Неверно что межсетевому экрану основанному на фильтрации пакетов присуща характеристика

Обновлено: 06.07.2024

При подключении корпоративной сети к глобальным сетям необходимо разграничить доступ в защищаемую сеть из глобальной сети и из защищаемой сети в глобальную сеть, а также обеспечить защиту подключаемой сети от несанкционированного удаленного доступа со стороны глобальной сети. При этом организация заинтересована в сокрытии информации о структуре своей сети и ее компонентов от пользователей глобальной сети. Работа с удаленными пользователями требует установления жестких ограничений доступа к информационным ресурсам защищаемой сети.

У организации часто возникает потребность иметь в составе корпоративной сети нескольких сегментов с разными уровнями защищенности:

О свободно доступные сегменты (например, рекламный VWW-cepBep);

О сегмент с ограниченным доступом (например, для доступа сотрудникам организации с удаленных узлов);

О закрытые сегменты (например, финансовая локальная подсеть организации).

Для подключения межсетевых экранов могут использоваться различные схемы, которые зависят от условий функционирования защищаемой сети, а также от количества сетевых интерфейсов и других характеристик используемых МЭ. Широкое распространение получили следующие схемы подключения межсетевых экранов:

О схемы защиты сети с использованием экранирующего маршрутизатора;

О схемы единой защиты локальной сети;

О схемы с защищаемой закрытой и не защищаемой открытой подсетями;

О схемы с раздельной защитой закрытой и открытой подсетей [10, 28].

Схема защиты с использованием экранирующего маршрутизатора. Межсетевой экран, основанный на фильтрации пакетов, является самым распространенным и наиболее простым в реализации. Он состоит из экранирующего маршрутизатора, расположенного между защищаемой сетью и потенциально враждебной открытой внешней сетью (рис. 8.10). Экранирующий маршрутизатор (пакетный фильтр) сконфигурирован для блокирования или фильтрации входящих и исходящих пакетов на основе анализа их адресов и портов.

Компьютеры, находящиеся в защищаемой сети, имеют прямой доступ в сеть Интернет, в то время как большая часть доступа к ним из Интернета блокируется.

Часто блокируются такие опасные службы, как X Windows, NIS и NFS. В принципе, экранирующий маршрутизатор может реализовать любую из политик безопасности, описанных ранее. Однако если маршрутизатор не фильтрует пакеты по порту источника и номеру входного и выходного порта, то реализация политики «запрещено все, что не разрешено в явной форме» может быть затруднена.

Межсетевые экраны, основанные на фильтрации пакетов, имеют те же недостатки, что и экранирующие маршрутизаторы, причем эти недостатки становятся более ощутимыми при ужесточении требований к безопасности защищаемой сети. Отметим некоторые из них:

О сложность правил фильтрации; в некоторых случаях совокупность этих правил может стать неуправляемой;

О невозможность полного тестирования правил фильтрации; это приводит к незащищенности сети от непротестированных атак;

О практически отсутствующие возможности регистрации событий; в результате администратору трудно определить, подвергался ли маршрутизатор атаке и скомпрометирован ли он.

Схемы подключения межсетевых экранов с несколькими сетевыми интерфейсами. Схемы защиты с МЭ с одним сетевым интерфейсом (рис. 8.11) недостаточно эффективны как с точки зрения безопасности, так и с позиций удобства конфигурирования. Они физически не разграничивают внутреннюю и внешнюю сети, а соответственно, не могут обеспечивать надежную защиту межсетевых взаимодействий. Настройка таких межсетевых экранов, а также связанных с ними маршрутизаторов представляет собой довольно сложную задачу, цена решения которой превышает стоимость замены МЭ с одним сетевым интерфейсом на МЭ с двумя или тремя сетевыми интерфейсами. Поэтому далее будут более подробно рассмотрены схемы подключения межсетевых экранов с двумя и тремя сетевыми интерфейсами.

Защищаемую локальную сеть целесообразно представлять как совокупность закрытой и открытой подсетей. Здесь под открытой подсетью понимается подсеть, доступ к которой со стороны потенциально враждебной внешней сети может быть полностью или частично открыт. В открытую подсеть могут, например, входить общедоступные WWW-, FTP- и SMTP-серверы, а также терминальный сервер с модемным пулом.

Среди множества возможных схем подключения МЭ типовыми являются следующие:

О схема единой защиты локальной сети;

О схема с защищаемой закрытой и не защищаемой открытой подсетями;

О схема с раздельной защитой закрытой и открытой подсетей.

Схема единой защиты локальной сети. Данная схема является наиболее простым решением (рис. 8.12), при котором МЭ целиком экранирует локальную сеть от потенциально враждебной внешней сети. Между маршрутизатором и МЭ имеется только один путь, по которому идет весь трафик. Данный вариант МЭ реализует политику безопасности, основанную на принципе «запрещено все, что явно не разрешено»; при этом пользователю недоступны все службы, кроме тех, для которых определены соответствующие полномочия. Обычно маршрутизатор настраивается таким образом, что МЭ является единственной видимой снаружи машиной.

Открытые серверы, входящие в локальную сеть, также будут защищены межсетевым экраном. Однако объединение серверов, доступных из внешней сети, с другими ресурсами защищаемой локальной сети существенно снижает безопасность межсетевых взаимодействий. Поэтому данную схему подключения МЭ можно использовать лишь при отсутствии в локальной сети открытых серверов или когда имеющиеся открытые серверы делаются доступными из внешней сети только для ограниченного числа пользователей, которым можно доверять.

Поскольку межсетевой экран использует хост, то на нем могут быть установлены программы для усиленной аутентификации пользователей. Межсетевой экран может также протоколировать доступ, попытки зондирования и атак системы, что позволит выявить действия злоумышленников.

Для некоторых сетей может оказаться неприемлемой недостаточная гибкость схемы защиты на базе межсетевого экрана с двумя интерфейсами.

Схема с защищаемой закрытой и не защищаемой открытой подсетями. Если в составе локальной сети имеются общедоступные открытые серверы, тогда их целесообразно вынести как открытую подсеть до межсетевого экрана (рис. 8.13). Данный

Рис. 8.11. Защита локальной сети с помощью МЭ с одним сетевым интерфейсом

Рис. 8.12. Схема единой защиты локальной сети

Рис. 8.13. Схема с защищаемой закрытой и не защищаемой открытой подсетями

способ обладает более высокой защищенностью закрытой части локальной сети, но обеспечивает пониженную безопасность открытых серверов, расположенных до межсетевого экрана.

Некоторые МЭ позволяют разместить эти серверы на себе. Однако такое решение не является лучшим с точки зрения безопасности самого МЭ и загрузки компьютера. Схему подключения МЭ с защищаемой закрытой и не защищаемой открытой подсетями целесообразно использовать лишь при невысоких требованиях по безопасности к открытой подсети.

Если же к безопасности открытых серверов предъявляются повышенные требования, тогда необходимо использовать схему с раздельной защитой закрытой и открытой подсетей.

Схемы с раздельной защитой закрытой и открытой подсетей. Такая схема может быть построена на основе одного МЭ с тремя сетевыми интерфейсами (рис. 8.14) или на основе двухМЭ с двумя сетевыми интерфейсами (рис. 8.15). В обоих случаях доступ к открытой и закрытой подсетям локальной сети возможен только через межсетевой экран. При этом доступ к открытой подсети не позволяет осуществить доступ к закрытой подсети.

Из этих двух схем большую степень безопасности межсетевых взаимодействий обеспечивает схема с двумя МЭ, каждый из которых образует отдельный эшелон защиты закрытой подсети. Защищаемая открытая подсеть здесь выступает в качестве экранирующей.

Обычно экранирующую подсеть конфигурируют таким образом, чтобы обеспечить доступ к компьютерам подсети как из потенциально враждебной внешней сети, так и из закрытой подсети локальной сети. Однако прямой обмен информационными пакетами между внешней сетью и закрытой подсетью невозможен. При атаке системы с экранирующей подсетью необходимо преодолеть по крайней мере две независимые линии защиты, что является весьма сложной задачей. Средства мониторинга состояния межсетевых экранов позволяют практически всегда обнаружить подобную попытку, и администратор системы может своевременно предпринять необходимые действия по предотвращению несанкционированного доступа.

Следует обратить внимание на то, что работа удаленных пользователей, подключаемых через коммутируемые линии связи, также должна контролироваться в соответствии с политикой безопасности, проводимой в организации. Типовое решение этой задачи - установка сервера удаленного доступа (терминального сервера), который обладает необходимыми функциональными возможностями, например терминального сервера Аппех компании Вау Хе1уог1«. Терминальный сервер является системой с несколькими асинхронными портами и одним интерфейсом локальной сети. Обмен информацией между асинхронными портами и локальной сетью осуществляется только после соответствующей аутентификации внешнего пользователя.

Подключение терминального сервера должно осуществляться таким образом, чтобы его работа выполнялась исключительно через межсетевой экран. Это позволяет достичь необходимой степени безопасности при работе удаленных пользователей с информационными ресурсами организации. Такое подключение возможно,

Рис. 8.14. Схема с раздельной защитой закрытой и открытой подсетей на основе одного МЭ

с тремя сетевыми интерфейсами

Рис. 8.15. Схема с раздельной защитой закрытой и открытой подсетей на основе двух МЭ с двумя сетевыми интерфейсами

если терминальный сервер включить в состав открытой подсети при использовании схем подключения МЭ с раздельной защитой открытой и закрытой подсетей.

Программное обеспечение терминального сервера должно предоставлять возможности администрирования и контроля сеансов связи через коммутируемые каналы. Модули управления современных терминальных серверов имеют достаточно развитые возможности обеспечения безопасности самого сервера и разграничения доступа клиентов и выполняют следующие функции:

О использование локального пароля на доступ к последовательному порту, на удаленный доступ по протоколу РРР, а также для доступа к административной консоли;

О использование запроса на аутентификацию с какой-либо машины локальной сети; О использование внешних средств аутентификации;

Фильтры пакетов принимают решение исходя из следующих данных заголовка:

Существуют различные стратегии реализации фильтров пакетов. Наиболее популярными являются следующие две.

1. Построение правил – от наиболее конкретных к наиболее общим.
2. Правила упорядочиваются таким образом, чтобы наиболее часто используемые из них находились во главе списка. Это сделано для повышения эффективности.

Межсетевые экраны с фильтрацией пакетов не используют модули доступа для каждого протокола и поэтому могут использоваться с любым протоколом, работающим через IP. Некоторые протоколы требуют распознавания межсетевым экраном выполняемых ими действий. Например, FTP будет использовать одно соединение для начального входа и команд, а другое - для передачи файлов. Соединения, используемые для передачи файлов, устанавливаются как часть соединения FTP, и поэтому межсетевой экран должен уметь считывать трафик и определять порты, которые будут использоваться новым соединением. Если межсетевой экран не поддерживает эту функцию, передача файлов невозможна.

Достоинства МЭ с фильтрацией пакетов:

• производительность – фильтрация происходит на скорости, близкой к скорости передачи данных;
• хороший способ управления трафиком;
• прозрачность.

Недостатки МЭ с фильтрацией пакетов:

• низкий уровень масштабируемости. По мере роста наборов правил становится все труднее избегать «ненужных» соединений;
• возможность открытия больших диапазонов портов;
• подверженность атаки с подменой данных. Атаки с подменой данных, как правило, подразумевают присоединение ложной информации в заголовок TCP/IP.

Межсетевые экраны, работающие только посредством фильтрации пакетов, не используют модули доступа, и поэтому трафик передается от клиента непосредственно на сервер. Если сервер будет атакован через открытую службу, разрешенную правилами политики межсетевого экрана, межсетевой экран никак не отреагирует на атаку. Межсетевые экраны с пакетной фильтрацией также позволяют видеть извне внутреннюю структуру адресации. Внутренние адреса скрывать не требуется, так как соединения не прерываются на межсетевом экране.

Рассмотрим пример защиты сети на основе маршрутизатора c фильтрацией пакетов Cisco 1720.

Высокая производительность маршрутизатора основана на схеме пакетной фильтрации и возможности установки дополнительной защиты на основе firewall features. Это вариант обладает следующими достоинствами:

• высокая производительность и пропускная способность;
• преимущества пакетного и прикладного шлюзов;
• простота и надежность в эксплуатации и установке;
• возможность обеспечения безопасности от точки до точки: МЭ, авторизация маршрута и маршрутизатора, тоннель для маршрута и криптозащита;
• многопротокольная маршрутизация (IP, IPX, AppleTalk) и прозрачный мост через ISDN, асинхронное и синхронное, последовательное соединение, такое как выделенная линия, Frame Relay, X.25;
• возможность обеспечения качества услуги от точки до точки;

возможность оптимизации WAN (установление соединения по требованию, предоставление полосы по требованию и OSPF по требованию, полустатическая маршрутизация).

Если вы заботитесь о безопасности своей компьютерной сети, вы должны знать о межсетевой экран с фильтрацией пакетов, Цель этой статьи - дать четкое понимание этого механизма и его важности. Итак, продолжайте читать.

Проще говоря, межсетевой экран с фильтрацией пакетов является мерой безопасности, используемой для управления данной сетью. Такие брандмауэры могут контролировать и контролировать как исходящие, так и входящие пакеты. Учитывая несколько аспектов, межсетевой экран пропустит или остановит пакеты данных. Например, он будет учитывать IP-адреса источника и назначения, порты и протоколы.

Функциональность межсетевого экрана с фильтрацией пакетов

Межсетевые экраны работают на разных уровнях с точки зрения протоколов TCP / IP. Узнайте больше о Значение брандмауэра Вот. Межсетевой экран с фильтрацией пакетов предназначен для работы на уровне 3 и уровне 4 стека протоколов TCP / IP. Он функционирует независимо от комбинации исходного IP-адреса, IP-адреса назначения, исходного порта или порта назначения.

Самый простой тип брандмауэра не может фильтровать ничего, кроме входящих пакетов. Кроме того, он может заблокировать порты, которые уже закрыты. Тем не менее, существуют расширенные варианты межсетевых экранов, которые имеют сложные функции.

Межсетевой экран с фильтрацией пакетов, который работает на обычных устройствах, предлагает NAT (преобразование сетевых адресов). Пограничный маршрутизатор предоставляет один IP-адрес сети либо Интернету, либо интрасети. Когда пакеты прибывают, соответствующий брандмауэр проверит их. Затем они также определят порт назначения (на который отправляются эти пакеты). После этого брандмауэр поместит эти входящие пакеты в определенную внутреннюю таблицу. С помощью этой таблицы брандмауэр сопоставляет порт с внутренним IP-адресом хоста. Как правило, внутренние IP-адреса не маршрутизируются. Они не имеют доступа к Интернету, поэтому они защищены от внешних угроз.

Практически все используемые вами персональные брандмауэры относятся к категории брандмауэров с фильтрацией пакетов. Фактически, есть небольшая разница между межсетевым экраном с фильтрацией пакетов и межсетевым экраном, доступным на домашних маршрутизаторах. По сути, межсетевой экран с фильтрацией пакетов имеет лучшую емкость регистрации по сравнению с доступным на домашних маршрутизаторах.

Как вы уже узнали, межсетевой экран с фильтрацией пакетов контролирует каждый пакет, который пересекает межсетевой экран. Он проверяет все эти пакеты на основе определенных правил, которые установлены по умолчанию или вами. Если пакеты данных проходят проверку межсетевого экрана, соответствующие пакеты могут достигать определенного порта. Если нет, пакеты будут отклонены.

В общем, фильтры пакетов являются наиболее доступным типом межсетевых экранов. Это одна из наиболее очевидных причин растущей популярности этого сорта. Тем не менее, у этих межсетевых экранов есть некоторые недостатки, поэтому опытный хакер может обойти их. Поэтому межсетевой экран с фильтрацией пакетов может быть не лучшим вариантом для тех, кто ожидает оптимальной защиты. Намереваетесь ли вы обеспечить максимальную защиту межсетевого экрана с фильтрацией пакетов? Тогда это должно сочетаться с другими мерами безопасности.

Пакетная фильтрация межсетевого экрана и портов

Правила, которые вы будете устанавливать (настраивать брандмауэр) для фильтрации пакетов, будут разрешать или запрещать их доступ. Например, вы можете использовать брандмауэр для разрешения пакетов, связанных с вашим почтовым сервером. Если нет, вы можете настроить его для разрешения пакетов веб-сервера и отклонения других пакетов. Кроме того, вы можете настроить свой брандмауэр, в зависимости от ваших приоритетов.

Кроме того, здесь есть все о Хост инфраструктуры инфраструктуры для вашей справки.

Какие недостатки связаны с межсетевыми экранами фильтрации пакетов?

Одним из наиболее существенных недостатков, связанных с фильтрацией пакетов, является то, что они полагаются на пакеты. Это означает, что они доверяют данным, включенным в пакеты, предполагая, что они говорят правду. Другими словами, этот метод верит, что это за пакеты, откуда они и куда они идут. Опытный и опытный хакер может использовать эту слабость. Они могут использовать его различными способами и обмануть брандмауэр, чтобы он мог пропускать пакеты. Это известно как IP-спуфинг в целом. Они вставляют в пакеты фиктивный поддельный IP-адрес, который затем входит в вашу сеть.

Еще одна слабость, связанная с фильтрацией пакетов, заключается в том, что эта система проверяет каждый отдельный пакет изолированно. Это означает, что эта система не учитывает, какие пакеты прошли через соответствующий брандмауэр. Кроме того, он не учитывает, что эти пакеты могут следовать. Лучший способ описать эту ситуацию - это процесс без сохранения состояния. Если по какой-либо причине хакер узнает, как его использовать, он может пройти через брандмауэр.

Помимо вышеперечисленных недостатков, межсетевой экран с фильтрацией пакетов также имеет различные преимущества. Упомянутые ниже причины, по которым этот вид межсетевых экранов так популярен.

● Межсетевой экран с фильтрацией пакетов - очень эффективная система

В общем, межсетевой экран с фильтрацией пакетов является очень эффективным методом. Брандмауэры контролируют содержимое пакетов, прежде чем пропустить их. Это звучит как довольно длительный процесс сразу. Однако, когда дело доходит до процесса фильтрации пакетов, система очень эффективна. Он поддерживает каждый входящий и исходящий пакет только на пару миллисекунд и обеспечивает незначительные задержки. Как только адреса и порты определены, фильтр пакетов применяет правила быстро, без задержек. Другими словами, это принимает решение быстро. В противоположность этому, другие модели брандмауэра не так эффективны, как эта система. Они обеспечивают значительное отставание.

● Работать с фильтрацией пакетов легко

Фильтры пакетов отображают уведомления только тогда, когда брандмауэр отклоняет пакет. Другими словами, это всего лишь вопрос установки брандмауэра. В отличие от этого, другие брандмауэры требуют настройки параметров вручную на серверах и клиентах.

● они доступны по цене

Другим важным преимуществом является то, что межсетевые экраны с фильтрацией пакетов очень доступны.

Ну, это то, что вы должны знать о межсетевой экран с фильтрацией пакетов, Если вам нужна дополнительная информация по этому вопросу, пожалуйста, сообщите нам об этом.

Межсетевые экраны с пакетной фильтрацией могут также быть программными пакетами, базирующимися на операционных системах общего назначения (таких как Windows NT и Unix) либо на аппаратных платформах межсетевых экранов. Межсетевой экран имеет несколько интерфейсов, по одному на каждую из сетей, к которым подключен экран. Аналогично межсетевым экранам прикладного уровня, доставка трафика из одной сети в другую определяется набором правил политики. Если правило не разрешает явным образом определенный трафик, то соответствующие пакеты будут отклонены или аннулированы межсетевым экраном.

Правила политики усиливаются посредством использования фильтров пакетов. Фильтры изучают пакеты и определяют, является ли трафик разрешенным, согласно правилам политики и состоянию протокола (проверка с учетом состояния). Если протокол приложения функционирует через TCP , определить состояние относительно просто, так как TCP сам по себе поддерживает состояния. Это означает, что когда протокол находится в определенном состоянии, разрешена передача только определенных пакетов. Рассмотрим в качестве примера последовательность установки соединения. Первый ожидаемый пакет - пакет SYN . Межсетевой экран обнаруживает этот пакет и переводит соединение в состояние SYN . В данном состоянии ожидается один из двух пакетов - либо SYN ACK (опознавание пакета и разрешение соединения) или пакет RST (сброс соединения по причине отказа в соединении получателем). Если в данном соединении появятся другие пакеты, межсетевой экран аннулирует или отклонит их, так как они не подходят для данного состояния соединения, даже если соединение разрешено набором правил.

Если протоколом соединения является UDP , межсетевой экран с пакетной фильтрацией не может использовать присущее протоколу состояние, вместо чего отслеживает состояние трафика UDP . Как правило, межсетевой экран принимает внешний пакет UDP и ожидает входящий пакет от получателя, соответствующий исходному пакету по адресу и порту, в течение определенного времени. Если пакет принимается в течение этого отрезка времени, его передача разрешается. В противном случае межсетевой экран определяет, что трафик UDP не является ответом на запрос , и аннулирует его.

При использовании межсетевого экрана с пакетной фильтрацией соединения не прерываются на межсетевом экране (см. рис. 10.2), а направляются непосредственно к конечной системе. При поступлении пакетов межсетевой экран выясняет, разрешен ли данный пакет и состояние соединения правилами политики. Если это так, пакет передается по своему маршруту. В противном случае пакет отклоняется или аннулируется.

Рис. 10.2. Передача трафика через межсетевой экран с фильтрацией пакетов

Межсетевые экраны с фильтрацией пакетов не используют модули доступа для каждого протокола и поэтому могут использоваться с любым протоколом, работающим через IP . Некоторые протоколы требуют распознавания межсетевым экраном выполняемых ими действий. Например, FTP будет использовать одно соединение для начального входа и команд, а другое - для передачи файлов. Соединения, используемые для передачи файлов, устанавливаются как часть соединения FTP , и поэтому межсетевой экран должен уметь считывать трафик и определять порты, которые будут использоваться новым соединением. Если межсетевой экран не поддерживает эту функцию, передача файлов невозможна.

Как правило, межсетевые экраны с фильтрацией пакетов имеют возможность поддержки большего объема трафика, т. к. в них отсутствует нагрузка, создаваемая дополнительными процедурами настройки и вычисления, имеющими место в программных модулях доступа.

Последний абзац начинается с фразы "как правило". Различные производители межсетевых экранов сопоставляют их производительность различными способами. Исторически сложилось так, что межсетевые экраны с пакетной фильтрацией имеют возможность обработки большего объема трафика, нежели межсетевые экраны прикладного уровня, на платформе одного и того же типа. Это сравнение показывает различные результаты в зависимости от типа трафика и числа соединений, имеющих место в процессе тестирования.

Межсетевые экраны, работающие только посредством фильтрации пакетов, не используют модули доступа, и поэтому трафик передается от клиента непосредственно на сервер . Если сервер будет атакован через открытую службу, разрешенную правилами политики межсетевого экрана, межсетевой экран никак не отреагирует на атаку. Межсетевые экраны с пакетной фильтрацией также позволяют видеть извне внутреннюю структуру адресации. Внутренние адреса скрывать не требуется, так как соединения не прерываются на межсетевом экране.

Большая часть межсетевых экранов с фильтрацией пакетов поддерживает трансляцию межсетевых адресов. Детальное обсуждение этой темы приведено в "Архитектура интернета" .

Гибридные межсетевые экраны

Как и многие другие устройства, межсетевые экраны изменяются и совершенствуются с течением времени, т. е. эволюционируют. Производители межсетевых экранов прикладного уровня в определенный момент пришли к выводу, что необходимо разработать метод поддержки протоколов, для которых не существует определенных модулей доступа. Вследствие этого увидела свет технология модуля доступа Generic Services Proxy ( GSP ). GSP разработана для поддержки модулями доступа прикладного уровня других протоколов, необходимых системе безопасности и при работе сетевых администраторов. В действительности GSP обеспечивает работу межсетевых экранов прикладного уровня в качестве экранов с пакетной фильтрацией .

Производители межсетевых экранов с пакетной фильтрацией также добавили некоторые модули доступа в свои продукты для обеспечения более высокого уровня безопасности некоторых широко распространенных протоколов. На сегодняшний день многие межсетевые экраны с пакетной фильтрацией поставляются с модулем доступа SMTP .

В то время как базовая функциональность межсетевых экранов обоих типов осталась прежней, (что является причиной большинства "слабых мест" этих устройств), сегодня на рынке присутствуют гибридные межсетевые экраны. Практически невозможно найти межсетевой экран , функционирование которого построено исключительно на прикладном уровне или фильтрации пакетов. Это обстоятельство отнюдь не является недостатком, так как оно позволяет администраторам, отвечающим за безопасность , настраивать устройство для работы в конкретных условиях.

1. Зависимость производительности от аппаратного обеспечения, на котором работает межсетевой экран, является недостатком VPN на основе .

маршрутизаторов межсетевых экранов программных решений

специализированных аппаратных средств со встроенными шифропроцессорами

2.Ключ шифра - это .

совокупность всех данных передаваемых только по закрытым каналам совокупность данных, определяющих конкретное преобразование из множества преобразований шифра данные, подлежащие немедленному расшифрованию по получению

3.При количестве рабочих мест от 100 до 500 целесообразно применять антивирусный программный комплекс .

McAfee Active Virus Defense Norton Antivirus от Symantec

Антивирус Dr. Web

Антивирус Касперского (AVP) Personal

4. Неверно, что статистические методы анализа могут быть применены .

при значительном (более 1000) числе рабочих мест сети при отсутствии шаблонов типичного поведения в распределенных сетях

5. Основное отличие активного радиочастотного идентификатора от пассивного в .

наличии блока питания способности излучать радиосигнал особенностях архитектуры ЗУ

6. Неверно, что межсетевому экрану, основанному на фильтрации пакетов присуща характеристика .

сложность реализации сложность правил маршрутизации

невозможность полного тестирования правил фильтрации

7. Неверно, что к достоинствам аппаратных средств ИБ относится …

высокая производительность адаптивность ресурсонезависимость аппаратных средств

один и тот же ключ два различных ключа более двух ключей

9. Высокая стоимость решения в пересчете на одно рабочее место является недостатком VPN на основе …

маршрутизаторов межсетевых экранов программных решений

10. Первое из требований, выполнение которых обеспечивает безопасность асимметричной криптосистемы, гласит: «…»

«Вычисление пары ключей (КВ, kВ) отправителем A на основе начального условия должно быть простым.»

«Вычисление пары ключей (КВ, kВ) получателем B на основе начального условия должно быть простым.»

«Вычисление пары ключей (КВ, kВ) для связи абонентов A и B в целях безопасности выполняется третьим лицом»

11. Обнаружение вирусов, ранее не известных, возможно при использовании …

метода сравнения с эталоном эвристического анализа антивирусного мониторинга метода обнаружения изменений

12. Процесс идентификации заключается в распознавании пользователя только по

биометрическим признакам представляемой им контрольной информации

по присущим и/или присвоенным идентификационным признакам

13. Объектом доступа называется …

любой, работоспособный в настоящий момент элемент ОС любой элемент ОС, доступ к которому пользователей и других субъектов доступа может быть произвольно ограничен любой элемент ОС, востребованный пользователем для работы

14. Сетевое устройство, подключаемое к двум сетям, которое выполняет функции шифрования и аутентификации для многочисленных хостов, расположенных за ним

Шлюз безопасности VPN

15. Одним из основных достоинств статистического метода анализа сетевой информации является …

высокая скорость обработки данных использование апробированного математического аппарата

низкая стоимость внедрения и эксплуатации данного метода

16. В ходе выполнения процедуры … происходит подтверждение валидности пользователя

17. Туннель – это …

логическое соединение, позволяющее инкапсулировать данные одного протокола в пакеты другого логическое соединение с обязательной криптографической защитой передаваемой информации

физическое соединение, обеспечивающее высокий уровень защиты передаваемой информации

18. Необходимым, но не достаточным при определении вируса является такое свойство, как …

способность к созданию собственных копий свойства деструктивности

скрытность действий данной вредоносной программы в вычислительной среде

19. Домен безопасности определяет набор …

типов операций, которые могут производиться над каждым объектом ОС субъектов, которые могут производить операции над каждым объектом ОС объектов и типов операций, которые могут производиться над каждым объектом ОС

20. Принцип действия электронной цифровой подписи (ЭЦП) основан на …

21. Реалистичная политика работы сетевого экрана - это политика, при которой найден баланс между защитой сети организации от известных рисков и …

требуемыми для этого ресурсами (финансовыми, временными) необходимым доступом пользователей к сетевым сервисам прогнозированием неизвестных рисков

22. Обязательным требованием, предъявляемым к выбираемой системе, анализа защищенности является …

отсутствие необходимости изменения сетевой инфраструктуры предприятия отсутствие необходимости переквалификации персонала наличие специализированных СУБД

23. В симметричной системе шифрования для независимой работы N абонентов требуется …

N! ключей N(N-1)/2 ключей NN ключей

24. В типовой системе обнаружения атак функцию сбора данных из контролируемого пространства выполняет …

модуль слежения подсистема обнаружения атак подсистема реагирования

подсистема управления компонентами

25. В типовой системе обнаружения атак функцию изменения политики безопасности выполняет …

база знаний хранилище данных модуль слежения

подсистема управления компонентами

один и тот же ключ

два ключа более двух ключей

27. В типовой системе обнаружения атак функцию хранения профилей пользователей выполняет …

модуль слежения подсистема обнаружения атак хранилище данных база знаний

28. Неверно, что требованием к безопасности асимметричной системы является …

Вычисление пары ключей (КВ, kВ) получателем B на основе начального условия должно быть простым

Противник, зная открытый ключ KB, при попытке вычислить секретный ключ kB наталкивается на непреодолимую вычислительную проблему

29. Вирус является наиболее уязвимым со стороны антивирусного программного обеспечения во время …

исполнения передачи передачи/приема

30. Неверно, что к наиболее важным характеристикам систем идентификации и аутентификации (СИ) относится …

структура и состав устройств ввода-вывода надежность мощность, потребляемая изделием стоимость

31. Концепция криптографических систем с открытым ключом основана на …

территориальном разнесении составных элементов ключа применении однонаправленных функций

32. Порядок фильтрации информационных потоков регламентируется …

техническими характеристиками межсетевого экрана текущими распоряжениями руководства компании действующей политикой безопасности

33. Программы-посредники могут выполнять разграничение доступа к ресурсам внутренней или внешней сети на основе …

анализа содержания принимаемой/передаваемой информации запросов пользователей

результата идентификации и аутентификации пользователей при их обращении к межсетевому экрану

34. Порядок доступа персонала к ОС регламентируется …

штатным расписанием компании распоряжением непосредственных руководителей

действующей политикой безопасности компании.

35. Антивирусные сканеры функционируют, используя …

метод сравнения с эталоном эвристический анализ антивирусный мониторинг метод обнаружения изменений

36. Передача симметричного ключа по незащищенным каналам в открытой форме

допускается не допускается

зависит от обстоятельств

37. В асимметричной системе шифрования для независимой работы N абонентов требуется …

2N ключей (где ключ = закрытый ключ + открытый ключ) NN ключей (где ключ = закрытый ключ + открытый ключ)

N (N-1) ключей (где ключ = закрытый ключ + открытый ключ)

38. Шифром называется …

совокупность процедур и правил криптографических преобразований, набор символов, используемых для криптографического преобразования набор символов, циркулирующий между абонентами

39. Виртуальной защищенной сетью VPN (Virtual Private Network) называют объединение локальных сетей и отдельных компьютеров через …

закрытую внешнюю среду передачи информации в единую виртуальную корпоративную сеть защищенную внешнюю среду передачи информации в единую виртуальную

корпоративную сеть открытую внешнюю среду передачи информации в единую виртуальную корпоративную сеть

40. Если шифр соответствует установленным требованиям, длина шифрованного текста …

должна быть равной длине исходного текста должна быть больше длины исходного текста может быть меньше длины исходного текста

41. Отечественный стандарт хэширования ГОСТ Р 34.11-94 …

42. Наибольшая универсализация средств защиты реализована в VPN на основе …

маршрутизаторов межсетевых экранов программных решений

специализированных аппаратных средств со встроенными Шифропроцессорами

43. Если шифр соответствует установленным требованиям, незначительное изменение ключа …

44. При ролевом управлении доступом для каждого пользователя одновременно …

может быть активна только одна роль может быть активна только две роли

могут быть активны произвольное количество ролей

45. Существующие механизмы анализа защищенности работают на … этапе осуществления атаки

46. Экранирующий маршрутизатор функционирует …

на сетевом уровне эталонной модели OSI на сеансовом уровне эталонной модели OSI

на прикладном уровне эталонной модели OSI

47. Если шифр соответствует установленным требованиям, знание злоумышленником алгоритма шифрования …

снизит надежность защиты информации не окажет влияния на надежность защиты

приведет к полному раскрытию всех зашифрованных ранее данных

48. Наибольшую защищенность информации обеспечивают VPN на основе …

Маршрутизаторов межсетевых экранов программных решений

специализированных аппаратных средств со встроенными шифропроцессорами

49. Неверно, что при статической биометрии идентификационным признаком является …

геометрия руки образец голоса

папиллярные узоры (отпечатки пальцев)

50. Высокая производительность является главным достоинством VPN на основе …

Маршрутизаторов межсетевых экранов программных решений

специализированных аппаратных средств со встроенными шифропроцессорами

51. Третье требование к безопасности асимметричной системы: …

52. Основой для формирования алгоритмов симметричного шифрования является предположение «…»

к зашифрованным данным никто не имеет доступа, кроме лиц, владеющих ключом недоступность ключа неавторизованным лицам обеспечивает гарантированную защиту информации зашифрованные данные не сможет прочитать никто из тех, кто не обладает ключом для их расшифрования

53. При незначительном (менее 100) количестве рабочих мест целесообразно применять антивирусный программный комплекс …

McAfee Active Virus Defense Norton Antivirus от Symantec

Антивирус Dr. Web

Антивирус Касперского (AVP) Personal

54. Существующие механизмы защиты, реализованные в межсетевых экранах, серверах аутентификации, системах разграничения доступа работают на … этапе осуществления атаки

55. Одной из основных причин создания адаптивной системы информационной безопасности является …

увеличение объема информационных потоков (рост трафика) рост числа рабочих мест сети рост количества уязвимостей сети

56. Критерии анализа информационных потоков, проводимого межсетевым экраном зависят от …

содержания получаемой/передаваемой информации уровня модели OSI, на которой размещен МЭ интенсивности информационного потока

57. Правила разграничения доступа …

не должны допускать наличие ничейных объектов могут допускать наличие ничейных объектов

строго определяют количество и типы ничейных объектов

58. Неверно, что к наиболее существенным ограничениям в применении межсетевых экранов

возможное ограничение пропускной способности отсутствие встроенных механизмов защиты от вирусов

отсутствие эффективной защиты от получаемого из Интернета опасного содержимого стоимость

59. Шлюз сеансового уровня охватывает в своей работе …

прикладной и представительский уровни эталонной модели OSI

транспортный и сетевой уровни эталонной модели OSI канальный и физический уровни эталонной модели OSI

61. Электронная цифровая подпись - это .

параметрами без использования дополнительной информации относительно небольшое количество дополнительной цифровой информации, передаваемой вместе с подписываемым текстом

62. К достоинствам идентификаторов на базе электронных ключей iButton относятся

характеристики надежности характеристики способа записи и считывания данных массо-габаритные характеристики стоимостные характеристики

63. Межсетевой экран (МЭ) выполняет функции:

ограничения доступа внешних (по отношению к защищаемой сети) пользователей к внутренним ресурсам корпоративной сети разграничения доступа пользователей защищаемой сети к внешним ресурсам

разграничения доступа пользователей защищаемой сети к внешним ресурсам и ограничение доступа внешних (по отношению к защищаемой сети) пользователей к внутренним ресурсам корпоративной сети

64. Необходимым, но не достаточным при определении вируса является такое свойство, как …

наличие механизма, обеспечивающего внедрение создаваемых копий в исполняемые объекты вычислительной системы свойства деструктивности

скрытность действий данной вредоносной программы в вычислительной среде

65. Правильная последовательность выполнения операций:

идентификация, авторизация, аутентификация авторизация, идентификация, аутентификация идентификация, аутентификация, авторизация

66. В типовой системе обнаружения атак основным элементом является …

модуль слежения подсистема обнаружения атак хранилище данных база знаний

67.Методом доступа называется операция, .

назначенная для субъекта являющиеся общими для всех субъектов определенная для объекта

68. Степень надежности криптографической системы определяется .

длиной ключа алгоритмом преобразования

способом распределения ключей надежностью слабого звена системы (алгоритм, параметры ключа, персонал)

69. Если количество абонентов сети превышает 500 человек целесообразно

применять антивирусный программный комплекс.

McAfee Active Virus Defense Norton Antivirus от Symantec

Антивирус Dr. Web

Антивирус Касперского (AVP) Personal

Тут вы можете оставить комментарий к выбранному абзацу или сообщить об ошибке.

Читайте также:

  
• Будет ли фифа 22 в подписке xbox game pass ultimate
  
• Будет ли в iphone 12 usb c
  
• Как перенести сохранения с xbox one на xbox one
  
• Нет звука на видео на компьютере
  
• Как прогреть флеш память на телефоне