Главная / Безопасность / Технологии туннелирования

Технологии туннелирования - ответы на тесты Интуит

Правильные ответы выделены зелёным цветом.
Все ответы: Основное внимание уделяется изучению наиболее важных сервисов и механизмов защиты информации в сети интернет, а именно, криптографических алгоритмов и протоколов, в которых используются эти алгоритмы.

Смотрите также:

Сетевые технологии

В алгоритмах симметричного шифрования секретным должен быть

(1) Ключ.

(2) Весь алгоритм симметричного шифрования.

(3) Параметры выполнения алгоритма симметричного шифрования.

(4) Отдельные элементы алгоритма симметричного шифрования (такие как S-box).

SPD в семействе протоколов IPSec описывает

(1) Политики, которые определяют обработку всего IP-трафика, проходящего через данный интерфейс.

(2) Параметры, которые связаны с каждой активной SA.

(3) Параметры, которые связаны с каждым криптографическим алгоритмом.

(4) Политики, которые определяют, какой трафик должен отбрасываться.

В протоколе IPSec необходима специальная поддержка прохождения NAT, потому что

(1) NAT изменяет номер порта и IP-адрес отправителя.

(2) NAT изменяет содержимое прикладного уровня.

(3) NAT изменяет номер порта и IP-адрес получателя.

(4) NAT изменяет МАС-адрес отправителя.

Под добровольным туннелированием понимают

(1) Создание туннеля пользователем, обычно посредством использования клиента туннелирования, установленного на пользовательской рабочей станции.

(2) Создание туннеля Третьей Доверенной Стороной.

(3) Создание туннеля межсетевым экраном.

(4) Создание туннеля ISP.

Последовательность случайных чисел должна быть

(1) Монотонно возрастающей.

(2) Непредсказуемой.

(3) Иметь равномерное распределение.

(4) Монотонно убывающей.

Целями протокола SSL/TLS являются

(1) Интероперабельность.

(2) Предотвращение атак «man-in-the-middle».

(3) Предотвращение DoS-атак.

(4) Относительная эффективность.

Необходимость хранить идентификационные и аутентификационные данные пользователей на отдельном сервере возникает

(1) Если надо освободить ресурсы межсетевого экрана.

(2) Если надо повысить безопасность хранения аутентификационных данных.

(3) Если надо использовать более безопасные аутентификационные механизмы.

(4) Если надо предоставить пользователям более удобные способы аутентификации.

Сервис Каталога является

(1) Распределенным набором серверов, которые поддерживают распределенную базу данных, содержащую информацию о различных объектах, таких как пользователи, устройства и т.п.

(2) Единственным сервером, который поддерживает базу данных, содержащую информацию о различных объектах, таких как пользователи, устройства и т.п.

(3) Распределенным набором серверов, которые поддерживают распределенную базу данных, содержащую информацию об отображении имен объектов на их IP-адреса.

(4) Единственным сервером, который поддерживает базу данных, содержащую информацию об отображении имен объектов на их IP-адреса.

Хэш-функции предназначены для

(1) Сжатия сообщения.

(2) Получения «отпечатков пальцев» сообщения

(3) Шифрования сообщения.

(4) Кодирования сообщения.

Для создания подписи с помощью алгоритма асимметричного шифрования следует использовать

(1) Свой открытый ключ.

(2) Закрытый ключ получателя.

(3) Свой закрытый ключ.

(4) Открытый ключ получателя.

Протокол GRE выполняет

(1) Инкапсуляцию данных любого протокола.

(2) Шифрование данных любого протокола.

(3) Аутентификацию отправителя инкапсулированного протокола.

(4) Аутентификацию получателя инкапсулированного протокола.

Протокол L2TP расширяет возможности протокола РРР

(1) Допуская, чтобы конечные точки L2 и РРР были расположены на разных устройствах, соединенных между собой сетью, по которой могут передаваться пакеты.

(2) Обеспечивая более сильное, по сравнению с протоколом РРР, шифрование.

(3) Обеспечивая более сильную, по сравнению с протоколом РРР, аутентификацию.

(4) Допуская возможность вести переговоры об используемых алгоритмах шифрования.

Основные задачи протоколов IPSec

(1) Обеспечение криптографической защиты на уровне IP для протоколов IPv4.

(2) Обеспечение криптографической защиты на уровне IP для протоколов IPv6.

(3) Обеспечение криптографической защиты на уровне МАС-адресов.

(4) Обеспечение криптографической защиты только на прикладном уровне.

На вход алгоритму симметричного шифрования подается

(1) Ключ.

(2) Исходное незашифрованное сообщение.

(3) Параметры выполнения алгоритма.

(4) Текущие дата и время.

Селектор в семействе протоколов IPSec определяет

(1) Детализированность политики и создаваемых SA.

(2) Используемые алгоритмы шифрования.

(3) Используемые ключи для алгоритмов шифрования.

(4) Используемые способы аутентификации.

Возможность поддержки NAT удаленным хостом определяется по результатам обмена содержимыми

(1) ID производителя (VID).

(2) Новым SA.

(3) NAD-D.

(4) Notify.

Под обязательным туннелированием понимают

(1) Создание туннеля без какого-либо участия клиента, и клиенту не предоставляется никакого выбора.

(2) Создание туннеля без какого-либо участия LAC, LAC не предоставляется никакого выбора.

(3) Создание туннеля без какого-либо участия LNS, LNS не предоставляется никакого выбора.

(4) Создание туннеля без какого-либо участия NAS, NAS не предоставляется никакого выбора.

В качестве генератора псевдослучайных чисел может использоваться

(1) Алгоритм симметричного шифрования.

(2) Любой математический алгоритм.

(3) Математическая функция, не имеющая обратной функции.

(4) Математическая функция, имеющая обратную функцию.

Расширяемость в протоколе SSL/TLS обеспечивается тем, что

(1) SSL/TLS определяет общий каркас (framework), в который могут быть встроены новые алгоритмы открытого ключа и симметричного шифрования.

(2) SSL/TLS имеет фиксированный набор алгоритмов симметричного шифрования и определяет каркас (framework), в который могут быть встроены новые алгоритмы открытого ключа.

(3) SSL/TLS имеет фиксированный набор алгоритмов открытого ключа и определяет каркас (framework), в который могут быть встроены новые алгоритмы симметричного шифрования.

(4) SSL/TLS имеет фиксированный набор алгоритмов симметричного шифрования и алгоритмов открытого ключа.

Основные принципы функционирования RADIUS

(1) Клиент-серверная модель функционирования.

(2) Транзакции между NAS и сервером RADIUS аутентифицированы с помощью общего секрета, который никогда не посылается по сети.

(3) Транзакции между NAS и сервером RADIUS зашифрованы алгоритмом симметричного шифрования.

(4) Транзакции между NAS и сервером RADIUS аутентифицированы с помощью криптографии с открытым ключом.

Информация, хранящаяся на сервере LDAP, является

(1) Реляционной базой данных.

(2) Текстовым файлом произвольной структуры.

(3) Совокупностью записей, которые содержат наборы атрибутов.

(4) Файлом с расширением .ldap.

Хэш-функция должна обладать следующими свойствами

(1) Хэш-функция должна применяться к блоку данных любой длины.

(2) Хэш-функция должна создавать выход произвольной длины.

(3) Для любого данного значения хэш-кода h вычислительно невозможно найти M такое, что Н(M) = h.

(4) Для любого сообщения M вычислительно невозможно найти h такое, что Н(M) = h.

Задачей факторизации числа является

(1) Разложение числа на простые сомножители.

(2) Нахождение степени, в которую следует возвести целое число для получения заданного целого числа.

(3) Нахождение степени, в которую следует возвести простое число для получения заданного целого числа.

(4) Нахождение произведения двух простых чисел.

Под Virtual Private Network (VPN) понимают

(1) Различные технологии, которые позволяют создавать логические сети, использующие в качестве транспорта другие сетевые протоколы.

(2) Различные технологии, которые обеспечивают разграничение доступа пользователей.

(3) Различные технологии, которые предотвращают несанкционированный доступ в сеть.

(4) Различные технологии, которые обеспечивают аутентификацию участников.

L2TP концентратор доступа (L2TP Access Concentrator - LAC)

(1) Узел, который является одной из конечных точек L2TP-туннеля.

(2) Узел, который предоставляет веб-сервисы конечным пользователям.

(3) Узел, который предоставляет сервисы аутентификации, авторизации и аккаунтинга.

(4) Узел, который предоставляет DNS-сервис конечным пользователям.

Сервисы безопасности IPSec включают

(1) Защита от replay-атак.

(2) Целостность данных.

(3) Авторизация пользователя.

(4) Управление идентификациями пользователей.

При использовании алгоритмов симметричного шифрования целью противника является

(1) Узнать ключ.

(2) Узнать пароль пользователя.

(3) Узнать используемый алгоритм.

(4) Узнать дату и время шифрования.

Список записей SАD в семействе протоколов IPSec является

(1) Упорядоченным.

(2) Не упорядоченным.

(3) Зависит от реализации.

(4) Упорядоченным по времени создания.

Отправитель пакета может не знать свой собственный IP-адрес, так как

(1) В случае нескольких интерфейсов может быть неизвестно, какой IP-адрес будет указан в качестве источника при пересылке пакета.

(2) В случае нескольких интерфейсов IP-адрес может быть нулевым.

(3) IP-адрес отправителя может быть случайным числом.

(4) В случае нескольких интерфейсов IP-адрес всегда выбирается случайно из значений IP-адресов этих интерфейсов.

Примеры атак на протокол L2TP

(1) Противник может узнать идентификаторы пользователей, просматривая пакеты данных.

(2) Противник может попытаться модифицировать управляющие пакеты.

(3) Противник может просматривать передаваемые пакеты.

(4) Противник может попытаться модифицировать пакеты данных.

Различные режимы шифрования предназначены для того, чтобы

(1) Обеспечить возможность обрабатывать сообщения, длина которых больше длины блока шифрования.

(2) Обеспечить возможность обрабатывать сообщения порциями, меньшими, чем длина блока шифрования.

(3) Увеличить стойкость алгоритма.

(4) Использовать ключи шифрования разной длины.

Протокол Записи в SSL/TLS обеспечивает

(1) Аутентификацию клиента.

(2) Конфиденциальность соединения.

(3) Целостность соединения.

(4) Аутентификацию сервера.

Сервер RADIUS выполняет следующие действия

(1) Получает запрос от NAS.

(2) Аутентифицирует пользователя.

(3) Возвращает NAS всю необходимую для предоставления сервиса информацию.

(4) Ведет переговоры об используемых алгоритмах шифрования.

Схема LDAP

(1) LDAP не имеет стандартной схемы хранения информации.

(2) LDAP имеет стандартную схему хранения информации.

(3) LDAP не имеет никакой схемы хранения информации.

(4) Схема хранения LDAP определяется в каждом приложении, которое помещает информацию в LDAP.

Свойство хэш-функции, которое гарантирует, что для любого сообщения М вычислительно невозможно найти МM такое, что H(M)=H(M), позволяет

(1) Предотвращает подделку этого сообщения, когда в качестве аутентификатора используется защищенный от изменения хэш-код.

(2) Предотвращает подделку этого сообщения, когда в качестве аутентификатора используется хэш-код. Дополнительной защиты хэш-кода не требуется.

(3) Обеспечивать конфиденциальность этого сообщения.

(4) Создавать цифровую подпись для этого сообщения.

Алгоритм Диффи-Хеллмана дает возможность

(1) Безопасно обменяться общим секретом.

(2) Безопасно обменяться общим секретом при условии аутентификации сторон.

(3) Подписать сообщение.

(4) Зашифровать сообщение.

Безопасность, обеспечиваемая VPN, зависит от

(1) Безопасности ОС.

(2) Источника случайных чисел.

(3) Настроек прикладных серверов.

(4) Настроек клиентов прикладного уровня.

Характеристики LNS (L2TP Network Server)

(1) LNS является противоположной стороной LAC.

(2) LNS является логической конечной точкой РРР-сессии, которая туннелируется от удаленной системы с помощью LAC.

(3) LNS является конечной точкой туннеля между LNS и LAC.

(4) LNS предоставляет сервисы аутентификации, авторизации и аккаунтинга.

IPSec поддерживает следующие формы целостности

(1) Целостность передаваемых данных.

(2) Целостность определенной последовательности дейтаграмм.

(3) Целостность аутентификационных данных.

(4) Целостность пользовательской идентификации.

В алгоритмах симметричного шифрования используются только следующие операции

(1) Операции перестановки и сдвига.

(2) S-box – i битов заменяются на j битов.

(3) Любые из перечисленных выше операций, а также многие другие.

(4) Побитовое исключающее или (XOR)

Протокол управления ключом IPSec имеет

(1) Одну фазу.

(2) Две фазы.

(3) Три фазы.

(4) Четыре фазы.

Признак наличия NAT между Инициатором и Получателем

(1) NAT присутствует тогда и только тогда, когда ни для одного из хэшей IP-адресов не найдено соответствие с содержимым NAT-D.

(2) NAT присутствует тогда и только тогда, когда для первого хэша IP-адреса не найдено соответствие с содержимом NAT-D.

(3) NAT присутствует тогда и только тогда, когда для последнего хэша IP-адреса не найдено соответствие с содержимым NAT-D.

(4) NAT присутствует тогда и только тогда, когда все хэши IP-адресов равны значению содержимого NAT-D.

Недостатки протокола L2TP

(1) Нет защиты управляющего трафика и трафика данных на уровне пакетов.

(2) Управление ключом отсутствует.

(3) При аутентификации на уровне L2TP-туннеля не обеспечивается взаимная аутентификация LAC и LNS при создании туннеля.

(4) Нет аутентификации на уровне пользователя.

Потокоориентированной передачи лучше всего соответствуют режимы алгоритмов симметричного шифрования

(1) ECB.

(2) CBC.

(3) CFB.

(4) OFB.

Протокол Рукопожатия обеспечивает безопасность соединения, используя следующие сервисы

(1) Участники аутентифицированы с использованием криптографии с открытым ключом.

(2) Для аутентификации участников используется Третья Доверенная Сторона, сертификат которой имеет каждый участник.

(3) Переговоры о разделяемом секрете надежны.

(4) Участники аутентифицированы с использованием общего секрета или криптографии с открытым ключом.

Функции сервера RADIUS

(1) Обеспечить аутентификацию.

(2) Обеспечить авторизацию.

(3) Обеспечить хранение учетных записей (аккаунтинг).

(4) Обеспечить хранение пользовательской информации.

Запись Каталога LDAP – это

(1) Набор информации, имеющий общего родителя.

(2) Набор информации одного класса.

(3) Поименованный набор информации.

(4) Набор информации, не имеющий своего поддерева.

«Парадокс дня рождения» состоит в том, что

(1) Для того чтобы вероятность совпадения дней рождения у двух человек была больше 0.5, в группе должно быть всего 23 человека.

(2) Для того чтобы вероятность совпадения дней рождения у двух человек была больше 0.5, в группе должно быть всего 32 человека.

(3) Для того чтобы вероятность совпадения дней рождения у двух человек была равна 1, в группе должно быть всего 23 человека.

(4) Для того чтобы вероятность совпадения дней рождения у двух человек была равна 1, в группе должно быть всего 32 человека.

Алгоритм RSA может использоваться для

(1) Создания и проверки подписи.

(2) Шифрования.

(3) Обмена общим секретом.

(4) Авторизации.

Протокол РРРоЕ обеспечивает

(1) Конфиденциальность соединения.

(2) Целостность соединения.

(3) Защиту от возможности в дальнейшем подстроиться под одну из сторон.

(4) Аутентификацию пользователя с помощью цифровой подписи.

Протокол L2TP определяет

(1) Способы передачи РРР-соединения по Ethernet.

(2) Способ аутентификации в протоколе РРР.

(3) Способ шифрования в протоколе РРР.

(4) Способ конфигурирования IP-адресов для протокола РРР.

Защита в семействе протоколов IPSec основана на

(1) Требованиях, определенных в базе данных политики безопасности (Security Policy Database - SPD)

(2) Требованиях, определенных в руководстве системного администратора.

(3) Требованиях, определенных в базе данных пользователей.

(4) Требованиях, определенных в правилах фильтрования.

Ключ, используемый в каждом раунде алгоритма симметричного шифрования, называется

(1) Подключом.

(2) Ключом раунда.

(3) Ключом сессии.

(4) Мастер-ключом.

Содержимое SA используется

(1) Для выбора алгоритмов, которые будут применяться для защиты трафика.

(2) Для вычисления общего секрета.

(3) Для аутентификации участников.

(4) Для идентификации участников.

В содержимом NAT-D посылаются

(1) Хэши IP-адресов и портов обоих участников.

(2) Хэши IP-адресов и портов Инициатора.

(3) Хэши IP-адресов и портов Получателя.

(4) Хэши IP-адресов обоих участников.

Основные принципы совместного использования L2TP и IPSec

(1) Требуется обеспечить синхронное завершение L2TP-туннеля и SA, созданной в фазах I или II.

(2) Необходимо решить проблемы, связанные с фрагментацией.

(3) Необходимо решить проблемы, связанные с совместным использованием ключей IPSec и L2TP.

(4) Необходимо решить проблемы, связанные с совместным использованием сертификатов открытого ключа IPSec и L2TP.

Алгоритмы, входящие в число финалистов AES

(1) DES.

(2) Rijndael.

(3) Blowfish.

(4) Twofish.

(5) MARS.

(6) IDEA.

Под безопасностью переговоров о разделяемом секрете понимается

(1) Разделяемый общий секрет невозможно подсмотреть.

(2) Разделяемый общий секрет невозможно изменить.

(3) Невозможно узнать алгоритмы, для которых создается разделяемый общий секрет.

(4) Невозможно узнать режимы выполнения алгоритмов, для которых создается разделяемый общий секрет.

Расширяемость протокола RADIUS является результатом того, что

(1) Могут быть добавлены новые атрибуты без изменения существующих реализаций протокола.

(2) Могут вестись переговоры об используемых алгоритмах шифрования.

(3) Могут быть добавлены другие сервера RADIUS, на которых хранятся аутентификационные и авторизационные данные.

(4) Могут быть добавлены новые протоколы, обеспечивающие аутентификацию и авторизацию пользователя.

Полное имя записи (Distinguished Name – DN)

(1) Является конкатенацией ее RDN и DN ее родителя.

(2) Является конкатенацией имен всех записей данного узла.

(3) Является конкатенацией имен всех записей данного узла и данного поддерева.

(4) Является конкатенацией имен всех записей данного поддерева.

Сколько в среднем необходимо перебрать сообщений, чтобы с вероятностью большей, чем 50%, найти два сообщения с одинаковыми хэш-кодами при условии использования сильной криптографической функции

(1) 2_n-1 сообщений, где n – длина хэш-кода.

(2) 2_n/2 сообщений, где n – длина хэш-кода.

(3) N сообщений, где N – длина хэш-кода.

(4) 2_n сообщений, где n – длина хэш-кода.

Выберите правильное утверждение

(1) Цифровая подпись обеспечивает аутентификацию отправителя.

(2) Цифровая подпись обеспечивает конфиденциальность сообщения.

(3) Цифровая подпись обеспечивает целостность сообщения.

(4) Цифровая подпись обеспечивает аутентификацию получателя.

Способы аутентификации участников в протоколе РРТР

(1) СНАР.

(2) Общий секрет.

(3) Сертификат.

(4) Аутентификация отсутствует.

Если хост соединен с интернетом, и на нем установлено ПО LAC-клиента, то

(1) LAC-клиент создает виртуальное РРР-соединение и L2TP-туннель к LNS.

(2) L2TP-туннель не может быть создан.

(3) LAC-клиент создает физическое РРР-соединение и L2TP-туннель к LNS.

(4) LAC-клиент создает физическое РРР-соединение, без создания L2TP-туннеля.

Протоколы IPSec, обеспечивающие безопасность трафика

(1) ESP.

(2) TLS.

(3) AH.

(4) SSL.

Платформы, на которых могут использоваться алгоритмы симметричного шифрования

(1) Мощные сервера.

(2) Пользовательские рабочие станции.

(3) Устройства, содержащие встроенные микроконтроллеры.

(4) Смартфоны.

Содержимое Transform – это

(1) Список конкретных механизмов безопасности, или преобразований, которые используются для обеспечения безопасности соединения.

(2) Список IP-адресов и сетей, которым разрешен доступ по протоколу IPSec.

(3) Список пользователей, которым разрешен доступ по протоколу IPSec.

(4) Список серверов, к которым разрешен доступ пользователю.

Преобразований NAT, которые знают о наличии IPSec, могут реализовывать прозрачное прохождение IPSec-трафика следующим образом

(1) Преобразования NAT могут не изменять IKE-порт источника 500.

(2) Преобразования NAT могут использовать IKE Cookies для пересылки пакетов нужному получателю за NAT вместо использования порта источника.

(3) Преобразования NAT могут вычислять новые криптографические контрольные суммы и вставлять их в пакет.

(4) Преобразования NAT могут изменять IKE-порт источника на тот, о котором заранее велись переговоры.

Особенности совместного IPSec-туннелирования и L2TP-туннеля

(1) Могут возникнуть проблемы при выполнении протокола IKE, так как в протоколе L2TP возможно изменение номера порта при переговорах.

(2) Могут возникнуть проблемы при выполнении протокола ESP, так как в протоколе L2TP выполняется собственное шифрование.

(3) Могут возникнуть проблемы при выполнении протокола IKE, так как в протоколе L2TP выполняется собственная аутентификация.

(4) Могут возникнуть проблемы при выполнении протокола IKE, так как в протоколе L2TP должны использоваться собственные разделяемые секреты.

В качестве AES было решено выбрать

(1) Один алгоритм.

(2) Два алгоритма.

(3) Четыре алгоритма.

(4) Пять алгоритмов.

Протокол Записи выполняет следующее

(1) Фрагментирует сообщение на блоки нужной длины.

(2) Осуществляет сжатие данных.

(3) Аутентифицирует сервер.

(4) Подписывает передаваемые данные.

В протоколе RADIUS все данные передаются

(1) В элементах, которые называются атрибутами.

(2) В формате ASN.1.

(3) В формате XML.

(4) В формате HTML.

Тип атрибута в LDAP определяет

(1) Может ли атрибут иметь несколько значений.

(2) Синтаксис и правила соответствия, используемые при создании и сравнении значений отдельного атрибута.

(3) Имя данного атрибута.

(4) Является ли данный атрибут частью RDN.

Выберите правильное высказывание

(1) Каждая элементарная функция в алгоритме MD5 получает одно 32-битное слово на входе и на выходе создает три 32-битных слова.

(2) Каждая элементарная функция в алгоритме MD5 получает три 32-битных слова на входе и на выходе создает три 32-битных слова.

(3) Каждая элементарная функция в алгоритме MD5 получает три 32-битных слова на входе и на выходе создает одно 32-битное слово.

(4) Каждая элементарная функция в алгоритме MD5 получает два 32-битных слова на входе и на выходе создает одно 32-битное слово.

Подпись называется рандомизированной, если

(1) Для разных сообщений с использованием одного и того же закрытого ключа при каждом подписывании создаются разные подписи.

(2) Для одного и того же сообщения с использованием одного и того же закрытого ключа при каждом подписывании создаются разные подписи.

(3) Для одного и того же сообщения с использованием разных закрытых ключей при каждом подписывании создаются разные подписи.

(4) Для разных сообщений с использованием разных закрытых ключей создаются разные подписи.

Протокол IPSec обеспечивает

(1) Конфиденциальность соединения.

(2) Целостность соединения.

(3) Защиту от возможности в дальнейшем подстроиться под одну из сторон.

(4) Аутентификацию пользователя с помощью цифровой подписи.

В протоколе L2TP используется следующий метод представления типов сообщений

(1) Сообщения передаются в виде пар значений AVP (Attribute-Value Pair).

(2) Сообщения передаются в виде ASN.1 нотации.

(3) Сообщения передаются в виде XML нотации.

(4) Сообщения передаются нотации на языке С.

SA в семействе протоколов IPSec однозначно определяется

(1) Security Parameter Index (SPI) и IP Destination Address (адресом назначения).

(2) Security Parameter Index (SPI), IP Destination Address (адресом назначения) и протокол безопасности (АН или ESP).

(3) Security Parameter Index (SPI) и протокол безопасности (АН или ESP).

(4) Security Parameter Index (SPI), IP Source Address (адресом отправителя) и IP Destination Address (адресом назначения).

Сеть Фейштеля широко используется при разработке алгоритмов симметричного шифрования, потому что

(1) Увеличение количества раундов сети Фейштеля приводит к увеличению стойкости алгоритма шифрования.

(2) Для обратимости сети Фейштеля не требуется обратимость образующей функции F.

(3) Сеть Фейштеля достаточно компактна и проста в реализации.

(4) Других способов реализации алгоритмов симметричного шифрования не существует.

Во время первой фазы переговоров в протоколе IPSec

(1) Участники договариваются о том, как защищать дальнейший трафик переговоров между собой, устанавливая ISAKMP SA.

(2) Участники договариваются о том, как защищать дальнейший трафик в протоколах ESP и АН.

(3) Участники договариваются о том, как защищать дальнейший трафик в протоколах прикладного уровня.

(4) Участники договариваются о том, как защищать дальнейший трафик канального уровня.

Для определения наличия NAT между двумя хостами необходимо определить

(1) Изменялись ли IP-адреса при пересылке.

(2) Изменялись ли порты при пересылке.

(3) Изменялось ли содержимое пакетов прикладного уровня при пересылке.

(4) Изменялись ли МАС-адреса при пересылке.

При обеспечении безопасности L2TP с использованием IPSec возможны следующие изменения портов и IP-адресов Инициатора и Получателя

(1) Порт Инициатора – 1701, IP-адрес Получателя – фиксированный, порт Получателя – 1701.

(2) Порт Инициатора – 1701, IP-адрес Получателя – фиксированный, порт Получателя – динамический.

(3) IP-адрес Инициатора – динамический, IP-адрес Получателя – фиксированный, порт Получателя – 1701.

(4) IP-адрес Инициатора – динамический, порт Инициатора – 1701, порт Получателя – 1701.

Что означает гибкость алгоритма симметричного шифрования

(1) Возможность использовать длину ключа, отличную от той, которая должны поддерживаться обязательно.

(2) Возможность безопасно и эффективно реализовываться в различных типах окружений.

(3) Возможность использовать различные режимы выполнения алгоритма.

(4) Возможность вести переговоры в протоколах об используемом алгоритме симметричного шифрования.

Состояние соединения в протоколе SSL/TLS

(1) Определяет параметры выполнения протокола Записи.

(2) Определяет способ аутентификации клиента.

(3) Определяет способ аутентификации сервера.

(4) Определяет прикладной протокол, который выполняется выше протокола Записи.

Атрибуты RADIUS определяются

(1) В спецификации протокола RADIUS.

(2) Каждый производитель NAS или сервера RADIUS может определить свои атрибуты RADIUS.

(3) Каждый пользователь, выполняющий аутентификацию, может определить свои атрибуты NAS.

(4) Каждый сервер, для доступа к которому необходима аутентификация пользователя, может определить свои атрибуты NAS.

LDIF (LDAP Data Interchange Format) является форматом

(1) Для обмена данными с другими системами хранения.

(2) Для описания структуры дерева LDAP.

(3) Для описания Схемы LDAP.

(4) Для обеспечения возможности выполнения более быстрого поиска по дереву LDAP.

Каждый блок сообщения в хэш-функции MD5 обрабатывается

(1) 4 раза.

(2) 16 раз.

(3) 64 раза.

(4) 128 раз.

В DSS используется хэш-функция

(1) MD5.

(2) SHA-1.

(3) SHA-2.

(4) ГОСТ-3411.

Способы аутентификации участников при совместном использовании протоколов L2TP и IPSec

(1) СНАР.

(2) Общий секрет.

(3) Сертификат.

(4) Аутентификация отсутствует.

Формат L2TP-заголовка

(1) L2TP-пакеты управляющего канала и канала данных имеют одинаковый формат заголовка.

(2) Заголовки L2TP-пакетов управляющего канала и канала данных отличаются значением бита Т.

(3) Пакеты, передаваемые по каналу данных, не имеют заголовков.

(4) Пакеты, передаваемые по управляющему каналу, не имеют заголовков.

Хост, реализующий IPSec, может функционировать

(1) Только в транспортном режиме.

(2) Только в туннельном режиме.

(3) Как в туннельном, так и в транспортном режимах.

(4) Не может поддерживать IPSec.

Криптоанализ – это процесс, при котором

(1) Зная зашифрованное сообщение, пытаются узнать незашифрованное сообщение.

(2) Зная одну или несколько пар (незашифрованное сообщение, зашифрованное сообщение), пытаются узнать ключ.

(3) Изменяют передаваемое зашифрованное сообщение.

(4) Пытаются узнать используемый алгоритм шифрования.

В I и II Фазах переговоров

(1) Может выполняться аутентификация разных типов участников.

(2) Всегда выполняется аутентификация одних и тех же участников.

(3) Всегда выполняется аутентификация одних и тех же типов участников (либо IP-адреса, либо имена пользователей).

(4) Всегда выполняется аутентификация по IP-адресам.

В содержимом NAT-OA посылаются

(1) Исходные IP-адреса.

(2) Исходные номера портов.

(3) Исходные IP-адреса и номера портов.

(4) Новые IP-адреса и номера портов.

Для обеспечения возможности динамического изменения номеров портов и IP-адреса Получателя

(1) Должны быть разработаны механизмы, которые позволяют L2TP вставлять свои записи в БД IPSec.

(2) Должны быть разработаны механизмы, которые позволяют IPSec вставлять свои записи в БД L2TP.

(3) Должны быть разработаны механизмы, которые позволяют Третьей Доверенной Стороне вставлять свои записи в БД L2TP.

(4) Должны быть разработаны механизмы, которые позволяют Третьей Доверенной Стороне вставлять свои записи в БД IPSec.

Отсутствие запасного алгоритма в качестве AES обусловлено следующими причинами

(1) Снижается интероперабельность системы, в которой отсутствует реализация запасного алгоритма.

(2) Невозможно проанализировать запасной алгоритм на наличие слабых мест.

(3) Невозможно проанализировать запасной алгоритм на наличие слабых ключей.

(4) Снижается производительность системы, в которой есть реализация запасного алгоритма.

Определены следующие состояния соединения

(1) Текущее состояние чтения.

(2) Текущее состояние записи.

(3) Ожидаемое состояние чтения.

(4) Ожидаемое состояние записи.

Информация о состоянии в протоколе RADIUS может передаваться

(1) С помощью атрибута State.

(2) С помощью состояния, определенного в протоколе ТСР.

(3) С помощью состояния, определенного в протоколе SSL/TLS.

(4) С помощью последовательности атрибутов Access-Request/Access-Challenge.

Схема Каталога LDAP обладает следующими свойствами

(1) Схема представляет собой совокупность DN данного сервера LDAP.

(2) Схема представляет собой множество правил, которые описывают хранимые данные.

(3) Схема представляет собой совокупность атрибутов в отдельном дереве LDAP.

(4) Схема представляет собой совокупность записей в отдельном дереве LDAP.

Длина блока в хэш-функциях SHA-2 может быть

(1) 256 битов.

(2) 512 битов.

(3) 1024 бита.

(4) 2048 битов.

Из двух компонент (r, s) состоит подпись, полученная с использованием алгоритма

(1) RSA.

(2) DSS.

(3) ГОСТ 3410.

(4) SHA-1.

Протокол SSL обеспечивает

(1) Конфиденциальность соединения

(2) Целостность соединения

(3) Защиту от возможности в дальнейшем подстроиться под одну из сторон.

(4) Аутентификацию пользователя с помощью цифровой подписи.

Для сокрытия значения AVP

(1)

Вычисляется хэш-код MD5 для разделяемого секрета и случайного вектора произвольной длины.

Выполняется XOR значения хэша MD5 и первых 16 октетов (или меньше) значения AVP, который требуется скрыть.

(2) Значение AVP шифруется, используя разделяемый секрет в качестве ключа.

(3)

Вычисляется хэш-код MD5 для разделяемого секрета.

Выполняется XOR значения хэша MD5 и первых 16 октетов (или меньше) значения AVP, который требуется скрыть.

(4) Значение AVP шифруется, используя в качестве ключа полученное от противоположной стороны случайное значение.

На каждом сетевом интерфейсе, поддерживающим протоколы IPSec

(1) Должны создаваться две базы данных: БД Политики Безопасности (Security Policy Database - SPD) и БД Безопасных Ассоциаций (Security Association Database – SAD).

(2) Должна создаваться БД Политики Безопасности (Security Policy Database - SPD).

(3) Должна создаваться БД Безопасных Ассоциаций (Security Association Database – SAD).

(4) Не должно быть создано ни одной базы данных. Существует единая база данных для всех интерфейсов.

Основные критерии, используемые при разработки алгоритмов симметричного шифрования

(1) Алгоритм должен иметь размер блока 64 или 128 бит.

(2) Алгоритм должен иметь разные ключи для шифрования и расшифрования.

(3) Использовать простые операции, которые эффективны на микропроцессорах.

(4) Должна быть возможность реализации алгоритма на 8-битном процессоре с минимальными требованиями к памяти.

Использование «Cookie» или Anti-Clogging Token (ACT)

(1) Обеспечивают возможность более быстрого определения DoS-атаки.

(2) Обеспечивает возможность аутентификации участников.

(3) Обеспечивают возможность предотвращения DoS-атаки.

(4) Обеспечивают возможность предотвращения DDoS-атаки.

Определение сбоя противоположной стороны необходимо

(1) Чтобы не образовывалось «черной дыры», в которую уходят пакеты.

(2) Чтобы обеспечить целостность последовательности пакетов.

(3) Чтобы обеспечить целостность содержимого пакета.

(4) Чтобы обеспечить конфиденциальность трафика.

Начальные записи в политике IPSec на стороне Получателя для исходящего трафика

(1) Нет начальных записей. Они должны быть динамически созданы IKE при успешном завершении фазы II.

(2) Начальные записи должны разрешать весь трафик с любого IP-адреса и порта на любой IP-адрес и порт.

(3) Начальные записи должны разрешать трафик на физический Ethernet-порт Получателя с любого IP-адреса и порта.

(4) Начальные записи должны запрещать весь трафик.

Какому полиному соответствует шестнадцатеричное число 21

(1) x₆ + 1

(2) x₅ + 1

(3) x₇ + x₅ + 1

(4) х₅+х₄

Из мастер-секрета создаются следующие данные

(1) Ключи МАС, разные в обоих направлениях.

(2) Ключи для алгоритма симметричного шифрования, разные в обоих направлениях.

(3) Сертификаты сервера.

(4) Инициализационные вектора для алгоритма симметричного шифрования, одинаковые в обоих направлениях.

RADIUS-сервер проверяет в базе данных

(1) Пароль пользователя.

(2) Требования, которые должны быть выполнены, чтобы пользователю можно было разрешить доступ.

(3) Стойкость ко взлому пароля пользователя.

(4) Стойкость ко взлому общего секрета между сервером RADIUS и NAS.

Сервер LDAP предоставляет информацию об имени корневого контекста

(1) В атрибуте baseDN.

(2) В атрибуте referral.

(3) В атрибуте objectClass.

(4) В атрибуте baseObject.

Длина блоков, на которые делится сообщение в хэш-функции ГОСТ 3411, равна

(1) 256 битов.

(2) 512 битов.

(3) 1024 битов.

(4) 2048 битов.

Сертификат открытого ключа имеет следующие характеристики

(1) Любой участник, имеющий открытый ключ СА, может восстановить открытый ключ участника, для которого СА создал сертификат.

(2) Никто, кроме сертификационного центра, выпустившего сертификат, не может подсмотреть сертификат.

(3) Никто, кроме сертификационного центра, выпустившего сертификат, не может незаметно модифицировать сертификат.

(4) Любой участник, имеющий открытый ключ СА, может восстановить закрытый ключ участника, для которого СА создал сертификат.

Протокол РРР предназначен

(1) Для создания не маршрутизируемых каналов, по которым передаются пакеты между двумя участниками.

(2) Для создания маршрутизируемых каналов, по которым передаются пакеты между двумя участниками.

(3) Для создания маршрутизируемых каналов, по которым передаются пакеты между многими участниками.

(4) Для создания не маршрутизируемых каналов, по которым передаются пакеты между многими участниками.

Создание туннеля для РРР-сессии имеет следующие этапы

(1) Установление управляющего соединения для туннеля.

(2) Установление сессии, которая запускается при входящих и исходящих вызовах.

(3) Выполнения трех шагового Рукопожатия.

(4) Установление ТСР-соединения.

Протокол ESP может обеспечивать

(1) Шифрование пакета.

(2) Целостность пакета, включая неизменяемые поля IP-заголовка.

(3) Целостность пакета, не включая IP-заголовок.

(4) Целостность пакета, включая неизменяемые поля МАС-заголовка и IP-заголовка.

Длина ключа в алгоритме DES равна

(1) 56 бит.

(2) 56 байт.

(3) 128 бит.

(4) 256 бит.

Возможные способы аутентификации в Main Mode и Aggressive Mode

(1) В Main Mode и в Aggressive Mode - цифровая подпись и аутентификация посредством предварительно распределенного секрета.

(2) В Main Mode - цифровая подпись, в Aggressive Mode – аутентификация посредством предварительно распределенного секрета.

(3) В Main Mode - аутентификация посредством предварительно распределенного секрета, в Aggressive Mode – цифровая подпись.

(4) В Main Mode – цифровая подпись, в Aggressive Mode – нет аутентификации.

В схеме Keepalive проверки жизнеспособности противоположной стороны

(1) Каждой стороне требуется регулярное подтверждение жизнеспособности противоположной стороны.

(2) Только Инициатору требуется регулярное подтверждение жизнеспособности противоположной стороны.

(3) Только Получателю требуется регулярное подтверждение жизнеспособности противоположной стороны.

(4) Проверка жизнеспособности требуется Третьей Доверенной Стороне.

Начальные записи в политике IPSec на стороне Инициатора для исходящего трафика

(1) С IP-адреса, который Инициатор использует для взаимодействия по L2TP-туннелю, и номера UDP-порта, который Инициатор выбирает для инициализации и получения L2TP-трафика, на IP-адрес, который Получатель слушает при получении начального SCCRQ, и порт 1701.

(2) С IP-адреса, который Инициатор использует для взаимодействия по L2TP-туннелю, и номера UDP-порта, который Инициатор выбирает для инициализации и получения L2TP-трафика, на любой IP-адрес и порт 1701.

(3) С IP-адреса, который Инициатор использует для взаимодействия по L2TP-туннелю, и номера UDP-порта, который Инициатор выбирает для инициализации и получения L2TP-трафика, на любой IP-адрес и любой порт.

(4) Разрешен доступ с любого IP-адреса с любого порта на любой IP-адрес и любой порт Инициатора.

В алгоритме Rijndael слой SubByte является

(1) Преобразованием, в котором строки состояния циклически сдвигаются на различные значения.

(2) Побитовым XOR ключа раунда с текущим состоянием.

(3) Нелинейной байтовой подстановкой, выполняющейся для каждого байта состояния независимо от других байтов.

(4) Байтовой подстановкой, подстановка для каждого следующего байта зависит от подстановки в предыдущем байте.

Протокол Рукопожатия в SSL/TLS обязательно включает следующие шаги

(1) Обмен сообщениями Hello клиента и сервера.

(2) Посылка сертификата сервера.

(3) Обмен сообщениями для выработки общего секрета.

(4) Посылка сертификата клиента.

Аутентификация NAS сервером RADIUS основана на

(1) Разделяемом секрете между NAS и сервером RADIUS.

(2) Цифровой подписи и сертификате открытого ключа.

(3) Открытых ключах алгоритма Диффи-Хеллмана.

(4) Мастер-секретах каждого участника (NAS и RADIUS-сервера) c Третьей Доверенной Стороной.

Операция Bind в протоколе LDAP

(1) Передает аутентификационную информацию от клиента к серверу.

(2) Содержит имя объекта Каталога LDAP, с которым клиент хочет присоединиться.

(3) Связывает аутентификационную информацию с нужными клиенту записями.

(4) Передает имя и пароль пользователя, учетные записи которого ищутся.

Длина хэш-кода, создаваемого хэш-функцией SHA-1, равна

(1) 128 битов.

(2) 160 битов.

(3) 512 битов.

(4) 1024 битов.

Репозиторий сертификатов открытого ключа – это

(1) База данных, в которой хранятся сертификаты и CRL.

(2) Система или набор распределенных систем, которые хранят сертификаты и CRL.

(3) База данных, в которой хранится информация сертификационного центра.

(4) Система или набор распределенных систем, в которой хранится информация сертификационного центра.

Протокол LCP предназначен для

(1) Для согласования параметров канала.

(2) Выполнения аутентификации конечных точек канала.

(3) Установления ТСР-соединения.

(4) Установления соединения прикладного уровня.

Жизнеспособность L2TP-туннеля

(1) Периодически может проверяться LAC посылкой сообщения Hello.

(2) Периодически может проверяться LNS посылкой сообщения Hello.

(3) Не может проверяться.

(4) Периодически может проверяться LAC посылкой сообщения Start.

Domain of Interpretation (DOI) протоколов IPSec определяет

(1) Форматы содержимого.

(2) Соглашения по именованию информации, относящейся к безопасности.

(3) Используемые ключи шифрования.

(4) Используемые алгоритмы шифрования.

При расшифровании DES подключи используются

(1) В том же порядке, что и при шифровании.

(2) В обратном порядке относительно их использования при шифровании.

(3) В произвольном порядке.

(4) Подключи расшифрования не зависят от подключей шифрования.

Выберите правильное утверждение

(1) В протоколе IKE сообщение имеет фиксированный формат заголовка, за заголовком может следовать переменное число содержимых.

(2) В протоколе IKE сообщение не имеет фиксированного формата заголовка, за заголовком следует фиксированное число содержимых.

(3) В протоколе IKE сообщение имеет фиксированный формат заголовка, за заголовком следует фиксированное число содержимых.

(4) В протоколе IKE сообщение не имеет фиксированного формата заголовка, за заголовком может следовать переменное число содержимых.

Недостатки схемы Heartbeat проверки жизнеспособности противоположной стороны

(1) Предполагается, что противоположная сторона сама будет демонстрировать свою жизнеспособность.

(2) Получатель не может сам демонстрировать свою жизнеспособность.

(3) Необходимо наличие Третьей Доверенной Стороны.

(4) Инициатор не может сам демонстрировать свою жизнеспособность.

Если Получатель решает использовать новый IP-адрес для трафика L2TP-туннеля

(1) Если используется аутентификация по предварительно распределенному секрету, L2TP должен указать IKE связать новый IP-адрес с тем же секретом, который использовался для исходного IP-адреса.

(2) Если используется аутентификация по сертификату, L2TP должен указать IKE связать новый IP-адрес с тем же сертификатом, который использовался для исходного IP-адреса.

(3) Если используется аутентификация по имени пользователя и паролю, L2TP должен указать IKE связать новый IP-адрес с тем же именем пользователя и паролем, который использовался для исходного IP-адреса.

(4) Если используется аутентификация по dns-имени, L2TP должен указать IKE связать новый IP-адрес с тем же dns-именем, который использовался для исходного IP-адреса.

Раунд алгоритма Rijndael имеет

(1) 3 слоя.

(2) 4 слоя.

(3) 5 слоев.

(4) 32 слоя.

Выберите правильное утверждение

(1) В протоколе SSL/TLS первым выполняет аутентификацию клиент.

(2) В протоколе SSL/TLS первым выполняет аутентификацию сервер.

(3) В протоколе SSL/TLS аутентификация клиента и сервера выполняется одновременно с использованием Третьей Доверенной стороны.

(4) В протоколе SSL/TLS никогда не выполняется ни аутентификация клиента, ни аутентификация сервера.

Ответ Access-Accept может содержать

(1) Список значений конфигурационных параметров.

(2) Список серверов, к которым разрешен доступ.

(3) Список алгоритмов шифрования, которые будут использоваться для обеспечения конфиденциальности туннеля.

(4) Список алгоритмов хэширования, которые будут использоваться для обеспечения целостности туннеля.

Область поиска baseObject в протоколе LDAP

(1) Ограничивает корневым объектом дерева данного сервера.

(2) Ограничивает поддеревом базового объекта.

(3) Ограничивает только базовым объектом.

(4) Ограничивает поддеревом базового объекта и самим базовым объектом.

Код аутентификации сообщения (МАС) может создаваться

(1) Только с использованием алгоритмов симметричного шифрования.

(2) Только с использованием хэш-функций.

(3) Как с использованием алгоритмов симметричного шифрования, так и с использованием хэш-функций.

(4) С помощью цифровой подписи.

Поле Subject идентифицирует участника, который

(1) Подписал данный сертификат.

(2) Является собственником сертификата и соответствующего закрытого ключа.

(3) Является собственником закрытого ключа СА.

(4) Может иметь данный сертификат в своем хранилище сертификатов.

Аутентификация в протоколе РРР выполняется следующим образом

(1) После завершения фазы установления канала та сторона, которая запрашивает аутентификацию противоположной стороны, посылает ей сообщение Challenge.

(2) Противоположная сторона отвечает значением, вычисленным с помощью односторонней хэш-функции.

(3) Сторона, запросившая аутентификацию, сравнивает ответ с собственным вычисленным значением. Если значения совпали, аутентификация считается выполненной, в противном случае соединение сбрасывается.

(4) Через произвольные интервалы времени сторона, запросившая аутентификацию, посылает новый запрос противоположной стороне, и повторяются шаги 1 – 3.

Различия между протоколами РРТР и L2TP

(1) Протокол РРТР использует протокол GRE для пересылки РРР-пакетов.

(2) Для управляющего соединения РРТР используется протокол ТСР.

(3) Протокол РРТР для аутентификации использует цифровую подпись, L2TP – общий секрет.

(4) Протокол РРТР для аутентификации использует общий секрет, L2TP – цифровую подпись.

Возможные топологии IPSec

(1) Шлюз безопасности – шлюз безопасности.

(2) Хост – шлюз безопасности.

(3) Хост – хост.

(4) Шлюз безопасности – межсетевой экран без поддержки IPSec.

В алгоритме ГОСТ 28147

(1) Размер S-box постоянный.

(2) Размер S-box зависит от ключа.

(3) Не используются S-box.

(4) Размер S-box зависит от номера раунда.

Ключи для SA в Quick Mode вычисляются

(1) Из ключевого материала, созданного в Фазе I, если не было обмена KE.

(2) Из ключевого материала, созданного в Фазе II, если был обмен KE.

(3) Из мастер-ключа, предварительно распределенного меду участниками.

(4) Из ключевого материала, созданного в Фазе II (обмена KE в Фазе II нет).

Свойства протокола DPD. Выберите правильное утверждение

(1) Протокол DPD позволяет ликвидировать недостатки схем Keepalive и Heartbeat.

(2) Каждый участник в большей степени (по сравнению со схемами Keepalive и Heartbeat) не зависит от другого в определении сбоя противоположной стороны.

(3) Асинхронность DPD-обменов позволяет посылать разное количество сообщений, чем достигается большая масштабируемость.

(4) Обеспечивается защита от DoS-атак.

Различия между IKE- и РРР-аутентификацией

(1) Хотя РРР-протокол и выполняет начальную аутентификацию, он не обеспечивает аутентификацию, целостность и защиту от replay-атак на уровне пакетов.

(2) В IPSec после того, как в IKE выполнена аутентификация и вычислены общие ключи, эти ключи используются для обеспечения аутентификации на уровне пакетов, целостности и защиты от replay-атак.

(3) В IPSec возможна аутентификация только по цифровым подписям, в РРР возможна аутентификация только по общему секрету.

(4) В IPSec нет аутентификации по имени пользователя и паролю.

Выберите правильное высказывание

(1) В алгоритме Rijndael в слое MixColumn используется полином в GF (2₈).

(2) В алгоритме Rijndael в слое MixColumn используется полином в GF (2).

(3) В алгоритме Rijndael в слое ByteSub используется полином в GF (2₈).

(4) В алгоритме Rijndael в слое ByteSub используется полином в GF (2).

Расширения SSL/TLS предназначены для обеспечения следующих возможностей

(1) Позволить серверам запрашивать авторизационную информацию клиента.

(2) Позволить клиентам указывать имя виртуального сервера.

(3) Позволить SSL/TLS максимально эффективно функционировать в новых окружениях с ограниченными возможностями.

(4) Использовать новые криптографические алгоритмы.

Случайный вызов может содержаться

(1) В атрибуте CHAP-Challenge.

(2) Если его длина больше 16 октетов, он может быть помещен в поле Request Authenticator в пакете Access-Request.

(3) В пакете Access-Accept.

(4) В пакете Access-Deny.

Параметр BaseObject в операции поиска в протоколе LDAP определяет

(1) Запись корневого объекта данного сервера.

(2) Запись базового объекта, в котором будет выполняться поиск.

(3) Запись базового объекта, относительно которого будет выполняться поиск.

(4) Запись корневого объекта всех серверов LDAP.

В стандарте НМАС для обеспечения целостности используется

(1) Хэширование исходного сообщения и секретного значения.

(2) Цифровая подпись исходного сообщения.

(3) Алгоритм симметричного шифрования.

(4) Хэширование исходного сообщения.

Сертификат попадает в список отмененных сертификатов, если

(1) Компрометирован закрытый ключ конечного участника.

(2) Компрометирован закрытый ключ СА, выпустившего данный сертификат.

(3) Истекло время действительности сертификата.

(4) Сертификат был украден.

Различия между протоколами MS-CHAP-v1 и СНАР

(1) Пакет Response в протоколе MS-CHAP-v1 имеет формат, совместимый с Windows NT 3.5, 3.51 и 4.0, а также Windows95.

(2) Протокол MS-CHAP-v1 предоставляет механизмы запроса аутентифицирующей стороной повторной аутентификации и изменения пароля.

(3) Протокол MS-CHAP-v1 не обеспечивает защиту от reply-атак.

(4) Протокол MS-CHAP-v1 не обеспечивает возможность аутентификации получателя.

При использовании РРРоЕ

(1) Каждый хост использует свой собственный РРР-канал.

(2) Управление доступом, биллинг и предоставляемые типы сервисов могут определяться на уровне пользователя.

(3) Для аутентификации пользователя может использоваться цифровая подпись.

(4) Каждый РРР-канал использует свой собственный Ethernet-канал.

Селектор в семействе протоколов IPSec определяет

(1) Множество значений полей протоколов более высокого уровня, используемых для определения соответствия записи в SPD конкретному трафику.

(2) IP-адреса и порты Инициатора и Получателя.

(3) IP-адреса и маски подсети Инициатора и Получателя.

(4) Множество значений полей протоколов более высокого уровня, используемых для определения соответствия записи в правилах шифрования конкретному трафику.

Криптографическая система называется симметричной, потому что

(1) Шифруемый блок разбивается на подблоки одинаковой длины.

(2) Для шифрования и расшифрования используются одинаковые или легко выводимые один из другого ключи.

(3) Алгоритм использует циклически повторяющиеся операции, называемые раундами.

(4) Алгоритм использует подключи одинаковой длины.

SPD в семействе протоколов IPSec задается

(1) Для каждого интерфейса, на котором необходима IPSec-обработка.

(2) Одна на весь шлюз безопасности.

(3) Для каждого хоста, с которым может быть установлен туннель.

(4) Для каждого пользователя, которому разрешен вход в локальную сеть.

Для использования NAT в протоколе IPSec выполняется следующее

(1) В Фазе I выполняется определение поддержки прохождения NAT обоими участниками.

(2) В Фазе I выполняется определение того, что между участниками имело место преобразование NAT.

(3) В Фазе I выполняется изменение IP-адреса отправителя на IP-адрес маршрутизатора NAT.

(4) В Фазе I выполняется изменение порта отправителя на новый порт.

При добровольном туннелировании

(1) Клиент будет посылать L2TP-пакеты к NAS, который затем будет пересылать их LNS.

(2) Клиент будет посылать РРР-пакеты к NAS, который затем будет инкапсулировать их в L2TP и туннелировать к LNS.

(3) Клиент будет посылать L2TP-пакеты к NAS, который затем будет инкапсулировать их в РРР-пакеты и туннелировать к LNS.

(4) Клиент будет посылать РРР-пакеты к NAS, который затем будет пересылать их к LNS.

Случайные числа используются в сетевой безопасности

(1) В схемах взаимной аутентификации.

(2) В качестве ключа в алгоритмах симметричного шифрования.

(3) Для определения последовательности передаваемых сообщений в протоколах.

(4) Для определения последовательности операций в алгоритме симметричного шифрования.

Целями протокола SSL/TLS являются

(1) Расширяемость.

(2) Криптографическая безопасность.

(3) Предотвращение DDoS-атак.

(4) Предоставление сервисов для биллинга.

Для доступа к серверу, на котором хранятся идентификационные и аутентификационные данные, используют

(1) Протокол RADIUS.

(2) Протокол LDAP.

(3) Протокол SNMP.

(4) Протокол SMTP.

Отличия LDAP от Протокола Доступа к Каталогу (Directory Access Protocol – DAP)

(1) Из LDAP удалены избыточные и редко используемые операции.

(2) LDAP использует стек ТСР, а не OSI.

(3) LDAP не имеет иерархическую структуру.

(4) LDAP не имеет стандартной Схемы.

Выходом хэш-функции является

(1) Сообщение той же длины, что и входное сообщение.

(2) Сообщение фиксированной длины.

(3) Сообщение меньшей длины.

(4) Сообщение большей длины.

Для проверки подписи с помощью алгоритма асимметричного шифрования следует использовать

(1) Свой открытый ключ.

(2) Свой закрытый ключ.

(3) Открытый ключ отправителя.

(4) Закрытый ключ отправителя.

Протокол GRE предназначен

(1) Для доставки данных одного протокола, используя другой протокол.

(2) Для шифрования данных одного протокола, используя другой протокол.

(3) Для аутентификации отправителя инкапсулированного протокола.

(4) Для аутентификации получателя инкапсулированного протокола.

При использовании протокола L2TP пользователь создает L2-соединение

(1) С концентратором (например, модемом, ADSL DSLAM и т.п.), затем концентратор туннелирует отдельные РРР-кадры к NAS.

(2) С DNS-сервером, затем DNS-сервер предоставляет доступ в интернет.

(3) С RADIUS-сервером, затем RADIUS-сервер предоставляет доступ в интернет.

(4) С веб-сервером, к которому хочет получить доступ пользователь.

Основные задачи протоколов IPSec

(1) Обеспечение прозрачности протоколов IPSec для трафика, которому не требуется использование протоколов IPSec.

(2) Обеспечение расширяемости при использовании новых алгоритмов, т.е. возможности добавлять новые наборы алгоритмов без изменения самого протокола.

(3) Обеспечение расширяемости по стеку протоколов, т.е. изменять уровень в стеке протоколов, на котором используется IPSec.

(4) Обеспечение прозрачности протоколов IPSec для IPv4.

Выходом алгоритма симметричного шифрования является

(1) Зашифрованное сообщение.

(2) Ключ.

(3) Текущие дата и время.

(4) Параметры окружения, в котором выполнялся алгоритм.

SАD в семействе протоколов IPSec описывает

(1) Политики, которые определяют способ обработки IP-трафика, проходящего через интерфейс.

(2) Параметры, которые связаны с каждой активной SA.

(3) Параметры, которые связаны с каждым криптографическим алгоритмом.

(4) Параметры, которые связаны с каждым пользователем, создавшим туннель.

Определение наличия NAT выполняется следующим образом

(1) В Фазе I посылается содержимое NAT-D.

(2) В Фазе II посылается содержимое NAT-D.

(3) В Фазе I посылается содержимое VID.

(4) В Фазе II посылается содержимое VID.

При обязательном туннелировании

(1) Клиент будет посылать РРР-пакеты к NAS/LAC, который затем будет инкапсулировать их в L2TP и туннелировать к LNS.

(2) Клиент будет посылать L2TP-пакеты к NAS/LAC, который затем будет посылать их к LNS.

(3) Клиент будет посылать РРР-пакеты к NAS/LAC, который затем будет посылать к LNS.

(4) Клиент будет посылать L2TP-пакеты к NAS/LAC, который затем будет инкапсулировать их в PPP и туннелировать к LNS.

В генераторе псевдослучайных чисел ANSI X9.17 используется алгоритм

(1) DES.

(2) Тройной DES с двумя ключами.

(3) Тройной DES с тремя ключами.

(4) AES.

Относительная эффективность в протоколе SSL/TLS обеспечивается тем, что

(1) Вводится понятие сессии, в рамках которой может быть создано несколько ТСР-соединений.

(2) Не используется криптография с открытым ключом, требующая больших вычислений.

(3) В качестве транспортного протокола используется UDP, который более быстро устанавливает соединение. Надежность соединения обеспечивается на уровне SSL/TLS.

(4) Для обеспечения конфиденциальности используются более быстрые алгоритмы симметричного шифрования с меньшей длиной ключа.

Обеспечение сетевой безопасности в протоколе RADIUS

(1) Транзакции между NAS и сервером RADIUS аутентифицированы с помощью общего секрета, который никогда не посылается по сети.

(2) Пользовательские пароли посылаются между NAS и сервером RADIUS в защищенном виде, что исключает возможность просмотра.

(3) В протоколе RADIUS ведутся переговоры об используемых алгоритмах шифрования.

(4) В протоколе RADIUS ведутся переговоры о разделяемом общем секрете, из которого вычисляются ключи для алгоритмов симметричного шифрования.

Сравнение LDAP и реляционной базы данных

(1) LDAP, в отличие от реляционных баз данных, оптимизирован для чтения информации.

(2) LDAP, в отличие от реляционных баз данных, оптимизирован для модификации информации.

(3) LDAP во всем аналогичен реляционным базам данных.

(4) LDAP, в отличие от реляционных баз данных, оптимизирован для долговременного хранения информации.

Хэш-функция должна обладать следующими свойствами

(1) Н(М) относительно легко (за полиномиальное время) вычисляется для любого значения М.

(2) Для любого данного х вычислительно невозможно найти yx, что H(y)=H(x).

(3) Для любого данного х вычислительно невозможно найти H(х).

(4) Зная Н(М), относительно легко (за полиномиальное время) восстановить исходное сообщение М.

Задачей дискретного логарифмирования является

(1) Разложение числа на простые сомножители.

(2) Нахождение степени, в которую следует возвести целое число для получения заданного целого числа.

(3) Нахождение степени, в которую следует возвести простое число для получения заданного целого числа.

(4) Нахождение произведения двух простых чисел.

Основные сценарии использования VPN

(1) Для соединения двух удаленных локальных сетей, используя в качестве транспорта сеть с другими параметрами безопасности.

(2) Для входа удаленного пользователя в локальную сеть, используя в качестве транспорта сеть с другими параметрами безопасности.

(3) Для предоставления защищенных DNS-сервисов.

(4) Для предоставления доступа к публичному веб-серверу.

Характеристики LAC (L2TP Access Concentrator)

(1) LAC расположен между LNS и удаленной системой и перенаправляет пакеты к каждой из них.

(2) Пакеты, посылаемые от LAC к LNS, туннелируются по протоколу L2TP.

(3) Соединение между LAC и удаленной системой является либо локальным, либо выполняется по протоколу РРР.

(4) LAC предоставляет сервисы аутентификации, авторизации и аккаунтинга.

Сервисы безопасности IPSec включают

(1) Конфиденциальность данных на транспортном уровне.

(2) Целостность определенной последовательности дейтаграмм.

(3) Предоставление сервиса единого входа (SSO).

(4) Конфиденциальность данных на физическом уровне (на уровне МАС-адреса).

При использовании алгоритмов симметричного шифрования целью противника является

(1) Узнать исходное сообщение.

(2) Узнать зашифрованное сообщение.

(3) Узнать пароль сервера.

(4) Узнать параметры окружения, в котором выполнялся алгоритм.

В SAD в семействе протоколов IPSec значения для Селектора

(1) Берутся из пакета.

(2) Берутся из SPD.

(3) Берутся из внешней базы данных.

(4) Берутся из собственной базы данных.

Отправитель помещает в пакет несколько хэшей локальных IP-адресов

(1) В отдельных содержимых NAT-D.

(2) В одном содержимом NAT-D.

(3) В отдельных содержимых VID.

(4) В одном содержимом VID.

Примеры атак на протокол L2TP

(1) Противник может попытаться встроиться в L2TP-туннель или РРР-соединение внутри туннеля, представившись одной из сторон.

(2) Противник может выполнить DoS-атаку, прерывая РРР-соединения или L2TP-туннели.

(3) Противник может выполнить replay-атаку.

(4) Противник может выполнить пассивную атаку.

Режим СВС в алгоритмах симметричного шифрования используется для того, чтобы

(1) Одинаковые незашифрованные блоки преобразовывались в различные зашифрованные блоки.

(2) Не было необходимости разбивать сообщение на целое число блоков достаточно большой длины.

(3) Увеличить скорость шифрования.

(4) Различные незашифрованные блоки преобразовывались в одинаковые зашифрованные блоки.

Протокол Записи используется

(1) Для инкапсуляции различных протоколов более высокого уровня.

(2) Для инкапсуляции только НТТР-протокола.

(3) Для инкапсуляции только протокола Рукопожатия.

(4) Для инкапсуляции ТСР-протокола.

Сервер RADIUS может функционировать

(1) Как прокси-клиент для других серверов RADIUS.

(2) Как НТТР-клиент для НТТР-серверов.

(3) Как SNMP-клиент для SNMP-серверов.

(4) Как прокси-клиент для NAS.

Схема LDAP

(1) Схемы LDAP легче изменить в процессе функционирования, чем схемы баз данных.

(2) Схемы LDAP труднее изменить в процессе функционирования, чем схемы баз данных.

(3) Схемы LDAP нельзя изменить в процессе функционирования.

(4) Схемы LDAP изменяются при каждой модификации информации в LDAP.

Требование односторонности хэш-функции состоит в следующем

(1) Хэш-код может быть вычислен для сообщения любой длины.

(2) Легко создать хэш-код по данному сообщению, но вычислительно невозможно восстановить сообщение по данному хэш-коду.

(3) Вычислительно невозможно найти два сообщения, имеющих одинаковый хэш-код.

(4) Невозможно найти другое сообщение с тем же самым хэш-кодом.

Алгоритм Диффи-Хеллмана основан на невозможности решения задачи

(1) Дискретного логарифмирования.

(2) Факторизации числа.

(3) Определения, является ли данное число простым.

(4) Перемножения двух простых чисел.

Протокол РРР обеспечивает

(1) Конфиденциальность соединения.

(2) Целостность соединения.

(3) Защиту от возможности в дальнейшем подстроиться под одну из сторон.

(4) Аутентификацию пользователя с помощью цифровой подписи.

Сервер сетевого доступа (NAS)

(1) Устройство, предоставляющее пользователям сетевой доступ по требованию.

(2) Устройство, выполняющее аутентификацию, авторизацию и аккаунтинг.

(3) Устройство, являющееся НТТР прокси-сервером.

(4) Устройство, предоставляющее DNS-сервисы.

Целостность данных в семействе протоколов IPSec означает

(1) IPSec обнаруживает модификацию конкретной IP-дейтаграммы безотносительно последовательности дейтаграмм в потоке трафика.

(2) IPSec обнаруживает модификацию только прикладных данных.

(3) IPSec обнаруживает модификацию только аутентификационной информации.

(4) IPSec обнаруживает модификацию только идентификационной информации.

В алгоритмах симметричного шифрования S-box называется

(1) Циклический сдвиг на переменное число битов.

(2) Табличная подстановка, при которой группа битов отображается в другую группу битов.

(3) Переупорядочивание битов во всем блоке.

(4) Сложение по модулю 2 (XOR) битов небольшого блока с подключом.

IKE может быть реализован

(1) Поверх UDP.

(2) Поверх IP.

(3) Поверх протоколов канального уровня.

(4) Поверх протоколов прикладного уровня.

Может быть послано несколько содержимых NAT-D, так как

(1) Отправитель может не знать свой собственный IP-адрес.

(2) IP-адрес отправителя может быть нулевым.

(3) IP-адрес отправителя может быть случайным.

(4) В пакете может быть несколько IP-адресов отправителя.

Недостатки протокола L2TP

(1) Аутентификация, целостность и защита от replay-атак на уровне пакетов отсутствует.

(2) Нет переговоров об используемых алгоритмах.

(3) Нет конфиденциальности трафика.

(4) Нет аутентификации конечных точек туннеля при создании туннеля.

Для передачи коротких сообщений лучше всего соответствуют режимы алгоритмов симметричного шифрования

(1) ECB.

(2) CBC.

(3) CFB.

(4) OFB.

Протокол Рукопожатия обеспечивает безопасность соединения, используя следующие сервисы

(1) Переговоры о разделяемом секрете надежны, если выполнена аутентификация хотя бы одной из сторон.

(2) Для аутентификации участников используется Третья Доверенная Сторона, с которой участники имеют общий секрет.

(3) Переговоры об используемых алгоритмах шифрования безопасны, т.е. их нельзя подсмотреть.

(4) Переговоры о разделяемом секрете безопасны, т.е. этот секрет нельзя подсмотреть.

Сервер Сетевого Доступа (Network Access Server – NAS)

(1) Устройство, которое предоставляет удаленным пользователям доступ в сеть.

(2) Является клиентом для сервера RADIUS.

(3) Является клиентом для сервера, доступ к которому требуется пользователю.

(4) Является клиентом для почтового сервера.

Запись Каталога LDAP идентифицируется

(1) Глобально уникальным именем (Distinguished Name – DN).

(2) Именем пользователя и паролем.

(3) Именем пользователя.

(4) E-mail пользователя.

Сколько в среднем необходимо перебрать сообщений, чтобы с вероятностью большей, чем 50%, найти сообщение с тем же самым хэш-кодом, что и данное сообщение, при условии использования сильной криптографической функции

(1) 2_n-1 сообщений, где n – длина хэш-кода.

(2) 2_n/2 сообщений, где n – длина хэш-кода.

(3) N сообщений, где N – длина хэш-кода.

(4) 2_n сообщений, где n – длина хэш-кода.

Алгоритм RSA основан на невозможности решения задачи

(1) Дискретного логарифмирования.

(2) Факторизации числа.

(3) Определения, является ли данное число простым.

(4) Нахождения произведения двух простых чисел.

Способы аутентификации участников в протоколе РРРоЕ

(1) СНАР.

(2) Общий секрет.

(3) Сертификат.

(4) Аутентификация отсутствует.

Туннелирование по протоколу L2TP выполняется между

(1) LAC и LNS.

(2) Конечным пользователем и LAC.

(3) Конечным пользователем и LNS.

(4) Конечным пользователем и DNS-сервером.

Политика безопасности (Security Policy Database - SPD) в семействе протоколов IPSec

(1) Устанавливается и поддерживается администратором.

(2) Устанавливается и поддерживается автоматически при начальном запуске шлюза безопасности.

(3) Устанавливается и поддерживается пользователями, желающими получить удаленный доступ в локальную сеть.

(4) Устанавливается и поддерживается автоматически при начальном запуске хоста.

С увеличением количества раундов стойкость алгоритма

(1) Увеличивается.

(2) Уменьшается.

(3) Увеличивается пропорционально увеличению количества раундов.

(4) Не изменяется.

Содержимым SA может быть

(1) Несколько сообщений Proposal.

(2) Несколько сообщений KE.

(3) Несколько сообщений Auth.

(4) Несколько сообщений Ident.

Хэш в содержимом NAT-D вычисляется для следующих значений

(1) HASH = HASH (CKY-I | CKY-R | IP | Port)

(2) HASH = HASH (CKY-I | CKY-R | IP)

(3) HASH = HASH (IP | Port)

(4) HASH = HASH (CKY-I | CKY-R | Port)

Проблемы, связанные с фрагментацией, при совместном использовании L2TP и IPSec

(1) Так как MTU по умолчанию для РРР-соединений равно 1500 байтам, возможна фрагментация при добавлении L2TP- и IPSec-заголовков в РРР-кадр.

(2) При добавлении L2TP- и IPSec-заголовков в РРР-кадр становится невозможной фрагментация кадров.

(3) При добавлении L2TP- и IPSec-заголовков в РРР-кадр становится невозможным использование алгоритмов симметричного шифрования.

(4) При добавлении L2TP- и IPSec-заголовков в РРР-кадр становится невозможным аутентификация участников.

Длина блока алгоритма AES должна быть не меньше

(1) 64 бита.

(2) 128 битов.

(3) 256 битов.

(4) 512 битов.

Под надежностью переговоров о разделяемом секрете понимается

(1) Атакующий, расположенный в середине соединения, не может модифицировать передаваемый секрет незаметно для участников соединения.

(2) Атакующий, расположенный в середине соединения, не может подсмотреть передаваемый секрет.

(3) Атакующий, расположенный в середине соединения, не может узнать алгоритм, с использованием которого передается секрет.

(4) Атакующий, расположенный в середине соединения, не может узнать алгоритм, для использования в котором передается секрет.

Функционирование RADIUS основано на следующих принципах

(1) Протокол RADIUS является протоколом типа Запрос / Ответ.

(2) NAS не должен предоставлять сервисы при получении ответа от сервера Access-Reject и Disconnect-Request.

(3) Протокол RADIUS выполняется поверх надежного соединения ТСР.

(4) Протокол RADIUS не выполняет аутентификацию пользователя.

Полное имя записи (Distinguished Name – DN)

(1) Уникально определяет узел во всем дереве.

(2) Уникально определяет узел только в данном поддереве.

(3) Уникально определяет узел на множестве записей дерева, расположенного на одном сервере LDAP.

(4) Уникально определяет узел на множестве записей дерева, расположенного на данном сервере и на вышележащих серверах LDAP.

Если дина хэш-кода равна 128 битам, то сколько в среднем потребуется перебрать сообщений, чтобы найти сообщение с тем же самым хэш-кодом, что и данное сообщение, при условии использования сильной криптографической функции

(1) 2₁₂₇ сообщений.

(2) 2₆₄ сообщений.

(3) 2₁₂₈ сообщений.

(4) 128 сообщений.

Выберите правильное утверждение

(1) Подпись должна быть битовым образцом, который зависит от подписываемого сообщения.

(2) Подпись должна использовать некоторую уникальную информацию отправителя для предотвращения подделки или отказа.

(3) Подпись должна обеспечивать невозможность просмотра сообщения.

(4) Подпись должна обеспечивать невозможность восстановления исходного сообщения незаконным получателем.

Протокол L2ТР обеспечивает

(1) Конфиденциальность соединения.

(2) Целостность соединения.

(3) Защиту от возможности в дальнейшем подстроиться под одну из сторон.

(4) Аутентификацию пользователя с помощью цифровой подписи.

В протоколе L2TP определены следующие типы сообщений

(1) Управляющие сообщения.

(2) Сообщения данных.

(3) Сообщения рукопожатия.

(4) Сообщения аутентификации.

SА в семействе протоколов IPSec может выполняться в следующих режимах

(1) Транспортный.

(2) Безопасный.

(3) Туннельный.

(4) Инкапсулирующий.

Платформы, на которых могут использоваться алгоритмы симметричного шифрования

(1) Ноутбуки.

(2) Смарт-карты.

(3) Маршрутизаторы.

(4) Настраиваемые коммутаторы.

Содержимое Key Exchange может содержать данные для следующих технологий обмена ключа

(1) Обмен ключа Диффи-Хеллмана.

(2) Расширенный обмен ключа Диффи-Хеллмана.

(3) Обмен ключа на основе RSA.

(4) Обмен ключа на основе AES.

Первое содержимое NAT-D содержит

(1) IP-адрес и порт удаленной стороны.

(2) IP-адрес удаленной стороны.

(3) Порт удаленной стороны.

(4) IP-адрес и порт локальной стороны.

Выберите правильное утверждение

(1) Так как IKE/IPSec не знает о деталях приложения, которое он защищает, не требуется никакой интеграции между приложением и IPSec-протоколом, если приложение не изменяет номера портов.

(2) Так как IKE/IPSec не знает о деталях приложения, которое он защищает, никогда не требуется никакой интеграции между приложением и IPSec-протоколом.

(3) Несмотря на то, что IKE/IPSec не знает о деталях приложения, которое он защищает, всегда требуется интеграция между приложением и IPSec-протоколом.

(4) Так как IKE/IPSec знает все о деталях приложения, которое он защищает, не требуется никакой интеграции между приложением и IPSec-протоколом.

Главным требованием к алгоритму была

(1) Низкая стоимость алгоритма.

(2) Простота алгоритма.

(3) Эффективность выполнения алгоритма на различных архитектурах.

(4) Безопасность алгоритма.

Протокол Записи выполняет следующее

(1) Вычисляет НМАС.

(2) Зашифровывает данные.

(3) Аутентифицирует клиента.

(4) Согласовывает общий секрет.

Атрибуты RADIUS используются для передачи

(1) Аутентификационных данных пользователей.

(2) Детали конфигурирования.

(3) Пользовательской информации.

(4) Информации о доступных серверах в интернете.

Свойства узла LDAP

(1) Каждый узел в LDAP содержит только данные.

(2) Каждый узел в LDAP может как содержать данные, так и быть контейнером, т.е. содержать поддерево.

(3) Каждый узел в LDAP содержит только поддерево, т.е. является контейнером.

(4) В зависимости от типа узла от может как содержать только данные, так и содержать поддерево, т.е. быть контейнером.

Длина хэш-кода, создаваемого хэш-функцией MD5, равна

(1) 128 битов.

(2) 160 битов.

(3) 512 битов.

(4) 64 бита.

Подпись называется детерминированной, если

(1) Для одного и того же сообщения с использованием разных закрытых ключей при каждом подписывании создается одна и та же подпись.

(2) Для разных сообщений с использованием одного и того закрытого ключа при каждом подписывании создается одна и та же подпись.

(3) Для одного и того же сообщения с использованием одного и того же закрытого ключа при каждом подписывании создается одна и та же подпись.

(4) Для разных сообщений с использованием разных закрытых ключей создаются разные подписи.

Способы аутентификации участников в протоколе IPSec

(1) СНАР.

(2) Общий секрет.

(3) Сертификат.

(4) Аутентификация отсутствует.

В протоколе L2TP Tunnel ID определяет

(1) Идентификатор управляющего соединения.

(2) Идентификатор канала данных.

(3) Идентификатор пользователя.

(4) Идентификатор сервера NAS.

Назначение SA в семействе протоколов IPSec

(1) Определяет параметры сервисов безопасности, которые применяются к трафику.

(2) Определяет только список пользователей, которым разрешен доступ.

(3) Определяет только список хостов, с которых разрешен доступ в локальную сеть.

(4) Определяет только алгоритмы шифрования, которые применяются к трафику.

Сеть Фейштеля имеет следующую структуру

(1) Входной блок делится на несколько равной длины подблоков, называемых ветвями.

(2) Каждая ветвь обрабатывается независимо от другой.

(3) Каждая ветвь обрабатывается по одному и тому же алгоритму.

(4) После обработки каждой ветви осуществляется циклический сдвиг всех ветвей влево.

Во время второй фазы переговоров в протоколе IPSec

(2) Участники договариваются о том, как защищать дальнейший трафик в протоколах ESP и АН.

(3) Участники договариваются о том, как защищать дальнейший трафик в протоколах прикладного уровня.

(4) Участники договариваются о том, как защищать дальнейший трафик канального уровня.

При определении наличия NAT Инициатор

(1) Устанавливает оба UDP-порта (и источника, и получателя) в 4500.

(2) Добавляет с помощью UDP-инкапсуляции не-ESP маркеры.

(3) Изменяет IP-адреса источника и получателя на фиксированные.

(4) Изменяет порты источника и получателя на фиксированные.

Возможны следующие изменения портов и IP-адресов Инициатора и Получателя

(1) Порт Инициатора – динамический, IP-адрес Получателя – фиксированный, порт Получателя – 1701.

(2) Порт Инициатора – динамический, IP-адрес Получателя – динамический, порт Получателя – динамический.

(3) IP-адрес Инициатора – динамический, порт Инициатора – 1701, IP-адрес Получателя – фиксированный.

(4) IP-адрес Инициатора – динамический, порт Инициатора – динамический, IP-адрес Получателя – фиксированный.

Что означает гибкость алгоритма симметричного шифрования

(1) Возможность использовать длину блока, отличную от той, которая должны поддерживаться обязательно.

(2) Возможность использовать алгоритм в качестве поточного алгоритма шифрования, хэш-функции и предоставлять дополнительные криптографические сервисы.

(3) Возможность реализовать алгоритм как программно, так и аппаратно.

(4) Возможность заменять любые компоненты алгоритма.

Параметрами соединения в протоколе SSL/TLS являются

(1) Алгоритм сжатия.

(2) Алгоритм шифрования.

(3) Пароль клиента.

(4) Сертификат сервера.

Атрибуты RADIUS, определенные в спецификации протокола, называются

(1) Стандартными.

(2) Основными.

(3) Единственными, других атрибутов не бывает.

(4) Специфицированными.

LDIF (LDAP Data Interchange Format) обладает следующими свойствами

(1) Представляет записи LDAP в текстовом виде.

(2) Представляет записи LDAP в виде различных типов данных на языке С.

(3) Представляет записи LDAP в формате XML.

(4) Представляет записи LDAP в формате ASN.1.

Первым шагом в хэш-функции MD5 выполняется добавление битов, цель которого

(1) Скрыть истинную длину сообщения.

(2) Сделать сообщение кратным 512 битам.

(3) Добавить случайные биты, усложняющие восстановление сообщения.

(4) Сделать невозможным восстановление первоначального сообщения.

Укажите, какая подпись является рандомизированной

(1) RSA.

(2) DSS.

(3) ГОСТ 3410.

(4) AES.

Совместное использование протоколов GRE и IPSec обеспечивает

(1) Конфиденциальность соединения

(2) Целостность соединения

(3) Защиту от возможности в дальнейшем подстроиться под одну из сторон.

(4) Аутентификацию пользователя с помощью цифровой подписи.

Mandatory (M) бит в AVP протокола L2TP

(1) Управляет реакцией на получение неизвестного AVP.

(2) Управляет реакцией на получение неизвестного идентификатора пользователя.

(3) Управляет реакцией на вход не аутентифицированного пользователя.

(4) Управляет реакцией на получение IP-адреса.

Шлюз безопасности, реализующий IPSec, может функционировать

(1) Только в транспортном режиме.

(2) Только в туннельном режиме.

(3) Как в туннельном, так и в транспортном режимах.

(4) В безопасном режиме.

Криптографическая система считается вычислительно безопасной, если

(1) Невозможно расшифровать сообщение без знания ключа шифрования.

(2) Цена расшифровки сообщения больше цены самого сообщения.

(3) Время, необходимое для расшифровки сообщения, больше времени жизни сообщения.

(4) Невозможно определить ключ шифрования.

Выберите правильное утверждение

(1) В течение первой фазы переговоров в протоколе IPSec Cookies Инициатора и Получателя идентифицируют ISAKMP SA.

(2) В течение первой фазы переговоров в протоколе IPSec SPI идентифицируют ISAKMP SA.

(3) В течение первой фазы переговоров в протоколе IPSec ISAKMP SA не имеет идентификации.

(4) В течение первой фазы переговоров в протоколе IPSec IP-адреса Инициатора и Получателя.

(1) Аутентификационные механизмы не могут основываться на IP-адресах.

(2) Аутентификационные механизмы не могут основываться на общим секрете.

(3) Аутентификационные механизмы не могут основываться на сертификатах.

(4) Аутентификационные механизмы не могут основываться на паролях пользователей.

Технология, обеспечивающая возможность L2TP вставлять свои записи в БД IPSec, должна обеспечивать следующие возможности

(1) Инициатор должен позволять Получателю изменить его, Получателя, порт.

(2) Инициатор должен позволять Получателю изменить его, Получателя, IP-адрес.

(3) Получатель должен позволять Инициатору изменить его, Инициатора, IP-адрес.

(4) Никаких изменений IP-адресов и портов не допускается.

Алгоритм AES должен эффективно реализовываться на следующих архитектурах

(1) 8-битных.

(2) 32-битных.

(3) 64-битных.

(4) 128-битных.

Параметры безопасности для ожидаемых состояний устанавливаются

(1) Протоколом Рукопожатия.

(2) Протоколом НТТР.

(3) Протоколом ТСР.

(4) Протоколом IP.

При выполнении аутентификации в протоколе RADIUS последовательность пакетов Access-Request/Access-Challenge в одной аутентификационной сессии связана вместе

(1) С помощью атрибута State.

(2) С помощью состояния в протоколе ТСР.

(3) С помощью состояния, определенного в протоколе SSL/TLS.

(4) C помощью дополнительных пакетов Access-Request/Access-Challenge.

Referral в Каталоге LDAP – это

(1) Ссылка на корневую запись данного сервера.

(2) Ссылка на другие сервера LDAP.

(3) Ссылка на Схему данного Каталога LDAP.

(4) Ссылка на родительскую запись данной записи.

Длина хэш-кода в хэш-функциях SHA-2 может быть

(1) 256 битов.

(2) 384 бита.

(3) 512 битов.

(4) 1024 битов.

Криптография с использованием эллиптических кривых дает преимущества по сравнению с другими алгоритмами, потому что

(1) Принципиально не может быть взломана.

(2) Обеспечивает эквивалентную защиту при меньшей длине ключа.

(3) Проще в реализации.

(4) Может одновременно и подписывать сообщения, и шифровать их.

Способы аутентификации участников при совместном использовании протоколов L2TP и IPSec

(1) СНАР.

(2) Общий секрет.

(3) Сертификат.

(4) Аутентификация отсутствует.

Для сокрытия значения AVP

(1) LAC и LNS должны разделять общий секрет.

(2) Конечный пользователь и LAC должны разделять общий секрет.

(3) Конечный пользователь и LNS должны разделять общий секрет.

(4) Конечный пользователь и DNS-сервер должны разделять общий секрет.

БД Политики Безопасности (Security Policy Database - SPD) в семействе протоколов IPSec

(1) Определяет политики, которые применяются для обработки всего IP-трафика.

(2) Создается на каждом интерфейсе, поддерживающим IPSec.

(3) Определяет пользователей, которым разрешен вход в локальную сеть.

(4) Содержит параметры каждой активной Безопасной Ассоциации.

Основные критерии, используемые при разработки алгоритмов симметричного шифрования

(1) По возможности не иметь слабых ключей.

(2) Алгоритм должен иметь масштабируемый ключ до 256 бит.

(3) Ключ расшифрования не должен вычисляться из ключа шифрования.

(4) Алгоритм расшифрования должен совпадать с алгоритмом шифрования.

Сервисы безопасности в протоколе IKE

(1) Защита от DoS-атак.

(2) Защита от атак подделки одной из сторон.

(3) Защита от атак man-in-the-middle.

(4) Защита от просмотра, включая самое первое сообщение.

Необходимость обнаруживать «черные дыры» как можно скорее связана

(1) С необходимостью обеспечивать отказоустойчивость.

(2) Чтобы предотвратить расходование лишних ресурсов.

(3) Чтобы обеспечить конфиденциальность трафика.

(4) Чтобы обеспечить целостность последовательности пакетов.

Начальные записи в политике IPSec на стороне Получателя для входящего трафика

(1) Разрешен доступ с любого IP-адреса с любого порта на IP-адрес, который Получатель слушает при получении начального SCCRQ и порт 1701.

(2) Разрешен доступ с IP-адреса, который Получатель слушает при получении начального SCCRQ, и с любого порта на IP-адрес, который Получатель слушает при получении начального SCCRQ и порт 1701.

(3) Разрешен доступ с IP-адреса, который Получатель слушает при получении начального SCCRQ, и с порта, который Инициатор выбирает для инициализации и получения L2TP-трафика, на IP-адрес, который Получатель слушает при получении начального SCCRQ и порт 1701.

(4) Разрешен доступ с любого IP-адреса с любого порта на любой IP-адрес и любой порт Получателя.

Какому полиному соответствует шестнадцатеричное число F8

(1) x₆ + x₅ + x₄ + 1

(2) x₇ + x₆ + x₅ + x₄ + x₃ + x₂ + x + 1

(3) x₇ + x₆ + x₅ + x₄ + x₃

(4) х₈+х₇+х₆+х₅+х₄

Из мастер-секрета создаются следующие данные

(1) Инициализационные вектора для алгоритма симметричного шифрования, разные в обоих направлениях.

(2) Сертификаты клиента.

(3) Ключи для алгоритма симметричного шифрования, одинаковые в обоих направлениях.

(4) Признак возобновляемости сессии.

При аутентификации по протоколу RADIUS NAS создает запрос

(1) Access-Request.

(2) Access-Auth.

(3) Access-Logon.

(4) Access-Input.

Значения атрибутов корневого контекста можно получить

(1) Выполнив поиск объекта с фильтром (objectClass=*).

(2) Выполнив поиск объекта с фильтром (baseDN=*).

(3) Выполнив поиск объекта с фильтром (referral=*).

(4) Выполнив поиск объекта с фильтром (baseDN=*).

В хэш-функции ГОСТ 3411 при вычислении промежуточного значения хэш-кода используется алгоритм симметричного шифрования ГОСТ 28147.

(1) Ключи для этого алгоритма являются дополнительным параметром хэш-функции ГОСТ 3411.

(2) Ключи для этого алгоритма вычисляются по определенным формулам из хэшируемого сообщения.

(3) Ключи для этого алгоритма вычисляются из стартового вектора хэширования.

(4) Ключи для этого алгоритма стандартизованы и не меняются.

Целью PKI является

(1) Управление всем жизненным циклом сертификата открытого ключа.

(2) Распределение ключей сессий между участниками.

(3) Предоставление доверенного и действительного открытого ключа участника.

(4) Предоставление доверенного и действительного открытого ключа корневого сертификационного центра.

При использовании протокола РРР пользователь получает соединение канального уровня

(1) К Network Access Server (NAS).

(2) К DNS-серверу.

(3) К НТТР-серверу.

(4) К почтовому серверу.

Отметьте правильные утверждения

(1) В одном туннеле может существовать несколько сессий.

(2) Несколько туннелей может быть создано между одними и теми же LAC и LNS.

(3) В одной сессии может существовать несколько туннелей.

(4) В одном Рукопожатии может быть определено несколько сессий.

Протокол ESP может использоваться совместно с

(1) IPv4.

(2) IPv6.

(3) Любыми протоколами сетевого уровня модели OSI.

(4) Любыми протоколами канального уровня модели OSI.

Количество раундов в алгоритме DES равно

(1) 16.

(2) 24.

(3) 32.

(4) 256.

Выберите правильное утверждение

(1) В протоколе IPSec только Main Mode создает аутентифицированный ключевой материал из обмена Диффи-Хеллмана.

(2) В протоколе IPSec только Aggressive Mode создает аутентифицированный ключевой материал из обмена Диффи-Хеллмана.

(3) В протоколе IPSec как Main Mode, так и Aggressive Mode создают аутентифицированный ключевой материал из обмена Диффи-Хеллмана, при наличии свойства PFS.

(4) В протоколе IPSec как Main Mode, так и Aggressive Mode всегда создают аутентифицированный ключевой материал из обмена Диффи-Хеллмана.

Особенности схемы Keepalive проверки жизнеспособности противоположной стороны

(1) Участник, заинтересованный в жизнеспособности противоположной стороны, инициирует обмен сообщениями.

(2) Инициатор инициирует обмен с Третьей Доверенной Стороной, которая обеспечивает проверку жизнеспособности VPN-канала.

(3) Получатель инициирует обмен с Третьей Доверенной Стороной, которая обеспечивает проверку жизнеспособности VPN-канала.

(4) Третья Доверенная Сторона инициирует проверку жизнеспособности VPN-канала.

Начальные записи в политике IPSec на стороне Получателя для входящего трафика

(1) Следует указать Any-Port для обработки потенциального изменения порта, которое может произойти в результате изменения номера порта Получателем.

(2) Следует указать R-Port, чтобы Получатель не мог изменить номер порта.

(3) Следует указать I-Port, чтобы Инициатор не мог изменить номер порта.

(4) Следует указать Deny-Port, чтобы запретить трафик на данный порт.

S-box в алгоритме Rijndael отображает

(1) 1 байт в 1 байт.

(2) 6 битов в 4 бита.

(3) 6 байтов в 4 байта.

(4) 4 байта в 4 байта.

Сообщения Hello в протоколе SSL/TLS обеспечивают

(1) Согласование используемых алгоритмов.

(2) Обмен случайными значениями.

(3) Проверку возобновляемости сессии.

(4) Аутентификация сервера.

Возможные ответы сервера RADIUS к NAS

(1) Access-Accept.

(2) Access-Reject.

(3) Access-Challenge.

(4) Access-New.

Операция Unbind в протоколе LDAP обладает следующими свойствами

(1) Не имеет ответа.

(2) Передает аутентификационную информацию от клиента к серверу.

(3) Содержит имя объекта Каталога, с которым клиент хочет соединиться.

(4) Передает аутентификационную информацию от сервера к клиенту.

(1) 512 битов.

(2) 1024 битов.

(3) 512 байтов.

(4) 1024 байтов.

Цепочка сертификатов – это

(1) Последовательность сертификатов, позволяющая определить действительность сертификата конечного участника.

(2) Последовательность сертификатов, выпущенных данным сертификационным центром.

(3) Последовательность сертификатов некоторого конечного участника.

(4) Последовательность сертификатов, имеющихся у проверяющей стороны.

Протокол NCP предназначен для

(1) Указания параметров маршрутизируемых инкапсулированных протоколов.

(2) Выполнения аутентификации конечных точек канала.

(3) Установления ТСР-соединения.

(4) Установления соединения прикладного уровня.

Завершение управляющего соединения L2TP-туннеля

(1) Может инициироваться LAC.

(2) Может инициироваться LNS.

(3) Происходит автоматически через фиксированный интервал времени.

(4) Происходит автоматически через интервал времени, о котором договорились в протоколе.

Условия, при которых выполняется IPSec, указываются в

(1) Поле Situation в заголовке сообщений.

(2) Содержимом SA I Фазы переговоров IKE.

(3) Содержимом SA II Фазы переговоров IKE.

(4) Содержимом KE I Фзы переговоров IKE.

Двойной DES не используется, потому что

(1) Недостаточна длина ключа.

(2) Существует атака «встреча посередине», которая позволяет снизить стойкость алгоритма до стойкости простого DES.

(3) Слишком сильно увеличивается сложность вычислений.

(4) Длина ключа становится слишком большой.

Quick Mode связан с Фазой I обмена, так как

(1) Использует ключи, вычисленные на Фазе I.

(2) Использует алгоритмы, о которых договорились в Фазу I.

(3) Использует способ аутентификации Фазы I.

(4) Использует идентификации участников Фазы I.

Протокол DPD, обеспечивающий доказательство жизнеспособности противоположной стороны, обладает следующими свойствами

(1) Участник может запрашивать доказательство жизнеспособности в тот момент, когда это ему необходимо.

(2) DPD-обмены каждой стороной выполняются асинхронно.

(3) Инициатор через равны промежутки времени посылает сообщение Hello.

(4) Получатель через равны промежутки времени посылает сообщение Hello.

Если Получатель решил использовать новый UDP-порт для трафика L2TP-туннеля

(1) Получатель должен начать с Инициатором новую II Фазу переговоров IKE.

(2) Получатель должен начать с Инициатором новую I Фазу переговоров IKE.

(3) Новый UDP-порт можно начать использовать в рамках текущей Фазы переговоров.

(4) Получатель должен начать с Инициатором новую III Фазу переговоров IKE.

Длина ключа в алгоритме Rijndael может быть

(1) 128 битов.

(2) 192 бита.

(3) 256 битов.

(4) 512 битов.

Выберите правильное утверждение

(1) В протоколе SSL/TLS только аутентифицированный клиент может запросить сертификат сервера.

(2) В протоколе SSL/TLS только аутентифицированный сервер может запросить сертификат клиента.

(3) В протоколе SSL/TLS аутентификация и клиента, и сервера является обязательной.

(4) В протоколе SSL/TLS никогда не выполняется ни аутентификация клиента, ни аутентификация сервера.

Интероперабельность с РАР

(1) При использовании РАР NAS берет из РАР ID и пароль и посылает их в пакете Access-Request в качестве атрибутов User-Name и User-Password.

(2) При использовании РАР NAS берет из РАР ID и пароль, подписывает их своим закрытым ключом и посылает их в пакете Access-Request в качестве атрибутов User-Name и User-Password.

(3) При использовании РАР NAS берет из РАР ID и пароль, шифрует их алгоритмом симметричного шифрования и посылает их в пакете Access-Request в качестве атрибутов User-Name и User-Password.

(4) При использовании РАР NAS не выполняет аутентификацию пользователя.

Область поиска singleLevel в протоколе LDAP

(1) Ограничивает только непосредственными детьми данного объекта.

(2) Ограничивает только базовым объектом.

(3) Ограничивает корневым объектом дерева данного сервера.

(4) Ограничивается первым уровнем дерева LDAP.

При разработке стандарта НМАС преследовались следующие цели

(1) Возможность использовать без модификаций уже имеющиеся хэш-функции.

(2) Возможность усилить алгоритм по сравнению с используемой им хэш-функцией.

(3) Возможность легкой замены встроенных хэш-функций на более быстрые или более стойкие.

(4) Возможность не иметь общего секретного значения для обеспечения целостности передаваемого сообщения.

Расширения сертификата предоставляют методы

(1) Для связывания дополнительных атрибутов с пользователями или открытыми ключами.

(2) Для управления сертификатами.

(3) Для указания дополнительных подписей сертификата.

(4) Для предотвращения подделки сертификата.

Протокол аутентификации СНАР имеет следующие преимущества

(1) Обеспечивает защиту от replay-атак.

(2) Хотя аутентифицируется только одна сторона, СНАР-переговоры можно вести в обоих направлениях с тем же самым секретом, обеспечивая взаимную аутентификацию.

(3) С помощью поля name можно также поддерживать несколько пар name/secret для каждой системы.

(4) Протокол обеспечивает невозможность встраивания под одну из сторон после успешного выполнения аутентификации.

Входящий вызов в протоколе L2TP может возникать при

(1) Звонке в телефонной линии.

(2) Инициализации ТСР-соединения.

(3) Инициализации DNS-сессии.

(4) Инициализации НТТР-сессии.

Протокол АН может обеспечивать

(1) Шифрование пакета.

(2) Целостность пакета, включая неизменяемые поля IP-заголовка.

(3) Целостность пакета, не включая IP заголовок.

(4) Целостность пакета, включая неизменяемые поля МАС-заголовка и IP-заголовка.

Размер S-box в алгоритме ГОСТ 28147 равен

(1) 4 х 4 битов.

(2) 6 х 4 битов.

(3) 4 х 4 байтов.

(4) 8 х 8 битов.

Информационные обмены используются

(1) Если стороны хотят сообщить друг другу о возникших ошибках.

(2) Если стороны хотят уведомить о возникших событиях.

(3) Если одна из сторон хочет разорвать соединение.

(4) Если одна из сторон хочет выполнить повторную аутентификацию.

Свойства протокола DPD. Выберите правильное утверждение

(1) Каждая сторона может определить свою собственную «метрику волнения» - интервал, который определяет необходимость DPD-обмена.

(2) Если между участниками существует IPSec-трафик, то нет необходимости в регулярном доказательстве жизнеспособности противоположной стороны.

(3) Каждая сторона должна регулярно, через одинаковые промежутки времени, посылать сообщения Hello/ACK.

(4) Каждая сторона должна регулярно, через одинаковые промежутки времени, посылать сообщения Notify.

Различия между IKE- и РРР-аутентификацией

(1) Аутентификация, выполняемая при начальной РРР-аутентификации, в дальнейшем не проверяется при получении каждого пакета.

(2) Аутентификация, выполняемая РРР, является идентификацией на уровне пользователя, а аутентификация, выполняемая IKE, является аутентификацией на уровне компьютера.

(3) Аутентификация, выполняемая IKE, не обеспечивает невозможность в дальнейшем подделаться под одну из сторон.

(4) Аутентификация, выполняемая IKE, не может использовать сертификаты открытого ключа.

Выберите правильное утверждение

(1) В основе алгоритма Rijndael лежит традиционная сеть Фейштеля.

(2) В основе алгоритма Rijndael не лежит сеть Фейштеля.

(3) В основе алгоритма Rijndael лежит сеть Фейштеля смешанного типа с 4 ветвями.

(4) В основе алгоритма Rijndael лежит сеть Фейштеля смешанного типа с переменным количеством ветвей.

Обратная совместимость при использовании расширений SSL/TLS означает

(1) Клиенты версии TLS 1.0, которые поддерживают расширения, могут общаться с серверами TLS 1.0, не поддерживающими расширения.

(2) Клиенты версии TLS 1.0, которые не поддерживают расширения, могут общаться с серверами TLS 1.0, поддерживающими расширения.

(3) При использовании расширений следует устанавливать дополнительное ПО на стороне клиента.

(4) При использовании расширений следует устанавливать дополнительное ПО на стороне сервера.

Протокол RADIUS используется для получения информации об учетных записях следующим образом

(1) Перед получением сервиса аккаутинга посылается пакет Accounting Start.

(2) После завершения получения сервиса посылается пакет Accounting Stop.

(3) Через одинаковые промежутки времени посылаются пакеты Accounting Info.

(4) Через произвольные промежутки времени посылаются пакеты Accounting Info.

В операции поиска фильтр в протоколе LDAP определяет

(1) Условия, которые должны быть выполнены.

(2) Список записей, которые должны быть возвращены.

(3) Список атрибутов, которые должны быть возвращены.

(4) Список серверов, по которым должен осуществляться поиск.

В стандарте НМАС можно вести переговоры

(1) Об используемой хэш-функции.

(2) Об используемых константах.

(3) Об используемых формулах преобразования.

(4) Об используемой последовательности преобразований.

Сертификат является самовыпущенным

(1) Если DN, которые указаны в полях субъекта и выпускающего, являются пустыми.

(2) Если DN, которые указаны в полях субъекта и выпускающего, одинаковы и не пусты.

(3) Если DN, которые указаны в полях субъекта и выпускающего, являются либо одинаковыми, либо пустыми.

(4) Если DN, которые указаны в полях субъекта и выпускающего, не совпадают.

Различия между протоколами MS-CHAP-v1 и MS-СНАР-v2

(1) Протокол MS-CHAP-V2 предоставляет возможность вести переговоры об алгоритме аутентификации в протоколе LCP.

(2) Протокол MS-CHAP-V2 обеспечивает возможность обязательной взаимной аутентификации участников, добавляя в вызов пакет Response, на который противоположная сторона отвечает пакетом Success.

(3) Протокол MS-CHAP-v2 не обеспечивает защиту от reply-атак.

(4) Протокол MS-CHAP-v2 не обеспечивает конфиденциальность соединения.

Протокол РРРоЕ имеет следующие стадии

(1) Стадия обнаружения.

(2) Стадия РРР-сессии.

(3) Стадия Рукопожатия.

(4) Стадия аутентификации.

Степень детализации управления трафиком в семействе протоколов IPSec может быть

(1) Можно создать единственный зашифрованный туннель между двумя локальными сетями.

(2) Для каждого ТСР- и UDP-соединения может быть создан отдельный зашифрованный туннель между парой хостов.

(3) Можно создать зашифрованный туннель на основе используемого алгоритма шифрования.

(4) Можно создать зашифрованный туннель на основе используемого способа аутентификации.

Зависимость между ключами шифрования и расшифрования в алгоритмах симметричного шифрования должна быть следующей

(1) Ключи шифрования и расшифрования должны в точности совпадать.

(2) Ключ расшифрования должен легко получаться из ключа шифрования.

(3) Между ключами шифрования и расшифрования не должно быть никакой зависимости.

(4) Ключи шифрования и расшифрования связаны формулой, но из ключа шифрования должно быть вычислительно трудно найти ключ расшифрования.

Каждая запись SPD в семействе протоколов IPSec содержит

(1) Селектор, который определяет IP-трафик, соответствующий данной записи.

(2) Имя пользователя, которому разрешен вход в локальную сеть.

(3) IP-адрес хоста, с которым разрешено устанавливать IPSec-туннель.

(4) IP-адрес шлюза безопасности, с которым разрешено устанавливать IPSec-туннель.

Для прохождения NAT в протоколе IPSec должно быть реализовано

(1) Получатель должен уметь обрабатывать IKE-пакеты, чей порт источника отличается от 500.

(2) Получатель должен возвращать пакеты на порт источника, указанный в пакете.

(3) Получатель должен изменять IP-адрес отправителя на IP-адрес маршрутизатора NAT.

(4) Получатель должен изменять порт отправителя на порт маршрутизатора NAT.

При добровольном туннелировании

(1) NAS не должен поддерживать L2TP.

(2) LAC расположен на той же самой машине, что и клиент.

(3) LNS не должен поддерживать L2TP.

(4) Клиент не должен поддерживать L2TP.

Свойство случайности в последовательности чисел означает

(1) Равномерное распределение.

(2) Непредсказуемость.

(3) Равномерное возрастание.

(4) Использование аппаратных генераторов.

Протокол SSL/TLS предоставляет сервисы безопасности для

(1) Прикладного протокола.

(2) Транспортного протокола.

(3) Протокола канального уровня.

(4) Протокола физического уровня.

Цель протокола RADIUS

(1) Предоставить аутентифицированный и авторизованный доступ в сеть пользователю, осуществляющему вход с удаленного хоста.

(2) Обеспечить конфиденциальность данных, передаваемых пользователем, вошедшим с удаленного хоста.

(3) Выполнить аутентификацию сервера, доступ к которому требуется пользователю.

(4) Обеспечить целостность данных, передаваемых пользователем, вошедшим с удаленного хоста.

Информация на сервере LDAP представляет собой

(1) Совокупность записей, которые содержат набор атрибутов и сгруппированы в древовидную иерархическую структуру.

(2) Совокупность записей, которые содержат набор атрибутов и представлены в виде таблиц и отношений между этими таблицами.

(3) Совокупность распределенных реляционных баз данных.

(4) Совокупность распределенных неструктурированных записей в текстовом формате.

Хэш-функция должна обладать следующими свойствами

(1) Для любого данного значения хэш-кода h вычислительно невозможно найти M такое, что Н(M) = h.

(2) Хэш-функция Н должна применяться к блоку данных фиксированной длины.

(3) Хэш-функция Н создает выход фиксированной длины.

(4) Для любого данного значения M вычислительно невозможно найти значение хэш-кода h такое, что Н(M) = h.

Для шифрования сообщения с помощью алгоритма асимметричного шифрования следует использовать

(1) Свой открытый ключ.

(2) Открытый ключ получателя.

(3) Свой закрытый ключ.

(4) Закрытый ключ получателя.

В заголовке GRE содержится

(1) Тип инкапсулированного протокола.

(2) Способ аутентификации отправителя.

(3) Способ аутентификации получателя.

(4) Используемый алгоритм шифрования.

Преимущества протокола L2TP по сравнению с протоколом РРР

(1) Возможность обрабатывать РРР-кадры отдельно от точки завершения L2-соединения.

(2) Возможность использовать более сильное шифрование.

(3) Возможность использовать более сильную аутентификацию.

(4) Возможность вести переговоры об используемых алгоритмах шифрования.

Термин «узел SA» означает

(1) Последовательность SA, через которые должен проходить трафик для обеспечения требуемой политики безопасности.

(2) Все SA, которые созданы для одного интерфейса.

(3) Все SA, которые созданы для одного хоста.

(4) Все SA, которые созданы на данном шлюзе безопасности.

Алгоритм симметричного шифрования обозначается

(1) C = E_K [P].

(2) Y = F (X).

(3) X = F^-1 (Y).

(4) Y = F_K (X).

Список записей SPD в семействе протоколов IPSec является

(1) Упорядоченным.

(2) Не упорядоченным.

(3) Зависит от реализации.

(4) Упорядоченным по времени создания.

Для определения преобразования NAT следует определить

(1) Изменился ли IP-адрес Инициатора.

(2) Изменился ли порт Инициатора.

(3) Изменился ли IP-адрес Получателя.

(4) Изменился ли порт Получателя.

При обязательном туннелировании

(1) NAS/LAC должен поддерживать L2TP.

(2) Клиент должен поддерживать L2TP.

(3) Сервер в интернете, к которому хочет получить доступ клиент, должен поддерживать L2TP.

(4) LNS не должен поддерживать L2TP.

Алгоритм Rijndael характеризуется следующими свойствами

(1) Имеет длину блока 128 бит.

(2) Основан на сети Фейштеля.

(3) Использует S-box.

(4) Количество слоев в раунде является параметром алгоритма и может варьироваться.

Протокол SSL/TLS имеет

(1) Один уровень.

(2) Два уровня.

(3) Три уровня.

(4) Четыре уровня.

Клиент-серверная модель функционирования RADIUS означает

(1) NAS функционирует как клиент RADIUS.

(2) NAS пересылает пользовательскую аутентификационную информацию серверу RADIUS.

(3) NAS выполняет действия в соответствии с полученным от сервера RADIUS ответом.

(4) NAS функционирует как сервер RADIUS для аутентифицируемого пользователя.

Информация в LDAP

(1) Информация в LDAP может располагаться на нескольких серверах, поиск на которых может осуществляться с использованием одной команды.

(2) Информация в LDAP не может располагаться на нескольких серверах.

(3) Информация в LDAP может располагаться на нескольких серверах, поиск на которых всегда должен осуществляться с использованием последовательности команд.

(4) Информация в LDAP может располагаться на нескольких серверах, при этом поиск может выполняться только на одном сервере.

Свойство хэш-функции, которое гарантирует, что для любого данного значения хэш-кода h вычислительно невозможно найти М такое, что Н(M)=h, позволяет

(1) Использовать хэш-функцию для аутентификации с помощью секретного значения.

(2) Использовать хэш-функцию для шифрования сообщения.

(3) Использовать хэш-функцию для создания цифровой подписи.

(4) Использовать хэш-функцию для обеспечения конфиденциальности сообщения.

Аутентификация сторон в алгоритме Диффи-Хеллмана необходима, потому что

(1) В противном случае возможен взлом задачи дискретного логарифмирования.

(2) В противном случае возможен взлом задачи факторизации числа.

(3) В противном случае нарушитель может заменить пересылаемые открытые ключи на свой открытый ключ.

(4) В противном случае нарушитель может заменить пересылаемые закрытые ключи на свой закрытый ключ.

При использовании VPN создаваемая логическая сеть

(1) Обязательно должна быть маршритизируемой.

(2) Может не быть маршрутизируемой, т.е. обеспечивать соединение типа точка-точка.

(3) Может быть частично маршрутизируемой.

(4) Не может быть маршрутизируемой, т.е. всегда должна обеспечивать только соединение типа точка-точка.

L2TP сетевой сервер (L2TP Network Server - LNS)

(1) Узел, который является одной из конечных точек L2TP-туннеля.

(2) Узел, который предоставляет веб-сервисы конечным пользователям.

(3) Узел, который предоставляет сервисы аутентификации, авторизации и аккаунтинга.

(4) Узел, который выполняет маршрутизацию IP-пакетов.

Защита от replay-атак обеспечивается

(1) Гарантированием целостности некоторой последовательности дейтаграмм.

(2) Выполнением сервиса единого входа (SSO).

(3) Обеспечение конфиденциальности передаваемых данных.

(4) Аутентификация на уровне компьютера.

(5) Аутентификация на уровне пользователя.

Алгоритм симметричного шифрования называется блочным, если

(1) Алгоритм основан на сети Фейштеля.

(2) Для шифрования исходный текст разбивается на блоки фиксированной длины.

(3) В алгоритме используются S-box.

(4) В алгоритме используются циклически повторяющиеся операции.

Выберите правильное утверждение

(1) К SPD необходимо обращаться при обработке всего трафика (входящего и выходящего), включая не-IPsec трафик.

(2) К SPD необходимо обращаться при обработке только входящего трафика.

(3) К SPD необходимо обращаться при обработке входящего и выходящего трафика, исключая не-IPsec трафик.

(4) К SPD необходимо обращаться при обработке только исходящего трафика.

Отправитель помещает в пакет несколько хэшей локальных IP-адресов

(1) Если у него несколько интерфейсов, с которых может быть отправлен пакет.

(2) Если он отправляет пакет на шлюз по умолчанию.

(3) Если у него только один интерфейс.

(4) В случае нескольких интерфейсов IP-адрес может быть нулевым.

Примеры атак на протокол L2TP

(1) Противник может попытаться внедриться в РРР-переговоры о параметрах шифрования, чтобы ослабить или удалить конфиденциальность.

(2) Противник может попытаться внедриться в РРР LCP-переговоры об аутентификации, ослабив аутентификацию и получив после этого доступ к паролям пользователей.

(3) Противник может изменить передаваемый общий секрет.

(4) Противник может подсмотреть передаваемый общий секрет.

Дополнительный параметр, называемый инициализационным вектором (IV), определен в режиме

(1) ECB.

(2) CBC.

(3) CFB.

(4) OFB.

Взаимное расположение протоколов Записи и Рукопожатия с стеке протоколов

(1) Протокол Рукопожатия использует протокол Записи в качестве транспорта для ведения переговоров о параметрах безопасности.

(2) Протокол Записи использует протокол Рукопожатия в качестве транспорта для ведения переговоров о параметрах безопасности.

(3) Протоколы Рукопожатия и Записи расположены на одном уровне в стеке протоколов и выполняются поверх протокола ТСР.

(4) Протоколы Рукопожатия и Записи расположены на одном уровне в стеке протоколов и выполняются поверх протокола IP.

Взаимодействующими сторонами в протоколе RADIUS являются

(1) Сервер RADIUS.

(2) Сервер Сетевого Доступа (Network Access Server – NAS).

(3) Рабочая станция пользователя.

(4) Сервер, доступ к которому запросил пользователь.

Относительное уникальное имя (Relative Distinguished Name – RDN)

(1) Совокупность определенного множества записей одного узла.

(2) Совокупность определенного множества записей данного поддерева.

(3) Всегда единственная запись в узле.

(4) Совокупность определенного множества записей дерева, расположенного на одном сервере LDAP.

Длина блоков, на которые делится сообщение в хэш-функции SHA-1, равна

(1) 160 битов.

(2) 512 битов.

(3) 1024 битов.

(4) 2048 битов.

Аутентификация сторон в алгоритме Диффи-Хеллмана необходима, потому что

(1) В противном случае атакующий может перехватить передаваемые открытые ключи и заменить их своим открытым ключом.

(2) В противном случае атакующий может взломать дискретный логарифм.

(3) В противном случае стороны не смогут вычислить общий секрет.

(4) В противном случае стороны не смогут вычислить закрытые ключи друг друга.

Протокол аутентификации участников в протоколе РРР

(1) СНАР.

(2) Общий секрет.

(3) Сертификат.

(4) Аутентификация отсутствует.

Функции NAS может выполнять

(1) LAC

(2) LNS

(3) DNS

(4) RADIUS-сервер.

Целостность последовательности дейтаграмм в семействе протоколов IPSec означает

(1) Сервис, с помощью которого определяется получение дубликатов IP-дейтаграмм.

(2) Сервис, с помощью которого определяется повторный вход с одного и того же хоста.

(3) Сервис, с помощью которого определяется повторный вход одного и того же пользователя.

(4) Сервис, с помощью которого определяется изменение данных в IP-дейтаграмме.

Циклическое повторение операций в алгоритме симметричного шифрования называется

(1) Раундами.

(2) Блоками.

(3) Сетью Фейштеля.

(4) Симметричным алгоритмом.

PFS в протоколе IPSec означает, что

(1) Невозможна компрометация ключа.

(2) При компрометации одного ключа возможен только доступ к данным, защищенным одним этим ключом.

(3) При компрометации одного ключа невозможен только доступ к данным, защищенным предыдущими ключами.

(4) Возможна компрометация только одного ключа.

Содержимым VID является

(1) Хэш-код MD5, вычисленный для строки «RFC 3947».

(2) Хэш-код MD5, вычисленный для всех содержимых, которые были получены и посланы.

(3) Хэш-код MD5, вычисленный для случайного значения и разделяемого общего секрета.

(4) Хэш-код MD5, вычисленный для всех содержимых, которые были получены и посланы, и для разделяемого общего секрета.

Недостатки протокола L2TP

(1) Необходимо распределять пароли, с помощью которых выполняется аутентификация, каким-то внешним по отношению к протоколу способом.

(2) Клиенту необходимо иметь сертификат открытого ключа.

(3) LNS необходимо иметь сертификат открытого ключа.

(4) LAC необходимо иметь сертификат открытого ключа.

Для передачи больших сообщений лучше всего соответствуют режимы алгоритмов симметричного шифрования

(1) ECB.

(2) CBC.

(3) CFB.

(4) OFB.

Выберите правильное утверждение

(1) В протоколе SSL/TLS участники аутентифицируются с использованием криптографии с открытым ключом.

(2) В протоколе SSL/TLS участники аутентифицируются с использованием разделяемого секрета.

(3) В протоколе SSL/TLS сервер аутентифицирует себя с использованием криптографии с открытым ключом, аутентификация клиента выполняется по паролю.

(4) В протоколе SSL/TLS сервер аутентифицирует себя по паролю, аутентификация клиента выполняется с использованием криптографии с открытым ключом.

RADIUS-сервер может поддерживать следующие способы аутентификации пользователей

(1) РАР.

(2) СНАР.

(3) MS-CHAP.

(4) MS-CHAP v2.

Совокупное значение записей RDN

(1) Должно быть уникальным среди всех непосредственных подчиненных вышестоящей записи.

(2) Должно быть уникальным среди всех записей данного поддерева.

(3) Должно быть уникальным среди всех записей дерева, расположенного на одном сервере LDAP.

(4) Должно быть уникальным среди всех записей данного узла.

С точки зрения теории вероятностей «парадокс дня рождения» формулируется следующим образом

(1) Сколько значений Y¹, …, Y^k необходимо перебрать, чтобы для конкретного значения X вероятность того, что хотя бы для одного Yⁱ выполнялось равенство H(X)=H(Y), была бы равна 1.

(2) Сколько значений Y¹, …, Y^k необходимо перебрать, чтобы для конкретного значения X вероятность того, чтобы для всех Yⁱ выполнялось равенство H(X)=H(Y), была бы больше 0,5.

(3) Сколько значений Y¹, …, Y^k необходимо перебрать, чтобы для конкретного значения X вероятность того, что хотя бы для одного Yⁱ выполнялось равенство H(X)=H(Y), была бы больше 0,5.

(4) Сколько значений Y¹, …, Y^k необходимо перебрать, чтобы для конкретного значения X вероятность того, чтобы для всех Yⁱ выполнялось равенство H(X)=H(Y), была бы равна 1.

Подпись, создаваемая алгоритмом RSA, называется

(1) Детерминированной.

(2) Рандомизированной.

(3) Необратимой.

(4) Корректной.

Протокол РРТР обеспечивает

(1) Конфиденциальность соединения.

(2) Целостность соединения.

(3) Защиту от возможности в дальнейшем подстроиться под одну из сторон.

(4) Аутентификацию пользователя с помощью цифровой подписи.

Функции LAC может выполнять

(1) Хост, на котором установлено ПО LAC-клиента и который имеет соединение с интернетом.

(2) Специализированная аппаратура с возможностями выполнения ПО LAC-клиента.

(3) Конечная точка VPN, имеющая поддержку IPSec-протокола.

(4) DNS-сервер.

Возможные способы обработки пакетов в семействе протоколов IPSec

(1) Пакет отбрасывается.

(2) Пакет пропускается без обработки.

(3) Пакет обрабатывается в соответствии с записью SPD для данного пакета.

(4) Пакет шифруется/расшифровывается алгоритмом и ключами по умолчанию.

Для увеличения стойкости алгоритма симметричного шифрования количество раундов следует

(1) Уменьшить.

(2) Увеличить.

(3) Удвоить.

(4) Переупорядочить.

Proposal в протоколе IPSec – это список

(1) Упорядоченный по уменьшению предпочтений, наборов алгоритмов обеспечения защиты, которые будет использоваться для защиты трафика.

(2) Неупорядоченный набор алгоритмов для обеспечения защиты, которые будет использоваться для защиты трафика.

(3) Упорядоченный по увеличению предпочтений, наборов алгоритмов, которые будет использоваться для защиты трафика.

(4) Единственный набор алгоритмов, который будет использоваться для защиты трафика.

Cookie Инициатора и Получателя добавлены в хэш, чтобы

(1) Предотвратить атаки, связанные с заранее вычисленными IP-адресами и портами.

(2) Предотвратить атаки просмотра.

(3) Предотвратить атаки переупорядочивания пакетов.

(4) Предотвратить атаки авторизации.

Одним из способов решения проблемы фрагментации при совместном использовании L2TP и IPSec является

(1) Использование в РРР значения MTU для входящего / исходящего трафика, равного L2TP/IPSec туннелю минус накладные расходы, связанные с внешними заголовками.

(2) Запрет фрагментации пакетов на уровне РРР.

(3) Запрет фрагментации пакетов на уровне L2TP.

(4) Запрет фрагментации пакетов на уровне IPSec.

Длина ключа алгоритма AES должна быть не меньше

(1) 56 битов.

(2) 128 битов.

(3) 256 битов.

(4) 512 битов.

Содержимым протокола Alert в SSL/TLS является

(1) Фатальное сообщение о закрытии соединения.

(2) Либо фатальное, либо предупреждающее сообщение.

(3) Предупреждающее сообщение.

(4) Сообщение, показываемое пользователю для ввода логина и пароля пользователя.

Атрибуты протокола RADIUS представляют собой

(1) Тройки значений переменной длины (Атрибут – Длина – Значение).

(2) Пары значений фиксированной длины (Атрибут – Значение).

(3) Множество значений в формате ASN.1.

(4) Множество значений в формате XML.

Область поиска в протоколе LDAP может определяться как

(1) Единственная запись.

(2) Все поддерево для данной записи.

(3) Все записи, расположенные выше по дереву относительно данной записи.

(4) Все записи в данном дереве LDAP.

Если дина хэш-кода равна 128 битам, то сколько в среднем потребуется перебрать сообщений, чтобы найти два сообщения с одинаковыми хэш-кодами, при условии использования сильной криптографической функции

(1) 2₁₂₇ сообщений.

(2) 2₆₄ сообщений.

(3) 2₁₂₈ сообщений.

(4) 128 сообщений.

Способы аутентификации участников в протоколе L2ТР

(1) СНАР.

(2) Общий секрет.

(3) Сертификат.

(4) Аутентификация отсутствует.

Управляющие сообщения используют

(1) Надежный канал, гарантирующий доставку.

(2) Канал, не гарантирующий доставку.

(3) Об использовании надежного или ненадежного канала ведутся переговоры.

(4) Надежный, зашифрованный канал.

Возможные способы реализации протоколов IPSec

(1) Интеграция IPSec в конкретную реализацию протокола IP.

(2) «Bump-in-the-stack» (BITS) реализации, когда IPSec реализован «внизу» существующей реализации стека IP-протоколов, встраивая свою реализацию между стандартной реализацией IP-протоколов и локальными сетевыми драйверами.

(3) Использование внешнего криптопроцессора.

(4) Реализация IPSec на прикладном уровне.

Реализация алгоритма симметричного шифрования может быть

(1) Программной, с открытым кодом.

(2) Программной, с закрытым кодом.

(3) Аппаратной.

(4) Программной, лицензированной уполномоченным органом.

Содержимое Hash может использоваться

(1) Для проверки целостности данных в IKE-сообщении.

(2) Для аутентификации участников протокола.

(3) Для шифрования данных в IKE-сообщениях.

(4) Для подписывания данных в IKE-сообщениях.

Содержимое NAT-D позволяет определить

(1) Наличие NAT между двумя противоположными сторонами IKE.

(2) Где находится NAT: перед Инициатором или перед Получателем.

(3) Изменялось ли содержимое пакетов прикладного уровня при пересылке.

(4) Изменялись ли МАС-адреса при пересылке.

При совместном использовании L2TP и IPSec

(1) При выборе Получателем нового IP-адреса, он посылает StopCCN Инициатору с AVP Result Code, Error Code. Result Code установлен в 2 (General error), и Error Code установлен в 7 (Try Another).

(2) Инициатор после обработки сообщений о новом IP-адресе должен послать новый SCCRQ на этот новый IP-адрес.

(3) При выборе Получателем нового IP-адреса, он посылает StopCCN Инициатору с AVP Result Code, Error Code. Result Code установлен в 0 (No general error).

(4) Инициатор после обработки сообщений о новом IP-адресе не должен производить никаких дополнительных действий.

Под окружениями с ограниченными возможностями понимают

(1) Устройства, обладающие небольшими объемами RAM.

(2) Устройства, обладающие небольшими объемами ROM.

(3) Устройства, имеющие небольшие физические размеры.

(4) Устройства, не поддерживающие все протоколы интернета.

В протоколе SSL/TLS функция PRF

(1) Создает случайную последовательность битов.

(2) Вырабатывает мастер-секрет.

(3) Расширяет мастер-секрет до нужной длины для создания всех необходимых ключей.

(4) Увеличивает длину мастер-секрета в два раза.

Атрибуты RADIUS используются для передачи

(1) Авторизационных данных пользователей.

(2) Данных, необходимых для учета пользовательской деятельности, например, создание логов активных сессий.

(3) Данных, необходимых для учета использованных NAS ресурсов.

(4) Данных, необходимых для учета использованных сервером RADIUS ресурсов.

DN LDAP уникально определяет

(1) Класс объекта.

(2) Запись в дереве LDAP.

(3) Структуру дерева LDAP.

(4) Тип записи LDAP.

Длина блоков, на которые делится сообщение, в хэш-функции MD5 равна

(1) 128 битов.

(2) 512 битов.

(3) 1024 битов.

(4) 64 бита.

Подпись, создаваемая алгоритмом DSS, называется

(1) Детерминированной.

(2) Рандомизированной.

(3) Необратимой.

(4) Корректной.

Совместное использование протоколов L2TP и IPSec обеспечивает

(1) Конфиденциальность соединения

(2) Целостность соединения

(3) Защиту от возможности в дальнейшем подстроиться под одну из сторон.

(4) Аутентификацию пользователя с помощью цифровой подписи.

В протоколе L2TP Session ID определяет

(1) Идентификатор сессии внутри туннеля.

(2) Идентификатор пользователя.

(3) Идентификатор отдельного сообщения.

(4) IP-адрес клиента.

Выберите правильное утверждение

(1) Для туннелирующего режима SA существуют внешний и внутренний IP-заголовки.

(2) Для туннелирующего режима SA существуют внешний и внутренний ТСР-заголовки.

(3) Для туннелирующего режима SA существуют внешний и внутренний заголовки прикладного уровня.

(4) Для туннелирующего режима SA существуют внешний и внутренний UDP-заголовки.

Под плоским пространством ключей понимают

(1) Возможность использования любой последовательности битов в качестве ключа.

(2) Возможность вычислять ключ из двух параметров X и Y.

(3) Возможность получать ключ из области внешней памяти.

(4) Возможность вычислять ключ без использования параметров, связанных со временем.

В I и II Фазах переговоров

(1) Возможно использование разных сервисов безопасности.

(2) Обязательно должны использоваться одни и те же сервисы.

(3) Сервисы аутентификации и криптографические алгоритмы должны быть одинаковыми, ключи могут быть разными.

(4) Сервисы аутентификации должны быть одинаковыми, криптографические алгоритмы и ключи могут быть разными.

Для прохождения NAT определены следующие режимы

(1) UDP-Encapsulated-Tunnel.

(2) UDP-Encapsulated-Transport.

(3) NAT-Tunnel.

(4) NAT-Transport.

Изменение номеров портов и IP-адреса Получателя может потребоваться

(1) Для обеспечения балансировки нагрузки.

(2) Для обеспечения гарантированного качества (QoS).

(3) Для обеспечения возможностей фильтрования.

(4) Для обеспечения возможностей маршрутизации.

Какие из алгоритмов, рассматривавшихся в качестве претендентов на AES, основаны на сети Фейштеля

(1) MARS.

(2) RC6.

(3) Rijndael.

(4) Serpent.

(5) Twofish.

Параметрами соединения в протоколе SSL/TLS являются

(1) МАС-алгоритм.

(2) Секреты МАС, ключи алгоритма шифрования и инициализационные вектора.

(3) Идентификатор клиента.

(4) Сертификат клиента.

Функционирование RADIUS основано на следующих принципах

(1) Протокол RADIUS является протоколом типа Запрос / Ответ.

(2) Протокол RADIUS не поддерживает состояния.

(3) NAS не должен предоставлять сервисы при получении ответа от сервера Access-Reject и Disconnect-Request.

(4) Протокол RADIUS не может обеспечить пересылку паролей пользователей в защищенном виде.

LDIF (LDAP Data Interchange Format) обладает следующими свойствами

(1) Обеспечивает возможность архивации данных и передачи данных в другие системы.

(2) Используется для изменений большого количества данных по следующему принципу:

Сделать дамп данных,

Выполнить скрипт, изменяющий данные,

Импортировать данные обратно в Каталог.

(3) Используется для модификации Схемы LDAP.

(4) Обеспечивает возможность более быстрого поиска по дереву.

Хэш-функция SHA-2 является

(1) Совокупностью двух функций.

(2) Совокупностью трех функций.

(3) Совокупностью четырех функций.

(4) Совокупностью 16 функций.

Укажите, какая подпись является детерминированной

(1) RSA.

(2) DSS.

(3) ГОСТ 3410.

(4) AES.

Способы аутентификации участников при совместном использовании протоколов L2TP и IPSec

(1) СНАР.

(2) Общий секрет.

(3) Сертификат.

(4) Аутентификация отсутствует.

Hidden (H) бит в AVP протокола L2TP

(1) Указывает на скрытие данных в поле значения атрибута AVP.

(2) Указывает на скрытие пароля пользователя.

(3) Указывает на скрытие всех данных, передаваемых в дальнейшем по протоколу L2TP.

(4) Указывает на скрытие данных уровня IP.

Термин «шлюз безопасности» означает

(1) Маршрутизатор, который реализует IPsec-протоколы.

(2) Маршрутизатор, расположенный в охраняемом помещении.

(3) Межсетевой экран, расположенный на границе сетевого периметра.

(4) Маршрутизатор, выполненный в специальном особо прочном корпусе.

Алгоритм симметричного шифрования может использоваться

(1) Для шифрования данных.

(2) Для создания случайных чисел.

(3) В качестве алгоритма хэширования.

(4) Для создания цифровой подписи.

Выберите правильное утверждение

(1) Наличие и последовательность содержимых в ISAKMP четко фиксированы.

(2) Наличие и последовательность содержимых в ISAKMP определяется в первом сообщении.

(3) Наличие и последовательность содержимых в ISAKMP определяется полем Exchange Type, размещаемым в заголовке ISAKMP.

(4) Наличие и последовательность содержимых в ISAKMP определяется производителем.

Требование обеспечения возможности обнаружения сбоя противоположной стороны в протоколе IKE может выполняться

(1) На стадии посылки Proposal.

(2) После завершения протокола IKE.

(3) В протоколах ESP/AH.

(4) После аутентификации участников.

Начальные записи в политике, необходимые для защиты SCCRQ

(1) Как Инициатор, так и Получатель должны быть заранее сконфигурированы с дополнительными записями для поддержки L2TP.

(2) В L2TP должен быть определен метод добавления информации о новых IP-адресах и портах в БД политик IPSec.

(3) Записи должны быть созданы до того, как будет послано первое сообщение об установке L2TP-туннеля.

(4) В IPSec должен быть определен метод добавления информации о новых IP-адресах и портах в БД политик L2TP.

При принятии стандарта AES считалось, что самыми распространенными архитектурами являются

(1) 8-битные.

(2) 32-битные.

(3)

(4) 128-битные.

Протокол изменения шифрования

(1) Делает ожидаемое состояние текущим, в результате чего соответствующие параметры текущего состояния сбрасываются и заменяются параметрами ожидаемого состояния.

(2) Делает ожидаемое состояние текущим, в результате чего соответствующие параметры текущего состояния заменяются параметрами ожидаемого состояния, а параметры ожидаемого состояния – параметрами текущего.

(3) Делает ожидаемое состояние текущим, в результате чего параметры текущего и ожидаемого состояний сбрасываются.

(4) Делает ожидаемое состояние текущим, в результате чего соответствующие параметры ожидаемого состояния сбрасываются и заменяются параметрами текущего состояния.

При аутентификации по протоколу RADIUS пользователь предоставляет аутентификационную информацию

(1) NAS.

(2) Серверу RADIUS.

(3) Серверу, доступ к которому запросил пользователь.

(4) Третьей Доверенной Стороне.

Имя корневого контекста

(1) Является записью верхнего уровня для каждого сервера.

(2) Является записью непосредственного родителя для данной записи.

(3) Является записью верхнего уровня всех серверов LDAP.

(4) Является главной записью данного узла.

Хэш-функции SHA-2 оптимизированы для архитектуры с длиной слова

(1) 8 битов.

(2) 32 бита.

(3) 64 бита

(4) 128 битов.

Подпись с использованием эллиптических кривых имеет

(1) Один компонент.

(2) Два компонента.

(3) Три компонента.

(4) Четыре компонента.

Протокол РРР определяет

(1) Механизм инкапсуляции для пересылки пакетов, принадлежащих любым сетевым протоколам, по каналам точка-точка 2 уровня.

(2) Механизм инкапсуляции для пересылки кадров 2 уровня, используя протоколы сетевого уровня.

(3) Механизм инкапсуляции для пересылки НТТР-трафика по каналам точка-точка 2 уровня.

(4) Механизм инкапсуляции для пересылки почтовых сообщений по каналам точка-точка 2 уровня.

Random Vector AVP протокола L2TP используется

(1) Для обеспечения возможности скрытия значений некоторых AVP.

(2) Для выработки общего секрета.

(3) Для защиты от replay-атак.

(4) Для скрытия объема трафика.

БД Безопасных Ассоциаций (Security Association Database – SAD) в семействе протоколов IPSec

(1) Содержит параметры каждой активной Безопасной Ассоциации.

(2) Содержит политики, применяемые к входящему трафику.

(3) Содержит политики, применяемые к исходящему трафику.

(4) Содержит параметры допустимого входящего и исходящего трафика.

Выберите правильное утверждение

(1) В основе алгоритма DES лежит сеть Фейштеля.

(2) В алгоритме DES используются S-boxes.

(3) В алгоритме DES используется умножение по модулю 2₁₆ + 1.

(4) Алгоритм DES не является итерационным.

Для Фазы I в протоколе IPSec определено

(1) Один режим: «Quick Mode».

(2) Два режима: «Main Mode» и «Aggressive Mode».

(3) Три режима: «Main Mode», «Aggressive Mode» и «Quick Mode».

(4) Четыре режима: «Main Mode», «Aggressive Mode», «Quick Mode» и «Tunnel Mode».

Проверка жизнеспособности противоположной стороны может использовать

(1) Однонаправленную посылку сообщений (Hello).

(2) Двунаправленную посылку сообщений (Hello/ACK).

(3) Трех шаговое рукопожатие.

(4) Третью Доверенную Сторону.

Начальные записи в политике IPSec на стороне Инициатора для входящего трафика

(1) Разрешен доступ с IP-адреса, который Получатель слушает при получении начального SCCRQ и любого порта на IP-адрес, который Инициатор использует для взаимодействия по L2TP-туннелю и номер UDP-порта, который Инициатор выбирает для инициализации и получения L2TP-трафика.

(2) Разрешен доступ с любого IP-адреса и любого порта на IP-адрес, который Инициатор использует для взаимодействия по L2TP-туннелю и номер UDP-порта, который Инициатор выбирает для инициализации и получения L2TP-трафика.

(3) Разрешен доступ с любого IP-адреса и любого порта на IP-адрес, который Инициатор использует для взаимодействия по L2TP-туннелю и любой номер UDP-порта, который Инициатор выбирает для инициализации и получения L2TP-трафика.

(4) Разрешен доступ с любого IP-адреса с любого порта на любой IP-адрес и любой порт Инициатора.

Какому полиному соответствует шестнадцатеричное число 3A

(1) x₅ + x₄ + x₃ + x

(2) x₆ + x₅ + x₃ + x

(3) x₂ + 1

(4) х₃+х₂+х+1

Параметры безопасности в протоколе SSL/TLS для ожидаемых состояний устанавливаются

(1) Протоколом Рукопожатия.

(2) Протоколом Записи.

(3) Центром распределения ключей (KDC).

(4) Протоколом прикладного уровня.

Если при аутентификации по протоколу RADIUS в запросе Access-Request присутствует пароль, то

(1) Используется метод его скрытия, основанный на алгоритме хэширования MD5.

(2) Используется метод его скрытия, основанный на алгоритме симметричного шифрования DES.

(3) Используется метод его скрытия, основанный на цифровой подписи, выполненной алгоритмом RSA.

(4) Используется метод его скрытия, основанный на алгоритме симметричного шифрования, о котором договорились в протоколе Рукопожатия.

Основные свойства протокола LDAP

(1) Используется стек протокола OSI.

(2) Используется клиент-серверная модель.

(3) Может быть сделано несколько запросов в одной команде поиска.

(4) Протокол может легко расширяться любым производителем добавлением собственных команд.

Дополнительными параметрами хэш-функции ГОСТ 3411 являются

(1) Стартовый вектор хэширования.

(2) Ключи для алгоритма симметричного шифрования ГОСТ 28147.

(3) Начальное значение хэш-кода.

(4) Начальный блок хэшируемого сообщения.

Сертификационный центр (СА) – это

(1) Уполномоченный орган, который создает ключи сессии.

(2) Уполномоченный орган, который создает сертификаты открытого ключа.

(3) Уполномоченный орган, который создает закрытые ключи.

(4) Уполномоченный орган, который определяет полномочия пользователей.

Протокол РРР состоит из следующих протоколов

(1) Протокол управления каналом (Link Control Protocol – LCP).

(2) Семейство протоколов управления сетью (Network Control Protocol – NCP).

(3) Протокол Рукопожатия.

(4) Протокол IKE.

Управляющее соединение может быть закрыто

(1) LAC.

(2) LNS.

(3) RADIUS-сервером.

(4) DNS-сервером.

IPsec поддерживает

(1) Только вручную созданные SA.

(2) Только автоматически созданные SA.

(3) Как вручную, так и автоматически созданные SA.

(4) Вручную может быть создано только фиксированное количество SA, которое определяет конфигурационными параметрами, остальные SA создаются автоматически.

Длина блока в алгоритме DES равна

(1) 64 бита.

(2) 128 битов.

(3) 64 байта.

(4) 128 байтов.

Выберите правильное утверждение

(1) В протоколе IPSec только Main Mode обеспечивает защиту идентификации.

(2) В протоколе IPSec только Aggressive Mode обеспечивает защиту идентификации.

(3) В протоколе IPSec как Main Mode, так и Aggressive Mode обеспечивают защиту идентификации.

(4) В протоколе IPSec отсутствует защита идентификации.

В схеме Heartbeat проверка жизнеспособности противоположной стороны основана на том, что

(1) Одна из сторон полагается на то, что противоположная сторона сама периодически будет посылать сообщения, демонстрирую свою жизнеспособность.

(2) Каждая сторона регулярное подтверждает свою жизнеспособность.

(3) Инициатор через равны промежутки времени подтверждает свою жизнеспособность.

(4) Получатель через равны промежутки времени подтверждает свою жизнеспособность.

Процесс, который выполняется, если Получатель решает использовать новый IP-адрес для трафика L2TP-туннеля

(1) Новый адрес, который выбирает Получатель, должен быть указан в AVP Result и Error Code в STOPCCN сообщении.

(2) Сообщение STOPCCN посылается на тот же самый адрес и UDP-порт, которые Инициатор использовал для посылки SCCRQ.

(3) При получении STOPCCN Инициатор должен извлечь IP-адрес и вставить новый набор записей в БД политик IPSec.

(4) При получении STOPCCN Инициатор должен запретить весь трафик с данного IP-адреса.

Число раундов в алгоритме Rijndael

(1) Постоянное и равно 14.

(2) Постоянное и равно 12.

(3) Переменное и зависит от длины ключа и длины блока.

(4) Переменное и зависит от значения ключа.

Протокол Рукопожатия в SSL/TLS может не включать следующие шаги

(1) Обмен сообщениями Hello клиента и сервера.

(2) Посылку сертификата сервера.

(3) Посылку сертификата клиента.

(4) Обмен сообщениями для выработки общего секрета.

Сервер RADIUS посылает ответ Access-Reject, если

(1) Не выполнено хотя бы одно условие, требуемое в базе данных для данного пользователя.

(2) Не выполнены все условия, указанные в базе данных для данного пользователя.

(3) Не выполнено 50% условий, указанных в базе данных для данного пользователя.

(4) Не выполнено 75% условий, указанных в базе данных для данного пользователя.

Операция Search в протоколе LDAP может использоваться

(1) Для чтения атрибутов из единственной записи.

(2) Для чтения атрибутов из записи, расположенной выше по дереву.

(3) Для чтения атрибутов из записи, расположенной ниже по дереву.

(4) Для записи новых значений атрибутов.

Отметьте хэш-функции, хэш-код которых больше или равен 256 бит

(1) MD5.

(2) ГОСТ 3411.

(3) SHA-1.

(4) SHA-256.

(5) SHA-384.

(6) SHA-512.

CRL – это

(1) Список истекших сертификатов.

(2) Список отмененных сертификатов.

(3) Список действительных сертификатов.

(4) Список самоподписанных сертификатов.

Протокол аутентификации Challenge-Handshake (CHAP)

(1) Использует трех шаговое рукопожатие.

(2) Использует двух шаговое рукопожатие.

(3) Выполняется при начальном установлении канала.

(4) Может повторяться в любое время после того, как канал установлен.

(5) Обязан выполняться через определенный промежуток времени.

Аутентификация туннеля в протоколе L2TP является

(1) Необязательной.

(2) СНАР-подобной.

(3) Если выполняется, то обязательно является взаимной.

(4) Может использовать как общий секрет, так и цифровую подпись.

Выберите правильное утверждение

(1) Селектор в семействе протоколов IPSec определяет детализированность политики и создаваемых SA.

(2) Селектор в семействе протоколов IPSec определяет алгоритмы шифрования, используемые для защиты трафика.

(3) Селектор в семействе протоколов IPSec определяет способы аутентификации участников.

(4) Селектор в семействе протоколов IPSec определяет ключи для алгоритмов шифрования, используемых для защиты трафика.

Причина использования двух, а не трех ключей в тройном DES состоит в том, что

(1) При использовании двух ключей отсутствует атака «встреча посередине», при использовании трех ключей существует атака «встреча посередине».

(2) Стойкость алгоритма не повышается при использовании трех ключей вместо двух.

(3) При использовании трех ключей общая длина ключа равна 168 битам, что может потребовать существенно больших вычислений при его распределении.

(4) При использовании трех ключей существенно снижается скорость шифрования.

Quick Mode выполняет

(1) Переговоры об SA.

(2) Обменивается Nonce.

(3) Выдает IP-адреса хостам в локальных сетях, расположенных за шлюзами безопасности.

(4) Выполняет преобразование адресов для хостов, расположенных в локальных сетях за шлюзами безопасности.

Протокол DPD, обеспечивающий доказательство жизнеспособности противоположной стороны, определяет

(1) Двунаправленный обмен Notify-сообщениями через произвольные интервалы времени.

(2) Однонаправленный обмен Notify-сообщениями через произвольные интервалы времени.

(3) Двунаправленный обмен Notify-сообщениями через равные интервалы времени.

(4) Однонаправленный обмен Notify-сообщениями через равные интервалы времени.

Топология шлюз-шлюз и исходящий канал L2TP

(1) Каждая сторона может инициировать создание L2TP-канала.

(2) Инициировать создание L2TP-канала может только Инициатор IPSec-туннеля.

(3) Инициировать создание L2TP-канала может только Получатель IPSec-туннеля.

(4) Инициировать создание L2TP-канала может только Третья Доверенная Сторона.

Длина блока в алгоритме Rijndael может быть

(1) 128 битов.

(2) 192 бита.

(3) 256 битов.

(4) 512 битов.

Сокращенное Рукопожатие в протоколе SSL/TLS позволяет

(1) Увеличить производительность протокола SSL/TLS.

(2) Повысить безопасность протокола SSL/TLS.

(3) Повысить интероперабельность протокола SSL/TLS.

(4) Повысить надежность протокола SSL/TLS.

Интероперабельность с СНАР

(1) При использовании СНАР NAS создает случайный вызов (как правило 16 октетов) и посылает его пользователю, который возвращает СНАР-ответ вместе с атрибутами CHAP ID и СНАР Username.

(2) При использовании СНАР NAS берет из СНАР ID и пароль, подписывает их своим закрытым ключом и посылает их в пакете Access-Request в качестве атрибутов User-Name и User-Password.

(3) При использовании СНАР NAS берет из СНАР ID и пароль, шифрует их алгоритмом симметричного шифрования и посылает их в пакете Access-Request в качестве атрибутов User-Name и User-Password.

(4) При использовании СНАР NAS не выполняет аутентификацию пользователя.

Область поиска wholeSubtree в протоколе LDAP

(1) Ограничивает поиск во всем дереве на данном сервере.

(2) Ограничивает поиск во всем поддереве данной записи.

(3) Ограничивает поиск во всем поддереве данной записи, включая и саму запись.

(4) Нет ограничений. Поиск выполняется по всем деревьям Каталога LDAP.

При разработке стандарта НМАС преследовались следующие цели

(1) Сохранение скорости работы алгоритма обеспечения целостности, близкой к скорости работы используемой хэш-функции.

(2) Существенно увеличить скорость работы алгоритма обеспечения целостности по сравнению со скоростью работы используемой хэш-функцией.

(3) Возможность использования секретных ключей и простота работы с ними.

(4) Возможность использования цифровых подписей.

Протокол аутентификации СНАР имеет следующие недостатки

(1) Требуется, чтобы секрет на каждой стороне хранился в незашифрованном виде.

(2) Используемая хэш-функция должна гарантировать, что вычислительно сложно определить секрет, зная запрос и ответ.

(3) Секрет посылается в незащищенном виде.

(4) Нет возможности выполнить аутентификацию получателя.

Протокол РРРоЕ предоставляет

(1) Способ передачи по Ethernet протоколов РРР.

(2) Способ передачи по Ethernet протокола L2TP.

(3) Способ передачи по Ethernet протоколов TCP/IP.

(4) Способ передачи по Ethernet протокола НТТР.

IPSec-обработка входящего пакета

(1) Если требуется реассемблирование, то оно выполняется до IPSec-обработки.

(2) Определяется подходящая (на основе значения SPI в заголовке) SA, просматривая SAD.

(3) Определяется подходящая (на основе значения SPI в заголовке) SA, просматривая SPD.

(4) Если требуется реассемблирование, то пакет всегда отбрасывается.

Длина ключа в алгоритме ГОСТ 28147 равна

(1) 56 битов.

(2) 256 битов.

(3) 56 байтов.

(4) 256 байтов.

Определение сбоя на противоположной стороне должно быть основано на

(1) Криптографически защищенном сообщении Notify.

(2) Сообщениях маршрутизации.

(3) Сообщениях ICMP.

(4) Сообщениях Delete.

Свойства протокола DPD. Выберите правильное утверждение

(1) При наличии IPSec-трафика Инициатор должен регулярно посылать пакеты DPD-обмена.

(2) Если участник должен послать IPSec-пакеты после определенного периода простоя, он должен быть уверен в жизнеспособности противоположной стороны. В этот момент он может инициировать DPD-обмен.

(3) Каждая сторона может иметь разные требования к определению жизнеспособности.

(4) При наличии IPSec-трафика Получатель должен регулярно посылать пакеты DPD-обмена.

Различия между IKE- и РРР-аутентификацией

(1) ПО IPSec обычно не имеет возможности сегрегации трафика на уровне различных пользователей данного компьютера.

(2) После открытия L2TP/IPSec туннеля любой пользователь в многопользовательской среде обычно имеет возможность посылать трафик по туннелю.

(3) ПО РРР не имеет возможности сегрегации трафика на уровне различных пользователей данного компьютера.

(4) В IKE/IPSec невозможна аутентификация по общему секрету.

Укажите функции, отличные от шифрования, которые могут быть выполнены алгоритмом Rijndael

(1) МАС (Message Authentication Code).

(2) Алгоритм асимметричного шифрования.

(3) Хэш-функция.

(4) Генератор псевдослучайных чисел.

Сообщение Finished протокола SSL/TLS посылается

(1) Для проверки успешного завершения обмена ключа и процессов аутентификации.

(2) Для завершения используемого транспортного протокола.

(3) Для указание использовать новые алгоритмы и ключи.

(4) Для аутентификации клиента.

Пакет Accounting Stop содержит

(1) Тип полученного сервиса.

(2) Различная статистическая информация, такая как затраченное время, количество входящего и исходящего трафика.

(3) Имя и пароль пользователя, который получал сервис.

(4) Условия, при которых предоставляется доступ для данного пользователя.

В операции поиска в протоколе LDAP сервер возвращает

(1) Найденные записи.

(2) Как найденные записи, так и ссылки на другие серверы для продолжения поиска.

(3) Ссылки на другие серверы для продолжения поиска.

(4) Запись корневого объекта данного сервера.

Стандарт НМАС не позволяет вести переговоры

(1) Об используемой хэш-функции.

(2) Об используемых константах.

(3) Об используемых формулах преобразования.

(4) Об используемой последовательности преобразований.

Выберите правильное утверждение

(1) Должно быть относительно легко создавать цифровую подпись.

(2) Должно быть вычислительно невозможно подделать цифровую подпись как созданием нового сообщения для существующей цифровой подписи, так и созданием ложной цифровой подписи для некоторого сообщения.

(3) Должно быть относительно легко проверять цифровую подпись.

(4) Подпись обязательно должна быть рандомизированной.

Протокол управления IP (Internet Protocol Control Protocol – IPCP) предназначен для

(1) IP-адрес, который будет назначен локальной стороне канала.

(2) Адреса DNS-серверов в удаленной сети.

(3) Адреса NetBIOS Name Серверов (NBNS) в удаленной сети.

(4) IP-адрес провайдера интернет.

Задачами стадии обнаружения (Discovery) протокола РРРоЕ являются

(1) Определение Ethernet МАС-адреса противоположной стороны.

(2) Установление РРРоЕ SESSION_ID.

(3) Установление общего секрета.

(4) Выполнение аутентификации пользователя.

Детализированность SA в семействе протоколов IPSec влияет на ее уязвимость следующим образом

(1) Сильно детализированные SA обычно являются более уязвимыми для анализа трафика, чем слабо детализированные.

(2) Сильно детализированные SA обычно являются менее уязвимыми для анализа трафика, чем слабо детализированные.

(3) Детализированность SA не влияет на уязвимость с помощью анализа трафика.

(4) Наименее уязвимыми являются SA для отдельного хоста.