прокси-серверы предназначены для того, чтобы обрабатывать трафик
Конкретного уровня модели OSI. Конкретного адреса отправителя. Конкретного пользователя. Конкретного прикладного протокола.
Межсетевые экраны прикладного уровня
Анализируют содержимое прикладного уровня. Должны иметь агента для каждого уровня модели OSI. Могут быть реализованы исключительно программно. Должны иметь агента для каждого прикладного протокола.
Межсетевые экраны прикладного уровня
Анализируют протокол на прикладном уровне, сравнивая поведение протокола с определенными производителем профилями и определяя отклонения в поведении. Анализируют протокол на прикладном уровне, определяя корректность IP-адресов источника и получателя. Анализируют протокол на прикладном уровне, сравнивая IP-адрес и порт источника с заданными в правилах. Анализируют протокол на прикладном уровне, сравнивая интенсивность трафика с заданными в правилах характеристиками.
Прокси-шлюзы прикладного уровня (выберите самое точное определение, один ответ)
Имеют базу данных пользователей, которым разрешен доступ к защищаемому ресурсу. Не разрывают ТСР-соединение. Имеют прокси-агента, являющегося посредником между клиентом и сервером. Имеют базу данных IP-адресов, с которых разрешен доступ к защищаемому ресурсу.
Недостатки межсетевых экранов прикладного уровня
Межсетевой экран прикладного уровня не может одновременно фильтровать содержимое нескольких протоколов прикладного уровня. Межсетевой экран прикладного уровня не может анализировать порты источника и получателя. Межсетевой экран прикладного уровня не может анализировать адреса источника и получателя. Межсетевой экран прикладного уровня не может автоматически распознавать новые протоколы.
Недостатки межсетевых экранов прикладного уровня
Межсетевой экран прикладного уровня не может анализировать заголовки транспортного и сетевого уровней. Межсетевой экран прикладного уровня обязательно разрывает ТСР-соединение. Межсетевой экран прикладного уровня обеспечивает меньший уровень безопасности, чем пакетный фильтр. Производительность межсетевого экрана прикладного уровня ниже, чем у пакетного фильтра.
При использовании прокси-шлюзов прикладного уровня
Прокси-шлюз является абсолютно прозрачным для клиента. Внутренние IP-адреса не видны вовне. Прокси-шлюз изменяет IP-адрес источника на свой IP-адрес. Внешние IP-адреса не видны изнутри.
Прокси-шлюзы прикладного уровня
Могут выполнять аутентификацию пользователя аналогично межсетевым экранам прикладного уровня. Не разрывают ТСР-соединение аналогично межсетевым экранам прикладного уровня. Могут анализировать содержимое трафика аналогично межсетевым экранам прикладного уровня. Не могут выполнять межсетевое экранирование.
Прокси-шлюзов прикладного уровня
Изменяют IP-адрес источника на IP-адрес своего интерфейса. Изменяют МАС-адрес источника на МАС-адрес своего интерфейса. Создают два отдельных соединения – одно между клиентом и прокси-агентом, другое – между прокси-агентом и реальным сервером. Изменяют номер порта источника.
Отличия прокси-шлюзы прикладного уровня от межсетевых экранов прикладного уровня
Прокси шлюзы прикладного уровня в отличие от межсетевых экранов не могут выполнять аутентификацию пользователей. Прокси шлюзы прикладного уровня в отличие от межсетевых экранов не могут анализировать заголовки сетевого уровня. Некоторые прокси-шлюзы прикладного уровня могут расшифровывать пакеты (т.е. защищенное SSL-содержимое), проверять его и затем повторно шифровать перед тем, как послать получателю. Прокси-шлюзы прикладного уровня не допускают прямые соединения между двумя хостами, а не только анализируют содержимое трафика.
Общие свойства прокси-шлюзов прикладного уровня и межсетевых экранов прикладного уровня
Прокси-шлюзы прикладного уровня и межсетевые экраны не допускают прямые соединения между двумя хостами, а не только анализируют содержимое трафика. Некоторые прокси-шлюзы прикладного уровня и межсетевые экраны могут расшифровывать пакеты (т.е. защищенное SSL-содержимое), проверять его и затем повторно шифровать перед тем, как послать получателю. Прокси шлюзы прикладного уровня и межсетевые экраны могут выполнять аутентификацию пользователей. Прокси шлюзы прикладного уровня и межсетевые экраны могут анализировать заголовки сетевого уровня.
Отличия выделенного прокси-сервера от прикладных прокси-шлюзов
Выделенные прокси-сервера имеют более ограниченные возможности межсетевого экранирования. Выделенные прокси-сервера не могут анализировать заголовки транспортного уровня. Выделенные прокси-сервера не могут выполнять аутентификацию пользователей. Выделенные прокси-сервера обладают меньшей производительностью.
Взаимное расположение прокси-сервера и традиционного межсетевого экрана прикладного уровня
Прокси-сервер полностью заменяет межсетевой экран прикладного уровня. Прокси-сервер полностью заменяет пакетный фильтр. Прокси-сервер обычно располагают позади традиционного межсетевого экрана прикладного уровня. Прокси-сервер обычно располагают перед традиционным межсетевым экраном прикладного уровня.
Прокси-сервер может быть
Входящим. Туннелирующим. Исходящим. Шифрующим.
Под унифицированным управлением угрозами (Unified Threat Management – UTM) понимают
Централизованное управление всеми межсетевыми экранами. Создание базы данных точек входа в сеть. Создание базы данных потенциальных угроз. Централизованное управление несколькими сетевыми устройствами.
Проверка параметров безопасности пользовательского компьютера состоит в проверке
Время, прошедшее с последнего сканирования вредоносного ПО, соответствует политике безопасности. Проверена конфигурация безопасности ОС и отдельных приложений. Проверен уровень внесения исправлений в ОС и отдельные приложения. Выполнены последние обновления, защищающие удаленный компьютер от вредоносного ПО.
При использовании унифицированного управления угрозами проверка жизнеспособности обычно состоит в следующем
Время, прошедшее с последнего сканирования вредоносного ПО, соответствует политике безопасности. Время, прошедшее с последнего выхода в интернет с данного компьютера, соответствует указанному в политике безопасности. Выполнены последние обновления, защищающие удаленный компьютер от вредоносного ПО. Время, прошедшее с последнего входа пользователя на компьютер, соответствует указанному в политике безопасности.
При использовании унифицированного управления угрозами проверка жизнеспособности обычно состоит в следующем
Проверена конфигурация безопасности ОС и отдельных приложений. Проверено наличие определенных открытых портов. Проверено отсутствие базы данных пользовательских аккаунтов. Проверен уровень внесения исправлений в ОС и отдельные приложения.
Типичная система унифицированного управления угрозами включает
Межсетевой экран с возможностями блокирования нежелательного трафика. Межсетевой экран с возможностями определения и удаления вредоносного ПО на находящихся под его управлением хостах. Рабочие станции пользователей. Сервера, предоставляющие сервисы удаленным пользователям.
Недостатки использования системы унифицированного управления угрозами
Может существенно возрасти нагрузка на прикладные сервера. Может существенно ухудшиться производительность, если системе унифицированного управления угрозами не будет хватать ресурсов. Может существенно возрасти нагрузка на рабочие станции пользователей. Может существенно усложниться управление всеми устройствами.
Преимущества использования системы унифицированного управления угрозами
Увеличивается безопасность сетевого периметра. Увеличивается пропускная способность сети. Уменьшается сложность управления. Уменьшается количество попыток несанкционированного доступа.
Межсетевые экраны для веб-приложений располагают
Перед защищаемым веб-сервером (трафик вначале передается межсетевому экрану, затем веб-серверу). Межсетевой экран и защищаемый им веб-сервер находятся в разных подсетях, трафик между ними запрещен. После защищаемого веб-сервера (трафик вначале передается веб-серверу, затем межсетевому экрану). Межсетевой экран и защищаемый им веб-сервер находятся в разных подсетях, но трафик между ними не запрещен.
Межсетевые экраны для веб-приложений
Должны одновременно являться и конечными точками VPN. Должны всегда сами выполнять аутентификацию пользователей. Должны реализовывать те же функциональные возможности, что и защищаемый ими веб-сервер. Должны понимать все особенности протокола НТТР.
Существует необходимость в межсетевых экранах для виртуальных инфраструктур, так как
Сетевой трафик, который передается между гостевыми ОС внутри хоста, использует протоколы, отличные от TCP/IP. Сетевой трафик, который передается между гостевыми ОС внутри хоста, передается в зашифрованном виде. Сетевой трафик, который передается между гостевыми ОС внутри хоста, не может просматриваться внешним межсетевым экраном. В сетевом трафике, который передается между гостевыми ОС внутри хоста, указаны другие номера портов, чем в обычном сетевом трафике.
Персональные межсетевые экраны для настольных компьютеров и ноутбуков
Обеспечивают дополнительный уровень защиты от сетевых атак. Полностью заменяют маршрутизаторы, являясь шлюзом по умолчанию для защищаемого компьютера или ноутбука. Предоставляют все необходимые сетевые сервисы для защищаемого компьютера или ноутбука. Полностью заменяют все остальные инструментальные средства обеспечения безопасности.
Персональные межсетевые экраны для настольных компьютеров и ноутбуков устанавливаются
На хостах, которые они защищают. На маршрутизаторах, которые указаны на хосте в качестве шлюза по умолчанию. На конечных точках VPN. На отдельных компьютерах.
Персональные межсетевые экраны для настольных компьютеров и ноутбуков являются
Аппаратно-программными средствами защиты. Исключительно программными. Не могут быть встроенными в ОС, которую они защищают; всегда реализованы внешними производителями. Всегда встроены в ОС, которую они защищают; не могут быть реализованы внешними производителями.
Технология UPnP, которая позволяет приложению, установленному на компьютере за межсетевым экраном, автоматически запрашивать у межсетевого экрана открытие определенных портов
По умолчанию должна быть запрещена. Должна быть всегда установлена на компьютере, не должно быть возможности ее запретить. Не должна использоваться ни в каком случае. По умолчанию должна быть разрешена.
Межсетевой экран на основе приложения имеет следующие особенности
Управление доступом основано на запуске приложений или сервисов, а не на доступе к портам или сервисам. Управление доступом основано на параметрах безопасности, указанных на шлюзе по умолчанию. Управление доступом основано на аутентификационных данных пользователя. Управление доступом основано на сетевой активности пользователя.
Ограниченность анализа межсетевого экрана
Не может анализировать данные прикладного уровня. Не может отбрасывать пакеты. Не может выполнять аутентификацию пользователя. Не может анализировать зашифрованные прикладные данные.
Устройства персональных межсетевых экранов
Полностью обеспечивают все сетевые сервисы для защищаемого компьютера. Всегда являются шлюзом по умолчанию для защищаемого компьютера. Не требуют никаких настроек, допускают полностью автоматическую настройку. Выполняют функции, аналогичные персональному межсетевому экрану, а также возможно некоторые дополнительные сервисы, такие как конечные точки VPN.
Политика межсетевого экрана должна
Запретить прохождение пакетов, в которых IP-адрес не принадлежит используемым в локальной сети диапазонам IP-адресов. Запретить прохождение пакетов, в которых IP-адрес принадлежит используемым в локальной сети диапазонам IP-адресов. Разрешать прохождение пакетов, в которых IP-адрес не принадлежит используемым в локальной сети диапазонам IP-адресов. Разрешать прохождение пакетов, в которых IP-адрес принадлежит используемым в локальной сети диапазонам IP-адресов.
Политика межсетевого экрана определяет
Как межсетевой экран будет обрабатывать сетевой трафик для определенных IP-адресов и диапазонов адресов, протоколов, приложений и типов содержимого. Как межсетевой экран будет маршрутизировать пакеты. Как межсетевой экран будет обеспечивать качество обслуживания (QоS). Как межсетевой экран будет обеспечивать балансировку нагрузки.
Перед разработкой политики межсетевого экрана следует
Определить VPN-интерфейсы, через которые должен проходить трафик. Определить типы трафика, которые необходимы организации. Определить статическую маршрутизацию для различных типов трафика. Определить vlan-интерфейсы, через которые должен проходить трафик.
На границе сетевого периметра
Должен блокироваться трафик с IP-адресами получателя из локальной сети для входящего трафика. Должен блокироваться трафик с IP-адресами отравителя из локальной сети для исходящего трафика. Должен блокироваться трафик с недействительным IP-адресом источника для входящего трафика. Должен блокироваться трафик с недействительным IP-адресом получателя для исходящего трафика.
По умолчанию межсетевой экран должен
Разрешить весь исходящий трафик. Запретить весь исходящий трафик. Запретить весь входящий трафик. Разрешить весь входящий трафик.
Политика по умолчанию для всего трафика должна быть
Forward. Allow. Deny (Drop). Accept.
Примеры IP-адресов, которые не должны появляться в пакетах
192.168.254.0 0.0.0.0 192.168.0.254 с 127.0.0.0 по 127.255.255.255
IP-адреса для частных сетей
с 192.168.0.0 по 192.168.255.255 с 172.16.0.0 по 172.31.255.255 с 10.0.0.0 по 10.255.255.255 с 127.0.0.0 по 127.255.255.255
Выходное фильтрование необходимо, так как
Скомпрометированные системы могут использоваться для выполнения атак на другие системы в интернете. Это предотвращает DoS-атаки на локальную сеть. Это предотвращает DDoS-атаки на локальную сеть. Обеспечивает защиту локальной сети от несанкционированного доступа.
Выходным фильтрованием называется
Блокирование входящего трафика с недействительными IP-адресами источника. Блокирование исходящего трафика с недействительными IP-адресами источника. Разрешение всего исходящего трафика. Блокирование исходящего трафика с действительными IP-адресами источника.
На границе сетевого периметра
Должен блокироваться входящий трафик, если у него IP-адрес источника не принадлежит внутренней сети. Должен блокироваться весь входящий трафик. Должен блокироваться входящий трафик, если у него IP-адрес источника принадлежит внутренней сети. Должен блокироваться исходящий трафик, если у него IP-адрес источника принадлежит внутренней сети.
Межсетевые экраны, расположенные на границе сетевого периметра
Должны блокировать весь входящий трафик. Должны блокировать весь исходящий трафик, если в локальной сети нет серверов, которые должны быть доступны для внешних сетей. Должны блокировать весь исходящий трафик. Должны блокировать весь входящий трафик к сетям и хостам, которые не должны быть доступны для внешних сетей.
На границе сетевого периметра следует
Блокировать любой трафик из внешней сети, если в локальной сети нет серверов, к которым необходим доступ извне. Блокировать любой трафик из внешней сети. Блокировать трафик из внешней сети, содержащий широковещательные IP-адреса, которые принадлежат внутренней сети. Блокировать любой трафик из внутренней сети.
Входящий трафик, IP-адресом получателя в котором является сам межсетевой экран
Должен разрешаться, если в локальной сети расположены сервера, доступ к которым необходим извне. Должен всегда блокироваться. Должен всегда разрешаться. Должен блокироваться, если только межсетевой экран не предоставляет сервисы для входящего трафика, которые требуют прямого соединения.
Так называемые правила доступа (Access Rules) – это
Правила фильтрования межсетевого экрана с действием Allow. Выделенные в отдельную группу правила, проверяющие доступность IP-адреса получателя в пакете с интерфейса, на который пришел данный пакет. Выделенные в отдельную группу правила, проверяющие доступность IP-адреса источника в пакете с интерфейса, на который пришел данный пакет. Правила фильтрования межсетевого экрана с действиями Allow или NAT.
Правило доступа по умолчанию
Выполняет проверку входящего запроса на создание соединения, выполняя поиск обратного маршрута (reverse lookup) в таблице маршрутизации main. Выполняет проверку входящего запроса на создание соединения, выполняя поиск маршрута к IP-адресу получателя в таблице main. Выполняет проверку входящего запроса на создание соединения, выполняя поиск обратного маршрута (reverse lookup) в таблицах маршрутизации. Выполняет проверку входящего запроса на создание соединения, выполняя поиск маршрута к IP-адресу получателя во всех таблицах, кроме main.
Проверка доступности с интерфейса, на который пришел данный пакет IP-адреса источника
Позволяет предотвратить атака «man-in-the-middle». Позволяет предотвратить атаку подделки IP-адреса источника (IP Spoofing). Позволяет предотвратить атаки, связанные с нарушением целостности некоторой последовательности дейтаграмм. Позволяет предотвратить атаки, связанные с нарушением целостности данных в пакете.
Атака IP Spoofing состоит в том, что
Нарушитель изменяет номер порта получателя. Нарушитель изменяет IP-адрес источника на IP-адрес доверенного хоста. Нарушитель изменяет содержимое протокола прикладного уровня. Нарушитель изменяет IP-адрес получателя на IP-адрес доверенного хоста.
При осуществлении атаки IP Spoofing
Возникает потенциальная угроза просмотра передаваемых сообщений. Возникает потенциальная угроза вставки поддельных сообщений в установленное соединение. Возникает потенциальная угроза DoS-атак. Возникает потенциальная угроза изменения порядка передаваемых сообщений.
При осуществлении атаки IP Spoofing
Нарушитель не может находиться в другой локальной сети. Нарушитель не может атаковать НТТР-сервера. Нарушитель не может использовать SMTP-сервера. Нарушитель не может получать возвращаемые пакеты и завершить установление соединения.
Управление доступом в пакетном фильтре осуществляется на основании
Порта назначения. Номера привила в наборе правил пакетного фильтра. Порта источника. Типа трафика.
Управление доступом в пакетном фильтре осуществляется на основании
IP-адреса источника. Номера привила в наборе правил пакетного фильтра. IP-адреса назначения. Учетной записи и пароля пользователя.
Управление доступом в пакетном фильтре осуществляется на основании
Множества интерфейсов. Множества правил. Множества учетных записей пользователей. Множества формул.
В политике пакетного фильтра определено понятие
Входящего и исходящего трафика. Защищенного и незащищенного трафика. Защищенного и незащищенного интерфейса. Входящего и исходящего интерфейса.
Для того, чтобы пакетный фильтр пропустил определенный трафик, следует указать следующее действие
Any. Allow. Go. Hello.
Особенности Правил фильтрования для протокола IPv6
Для возможностей, которые остались такими же в IPv6, что и в IPv4, правила фильтрования не изменяются. Правила фильтрования не применимы к протоколу IPv6. Межсетевой экран всегда пропускает весь трафик IPv6. Межсетевой экран всегда блокирует весь трафик IPv6.
Особенности Правил фильтрования для протокола IPv6
Любой межсетевой экран разрешает весь входящий и исходящий трафик IPv6, который не был явно запрещен. Любой межсетевой экран туннелирует трафик IPv6 в IPv4, а затем обрабатывает его правилам IPv4. Любой межсетевой экран не может распознать трафик IPv6. Любой межсетевой экран блокирует весь входящий и исходящий трафик IPv6, который не был явно разрешен.
Особенности Правил фильтрования для протокола IPv6
Если во внутренней сети необходим трафик IPv6, то межсетевой экран должен уметь распознавать его и пропускать его без фильтрования. Если во внутренней сети необходим трафик IPv6, то межсетевой экран также должен уметь фильтровать этот трафик. Если во внутренней сети необходим трафик IPv6, то межсетевой экран не обязательно должен уметь распознавать его. Если во внутренней сети необходим трафик IPv6, то межсетевой экран должен туннелировать его в IPv4.
Для фильтрования IPv6 межсетевые экраны должны обладать следующими возможностями
Межсетевой экран должен пропускать трафик v6-to-v4, даже если политика безопасности запрещает IPv6-трафику проходить в сеть. Если межсетевой экран используется для запрещения прохождения IPv6-трафика в сеть, то он должен распознавать и блокировать все формы v6-to-v4 туннелирования. Межсетевой экран должен запрещать трафик v6-to-v4, даже если политика безопасности разрешает IPv6-трафику проходить в сеть. Если межсетевой экран используется для запрещения прохождения IPv6-трафика в сеть, то он может не распознавать туннелированный v6-to-v4 трафик.
Для фильтрования IPv6 межсетевые экраны должны обладать следующими возможностями
Межсетевой экран должен иметь возможность блокировать относящиеся к IPv6 протоколы, такие как v6-to-v4 туннелирование, Teredo и ISATAP, если они не требуются. Межсетевой экран должен по умолчанию разрешать весь IPv6-трафик. Межсетевой экран должен всегда пропускать весь туннелированный трафик v6-to-v4. Межсетевой экран должен всегда блокировать весь туннелированный трафик v6-to-v4.
Для фильтрования IPv6 межсетевые экраны должны обладать следующими возможностями
Для облегчения администрирования интерфейс администратора должен позволять клонировать IPv4-правила в IPv6-правила. Для облегчения администрирования интерфейс администратора должен автоматически преобразовывать IPv6-адреса в IPv4-адреса. В интерфейсе межсетевого экрана должна быть возможность указывать IPv6-адреса в правилах фильтрования. В интерфейсе межсетевого экрана должна быть возможность не различать IPv4- и IPv6-адреса.
Межсетевые экраны, расположенные на границе сетевого периметра
Должны запрещать весь входящий ICMP-трафик. Весь ICMP-трафик должен быть всегда разрешен. Должны запрещать весь исходящий ICMP-трафик. Должны запрещать весь входящий и исходящий ICMP-трафик, за исключением отдельных типов и кодов, которые должны быть специально разрешены.
Особенности фильтрования ICMP-протокола
Атакующие могут использовать различные типы и ICMP-коды для разведки или манипулирования потоком сетевого трафика. Протокол ICMP должен быть всегда запрещен из внутренней сети. Протокол ICMP необходим для выполнения многих полезных функций, таких как определение производительности сети. Протокол ICMP должен быть всегда запрещен из внешней сети.
Блокирование всего ICMP-трафика
Часто ведет к проблемам, связанным с диагностикой сети и определением ее производительности. Повышает безопасность сети. Понижает безопасность сети. Не сказывается на работоспособности сети.
NAT используется
В IPv64. В IPv32. В IPv4. В IPv6.
NAT предназначен для
Отображения IP-адреса хоста в интернете в IP-адрес пакетного фильтра. Отображения IP-адреса хоста в локальной сети в IP-адрес пакетного фильтра. Отслеживания состояния ТСР-сессии. Фильтрования исходящего трафика локальной сети.
Обеспечивает возможность выполнять обычную маршрутизацию после преобразования адресов. Обеспечивает согласованное преобразование содержимого пакета ICMP-error. Обеспечивает прозрачное для протоколов маршрутизации и конечных хостов назначение адресов. Обеспечивает конфиденциальность трафика.
Маршрутизатор NAT
Расположен на границе между двумя локальными сетями с разными требованиями к безопасности. Расположен на границе между двумя областями адресов и преобразует адреса в IP-заголовках таким образом, что пакет корректно маршрутизируется при переходе из одной области в другую. Расположен на границе между локальной сетью и интернетом. Расположен на границе между двумя областями адресов, в одной из которых адреса принадлежат частной сети, а в другой – внешней.
Маршрутизатор NAT
Не является прозрачным для всех приложений. Не является прозрачным для приложений, которые использует номера портов в данных приложения. Является прозрачным для всех приложений. Не является прозрачным для приложений, которые использует IP-адреса в данных приложения.
Начало сессия, отслеживаемое NAT, и начало ТСР-сессии
Либо всегда не совпадают, либо могут не совпадать, зависит от реализации NAT. Всегда совпадают. Всегда не совпадают. Могут не совпадать.
Понятие сессии в NAT
Трансляция адресов, выполняемая NAT, не использует понятие на сессии. Каждый входящий и исходящий пакет преобразуется по своим правилам. Трансляция адресов, выполняемая NAT, использует понятие сессии, но каждый входящий и исходящий пакет преобразуется по своим правилам. Трансляция адресов, выполняемая NAT, не использует понятие сессии. Все входящие и исходящие пакеты преобразуются единообразным образом. Трансляция адресов, выполняемая NAT, использует понятие сессии и единообразным образом преобразует входящие и исходящие пакеты, принадлежащих одной и той же сессии.
Завершение ТСР-сессии
NAT всегда может отследить завершение ТСР-сессии. Могут быть случаи, когда NAT не сможет отследить завершение ТСР-сессии. NAT не должен отслеживать завершение ТСР-сессии. NAT никогда не может отследить завершение ТСР-сессии.
Сессия, отслеживаемая NAT, и прикладная сессия
Всегда совпадают. Всегда не совпадают. Для NAT не имеет значения прикладная сессия, NAT не должен отслеживать прикладную сессию. Могут не совпадать.
Типы NAT-пулов
Fixed. Stateless. Stateful. Private. Modified.
Традиционный (или исходящий) NAT
Обеспечивает конфиденциальность трафика между клиентами, расположенными в частной сети, и серверами, расположенными во внешней сети. Позволяет хостам в частной сети прозрачно получать доступ к хостам во внешней сети. Обеспечивает конфиденциальность трафика между клиентами, расположенными во внешней сети, и серверами, расположенными в частной сети. Позволяет хостам во внешней сети прозрачно получать доступ к хостам в частной сети.
Свойства NAT-пула типа Stateful
Каждому соединению назначается IP-адрес из пула, через который в данный момент не установлено ни одного соединения. Каждому соединению назначается IP-адрес из пула, через который в данный момент осуществляется наибольшее количество соединений. Каждому соединению назначается IP-адрес из пула, через который в данный момент осуществляется наименьшее количество соединений. Каждому соединению назначается IP-адрес из пула, через который в данный момент осуществляется среднестатистическое количество соединений.
Недостатки NAT-пула типа Stateful
Невозможность выполнить правильную маршрутизацию пакетов. Требование дополнительных ресурсов памяти для отслеживания соединения в таблице состояний. Невозможность использовать правила фильтрования для таких пакетов. Большие накладные расходы, связанные с обработкой данных в процессе установления нового соединения.
Преимущества NAT-пула типа Stateful
Гарантия того, что пакет не будет отброшен правилами фильтрования межсетевого экрана. Обеспечение сбалансированной нагрузки нескольких внешних каналов связи интернет-провайдера по количеству соединений. Гарантия того, что пакет всегда будет доставлен получателю. Гарантия того, что следующие соединения с тем же внешним хостом будут использовать тот же IP-адрес отправителя.
Недостатки NAT-пула типа Stateless
Не подходит для подключений, требующих высокой производительности. Не подходит для подключений, требующих больших ресурсов на стороне клиента. Не подходит для подключений, требующих наличия постоянного внешнего IP-адреса. Не подходит для подключений, требующих больших ресурсов на стороне сервера.
Свойства NAT-пула типа Stateless
Каждому соединению назначается IP-адрес из пула, через который в данный момент не установлено ни одного соединения. Для каждого нового соединения будет использоваться новый IP-адрес из пула, через который осуществляется наименьшее количество соединений. Для каждого нового соединения будет использоваться новый IP-адрес из пула, через который осуществляется среднестатистическое количество соединений. Для каждого нового соединения будет использоваться новый IP-адрес из пула, через который осуществляется наибольшее количество соединений.
Преимущества NAT-пула типа Stateless
Сокращается время на обработку данных при установлении каждого нового соединения. Увеличивает число возможных соединений. Увеличивает пропускную способность канала. Обеспечивает эффективное распределение новых соединений между внешними IP-адресами без лишних затрат памяти на формирование таблицы состояний.
Преимущества NAT-пулов типа Fixed
Обеспечивает эффективное распределение новых соединений между внешними IP-адресами без лишних затрат памяти на формирование таблицы состояний. Не подходит для подключений, требующих наличия постоянного внешнего IP-адреса. Обеспечивает более высокую скорость, по сравнению с NAT-пулами типа Stateful и Stateless, обработки данных при установлении нового соединения. Обеспечивает сбалансированную нагрузку нескольких внешних каналов связи интернет-провайдера по количеству соединений.
При использовании Двунаправленного (Two-Way) NAT
Сессии могут инициализироваться только с хостов из внешней сети. Сессии могут инициализироваться только с хостов из частной сети. Сессии между хостами из внутренней и внешней сетей не могут быть установлены. Сессии могут инициализироваться как с хостов из внешней сети, так и с хостов из частной сети.
Особенности NAT-пулов типа Fixed
Каждому внутреннему хосту всегда ставится в соответствие один и тот IP-адрес. Каждому внутреннему хосту с помощью алгоритма хэширования будет поставлен в соответствие один из внешних IP-адресов. IP-адреса внутренних хостов не изменяются. Номера портов внутренних хостов не изменяются.
Прохождение NAT может вызывать трудности, если
Если содержимое транспортного уровня содержит IP-адрес. Необходимо выполнять аутентификацию пользователя. Необходимо обеспечить безопасность до конечных точек. В частной и внешней сетях используются разные пространства адресов.
При использовании NAT необходим шлюз прикладного уровня (ALG), если
Приложение использует IP-адреса в содержимом пакета. Приложение должно выполнять аутентификацию пользователя. Приложение слушает нестандартный порт. Приложение использует номера портов в содержимом пакета.
Способы реализации Двунаправленного (Two-Way) NAT
Маршрутизатор NAT передает без изменения пакет из внешней сети во внутреннюю сеть, имеющую частные адреса. Хосту в частной сети назначается IP-адрес, доступный из внешней сети. Маршрутизатор NAT отображает определенный порт получателя на конкретный хост и порт за NAT. Хосту во внешней сети назначается IP-адрес, доступный из частной сети.
Отличия двойного NAT от традиционного и двунаправленного NAT
В двойном NAT IP-адреса не изменяются при пересечении дейтаграммой границы пространства адресов. В двойном NAT IP-адреса как источника, так и получателя модифицируются NAT при пересечении дейтаграммой границы пространства адресов. В двойном NAT изменяются только адреса из частной сети при пересечении дейтаграммой границы пространства адресов. В двойном NAT изменяются только адреса из внешней сети при пересечении дейтаграммой границы пространства адресов.
Двойной NAT необходим,
Если необходим доступ из частной сети к хостам во внешней сети. Если в частной и внешней пространствах адресов есть коллизия адресов. Если необходимо выполнять аутентификацию пользователей. Если необходим доступ из внешней сети в хостам в частной сети.
Multihomed NAT означает, что
Маршрутизаторы NAT от нескольких производителей или несколько экземпляров от одного и того же производителя NAT могут разделять общую конфигурацию NAT. Маршрутизатор NAT может одновременно маршрутизировать пакеты, полученные на нескольких интерфейсах. Маршрутизатор NAT соответствует стандартам, определенным IETF для NAT. Маршрутизаторы NAT от нескольких производителей неразличимы соседними маршрутизаторами и коммутаторами.
В магистральных (Backbone), разделенных на сегменты частных сетях использование NAT
Невозможно. Возможно, при этом пограничный маршрутизатор должен поддерживать маршруты к частным сетям во всех сегментах. Возможно использование NAT только в тупиковых сегментах. Возможно, при этом пограничные
Вы можете обратится к нам напрямую, через:
По Skype: molodoyberkut По Telegram: @MolodoyBerkut По ICQ: 657089516