Главная /
Безопасность /
Межсетевое экранирование
Межсетевое экранирование - ответы на тесты Интуит
Правильные ответы выделены зелёным цветом.
Все ответы: В курсе рассматриваются вопросы обеспечения безопасности при подключении корпоративной сети к интернету. Основное внимание уделяется классификации межсетевых экранов (firewall’ов), систем обнаружения проникновений, а также обеспечению безопасности сервисов DNS и web серверов.
Все ответы: В курсе рассматриваются вопросы обеспечения безопасности при подключении корпоративной сети к интернету. Основное внимание уделяется классификации межсетевых экранов (firewall’ов), систем обнаружения проникновений, а также обеспечению безопасности сервисов DNS и web серверов.
Смотрите также:
Основное назначение firewall'а состоит в том, чтобы:
(1) обеспечить полную безопасность локальной сети
(2) защитить хосты и сети от использования существующих уязвимостей в стеке протоколов ТСР/IP
(3) обнаружить проникновение в локальную сеть
Cookies представляют собой небольшой блок информации, который:
(1) записывается на сервере для того, чтобы обеспечить поддержку состояния
(2) записывается на диск клиента для того, чтобы обеспечить поддержку состояния
(3) пересылается от клиента к серверу для выполнения аутентификации клиента
При BASIC-аутентификации может выполняться аутентификация:
(1) клиента
(2) сервера
(3) и того, и другого
Публичный web-сервер должен быть расположен:
(1) в Интернете, перед пакетным фильтром
(2) в DMZ
(3) в локальной сети предприятия
Основные принципы, которым необходимо следовать при разработке окружения firewall'а:
(1) необходимо сделать окружение firewall'а максимально простым
(2) необходимо сделать окружение firewall'а максимально сложным
(3) необходимо предусмотреть дополнительные инструментальные средства обеспечения безопасности
В ОС FreeBSD IPFILTER является:
(1) пакетным фильтром без поддержки возможности
stateful inspection
(2) пакетным фильтром c поддержкой возможности
stateful inspection
(3) прокси прикладного уровня
При использовании IDS:
(1) возрастает возможность определения преамбулы атаки
(2) возрастает возможность фильтрования трафика
(3) возрастает возможность раскрытия осуществленной атаки
Преимуществом расположения сенсоров network-based IDS позади внешнего firewall'а является:
(1) не зависят от наличия коммутаторов
(2) видят внешние атаки, которые смогли проникнуть через оборону сетевого периметра
(3) могут анализировать зашифрованную информацию
Сервис DNS предназначен для:
(1) преобразования IP-дресов в МАС-адреса
(2) преобразования IP-адресов в доменные имена
(3) преобразования доменных имен в IP-адреса
Для запросов и ответов DNS существуют следующие угрозы:
(1) возможен поддельный или выдуманный ответ
(2) возможна неавторизованная модификация данных зонного файла
(3) возможно удаление некоторых ресурсных записей из ответа
Обеспечение безопасности запросов и ответов DNS в спецификации DNSSEC основано на использовании:
(1) симметричного шифрования
(2) цифровых подписей
(3) хэш-функций с ключом
Основные принципы, которыми нужно руководствоваться при обеспечении безопасности web-сервера:
(1) не следует использовать свободно распространяемые программы
(2) если произошел сбой, то лучше потеря функциональности, чем потеря безопасности
(3) следует использовать принцип разделения привилегий как для пользователей, так и для систем.
Выберите правильные утверждения:
(1) firewall'ы могут функционировать как VPN-шлюзы
(2) firewall'ы могут выполнять трансляцию адресов
(3) firewall'ы могут выполнять маршрутизацию почтовых сообщений
Модель безопасности Java основывается на:
(1) изолировании памяти и методов доступа в отдельных sandbos'ах
(2) использовании web-браузера в качестве окружения
(3) использовании цифровой подписи и сертификатов для гарантирования отсутствия опасного кода
При BASIC-аутентификации в качестве аутентификатора используется:
(1) пароль пользователя
(2) пароль сервера
(3) сертификат пользователя
(4) сертификат сервера
Хостинг web-сервера во внешней организации имеет следующие недостатки:
(1) требуется доверие к третьей стороне в отношении содержимого web-сервера
(2) DoS атаки, направленные на web-сервер, воздействуют на сеть предприятия
(3) на web-сервер могут влиять атаки, направленные на другие web-серверы, которые размещены в той же самой сети
Firewall всегда должен иметь:
(1) один интерфейс
(2) ровно два интерфейса
(3) два или более интерфейсов
Модуль пакетного фильтра IPFW:
(1) должен обязательно компилироваться в ядро ОС
(2) может загружаться динамически в виде отдельного модуля
(3) не должен компилироваться в ядро ОС, если необходима функция NAT
Преимущества host-based IDS:
(1) host-based IDS имеют небольшое влияние на производительность сети
(2) host-based IDS часто могут функционировать в окружении, в котором сетевой трафик зашифрован
(3) host-based IDS могут быть сделаны более прозрачными, чем network-based IDS
Преимуществом расположения сенсоров network-based IDS в критических подсетях является:
(1) могут обрабатывать защищенный трафик
(2) позволяют сфокусироваться на защите основных информационных ценностей
(3) могут определять внутренние атаки
Безопасность для сервиса DNS означает:
(1) обеспечение конфиденциальности транзакций
(2) обеспечение целостности транзакций
(3) выполнение аутентификации сторон при транзакциях
Для динамических обновлений существуют следующие угрозы:
(1) возможность неавторизованной модификации зонного файла
(2) возможность осуществления replay-атаки
(3) возможность нарушения конфиденциальности данных зонного файла
Доверие к открытому ключу зоны устанавливается:
(1) с помощью посылки цепочки сертификатов вместе с ответом из подписанной зоны
(2) с помощью построения доверенной цепочки, используя иерархию доменных имен DNS
(3) с помощью получения доверенной цепочки из каталога LDAP
Обеспечение безопасности лежащей в основе ОС означает:
(1) удаление всех ненужных сетевых сервисов
(2) удаление всех аккаунтов, кроме уровня root или Администратор
(3) удаление всех инструментальных средств разработки
Управление доступом в пакетном фильтре осуществляется на основании:
(1) типа трафика
(2) порта источника
(3) порта назначения
Для минимизации вероятности появления уязвимости на стороне сервера скрипты должны:
(1) выполняться с минимальными привилегиями
(2) не принимать данные формы в качестве входных параметров
(3) отфильтровывать символы во входных данных, которые могут привести к появлению уязвимости
Модуль
ModSecurity предназначен для:
(1) определения и предотвращения атак, осуществляемых по протоколу SMTP
(2) определения и предотвращения атак, осуществляемых по протоколу НТТР
(3) определения и предотвращения атак, осуществляемых на уровне протокола IP3. определения и предотвращения атак, осуществляемых на уровне протокола IP
Частота выполнения backup'а web сервера зависит от:
(1) уровня угроз для web-сервера
(2) частоты изменения информации на web-сервере
(3) необходимости поддерживать SSL/TLS соединения
Политика firewall'а определяет:
(1) как сам firewall управляется и модифицируется
(2) как обрабатывается трафик различных приложений
(3) как создаются и управляются аккаунты пользователей
В IPFW, если информация в пакете соответствует параметрам, указанным в правиле, то:
(1) пакет отбрасывается
(2) пакет пропускается через пакетный фильтр
(3) выполняется указанное в правиле действие
При определение злоупотреблений:
(1) анализируются события на соответствие некоторым образцам, называемым "сигнатурами атак"
(2) анализируются события для обнаружения неожиданного поведения
(3) анализируется частота возникновения некоторого события
IDS может обеспечивать следующие возможности:
(1) возможность определения внешних угроз
(2) возможность шифрования трафика
(3) возможность фильтрации трафика
Дрейф зоны означает:
(1) несоответствие между данными зоны в первичном и вторичном name-серверах
(2) несоответствие между данными конфигурационных файлов в первичном и вторичном name серверах
(3) неправильные данные в ответах DNS
Ограничение участников транзакций на основе IP адреса имеет следующие недостатки:
(1) для указания участников необходимо знать их IP адреса, а не доменные имена
(2) нельзя указать подсеть
(3) возможна подделка IP адресов
Ключ KSK предназначен для:
(1) подписывания открытого ключа родительской зоны
(2) подписывания открытого ключа, соответствующим закрытым ключом которого подписываются ресурсные записи в данной зоне
(3) подписывания открытого ключа дочерней зоны
Средствами ОС следует предоставить доступ уровня root (Администратор) к файлам, содержащим:
(1) скрипты на JavaScript
(2) авторизационную информацию, используемую при управлении доступом
(3) криптографический материал ключа
Прокси прикладного уровня могут:
(1) выполнять аутентификацию пользователя
(2) автоматически распознавать новые протоколы
(3) выполнять авторизацию пользователя
Для генераторов содержимого на стороне сервера следует:
(1) для данных формы определить список допустимых символов и отфильтровывать все остальные символы
(2) не использовать cookies для поддержки состояния
(3) использовать полные имена пути при вызове внешних программ
Действие может быть:
(1) задано по умолчанию
(2) указано для каждого правила
(3) наследовано из родительского контекста
Необходимость полной переинсталляции ОС и всего ПО зависит от:
(1) изолированности web-сервера от локальной сети организации
(2) уровня доступа, который получил атакующий
(3) нанесенных повреждений
Выберите правильное утверждение:
(1) администрирование firewall'а должно всегда выполняться по защищенному каналу
(2) администрирование firewall'а из Интернета должно всегда выполняться по защищенному каналу с использованием строгой аутентификации
(3) администрирование firewall'а должно всегда выполняться с использованием строгой аутентификации
В IPFW критерий выбора keep-state означает:
(1) создание динамического правила для отслеживания правильности создания ТСР соединения
(2) выполнение проверки пакета в таблице динамических правил
(3) выполнение трансляции сетевых адресов
Недостатками методики определения аномалий являются:
(1) хуже, по сравнению с определением злоупотреблений, обнаруживают неожиданное поведение пользователя
(2) создают большое количество ложных срабатываний
(3) требуют частого обновления базы данных сигнатур атак
Выберите правильное утверждение:
(1) IDS не требуют частых обновлений
(2) IDS часто имеют большое количество ложных срабатываний
(3) IDS, как правило, плохо масштабируются на большие распределенные сети
Зонный файл содержит:
(1) конфигурационные опции
(2) ресурсные записи
(3) логи name-сервера
Утверждение allow-transfer может быть указано внутри утверждения:
(1)
options
(2)
zone
(3)
blackhole Выберите правильное утверждение:
(1) ключ
ZSK используется чаще, чем ключ KSK, в операциях подписывания
(2) ключи
ZSK и KSK в операциях подписывания используются одновременно
(3) ключ
ZSK используется реже, чем ключ KSK, в операциях подписывания К лог-файлам процессы web сервера должны иметь доступ по:
(1) чтению
(2) записи
(3) выполнению
Трансляция сетевых адресов (NAT) позволяет:
(1) скрыть схему сетевой адресации локальной сети
(2) скрыть логины пользователей локальной сети
(3) скрыть сетевой адрес самого firewall'а
Кодировка набора символов должна быть явно указана на каждой странице, чтобы:
(1) проще было отфильтровать последовательность байтов, означающих специальные символы для данной схемы кодирования
(2) нельзя было вставить последовательность байтов, означающих специальные символы для различных схем кодирования
(3) нельзя было вставить последовательность байтов, означающих специальные символы для данной схемы кодирования
Первичными действиями являются:
(1)
deny
(2)
status
(3)
pass Создание логов необходимо для того, чтобы:
(1) определить загруженность web-сервера
(2) отследить деятельность атакующего
(3) определить наиболее часто используемые страницы
Какие из перечисленных серверов Вы расположили бы во внешней DMZ?
(1) сервер базы данных
(2) почтовый сервер
(3) аутентификационный сервер
NAT предназначен для:
(1) отслеживания состояния ТСР-сессии
(2) отображения IP адреса хоста в Интернете в IP адрес пакетного фильтра
(3) отображения IP адреса хоста в локальной сети в IP адрес пакетного фильтра
По способу управления IDS бывают:
(1) централизованными
(2) частично централизованными
(3) распределенными
По наличию информации о тестируемой системе инструментальные средства анализа уязвимостей делятся на:
(1) средства с использованием credential'ов и без использования
(2) средства с использованием базы данных сигнатур атак и без использования
(3) средства с использованием информации о топологии сети и без использования
Для конфигурационного файла DNS требуются следующие сервисы безопасности:
(1) обеспечение конфиденциальности конфигурационного файла
(2) обеспечение целостности конфигурационного файла
(3) обеспечение аутентификации при доступе к конфигурационному файлу
При использовании TSIG для защиты транзакций общий разделяемый секрет указывается:
(1) в конфигурационном файле каждого участника
(2) в зонном файле каждого участника
(3) в отдельном файле в файловой системе каждого участника
При плановом обновлении ключа
ZSK в локально безопасной зоне следует:
(1) заранее добавить открытый ключ из новой пары в зонный файл
(2) заранее переслать открытый ключ из новой пары в родительскую зону
(3) заранее подписать зону новым открытым ключом
При первом использовании программы проверки целостности следует гарантировать, что:
(1) все пользователи системы аутентифицированы
(2) все данные системы корректны
(3) все исполняемые программы корректны
Тип firewall'а определяется:
(1) уровнем модели OSI, заголовки которого он анализирует
(2) ОС, на которой установлен firewall
(3) производительностью firewall'а
Активным содержимым на стороне клиента являются:
(1) интерактивные элементы, обрабатываемые клиентом (web-браузером)
(2) интерактивные элементы, создающие HTML страницы на стороне сервера
(3) интерактивные элементы HTML, с помощью которых сервер может получать информацию клиента
При DIGEST-аутентификации может выполняться аутентификация:
(1) клиента
(2) сервера
(3) и того, и другого
Firewall, блокирующий все порты, за исключением 80 и 443:
(1) обеспечивает полную защиту web-сервера
(2) является только первой линией обороны web-сервера
(3) не влияет на безопасность web-сервера
В сети демилитаризованной зоны (DMZ) должны располагаться:
(1) рабочие станции пользователей
(2) серверы, которые должны быть доступны из Интернета
(3) серверы, содержащие наиболее чувствительные данные
В ОС FreeBSD IPF является:
(1) пакетным фильтром без поддержки возможности
stateful inspection
(2) пакетным фильтром c поддержкой возможности
stateful inspection
(3) прокси прикладного уровня
Преимущества network-based IDS:
(1) network-based IDS имеют возможность анализировать зашифрованную информацию
(2) network-based IDS имеют сравнительно небольшое влияние на производительность сети
(3) network-based IDS не зависят от того, используются ли в сети концентраторы или коммутаторы
Преимуществом расположения сенсоров network-based IDS перед внешним firewall'ом является:
(1) определяют и документируют все атаки, исходящие из Интернета
(2) не влияют на производительность сети
(3) предотвращают атаки, исходящие из Интернета
Зона DNS - это:
(1) структурная единица в инфраструктуре DNS
(2) единица конфигурирования в инфраструктуре DNS
(3) единица делегирования в инфраструктуре DNS
Для ликвидации угроз, связанных с запросами и ответами DNS, следует обеспечить:
(1) конфиденциальность ответов
(2) целостность ответов
(3) аутентификацию запроса
Цифровая подпись, созданная для ресурсных записей зонного файла, хранится:
(1) в специальном файле
(2) в специальной ресурсной записи
(3) в специальной базе данных
При выборе ОС, на которой будет выполняться приложение web сервера, следует учитывать:
(1) наличие системы разграничения доступом для аккаунтов ОС
(2) возможность запретить сетевые сервисы, которые не являются необходимыми для web-сервера
(3) наличие сервисов создания VPN
Управление доступом в пакетном фильтре осуществляется на основании:
(1) множества формул
(2) множества аккаунтов пользователей
(3) множества правил
Модель безопасности ActiveX основывается на:
(1) изолировании памяти и методов доступа в отдельных sandbos'ах
(2) использовании web-браузера в качестве окружения
(3) использовании цифровой подписи и сертификатов для гарантирования отсутствия опасного кода
При DIGEST-аутентификации в качестве аутентификатора используется:
(1) пароль пользователя
(2) пароль сервера
(3) сертификат пользователя
(4) сертификат сервера
Хостинг web сервера во внешней организации имеет преимущества:
(1) DoS-атаки, направленные на web-сервер, не воздействуют на сеть предприятия
(2) на web-сервер не могут влиять атаки, направленные на другие web серверы, которые размещены в той же самой сети
(3) web-сервер имеет более быстрое подключение к интернет
Service Leg конфигурация firewall'а имеет:
(1) один интерфейс
(2) два интерфейса
(3) три интерфейса
Опция ядра
IPFW IPFIREWALL_VERBOSE_LIMIT предназначена для:
(1) ограничения количества выводимых на экран администратора сообщений
(2) ограничения количества выводимых в утилиту
syslogd записей
(3) ограничения количества используемых правил
Недостатки host-based IDS:
(1) host-based IDS должны учитывать, что в сети присутствуют коммутаторы
(2) host-based IDS не могут быть более прозрачными, чем network-based IDS
(3) host-based IDS лучше, чем network-based IDS, определяют атаки сканирования
IDS обычно определяют следующие типы атак:
(1) атаки сканирования
(2) атаки "man-in-the-middle"
(3) Replay-атаки
Для DNS данных существуют следующие угрозы безопасности:
(1) Нарушение конфиденциальности DNS данных зонного файла
(2) Неправильное делегирование
(3) Дрейф зоны
Ограничение привилегий при выполнении ПО name сервера означает:
(1) ограничение функциональных возможностей name сервера
(2) выполнение ПО name-сервера от имени непривилегированного пользователя
(3) возможность доступа ПО name сервера только к указанным каталогам файловой системы ОС
Тип ресурсной записи DS (Delegation Signer) предназначен для:
(1) указания name-серверов дочерней зоны
(2) выполнения проверки подлинности открытых ключей дочерней зоны
(3) указания IP адресов дочерней зоны
ПО web-сервера должно выполняться от имени пользователя:
(1) root (Администратор)
(2) guest
(3) аккаунт с ограниченными правами, созданный специально для web-сервера
Для того чтобы пакетный фильтр пропустил определенный трафик, следует указать следующее действие:
(1) allow
(2) hello
(3) any
Server Side Includes (SSI):
(1) является языком на стороне сервера, встроенным в HTML страницы
(2) является языком на стороне сервера; жизненным циклом программ на SSI управляет сервер
(3) является языком на стороне сервера, имеющим свою собственную модель безопасности, которая отличается от модели безопасности ОС
Нормализация параметров НТТР запросов в
ModSecurity выполняется для того, чтобы:
(1) повысить производительность
ModSecurity
(2) предотвратить возможность обхода
ModSecurity
(3) обеспечить возможность фильтрования
Преимущества полного backup'а по сравнению с инкрементальным в том, что:
(1) он быстрее выполняется
(2) его проще восстановить при сбоях
(3) более надежное восстановление
Выберите правильное утверждение:
(1) администрирование firewall'а должно осуществляться только через интерфейс командной строки
(2) администрирование firewall'а должно осуществляться только через графический интерфейс пользователя
(3) администрирование firewall'а может осуществляться как через интерфейс командной строки, так и через графический интерфейс пользователя
В IPFW, если информация в пакете соответствует параметрам, указанным в правиле, то:
(1) выполняется дальнейший поиск до следующего правила, которому соответствует пакет
(2) поиск всегда прекращается
(3) существуют правила, после которых поиск будет прекращен, и существуют правила, после которых поиск будет продолжен
При определении аномалий:
(1) анализируется частота возникновения некоторого события
(2) анализируются различные статистические и эвристические метрики
(3) анализируется исключительно интенсивность трафика
IDS может обеспечивать следующие возможности:
(1) возможность аутентификации пользователей
(2) возможность сканирования портов
(3) возможность определения внутренних угроз
Информация делегирования - это:
(1) информация о name-серверах в зоне root
(2) информация о name-серверах в родительской зоне
(3) информация о name-серверах в дочерней зоне
В утверждении allow-query указывается список хостов, которым разрешено:
(1) выполнять зонную пересылку
(2) запрашивать конкретную зону
(3) запрашивать весь сервер целиком
Ключ KSK:
(1) посылается родительской зоне для создания аутентифицированного делегирования
(2) посылается дочерней зоне для создания аутентифицированного делегирования
(3) посылается в каталог LDAP для создания аутентифицированного делегирования
Средствами ОС следует предоставить доступ уровня root (Администратор) к файлам, содержащим:
(1) логи сервера и файлы системного аудита
(2) JSP страницы web сервера
(3) системное ПО и его конфигурационные файлы
Прокси прикладного уровня:
(1) должны иметь агента для каждого уровня модели OSI
(2) анализируют содержимое прикладного уровня
(3) должны иметь агента для каждого прикладного протокола
Генераторы содержимого на стороне сервера должны быть расположены таким образом, чтобы:
(1) исполняемые файлы и файлы, которым требуется доступ по записи со стороны web-сервера, располагались в одном каталоге
(2) исполняемые файлы и файлы, которым требуется доступ по записи со стороны web-сервера, располагались в отдельных каталогах
(3) в одном и том же web сервере не было одновременно файлов, которым требуется доступ по записи, и исполняемых файлов
Директива
SecFilterImport выполняет:
(1) импорт единственного правила из родительского контекста
(2) импорт всех правил из родительского контекста
(3) импорт всех правил в дочерние контексты
При удаленном администрировании необходимо использовать:
(1) аутентификацию клиента только по сертификатам
(2) аутентификацию клиента только по сильным паролям
(3) аутентификацию клиента по сертификатам или сильным паролям
Выберите правильное утверждение:
(1) firewall всегда реализуется в аппаратуре
(2) firewall всегда бывает реализован как отдельное приложение или часть ОС
(3) firewall может быть реализован и в аппаратуре, и как часть ОС
В IPFW для указания входящих пакетов должен использоваться критерий выбора:
(1)
from
(2)
in
(3)
via Системы анализа уязвимостей используются:
(1) для создания "моментального снимка" состояния безопасности системы
(2) как альтернатива IDS, полностью заменяя ее
(3) как альтернатива firewall'ам, полностью заменяя их
Выберите правильное утверждение:
(1) IDS являются аналогом политики безопасности предприятия
(2) IDS могут компенсировать уязвимости сетевых протоколов
(3) IDS могут являться доказательством осуществления атаки
К
stub resolver'у для разрешения имен обращаются следующие типы ПО:
(1) прикладные программы, которым необходим сервис разрешения имен
(2) авторитетные name серверы, которые не содержат запрошенной записи
(3) кэширующие name серверы, в кэше которых нет запрошенной записи
Для защиты транзакций с использованием TSIG участники должны:
(1) разделять общий секрет
(2) знать открытые ключи друг друга
(3) отправитель должен иметь закрытый ключ, а получатель - открытый ключ отправителя
Выберите правильное утверждение:
(1) компрометация ключа
ZSK сильнее влияет на безопасность, чем компрометация ключа KSK
(2) компрометация ключа
KSK сильнее влияет на безопасность, чем компрометация ключа ZSK
(3) компрометация ключей
KSK и ZSK в одинаковой степени влияет на безопасность Ограничение количества ресурсов, доступных web-серверу, помогает предотвратить:
(1) DoS-атаки
(2) неавторизованный доступ
(3) неаутентифицированный доступ
Stateful Inspection firewall'ы являются пакетными фильтрами, которые:
(1) анализируют логин и пароль пользователя
(2) анализируют транспортный уровень модели OSI
(3) анализируют прикладной уровень модели OSI
Преимущества использования Java Servlets по сравнению с другими технологиями создания динамических страниц на стороне сервера:
(1) возможность использования различных технологий аутентификации пользователей
(2) возможность использования модели безопасности Java
(3) возможность управлять жизненным циклом сервлетов со стороны web сервера
Выберите правильное выражение:
(1) в фильтре может быть только одно первичное действие
(2) в фильтре может быть только одно вторичное действие
(3) в фильтре может быть любое число первичных действий
(4) в фильтре может быть любое число вторичных действий
Обычно в ПО web-сервера имеются следующие файлы, содержащие логи:
(1) Info Log, Error Log
(2) Transfer Log, Error Log
(3) Agent Log, Referrer Log
Какие из перечисленных серверов Вы расположили бы во внутренней DMZ:
(1) DNS-сервер, содержащий записи о почтовом сервере
(2) DNS-сервер, содержащий записи о сервере базы данных
(3) DNS-сервер, содержащий записи о web сервере с возможностями on-line'овых заказов
В IPF, если включена функция NAT и пакет поступает в пакетный фильтр из локальной сети с адресом получателя в Интернете, пакет обрабатывается в следующей последовательности:
(1) сначала пакет пропускается через правила фильтрации для исходящего трафика, затем - через правила NAT
(2) сначала пакет пропускается через правила NAT, затем - через правила фильтрации для исходящего трафика
(3) сначала пакет пропускается через правила фильтрации для входящего трафика, затем - через правила NAT
По скорости обработки событий IDS делятся на:
(1) пакетные
(2) удаленные
(3) реального времени
Honey Pot предназначены для того, чтобы:
(1) расположить там наиболее чувствительные системы
(2) отвлечь нарушителя от реальной системы, заставив его атаковать ложную
(3) расположить там серверы, доступные из Интернета
Выберите правильное утверждение:
(1) Name-сервер может быть сконфигурирован либо только как авторитетный, либо только как кэширующий name-сервер
(2) Name-сервер может быть сконфигурирован и как авторитетный, и как кэширующий name-сервер
(3) Name-сервер может быть сконфигурирован либо только как кэширующий name-сервер, либо только как stub resolver
Общий разделяемый секрет пересылается на участвующие в транзакциях серверы:
(1) с использованием общих транзакций DNS
(2) с использованием специальных транзакций DNS
(3) внешними по отношению к DNS способами
При плановом обновлении ключа
KSK в глобально безопасной зоне следует:
(1) заранее добавить открытый ключ из новой пары в зонный файл
(2) заранее переслать открытый ключ из новой пары в родительскую зону
(3) заранее подписать зону новым открытым ключом
Контрольные суммы, используемые при проверке целостности, следует вычислять заново при:
(1) любом запуске программ, создающих динамическое содержимое сайта
(2) любой модификации программ
(3) любой успешной атаки на web-сервер
Выберите правильные утверждения:
(1) firewall может анализировать только один уровень модели OSI
(2) firewall может анализировать несколько уровней модели OSI
(3) firewall может анализировать только прикладной уровень модели OSI
Генераторы содержимого на стороне сервера могут привести к появлению уязвимости:
(1) на стороне клиента
(2) на стороне сервера
(3) при пересылке информации от сервера клиенту (man-in-the-middle)
При TLS/SSL-аутентификации может выполняться аутентификация:
(1) клиента
(2) сервера
(3) и того, и другого
Защиту публичного web-сервера от атак из Интернета должен выполнять:
(1) пакетный фильтр
(2) firewall прикладного уровня
(3) IDS
Между DMZ и ISP следует установить:
(1) пакетный фильтр
(2) прикладной прокси-сервер
(3) выделенный прокси-сервер
В ОС FreeBSD пакетный фильтр PF портирован из:
(1) ОС Linux
(2) OC Solaris
(3) OC OpenBSD
Недостатки network-based IDS:
(1) network-based IDS существенно снижают производительность сети
(2) при расположении network-based IDS следует учитывать наличие коммутаторов в сети
(3) network-based IDS не могут анализировать зашифрованную информацию
Преимуществом расположения сенсоров network-based IDS на основном сетевом backbone'е является:
(1) могут определять внутренние атаки
(2) видят атаки, целями которых являются сервера, расположенные в DMZ
(3) определяют атаки, целями которых являются критичные системы и ресурсы
Существуют следующие типы name-серверов:
(1) авторитетный name-сервер
(2) кэширующий name-сервер
(3) локальный name-сервер
Выберите правильное утверждение:
(1) зонная пересылка требует столько же сетевых ресурсов, что и транзакции запросов и ответов DNS
(2) зонная пересылка требует меньше сетевых ресурсов, чем транзакции запросов и ответов DNS
(3) зонная пересылка требует больше сетевых ресурсов, чем транзакции запросов и ответов DNS
При проверки подписи зоны данная подпись находится:
(1) в полученном ответе
(2) в зонном файле
(3) в каталоге LDAP
Выберите правильное утверждение:
(1) для web-сервера всегда следует использовать Trusted ОС
(2) для web-сервера всегда следует удалять или запрещать не требуемые web серверу сетевые сервисы
(3) для web сервера всегда следует использовать специальные appliances
Управление доступом в пакетном фильтре осуществляется на основании:
(1) адреса источника
(2) адреса назначения
(3) аккаунта и пароля пользователя
Выберите правильную упорядоченность технологий по возрастанию степени рисков:
(1) Java, JavaScript, ActiveX
(2) ActiveX, JavaScript, Java
(3) JavaScript, Java, ActiveX
При TLS/SSL аутентификации в качестве аутентификатора используется:
(1) пароль пользователя
(2) пароль сервера
(3) сертификат пользователя
(4) сертификат сервера
Выберите правильное утверждение:
(1) network-based IDS не могут анализировать SSL/TLS-трафик
(2) host-based IDS используются только для тех web-серверов, на которых установлен SSL/TLS
(3) если на web-сервере установлен SSL/TLS, то оптимальнее использовать host-based IDS
Выберите наиболее оптимальное окружение firewall'а:
(1) конечные точки VPN совмещены с firewall'ом
(2) конечные точки VPN расположены за firewall'ом
(3) конечные точки VPN расположены перед firewall'ом
Для использования NAT в IPFW необходимо откомпилировать ядро с опцией:
(1)
IPFIREWALL
(2)
IPFIREWALL_DEFAULT_TO_ACCEPT
(3)
IPDIVERT Преимущества application-based IDS:
(1) application-based IDS лучше защищены от атак, направленных на хост, чем network-based или host-based IDS
(2) application-based IDS меньше влияют на производительность системы, чем host-based IDS
(3) application-based IDS, как правило, могут лучше определить неавторизованное поведение пользователя
IDS обычно определяют следующие типы атак:
(1) DoS-атаки
(2) атаки сетевого прослушивания
(3) атаки проникновения в систему
Результатом неправильного делегирования будет:
(1) недоступность дочерней зоны
(2) нарушение конфиденциальности дочерней зоны
(3) нарушение целостности дочерней зоны
Для ограничения раскрытия информации через зонные файлы следует:
(1) использовать split DNS
(2) использовать различные name серверы для внутренних серверов и серверов в DMZ
(3) выполнять ПО name сервера от имени непривилегированного пользователя
Тип ресурсной записи RRSIG содержит:
(1) цифровую подпись и связанную с ней информацию для некоторого типа ресурсной записи
(2) открытый ключ, соответствующий закрытому ключу, которым подписаны ресурсные записи данной зоны
(3) открытый ключ дочерней зоны
Средствами ОС следует предоставить доступ уровня root (Администратор) к файлам, содержащим:
(1) хэши паролей
(2) HTML страницы web сервера
(3) исполняемые CGI программы web сервера
Выделенные прокси-серверы предназначены для того, чтобы обрабатывать трафик:
(1) конкретного уровня модели OSI
(2) конкретного прикладного протокола
(3) конкретного пользователя
Проверять динамически создаваемые страницы относительно:
(1) наличия в них тега <form>
(2) наличия в них тегов, которые могут привести к выполнению программы на стороне клиента
(3) наличия в них cookies
Директива
SecFilterRemove выполняет:
(1) удаление правил из текущего контекста
(2) удаление правил из родительского контекста
(3) удаление правил из дочерних контекстов
При удаленном администрировании необходимо:
(1) разрешать доступ только из локальной сети
(2) использовать безопасные протоколы
(3) разрешать доступ только из демилитаризованной зоны
Какие из перечисленных серверов Вы расположили бы во внешней DMZ?
(1) web-сервер, на котором осуществляется on-line'овый заказ товаров
(2) web-сервер, на котором публикуются распоряжения руководства организации
(3) web-сервер, на котором опубликованы телефоны и координаты организации
В IPF опция quick означает, что:
(1) для любого пакета данное правило является последним проверяемым правилом
(2) если пакет соответствует параметрам выбора, то данное правило является последним проверяемым правилом
(3) если пакет соответствует параметрам выбора, пакет отбрасывается
Системы анализа уязвимостей классифицируются:
(1) по расположению в сети инструментального средства
(2) по наличию базы данных сигнатур уязвимостей
(3) по наличию информации о тестируемой системе
Выберите правильное утверждение:
(1) IDS могут заменить аутентификацию пользователей
(2) IDS могут заменить управление доступом пользователей
(3) IDS могут обнаружить неправильное управление доступом пользователей
Для зонного файла требуются следующие сервисы безопасности:
(1) обеспечение конфиденциальности зонного файла
(2) обеспечение целостности зонного файла
(3) обеспечение аутентификации при доступе к зонному файлу
Время создания TSIG RR указывается для того, чтобы:
(1) отправитель и получатель могли синхронизовать свои часы
(2) предотвратить replay-атаки
(3) получатель знал период действительности TSIG RR
При создании глобально безопасной зоны дополнительно следует выполнить:
(1) безопасную пересылку открытого ключа
KSK зоны своей дочерней зоне
(2) безопасную пересылку открытого ключа
KSK зоны своей родительской зоне
(3) безопасную пересылку открытого ключа
KSK зоны в каталог LDAP Недопустимость переходов по ссылкам для ПО web-сервера помогает предотвратить:
(1) DoS-атаки
(2) неавторизованный доступ
(3) неаутентифицированный доступ
Stateful Inspection firewall отслеживает установление:
(1) TCP соединений
(2) UDP соединений
(3) IP соединений
Встроенными действиями являются:
(1)
deny
(2)
status
(3)
exec Формат лог-файлов Common Log Format обычно хранится следующая информация:
(1) статус результата
(2) запрошенный URL
(3) идентификация сервера
Встроенный в ОС firewall обеспечивает:
(1) лучшую защиту
(2) лучшую масштабируемость
(3) лучшую производительность
В IPF, если включена функция NAT и пакет поступает в пакетный фильтр из Интернета с адресом получателя в локальной сети, пакет обрабатывается в следующей последовательности:
(1) сначала пакет пропускается через правила фильтрации для исходящего трафика, затем - через правила NAT
(2) сначала пакет пропускается через правила NAT, затем - через правила фильтрации для входящего трафика
(3) сначала пакет пропускается через правила фильтрации для входящего трафика, затем - через правила NAT
Инструментальные средства проверки целостности файлов позволяют определить:
(1) нарушение авторизации пользователей
(2) размещение Троянских программ
(3) подмененные системные файлы
Padded Cell используются для того, чтобы:
(1) расположить там серверы, доступные из Интернета
(2) заставить нарушителя атаковать данную систему
(3) перенаправить в них атакующего, обнаруженного IDS
При динамических обновлениях производится редактирование информации:
(1) в зонном файле
(2) в конфигурационном файле
(3) в кэше кэширующего name-сервера
Выберите верное утверждение:
(1) при использовании TSIG для каждой пары серверов должен всегда создаваться свой ключ
(2) при использовании TSIG для всех серверов всегда используется один и тот же ключ
(3) при использовании TSIG рекомендуется для каждой пары серверов создавать свой ключ
Выберите правильное утверждение:
(1) администратор DNS может обновить компрометированный ключ
ZSK более быстро, чем компрометированный ключ KSK
(2) при компрометации ключа
ZSK достаточно создать новую пару ключей и переподписать зону
(3) при компрометации ключа
KSK достаточно создать новую пару ключей и переподписать ключи ZSK данной зоны Некоторые web bots или web-агенты могут иметь негативное последствие для web-сервера, потому что
(1) они могут легко обойти механизмы аутентификации, используемые на сервере
(2) они могут собирать указанные на страницах e-mail адреса для последующей рассылки спама
(3) они могут анализировать содержимое сайтов
Java Servlets:
(1) является языком на стороне сервера, встроенным в HTML-страницы
(2) является языком на стороне сервера; жизненным циклом сервлетов управляет сервер
(3) является языком на стороне сервера, имеющим свою собственную модель безопасности, которая отличается от модели безопасности ОС
Наследование фильтров в
ModSecurity предназначено для того, чтобы:
(1) можно было не указывать фильтры во вложенных контекстах Apache
(2) можно было не указывать фильтры во вложенных конфигурационных файлах
ModSecurity
(3) можно было не указывать фильтры во внешних контекстах
Выберите правильное утверждение:
(1) тестовый web-сервер должен находиться в той же подсети, что и производственный
(2) тестовый web-сервер должен иметь такую же конфигурацию оборудования, что и производственный
(3) на тестовом web-сервере должно быть установлено такое ПО, что и на производственном
Если в организации есть web-сервер для внешних пользователей и web-сервер для получения информации своими сотрудниками, то оптимальным количеством DMZ является:
(1) одна DMZ
(2) две DMZ
(3) три DMZ
В IPFW действие
check-state означает:
(1) создание динамического правила для отслеживания правильности создания ТСР-соединения
(2) выполнение проверки пакета в таблице динамических правил
(3) выполнение трансляции сетевых адресов
Недостатками методики определения злоупотреблений являются:
(1) большее, по сравнению с определением аномалий, количество ложных срабатываний
(2) необходимость частого выполнения обновлений для поддержания актуальной базы данных сигнатур атак
(3) необходимость выполнения фазы начального обучения IDS
При выборе IDS следует учитывать:
(1) ценность защищаемых информационных ресурсов
(2) количество пользователей, подключенных к локальной сети
(3) загруженность сети
Авторитетная информация name сервера - это:
(1) информация, перечисленная в ресурсных записях данного name-сервера
(2) информация, перечисленная в конфигурационном файле данного name-сервера
(3) информация, перечисленная в ресурсных записях дочерней зоны
Списки управления доступом в конфигурационном файле name сервера создаются для:
(1) удобства администратора
(2) обеспечения ограничений доступа к конфигурационному файлу name сервера
(3) обеспечения конфиденциальности информации в конфигурационном файле name сервера
Выберите правильное утверждение:
(1) ключ
KSK меняется чаще, чем ключ ZSK
(2) ключи
KSK и ZSK меняются одновременно
(3) ключ
KSK меняется реже, чем ключ ZSK К HTML страницам процессы web сервера должны иметь доступ по:
(1) чтению
(2) записи
(3) выполнению