Неверно что межсетевому экрану основанному на фильтрации пакетов присуща характеристика
Одним из эффективных механизмом обеспечения информационной безопасности распределенных вычислительных сетях является экранирование, выполняющее функции разграничения информационных потоков на границе защищаемой сети.
Межсетевое экранирование повышает безопасность объектов внутренней сети за счет игнорирования неавторизованных запросов из внешней среды, тем самым, обеспечивая все составляющие информационной безопасности. Кроме функций разграничения доступа, экранирование обеспечивает регистрацию информационных обменов.
Функции экранирования выполняет межсетевой экран или брандмауэр (firewall), под которым понимают программную или программно-аппаратную систему, которая выполняет контроль информационных потоков, поступающих в информационную систему и/или выходящих из нее, и обеспечивает защиту информационной системы посредством фильтрации информации. Фильтрация информации состоит в анализе информации по совокупности критериев и принятии решения о ее приеме и/или передаче.
Межсетевые экраны классифицируются по следующим признакам:
· по месту расположения в сети – на внешние и внутренние, обеспечивающие защиту соответственно от внешней сети или защиту между сегментами сети;
· по уровню фильтрации, соответствующему эталонной модели OSI/ISO.
Внешние межсетевые экраны обычно работают только с протоколом TCP/IP глобальной сети Интернет. Внутренние сетевые экраны могут поддерживать несколько протоколов, например, при использовании сетевой операционной системы Novell Netware, следует принимать во внимание протокол SPX/IPX.
Характеристика межсетевых экранов
Работа всех межсетевых экранов основана на использовании информации разных уровней модели OSI. Как правило, чем выше уровень модели OSI, на котором межсетевой экран фильтрует пакеты, тем выше обеспечиваемый им уровень защиты.
Межсетевые экраны разделяют на четыре типа:
· межсетевые экраны с фильтрацией пакетов;
· шлюзы сеансового уровня;
· шлюзы прикладного уровня;
· межсетевые экраны экспертного уровня.
Таблица 4.5.1. Типы межсетевых экранов и уровни модели ISO OSI
Межсетевые экраны с фильтрацией пакетов представляют собой маршрутизаторы или работающие на сервере программы, сконфигурированные таким образом, чтобы фильтровать входящие и исходящие пакеты. Поэтому такие экраны называют иногда пакетными фильтрами. Фильтрация осуществляется путем анализа IP-адреса источника и приемника, а также портов входящих TCP- и UDP-пакетов и сравнением их со сконфигурированной таблицей правил. Эти межсетевые экраны просты в использовании, дешевы, оказывают минимальное влияние на производительность вычислительной системы. Основным недостатком является их уязвимость при подмене адресов IP. Кроме того, они сложны при конфигурировании: для их установки требуется знание сетевых, транспортных и прикладных протоколов.
Шлюзы сеансового уровня контролируют допустимость сеанса связи. Они следят за подтверждением связи между авторизованным клиентом и внешним хостом (и наоборот), определяя, является ли запрашиваемый сеанс связи допустимым. При фильтрации пакетов шлюз сеансового уровня основывается на информации, содержащейся в заголовках пакетов сеансового уровня протокола TCP, т. е. функционирует на два уровня выше, чем межсетевой экран с фильтрацией пакетов. Кроме того, указанные системы обычно имеют функцию трансляции сетевых адресов, которая скрывает внутренние IP-адреса, тем самым, исключая подмену IP-адреса. Однако в таких межсетевых экранах отсутствует контроль содержимого пакетов, генерируемых различными службами. Для исключения указанного недостатка применяются шлюзы прикладного уровня.
Шлюзы прикладного уровня снижают уровень производительности системы из-за повторной обработки в программе-посреднике. Это незаметно при работе в Интернет при работе по низкоскоростным каналам, но существенно при работе во внутренней сети.
Межсетевые экраны экспертного уровня сочетают в себе элементы всех трех описанных выше категорий. Как и межсетевые экраны с фильтрацией пакетов, они работают на сетевом уровне модели OSI, фильтруя входящие и исходящие пакеты на основе проверки IP-адресов и номеров портов. Межсетевые экраны экспертного уровня также выполняют функции шлюза сеансового уровня, определяя, относятся ли пакеты к соответствующему сеансу. И, наконец, брандмауэры экспертного уровня берут на себя функции шлюза прикладного уровня, оценивая содержимое каждого пакета в соответствии с политикой безопасности, выработанной в конкретной организации.
Вместо применения связанных с приложениями программ-посредников, брандмауэры экспертного уровня используют специальные алгоритмы распознавания и обработки данных на уровне приложений. С помощью этих алгоритмов пакеты сравниваются с известными шаблонами данных, что теоретически должно обеспечить более эффективную фильтрацию пакетов.
1. Зависимость производительности от аппаратного обеспечения, на котором работает межсетевой экран, является недостатком VPN на основе .
- специализированных аппаратных средств со встроенными шифропроцессорами
2.Ключ шифра - это .
- совокупность всех данных передаваемых только по закрытым каналам
- совокупность данных, определяющих конкретное преобразование из множества преобразований шифра
- данные, подлежащие немедленному расшифрованию по получению
3.При количестве рабочих мест от 100 до 500 целесообразно применять антивирусный программный комплекс .
- McAfee Active Virus Defense
- Norton Antivirus от Symantec
- Антивирус Dr. Web
- Антивирус Касперского (AVP) Personal
4. Неверно, что статистические методы анализа могут быть применены .
- при значительном (более 1000) числе рабочих мест сети
- при отсутствии шаблонов типичного поведения
- в распределенных сетях
5. Основное отличие активного радиочастотного идентификатора от пассивного в .
- наличии блока питания
- способности излучать радиосигнал
- особенностях архитектуры ЗУ
6. Неверно, что межсетевому экрану, основанному на фильтрации пакетов присуща характеристика .
- сложность правил маршрутизации
- невозможность полного тестирования правил фильтрации
7. Неверно, что к достоинствам аппаратных средств ИБ относится …
- один и тот же ключ
- два различных ключа
- более двух ключей
9. Высокая стоимость решения в пересчете на одно рабочее место является недостатком VPN на основе …
- программных решений
10. Первое из требований, выполнение которых обеспечивает безопасность асимметричной криптосистемы, гласит: «…» «
- Вычисление пары ключей (КВ, kВ) отправителем A на основе начального условия должно быть простым.»
- «Вычисление пары ключей (КВ, kВ) получателем B на основе начального условия должно быть простым.»
- «Вычисление пары ключей (КВ, kВ) для связи абонентов A и B в целях безопасности выполняется третьим лицом»
11. Обнаружение вирусов, ранее не известных, возможно при использовании …
- метода сравнения с эталоном
- метода обнаружения изменений
12. Процесс идентификации заключается в распознавании пользователя только по …
- представляемой им контрольной информации
- по присущим и/или присвоенным идентификационным признакам
13. Объектом доступа называется …
- любой, работоспособный в настоящий момент элемент ОС
- любой элемент ОС, доступ к которому пользователей и других субъектов доступа может быть произвольно ограничен
- любой элемент ОС, востребованный пользователем для работы
14. Сетевое устройство, подключаемое к двум сетям, которое выполняет функции шифрования и аутентификации для многочисленных хостов, расположенных за ним – это …
- Шлюз безопасности VPN
15. Одним из основных достоинств статистического метода анализа сетевой информации является …
- высокая скорость обработки данных
- использование апробированного математического аппарата
- низкая стоимость внедрения и эксплуатации данного метода
16. В ходе выполнения процедуры … происходит подтверждение валидности пользователя
- авторизация
17. Туннель – это …
- логическое соединение, позволяющее инкапсулировать данные одного протокола в пакеты другого
- логическое соединение с обязательной криптографической защитой передаваемой информации
- физическое соединение, обеспечивающее высокий уровень защиты передаваемой информации
18. Необходимым, но не достаточным при определении вируса является такое свойство, как …
- способность к созданию собственных копий
- скрытность действий данной вредоносной программы в вычислительной среде
19. Домен безопасности определяет набор …
- типов операций, которые могут производиться над каждым объектом ОС
- субъектов, которые могут производить операции над каждым объектом ОС
- объектов и типов операций, которые могут производиться над каждым объектом ОС
20. Принцип действия электронной цифровой подписи (ЭЦП) основан на …
21. Реалистичная политика работы сетевого экрана - это политика, при которой найден баланс между защитой сети организации от известных рисков и …
- требуемыми для этого ресурсами (финансовыми, временными)
- необходимым доступом пользователей к сетевым сервисам
- прогнозированием неизвестных рисков
22. Обязательным требованием, предъявляемым к выбираемой системе, анализа защищенности является …
- отсутствие необходимости изменения сетевой инфраструктуры предприятия
- отсутствие необходимости переквалификации персонала
- наличие специализированных СУБД
23. В симметричной системе шифрования для независимой работы N абонентов требуется …
- NN ключей
24. В типовой системе обнаружения атак функцию сбора данных из контролируемого пространства выполняет …
- подсистема обнаружения атак
- подсистема управления компонентами
25. В типовой системе обнаружения атак функцию изменения политики безопасности выполняет …
- один и тот же ключ
- более двух ключей
27. В типовой системе обнаружения атак функцию хранения профилей пользователей выполняет …
- подсистема обнаружения атак
- база знаний
28. Неверно, что требованием к безопасности асимметричной системы является …
- Вычисление пары ключей (КВ, kВ) получателем B на основе начального условия должно быть простым
- Противник, зная открытый ключ KB, при попытке вычислить секретный ключ kB наталкивается на непреодолимую вычислительную проблему
- передачи передачи/приема
30. Неверно, что к наиболее важным характеристикам систем идентификации и аутентификации (СИ) относится …
- структура и состав устройств ввода-вывода
- мощность, потребляемая изделием
- стоимость
31. Концепция криптографических систем с открытым ключом основана на …
- территориальном разнесении составных элементов ключа
- применении однонаправленных функций
- техническими характеристиками межсетевого экрана
- текущими распоряжениями руководства компании
- действующей политикой безопасности
33. Программы-посредники могут выполнять разграничение доступа к ресурсам внутренней или внешней сети на основе …
- анализа содержания принимаемой/передаваемой информации
- результата идентификации и аутентификации пользователей при их обращении к межсетевому экрану
34. Порядок доступа персонала к ОС регламентируется …
- штатным расписанием компании
- распоряжением непосредственных руководителей
- действующей политикой безопасности компании.
35. Антивирусные сканеры функционируют, используя …
- метод сравнения с эталоном
- метод обнаружения изменений
36. Передача симметричного ключа по незащищенным каналам в открытой форме …
- зависит от обстоятельств
37. В асимметричной системе шифрования для независимой работы N абонентов требуется …
- 2N ключей (где ключ = закрытый ключ + открытый ключ)
- NN ключей (где ключ = закрытый ключ + открытый ключ)
- N (N-1) ключей (где ключ = закрытый ключ + открытый ключ)
38. Шифром называется …
- совокупность процедур и правил криптографических преобразований,
- набор символов, используемых для криптографического преобразования
- набор символов, циркулирующий между абонентами
39. Виртуальной защищенной сетью VPN (Virtual Private Network) называют объединение локальных сетей и отдельных компьютеров через …
- закрытую внешнюю среду передачи информации в единую виртуальную корпоративную сеть
- защищенную внешнюю среду передачи информации в единую виртуальную корпоративную сеть
- открытую внешнюю среду передачи информации в единую виртуальную корпоративную сеть
40. Если шифр соответствует установленным требованиям, длина шифрованного текста …
- должна быть равной длине исходного текста
- должна быть больше длины исходного текста
- может быть меньше длины исходного текста
41. Отечественный стандарт хэширования ГОСТ Р 34.11-94 …
- специализированных аппаратных средств
со встроенными Шифропроцессорами
43. Если шифр соответствует установленным требованиям, незначительное изменение ключа …
- может быть активна только одна роль
- может быть активна только две роли
- могут быть активны произвольное количество ролей
45. Существующие механизмы анализа защищенности работают на … этапе осуществления атаки
- Заключительном
46. Экранирующий маршрутизатор функционирует …
- на сетевом уровне эталонной модели OSI
- на сеансовом уровне эталонной модели OSI
- на прикладном уровне эталонной модели OSI
47. Если шифр соответствует установленным требованиям, знание злоумышленником алгоритма шифрования …
- снизит надежность защиты информации
- не окажет влияния на надежность защиты
- приведет к полному раскрытию всех зашифрованных ранее данных
48. Наибольшую защищенность информации обеспечивают VPN на основе …
- специализированных аппаратных средств со встроенными шифропроцессорами
49. Неверно, что при статической биометрии идентификационным признаком является …
- папиллярные узоры (отпечатки пальцев)
50. Высокая производительность является главным достоинством VPN на основе …
- специализированных аппаратных средств со встроенными шифропроцессорами
51. Третье требование к безопасности асимметричной системы: …
- к зашифрованным данным никто не имеет доступа, кроме лиц, владеющих ключом
- недоступность ключа неавторизованным лицам обеспечивает гарантированную защиту информации
- зашифрованные данные не сможет прочитать никто из тех, кто не обладает ключом для их расшифрования
53. При незначительном (менее 100) количестве рабочих мест целесообразно применять антивирусный программный комплекс …
- McAfee Active Virus Defense
- Norton Antivirus от Symantec
- Антивирус Dr. Web
- Антивирус Касперского (AVP) Personal
54. Существующие механизмы защиты, реализованные в межсетевых экранах, серверах аутентификации, системах разграничения доступа работают на … этапе осуществления атаки
- заключительном
55. Одной из основных причин создания адаптивной системы информационной безопасности является …
- увеличение объема информационных потоков (рост трафика)
- рост числа рабочих мест сети
- рост количества уязвимостей сети
56. Критерии анализа информационных потоков, проводимого межсетевым экраном зависят от …
- содержания получаемой/передаваемой информации
- уровня модели OSI, на которой размещен МЭ
- интенсивности информационного потока
57. Правила разграничения доступа …
- не должны допускать наличие ничейных объектов
- могут допускать наличие ничейных объектов
- строго определяют количество и типы ничейных объектов
58. Неверно, что к наиболее существенным ограничениям в применении межсетевых экранов
- возможное ограничение пропускной способности
- отсутствие встроенных механизмов защиты от вирусов
- отсутствие эффективной защиты от получаемого из Интернета опасного содержимого
- стоимость
59. Шлюз сеансового уровня охватывает в своей работе …
- прикладной и представительский уровни эталонной модели OSI
- транспортный и сетевой уровни эталонной модели OSI
- обычная («мокрая») подпись, преобразованная в электронный вид и сохраненная в одном из графических форматов
- относительно небольшое количество дополнительной цифровой информации, передаваемой вместе с подписываемым текстом
62. К достоинствам идентификаторов на базе электронных ключей iButton относятся …
- характеристики способа записи и считывания данных
- стоимостные характеристики
63. Межсетевой экран (МЭ) выполняет функции:
- ограничения доступа внешних (по отношению к защищаемой сети)
- пользователей к внутренним ресурсам корпоративной сети
- разграничения доступа пользователей защищаемой сети к внешним ресурсам
- разграничения доступа пользователей защищаемой сети к внешним ресурсам и ограничение доступа внешних (по отношению к защищаемой сети) пользователей к внутренним ресурсам корпоративной сети
64. Необходимым, но не достаточным при определении вируса является такое свойство, как …
- наличие механизма, обеспечивающего внедрение создаваемых копий в исполняемые объекты вычислительной системы
- скрытность действий данной вредоносной программы в вычислительной среде
65. Правильная последовательность выполнения операций:
- идентификация, авторизация, аутентификация
- авторизация, идентификация, аутентификация
- идентификация, аутентификация, авторизация
66. В типовой системе обнаружения атак основным элементом является …
- подсистема обнаружения атак
- база знаний
67.Методом доступа называется операция, .
- назначенная для субъекта
- являющиеся общими для всех субъектов
- определенная для объекта
68. Степень надежности криптографической системы определяется .
- способом распределения ключей
- надежностью слабого звена системы (алгоритм, параметры ключа, персонал)
69. Если количество абонентов сети превышает 500 человек целесообразно применять антивирусный программный комплекс.
10. Первое из требований, выполнение которых обеспечивает безопасность
асимметричной криптосистемы, гласит: «…»
«Вычисление пары ключей (КВ, kВ) отправителем A на основе начального условия должно быть простым.»
«Вычисление пары ключей (КВ, kВ) получателем B на основе начального условия должно быть простым.»
«Вычисление пары ключей (КВ, kВ) для связи абонентов A и B в целях безопасности выполняется третьим лицом»
11. Обнаружение вирусов, ранее не известных, возможно при использовании … метода сравнения с эталоном эвристического анализа антивирусного мониторинга метода обнаружения изменений
12. Процесс идентификации заключается в распознавании пользователя только по
… биометрическим признакам представляемой им контрольной информации по присущим и/или присвоенным идентификационным признакам
13. Объектом доступа называется …
любой, работоспособный в настоящий момент элемент ОС любой элемент ОС, доступ к которому пользователей и других субъектов доступа может быть произвольно ограничен любой элемент ОС, востребованный пользователем для работы
14. Сетевое устройство, подключаемое к двум сетям, которое выполняет функции
шифрования и аутентификации для многочисленных хостов, расположенных за ним
– это …
VPN-клиент
VPN-сервер
Шлюз безопасности VPN
15. Одним из основных достоинств статистического метода анализа сетевой
информации является … высокая скорость обработки данных использование апробированного математического аппарата низкая стоимость внедрения и эксплуатации данного метода
16. В ходе выполнения процедуры … происходит подтверждение валидности
пользователя идентификация аутентификация авторизация
17. Туннель – это … логическое соединение, позволяющее инкапсулировать данные одного протокола в пакеты другого логическое соединение с обязательной криптографической защитой передаваемой информации физическое соединение, обеспечивающее высокий уровень защиты передаваемой информации
10. Первое из требований, выполнение которых обеспечивает безопасность
асимметричной криптосистемы, гласит: «…»
«Вычисление пары ключей (КВ, kВ) отправителем A на основе начального условия должно быть простым.»
«Вычисление пары ключей (КВ, kВ) получателем B на основе начального условия должно быть простым.»
«Вычисление пары ключей (КВ, kВ) для связи абонентов A и B в целях безопасности выполняется третьим лицом»
11. Обнаружение вирусов, ранее не известных, возможно при использовании … метода сравнения с эталоном эвристического анализа антивирусного мониторинга метода обнаружения изменений
12. Процесс идентификации заключается в распознавании пользователя только по
… биометрическим признакам представляемой им контрольной информации по присущим и/или присвоенным идентификационным признакам
13. Объектом доступа называется …
любой, работоспособный в настоящий момент элемент ОС любой элемент ОС, доступ к которому пользователей и других субъектов доступа может быть произвольно ограничен любой элемент ОС, востребованный пользователем для работы
14. Сетевое устройство, подключаемое к двум сетям, которое выполняет функции
шифрования и аутентификации для многочисленных хостов, расположенных за ним
– это …
VPN-клиент
VPN-сервер
Шлюз безопасности VPN
15. Одним из основных достоинств статистического метода анализа сетевой
информации является … высокая скорость обработки данных использование апробированного математического аппарата низкая стоимость внедрения и эксплуатации данного метода
16. В ходе выполнения процедуры … происходит подтверждение валидности
пользователя идентификация аутентификация авторизация
17. Туннель – это … логическое соединение, позволяющее инкапсулировать данные одного протокола в пакеты другого логическое соединение с обязательной криптографической защитой передаваемой информации физическое соединение, обеспечивающее высокий уровень защиты передаваемой информации
назначенная для субъекта являющиеся общими для всех субъектов определенная для объекта
68. Степень надежности криптографической системы определяется .
длиной ключа алгоритмом преобразования способом распределения ключей надежностью слабого звена системы (алгоритм, параметры ключа, персонал)
69. Если количество абонентов сети превышает 500 человек целесообразно
применять антивирусный программный комплекс.
McAfee Active Virus Defense
Norton Antivirus от Symantec
Антивирус Dr. Web
Антивирус Касперского (AVP) Personal
Межсетевые экраны с пакетной фильтрацией могут также быть программными пакетами, базирующимися на операционных системах общего назначения (таких как Windows NT и Unix) либо на аппаратных платформах межсетевых экранов. Межсетевой экран имеет несколько интерфейсов, по одному на каждую из сетей, к которым подключен экран. Аналогично межсетевым экранам прикладного уровня, доставка трафика из одной сети в другую определяется набором правил политики. Если правило не разрешает явным образом определенный трафик, то соответствующие пакеты будут отклонены или аннулированы межсетевым экраном.
Правила политики усиливаются посредством использования фильтров пакетов. Фильтры изучают пакеты и определяют, является ли трафик разрешенным, согласно правилам политики и состоянию протокола (проверка с учетом состояния). Если протокол приложения функционирует через TCP, определить состояние относительно просто, так как TCP сам по себе поддерживает состояния. Это означает, что когда протокол находится в определенном состоянии, разрешена передача только определенных пакетов. Рассмотрим в качестве примера последовательность установки соединения. Первый ожидаемый пакет - пакет SYN. Межсетевой экран обнаруживает этот пакет и переводит соединение в состояние SYN. В данном состоянии ожидается один из двух пакетов - либо SYN ACK (опознавание пакета и разрешение соединения) или пакет RST (сброс соединения по причине отказа в соединении получателем). Если в данном соединении появятся другие пакеты, межсетевой экран аннулирует или отклонит их, так как они не подходят для данного состояния соединения, даже если соединение разрешено набором правил.
Если протоколом соединения является UDP, межсетевой экран с пакетной фильтрацией не может использовать присущее протоколу состояние, вместо чего отслеживает состояние трафика UDP. Как правило, межсетевой экран принимает внешний пакет UDP и ожидает входящий пакет от получателя, соответствующий исходному пакету по адресу и порту, в течение определенного времени. Если пакет принимается в течение этого отрезка времени, его передача разрешается. В противном случае межсетевой экран определяет, что трафик UDP не является ответом на запрос, и аннулирует его.
При использовании межсетевого экрана с пакетной фильтрацией соединения не прерываются на межсетевом экране, а направляются непосредственно к конечной системе. При поступлении пакетов межсетевой экран выясняет, разрешен ли данный пакет и состояние соединения правилами политики. Если это так, пакет передается по своему маршруту. В противном случае пакет отклоняется или аннулируется.
Межсетевые экраны с фильтрацией пакетов не используют модули доступа для каждого протокола и поэтому могут использоваться с любым протоколом, работающим через IP. Некоторые протоколы требуют распознавания межсетевым экраном выполняемых ими действий. Например, FTP будет использовать одно соединение для начального входа и команд, а другое - для передачи файлов. Соединения, используемые для передачи файлов, устанавливаются как часть соединения FTP, и поэтому межсетевой экран должен уметь считывать трафик и определять порты, которые будут использоваться новым соединением. Если межсетевой экран не поддерживает эту функцию, передача файлов невозможна.
Как правило, межсетевые экраны с фильтрацией пакетов имеют возможность поддержки большего объема трафика, т. к. в них отсутствует нагрузка, создаваемая дополнительными процедурами настройки и вычисления, имеющими место в программных модулях доступа.
Межсетевые экраны, работающие только посредством фильтрации пакетов, не используют модули доступа, и поэтому трафик передается от клиента непосредственно на сервер. Если сервер будет атакован через открытую службу, разрешенную правилами политики межсетевого экрана, межсетевой экран никак не отреагирует на атаку. Межсетевые экраны с пакетной фильтрацией также позволяют видеть извне внутреннюю структуру адресации. Внутренние адреса скрывать не требуется, так как соединения не прерываются на межсетевом экране.
Читайте также: