Межсетевой экран firewall это интуит ответы
Правильные ответы выделены зелёным цветом.
Все ответы: В курсе содержатся пошаговые инструкции по установке и использованию межсетевых экранов, сведения о безопасности беспроводных соединений и настольных компьютеров, о биометрических методах аутентификации и других современных способах защиты.
(1) устройство контроля доступа в сеть, предназначенное для блокировки всего трафика, за исключением разрешенных данных
(2) устройство функцией которого является доставка трафика в пункт назначения в максимально короткие сроки
(3) удаленные пользователи не ощущают себя изолированными от системы, к которой они осуществляют доступ
(3) механизмы шифрования могут и должны являться составной частью полнофункциональной программы по обеспечению безопасности
Данная политика определяет степень секретности информации внутри организации и необходимые требования к хранению, передаче, пометке и управлению этой информацией.
В каком файле должны быть определены файлы .cgi и .pl, чтобы программы выполнялись без отображения исходного кода на веб-странице?
(3) атака, запрещающая легальному пользователю использование системы, информации или возможностей компьютеров
В какой последовательности должны проходить процессы обеспечения информационной безопасности и управление риском?
(1) кто может осуществлять авторизованный доступ к тем или иным компьютерам организации, и какую информацию администраторы должны предоставлять пользователям, запрашивающим поддержку
(2) каким образом в данный момент времени применяется политика безопасности на различных системах, имеющихся в организации
Отличие анализаторов системных вызовов от анализаторов журналов и датчиков признаков заключается в том, что:
(3) атака, запрещающая легальному пользователю использование системы, информации или возможностей компьютеров
(1) самовоспроизводящихся компьютерных программ, которые распространяются, внедряя себя в исполняемый код других программ или в документы специального формата
Какие системы будут защищены межсетевым экраном, если почтовый сервер компании разместить между маршрутизатором и экраном?
(3) атака, запрещающая легальному пользователю использование системы, информации или возможностей компьютеров
Какую службу можно описать следующим образом: "обеспечивает секретность информации, открывает доступ к информации только аутентифицированным пользователям?"
Какие системы будут защищены межсетевым экраном, если почтовый сервер компании разместить за маршрутизатором и экраном?
(3) атака, запрещающая легальному пользователю использование системы, информации или возможностей компьютеров
Согласно закону HIPAA требования безопасности включают общие положения и детальные требования в следующих специфических областях:
(1) способ преобразования информации, применяемый для хранения важной информации в ненадежных источниках или передачи её по незащищённым каналам связи
(2) меры, принятые для предотвращения несанкционированного использования, злоупотребления, изменения сведений, фактов, данных или аппаратных средств либо отказа в доступе к ним
(3) механизм аутентификации, предполагающий использование определенного устройства для идентификации человеческих характеристик
(1) NIDS можно полностью скрыть в сети таким образом, что злоумышленник не будет знать о том, что за ним ведется наблюдение
(1) прослушивание (снифинг) работают только в сетях с разделяемой пропускной способностью с сетевыми концентраторами – хабами; использование коммутаторов обеспечивает достаточно надежную защиту от прослушивания
(2) прослушивание (снифинг) хорошо работают в сетях с разделяемой пропускной способностью с сетевыми концентраторами – хабами; использование коммутаторов снижает эффективность снифинга
(3) прослушивание (снифинг) работают только в сетях с коммутируемой средой, использующей коммутаторы; использование концентраторов исключает возможность снифинга
Какое из утверждений наиболее верно? На основании политики следующая информация считается принадлежащей организации:
Какой тип атаки был использован Кевином Митником для проникновения в Центр суперкомпьютеров в Сан-Диего?
(1) область Computer Configuration оснастки Local Security Policy; Область Computer Configuration оснастки Group Policies, связанной с сайтом; Область Computer Configuration оснастки Group Policies, связанной с доменом; Область Computer Configuration оснастки Group Policies, связанной с OU
(2) область Computer Configuration оснастки Local Security Policy; Область Computer Configuration оснастки Group Policies, связанной с сайтом; Область Computer Configuration оснастки Group Policies, связанной с сайтом; Область Computer Configuration оснастки Group Policies, связанной с OU
(3) область Computer Configuration оснастки Group Policies, связанной с сайтом; Область Computer Configuration оснастки Group Policies, связанной с сайтом; Область Computer Configuration оснастки Local Security Policy; Область Computer Configuration оснастки Group Policies, связанной с OU
В предыдущих лекциях этой книги довольно часто шла речь о межсетевых экранах (и в последующих лекциях мы также будем говорить о них). Межсетевой экран ( firewall ) - это устройство контроля доступа в сеть , предназначенное для блокировки всего трафика, за исключением разрешенных данных. Этим оно отличается от маршрутизатора, функцией которого является доставка трафика в пункт назначения в максимально короткие сроки.
Существует мнение, что маршрутизатор также может играть роль межсетевого экрана. Однако между этими устройствами существует одно принципиальное различие: маршрутизатор предназначен для быстрой маршрутизации трафика, а не для его блокировки. Межсетевой экран представляет собой средство защиты, которое пропускает определенный трафик из потока данных, а маршрутизатор является сетевым устройством, которое можно настроить на блокировку определенного трафика.
Кроме того, межсетевые экраны, как правило, обладают большим набором настроек. Прохождение трафика на межсетевом экране можно настраивать по службам, IP -адресам отправителя и получателя, по идентификаторам пользователей, запрашивающих службу. Межсетевые экраны позволяют осуществлять централизованное управление безопасностью . В одной конфигурации администратор может настроить разрешенный входящий трафик для всех внутренних систем организации. Это не устраняет потребность в обновлении и настройке систем, но позволяет снизить вероятность неправильного конфигурирования одной или нескольких систем, в результате которого эти системы могут подвергнуться атакам на некорректно настроенную службу.
Определение типов межсетевых экранов
Существуют два основных типа межсетевых экранов: межсетевые экраны прикладного уровня и межсетевые экраны с пакетной фильтрацией . В их основе лежат различные принципы работы, но при правильной настройке оба типа устройств обеспечивают правильное выполнение функций безопасности, заключающихся в блокировке запрещенного трафика. Из материала следующих разделов вы увидите, что степень обеспечиваемой этими устройствами защиты зависит от того, каким образом они применены и настроены.
Межсетевые экраны прикладного уровня
Межсетевые экраны прикладного уровня, или прокси-экраны, представляют собой программные пакеты, базирующиеся на операционных системах общего назначения (таких как Windows NT и Unix) или на аппаратной платформе межсетевых экранов. Межсетевой экран обладает несколькими интерфейсами, по одному на каждую из сетей, к которым он подключен. Набор правил политики определяет, каким образом трафик передается из одной сети в другую. Если в правиле отсутствует явное разрешение на пропуск трафика, межсетевой экран отклоняет или аннулирует пакеты.
Правила политики безопасности усиливаются посредством использования модулей доступа. В межсетевом экране прикладного уровня каждому разрешаемому протоколу должен соответствовать свой собственный модуль доступа. Лучшими модулями доступа считаются те, которые построены специально для разрешаемого протокола. Например, модуль доступа FTP предназначен для протокола FTP и может определять, соответствует ли проходящий трафик этому протоколу и разрешен ли этот трафик правилами политики безопасности.
При использовании межсетевого экрана прикладного уровня все соединения проходят через него (см. рис. 10.1). Как показано на рисунке, соединение начинается на системе-клиенте и поступает на внутренний интерфейс межсетевого экрана. Межсетевой экран принимает соединение, анализирует содержимое пакета и используемый протокол и определяет, соответствует ли данный трафик правилам политики безопасности. Если это так, то межсетевой экран инициирует новое соединение между своим внешним интерфейсом и системой-сервером.
Межсетевые экраны прикладного уровня используют модули доступа для входящих подключений. Модуль доступа в межсетевом экране принимает входящее подключение и обрабатывает команды перед отправкой трафика получателю. Таким образом, межсетевой экран защищает системы от атак, выполняемых посредством приложений.
Здесь подразумевается, что модуль доступа на межсетевом экране сам по себе неуязвим для атаки. Если же программное обеспечение разработано недостаточно тщательно, это может быть и ложным утверждением.
Межсетевой экран также скрывает адреса систем, расположенных по другую сторону от него. Так как все соединения инициируются и завершаются на интерфейсах межсетевого экрана, внутренние системы сети не видны напрямую извне, что позволяет скрыть схему внутренней адресации сети.
Большая часть протоколов прикладного уровня обеспечивает механизмы маршрутизации к конкретным системам для трафика, направленного через определенные порты. Например, если весь трафик, поступающий через порт 80, должен направляться на веб- сервер , это достигается соответствующей настройкой межсетевого экрана.
Межсетевые экраны, называют также брандмауэрами или файерволами (от англ. firewall ). Интересно происхождение данного термина. Брандмауэрами называли специальные устройства в поездах. В машинном отделении паровозов топливо находилось поблизости от топки. Кочегар бросал лопатой уголь в топку, и легковоспламеняющаяся угольная пыль часто вспыхивала. Из-за этого в машинном отделении нередко возникали пожары. Чтобы огонь не распространялся на пассажирские вагоны, позади машинного отделения начали устанавливать железные загородки. Именно этот щит получил название " брандмауэр ".
По прошествии времени значение термина " брандмауэр " изменилось. Первые компьютерные брандмауэры были созданы для того, чтобы препятствовать распространению сетевого программного обеспечения, содержащего множество ошибок, на всю сеть с одного ее участка. Подобно своим железнодорожным прототипам, они были средством локализации "пожара".
Сегодня брандмауэры выступают в роли защитников границ между локальными сетями и Интернетом. Персональные брандмауэры выполняют те же функции, но на границе между домашним компьютером и Интернетом.
Принцип работы брандмауэра проиллюстрирован на рис. 13.1. Несанкционированный пользователь не сможет получить доступ в локальную сеть , если ее защищает брандмауэр .
Рис. 13.1. Брандмауэр запрещает доступ в локальную сеть из Интернета пользователям, не имеющим соответствующих полномочий
Брандмауэр защищает частную сеть и отфильтровывает те данные, обмен которыми запрещен. Если в компании есть, например, 100 персональных компьютеров, объединенных в локальную сеть и имеющих выход в Интернет , но нет брандмауэра, то злоумышленник сможет проникнуть на каждый из этих компьютеров из Интернета.
Брандмауэры, предназначенные для защиты корпоративной сети, часто имеют встроенные proxy - сервер и систему обнаружения вторжений .
Proxy - сервер играет роль посредника между внутренней сетью организации и Интернетом. Сервер-посредник кэширует (сохраняет) часто запрашиваемые web-страницы в своей памяти. Когда пользователь запрашивает какую-нибудь страницу из Интернета, proxy - сервер проверяет, есть ли она в его базе данных. Если есть, то страница сразу же отправляется к пользователю. Если нет, то proxy - сервер запрашивает оригинальный сервер , где размещена страница, и, получив ее, отправляет пользователю. Механизм сохранения часто запрашиваемой информации позволяет значительно сэкономить время доступа к наиболее важным данным.
Еще одной функцией proxy -сервера часто является трансляция сетевых адресов ( NAT - Network Address Translation ). Ее суть в том, чтобы сделать компьютеры внутренней сети организации невидимыми для внешних запросов. Если злоумышленник попытается "заглянуть" во внутреннюю сеть компании, он увидит один лишь proxy - сервер (в данном случае еще и брандмауэр ). Он не сможет узнать внутренние адреса компьютеров, а следовательно, вторгнуться в корпоративную сеть будет значительно сложнее. Естественно, механизм трансляции адресов немного замедляет работу всей защищаемой сети.
Системы обнаружения вторжений , даже являясь составной частью крупного брандмауэра, дополняют другие системы информационной безопасности. Они не только определяют сам факт проникновения в сеть , но и выявляют подозрительные действия.
Если брандмауэры рассматривать как забор с калиткой, через которую могут пройти те, кто наделен соответствующими полномочиями, система обнаружения будет выступать здесь в роли устройств внешнего видеонаблюдения и охранной сигнализации. Охранная система включается, когда злоумышленник перелез через забор или сломал калитку и теперь намеревается захватить центральный пульт управления. То есть когда хакер уже проник внутрь и готовится поразить жизненно важную систему.
Работа системы обнаружения вторжений строится на законах математической статистики. Каждое действие, происходящее в системе, подвергается анализу на соответствие сценарию сетевой атаки. Так как действия злоумышленника разнятся от случая к случаю, системе обнаружения вторжений приходится учитывать отклонения реально происходящих событий от сценария нападения.
Межсетевые экраны, называют также брандмауэрами или файерволами (от англ. firewall ). Интересно происхождение данного термина. Брандмауэрами называли специальные устройства в поездах. В машинном отделении паровозов топливо находилось поблизости от топки. Кочегар бросал лопатой уголь в топку, и легковоспламеняющаяся угольная пыль часто вспыхивала. Из-за этого в машинном отделении нередко возникали пожары. Чтобы огонь не распространялся на пассажирские вагоны, позади машинного отделения начали устанавливать железные загородки. Именно этот щит получил название " брандмауэр ".
По прошествии времени значение термина " брандмауэр " изменилось. Первые компьютерные брандмауэры были созданы для того, чтобы препятствовать распространению сетевого программного обеспечения, содержащего множество ошибок, на всю сеть с одного ее участка. Подобно своим железнодорожным прототипам, они были средством локализации "пожара".
Сегодня брандмауэры выступают в роли защитников границ между локальными сетями и Интернетом. Персональные брандмауэры выполняют те же функции, но на границе между домашним компьютером и Интернетом.
Принцип работы брандмауэра проиллюстрирован на рис. 13.1. Несанкционированный пользователь не сможет получить доступ в локальную сеть , если ее защищает брандмауэр .
Рис. 13.1. Брандмауэр запрещает доступ в локальную сеть из Интернета пользователям, не имеющим соответствующих полномочий
Брандмауэр защищает частную сеть и отфильтровывает те данные, обмен которыми запрещен. Если в компании есть, например, 100 персональных компьютеров, объединенных в локальную сеть и имеющих выход в Интернет , но нет брандмауэра, то злоумышленник сможет проникнуть на каждый из этих компьютеров из Интернета.
Брандмауэры, предназначенные для защиты корпоративной сети, часто имеют встроенные proxy - сервер и систему обнаружения вторжений .
Proxy - сервер играет роль посредника между внутренней сетью организации и Интернетом. Сервер-посредник кэширует (сохраняет) часто запрашиваемые web-страницы в своей памяти. Когда пользователь запрашивает какую-нибудь страницу из Интернета, proxy - сервер проверяет, есть ли она в его базе данных. Если есть, то страница сразу же отправляется к пользователю. Если нет, то proxy - сервер запрашивает оригинальный сервер , где размещена страница, и, получив ее, отправляет пользователю. Механизм сохранения часто запрашиваемой информации позволяет значительно сэкономить время доступа к наиболее важным данным.
Еще одной функцией proxy -сервера часто является трансляция сетевых адресов ( NAT - Network Address Translation ). Ее суть в том, чтобы сделать компьютеры внутренней сети организации невидимыми для внешних запросов. Если злоумышленник попытается "заглянуть" во внутреннюю сеть компании, он увидит один лишь proxy - сервер (в данном случае еще и брандмауэр ). Он не сможет узнать внутренние адреса компьютеров, а следовательно, вторгнуться в корпоративную сеть будет значительно сложнее. Естественно, механизм трансляции адресов немного замедляет работу всей защищаемой сети.
Системы обнаружения вторжений , даже являясь составной частью крупного брандмауэра, дополняют другие системы информационной безопасности. Они не только определяют сам факт проникновения в сеть , но и выявляют подозрительные действия.
Если брандмауэры рассматривать как забор с калиткой, через которую могут пройти те, кто наделен соответствующими полномочиями, система обнаружения будет выступать здесь в роли устройств внешнего видеонаблюдения и охранной сигнализации. Охранная система включается, когда злоумышленник перелез через забор или сломал калитку и теперь намеревается захватить центральный пульт управления. То есть когда хакер уже проник внутрь и готовится поразить жизненно важную систему.
Работа системы обнаружения вторжений строится на законах математической статистики. Каждое действие, происходящее в системе, подвергается анализу на соответствие сценарию сетевой атаки. Так как действия злоумышленника разнятся от случая к случаю, системе обнаружения вторжений приходится учитывать отклонения реально происходящих событий от сценария нападения.
Правильные ответы выделены зелёным цветом.
Все ответы: В курсе рассматриваются вопросы обеспечения безопасности при подключении корпоративной сети к интернету. Основное внимание уделяется классификации межсетевых экранов (firewall’ов), систем обнаружения проникновений, а также обеспечению безопасности сервисов DNS и web серверов.
(3) на web-сервер могут влиять атаки, направленные на другие web-серверы, которые размещены в той же самой сети
(3) определения и предотвращения атак, осуществляемых на уровне протокола IP3. определения и предотвращения атак, осуществляемых на уровне протокола IP
(2) подписывания открытого ключа, соответствующим закрытым ключом которого подписываются ресурсные записи в данной зоне
(2) администрирование firewall'а из Интернета должно всегда выполняться по защищенному каналу с использованием строгой аутентификации
(1) хуже, по сравнению с определением злоупотреблений, обнаруживают неожиданное поведение пользователя
(1) проще было отфильтровать последовательность байтов, означающих специальные символы для данной схемы кодирования
(2) нельзя было вставить последовательность байтов, означающих специальные символы для различных схем кодирования
(3) нельзя было вставить последовательность байтов, означающих специальные символы для данной схемы кодирования
По наличию информации о тестируемой системе инструментальные средства анализа уязвимостей делятся на:
(2) на web-сервер не могут влиять атаки, направленные на другие web серверы, которые размещены в той же самой сети
(3) является языком на стороне сервера, имеющим свою собственную модель безопасности, которая отличается от модели безопасности ОС
(2) администрирование firewall'а должно осуществляться только через графический интерфейс пользователя
(3) администрирование firewall'а может осуществляться как через интерфейс командной строки, так и через графический интерфейс пользователя
(3) существуют правила, после которых поиск будет прекращен, и существуют правила, после которых поиск будет продолжен
(1) исполняемые файлы и файлы, которым требуется доступ по записи со стороны web-сервера, располагались в одном каталоге
(2) исполняемые файлы и файлы, которым требуется доступ по записи со стороны web-сервера, располагались в отдельных каталогах
(3) в одном и том же web сервере не было одновременно файлов, которым требуется доступ по записи, и исполняемых файлов
Преимущества использования Java Servlets по сравнению с другими технологиями создания динамических страниц на стороне сервера:
В IPF, если включена функция NAT и пакет поступает в пакетный фильтр из локальной сети с адресом получателя в Интернете, пакет обрабатывается в следующей последовательности:
(1) сначала пакет пропускается через правила фильтрации для исходящего трафика, затем - через правила NAT
(2) сначала пакет пропускается через правила NAT, затем - через правила фильтрации для исходящего трафика
(3) сначала пакет пропускается через правила фильтрации для входящего трафика, затем - через правила NAT
Читайте также: