Главная / Безопасность /
Технологии туннелирования / Тест 14
Номер 3
Ответ:
Технологии туннелирования - тест 14
Упражнение 1:
Номер 1
Ответ:
Номер 1
В протоколе IPSec необходима специальная поддержка прохождения NAT, потому что
Ответ:
(1) NAT изменяет номер порта и IP-адрес отправителя.
(2) NAT изменяет содержимое прикладного уровня.
(3) NAT изменяет номер порта и IP-адрес получателя.
(4) NAT изменяет МАС-адрес отправителя.
Номер 2
Ответ:
Для использования NAT в протоколе IPSec выполняется следующее
Ответ:
(1) В Фазе I выполняется определение поддержки прохождения NAT обоими участниками.
(2) В Фазе I выполняется определение того, что между участниками имело место преобразование NAT.
(3) В Фазе I выполняется изменение IP-адреса отправителя на IP-адрес маршрутизатора NAT.
(4) В Фазе I выполняется изменение порта отправителя на новый порт.
Для прохождения NAT в протоколе IPSec должно быть реализовано
Ответ:
(1) Получатель должен уметь обрабатывать IKE-пакеты, чей порт источника отличается от 500.
(2) Получатель должен возвращать пакеты на порт источника, указанный в пакете.
(3) Получатель должен изменять IP-адрес отправителя на IP-адрес маршрутизатора NAT.
(4) Получатель должен изменять порт отправителя на порт маршрутизатора NAT.
Упражнение 2:
Номер 1
Ответ:
Номер 1
Возможность поддержки NAT удаленным хостом определяется по результатам обмена содержимыми
Ответ:
(1) ID производителя (
VID).
(2) Новым
SA.
(3)
NAD-D.
(4)
Notify.
Номер 2
Ответ:
Определение наличия NAT выполняется следующим образом
Ответ:
(1) В Фазе I посылается содержимое
NAT-D.
(2) В Фазе II посылается содержимое
NAT-D.
(3) В Фазе I посылается содержимое
VID.
(4) В Фазе II посылается содержимое
VID.
Номер 3
Ответ:
Для определения преобразования NAT следует определить
Ответ:
(1) Изменился ли IP-адрес Инициатора.
(2) Изменился ли порт Инициатора.
(3) Изменился ли IP-адрес Получателя.
(4) Изменился ли порт Получателя.
Упражнение 3:
Номер 1
Ответ:
Номер 1
Отправитель пакета может не знать свой собственный IP-адрес, так как
Ответ:
(1) В случае нескольких интерфейсов может быть неизвестно, какой IP-адрес будет указан в качестве источника при пересылке пакета.
(2) В случае нескольких интерфейсов IP-адрес может быть нулевым.
(3) IP-адрес отправителя может быть случайным числом.
(4) В случае нескольких интерфейсов IP-адрес всегда выбирается случайно из значений IP-адресов этих интерфейсов.
Номер 2
Ответ:
Отправитель помещает в пакет несколько хэшей локальных IP-адресов
Ответ:
(1) В отдельных содержимых
NAT-D.
(2) В одном содержимом
NAT-D.
(3) В отдельных содержимых
VID.
(4) В одном содержимом
VID.
Номер 3
Ответ:
Отправитель помещает в пакет несколько хэшей локальных IP-адресов
Ответ:
(1) Если у него несколько интерфейсов, с которых может быть отправлен пакет.
(2) Если он отправляет пакет на шлюз по умолчанию.
(3) Если у него только один интерфейс.
(4) В случае нескольких интерфейсов IP-адрес может быть нулевым.
Упражнение 4:
Номер 1
Ответ:
Номер 1
Признак наличия NAT между Инициатором и Получателем
Ответ:
(1) NAT присутствует тогда и только тогда, когда ни для одного из хэшей IP-адресов не найдено соответствие с содержимым
NAT-D.
(2) NAT присутствует тогда и только тогда, когда для первого хэша IP-адреса не найдено соответствие с содержимом
NAT-D.
(3) NAT присутствует тогда и только тогда, когда для последнего хэша IP-адреса не найдено соответствие с содержимым
NAT-D.
(4) NAT присутствует тогда и только тогда, когда все хэши IP-адресов равны значению содержимого
NAT-D.
Номер 2
Ответ:
Может быть послано несколько содержимых NAT-D, так как
Ответ:
(1) Отправитель может не знать свой собственный IP-адрес.
(2) IP-адрес отправителя может быть нулевым.
(3) IP-адрес отправителя может быть случайным.
(4) В пакете может быть несколько IP-адресов отправителя.
Номер 3
Ответ:
Содержимым VID является
Ответ:
(1) Хэш-код MD5, вычисленный для строки «RFC 3947».
(2) Хэш-код MD5, вычисленный для всех содержимых, которые были получены и посланы.
(3) Хэш-код MD5, вычисленный для случайного значения и разделяемого общего секрета.
(4) Хэш-код MD5, вычисленный для всех содержимых, которые были получены и посланы, и для разделяемого общего секрета.
Упражнение 5:
Номер 1
Ответ:
Номер 1
В содержимом NAT-D посылаются
Ответ:
(1) Хэши IP-адресов и портов обоих участников.
(2) Хэши IP-адресов и портов Инициатора.
(3) Хэши IP-адресов и портов Получателя.
(4) Хэши IP-адресов обоих участников.
Номер 2
Ответ:
Хэш в содержимом NAT-D вычисляется для следующих значений
Ответ:
(1)
HASH = HASH (CKY-I | CKY-R | IP | Port)
(2)
HASH = HASH (CKY-I | CKY-R | IP)
(3)
HASH = HASH (IP | Port)
(4)
HASH = HASH (CKY-I | CKY-R | Port)
Номер 3
Ответ:
Cookie Инициатора и Получателя добавлены в хэш, чтобы
Ответ:
(1) Предотвратить атаки, связанные с заранее вычисленными IP-адресами и портами.
(2) Предотвратить атаки просмотра.
(3) Предотвратить атаки переупорядочивания пакетов.
(4) Предотвратить атаки авторизации.
Упражнение 6:
Номер 1
Ответ:
Номер 1
Преобразований NAT, которые знают о наличии IPSec, могут реализовывать прозрачное прохождение IPSec-трафика следующим образом
Ответ:
(1) Преобразования NAT могут не изменять IKE-порт источника 500.
(2) Преобразования NAT могут использовать IKE Cookies для пересылки пакетов нужному получателю за NAT вместо использования порта источника.
(3) Преобразования NAT могут вычислять новые криптографические контрольные суммы и вставлять их в пакет.
(4) Преобразования NAT могут изменять IKE-порт источника на тот, о котором заранее велись переговоры.
Номер 2
Ответ:
Первое содержимое NAT-D содержит
Ответ:
(1) IP-адрес и порт удаленной стороны.
(2) IP-адрес удаленной стороны.
(3) Порт удаленной стороны.
(4) IP-адрес и порт локальной стороны.
Номер 3
Ответ:
Содержимое NAT-D позволяет определить
Ответ:
(1) Наличие NAT между двумя противоположными сторонами IKE.
(2) Где находится NAT: перед Инициатором или перед Получателем.
(3) Изменялось ли содержимое пакетов прикладного уровня при пересылке.
(4) Изменялись ли МАС-адреса при пересылке.
Упражнение 7:
Номер 1
Ответ:
Номер 1
Для определения наличия NAT между двумя хостами необходимо определить
Ответ:
(1) Изменялись ли IP-адреса при пересылке.
(2) Изменялись ли порты при пересылке.
(3) Изменялось ли содержимое пакетов прикладного уровня при пересылке.
(4) Изменялись ли МАС-адреса при пересылке.
Номер 2
Ответ:
При определении наличия NAT Инициатор
Ответ:
(1) Устанавливает оба UDP-порта (и источника, и получателя) в 4500.
(2) Добавляет с помощью UDP-инкапсуляции не-ESP маркеры.
(3) Изменяет IP-адреса источника и получателя на фиксированные.
(4) Изменяет порты источника и получателя на фиксированные.
Номер 3
Ответ:
Для прохождения NAT определены следующие режимы
Ответ:
(1) UDP-Encapsulated-Tunnel.
(2) UDP-Encapsulated-Transport.
(3) NAT-Tunnel.
(4) NAT-Transport.
Упражнение 8:
Номер 1
Ответ:
Номер 1
В содержимом NAT-OA посылаются
Ответ:
(1) Исходные IP-адреса.
(2) Исходные номера портов.
(3) Исходные IP-адреса и номера портов.
(4) Новые IP-адреса и номера портов.
Номер 2
Ответ:
Ответ:
(1) Аутентификационные механизмы не могут основываться на IP-адресах.
(2) Аутентификационные механизмы не могут основываться на общим секрете.
(3) Аутентификационные механизмы не могут основываться на сертификатах.
(4) Аутентификационные механизмы не могут основываться на паролях пользователей.
Номер 3
Ответ:
Требование обеспечения возможности обнаружения сбоя противоположной стороны в протоколе IKE может выполняться
Ответ:
(1) На стадии посылки
Proposal.
(2) После завершения протокола IKE.
(3) В протоколах ESP/AH.
(4) После аутентификации участников.
Упражнение 9:
Номер 1
Ответ:
Номер 1
Определение сбоя противоположной стороны необходимо
Ответ:
(1) Чтобы не образовывалось «черной дыры», в которую уходят пакеты.
(2) Чтобы обеспечить целостность последовательности пакетов.
(3) Чтобы обеспечить целостность содержимого пакета.
(4) Чтобы обеспечить конфиденциальность трафика.
Номер 2
Ответ:
Необходимость обнаруживать «черные дыры» как можно скорее связана
Ответ:
(1) С необходимостью обеспечивать отказоустойчивость.
(2) Чтобы предотвратить расходование лишних ресурсов.
(3) Чтобы обеспечить конфиденциальность трафика.
(4) Чтобы обеспечить целостность последовательности пакетов.
Номер 3
Ответ:
Проверка жизнеспособности противоположной стороны может использовать
Ответ:
(1) Однонаправленную посылку сообщений (
Hello).
(2) Двунаправленную посылку сообщений (
Hello/ACK).
(3) Трех шаговое рукопожатие.
(4) Третью Доверенную Сторону.
Упражнение 10:
Номер 1
Ответ:
Номер 1
В схеме Keepalive проверки жизнеспособности противоположной стороны
Ответ:
(1) Каждой стороне требуется регулярное подтверждение жизнеспособности противоположной стороны.
(2) Только Инициатору требуется регулярное подтверждение жизнеспособности противоположной стороны.
(3) Только Получателю требуется регулярное подтверждение жизнеспособности противоположной стороны.
(4) Проверка жизнеспособности требуется Третьей Доверенной Стороне.
Номер 2
Ответ:
Особенности схемы Keepalive проверки жизнеспособности противоположной стороны
Ответ:
(1) Участник, заинтересованный в жизнеспособности противоположной стороны, инициирует обмен сообщениями.
(2) Инициатор инициирует обмен с Третьей Доверенной Стороной, которая обеспечивает проверку жизнеспособности VPN-канала.
(3) Получатель инициирует обмен с Третьей Доверенной Стороной, которая обеспечивает проверку жизнеспособности VPN-канала.
(4) Третья Доверенная Сторона инициирует проверку жизнеспособности VPN-канала.
Номер 3
Ответ:
В схеме Heartbeat проверка жизнеспособности противоположной стороны основана на том, что
Ответ:
(1) Одна из сторон полагается на то, что противоположная сторона сама периодически будет посылать сообщения, демонстрирую свою жизнеспособность.
(2) Каждая сторона регулярное подтверждает свою жизнеспособность.
(3) Инициатор через равны промежутки времени подтверждает свою жизнеспособность.
(4) Получатель через равны промежутки времени подтверждает свою жизнеспособность.
Упражнение 11:
Номер 1
Ответ:
Номер 1
Недостатки схемы Heartbeat проверки жизнеспособности противоположной стороны
Ответ:
(1) Предполагается, что противоположная сторона сама будет демонстрировать свою жизнеспособность.
(2) Получатель не может сам демонстрировать свою жизнеспособность.
(3) Необходимо наличие Третьей Доверенной Стороны.
(4) Инициатор не может сам демонстрировать свою жизнеспособность.
Номер 2
Ответ:
Протокол DPD, обеспечивающий доказательство жизнеспособности противоположной стороны, обладает следующими свойствами
Ответ:
(1) Участник может запрашивать доказательство жизнеспособности в тот момент, когда это ему необходимо.
(2) DPD-обмены каждой стороной выполняются асинхронно.
(3) Инициатор через равны промежутки времени посылает сообщение
Hello.
(4) Получатель через равны промежутки времени посылает сообщение
Hello.
Номер 3
Ответ:
Протокол DPD, обеспечивающий доказательство жизнеспособности противоположной стороны, определяет
Ответ:
(1) Двунаправленный обмен
Notify-сообщениями через произвольные интервалы времени.
(2) Однонаправленный обмен
Notify-сообщениями через произвольные интервалы времени.
(3) Двунаправленный обмен
Notify-сообщениями через равные интервалы времени.
(4) Однонаправленный обмен
Notify-сообщениями через равные интервалы времени.
Упражнение 12:
Номер 1
Ответ:
Номер 1
Свойства протокола DPD. Выберите правильное утверждение
Ответ:
(1) Протокол DPD позволяет ликвидировать недостатки схем Keepalive и Heartbeat.
(2) Каждый участник в большей степени (по сравнению со схемами Keepalive и Heartbeat) не зависит от другого в определении сбоя противоположной стороны.
(3) Асинхронность DPD-обменов позволяет посылать разное количество сообщений, чем достигается большая масштабируемость.
(4) Обеспечивается защита от DoS-атак.
Номер 2
Ответ:
Свойства протокола DPD. Выберите правильное утверждение
Ответ:
(1) Каждая сторона может определить свою собственную «метрику волнения» - интервал, который определяет необходимость DPD-обмена.
(2) Если между участниками существует IPSec-трафик, то нет необходимости в регулярном доказательстве жизнеспособности противоположной стороны.
(3) Каждая сторона должна регулярно, через одинаковые промежутки времени, посылать сообщения
Hello/ACK.
(4) Каждая сторона должна регулярно, через одинаковые промежутки времени, посылать сообщения
Notify.
Номер 3
Ответ:
Свойства протокола DPD. Выберите правильное утверждение
Ответ:
(1) При наличии IPSec-трафика Инициатор должен регулярно посылать пакеты DPD-обмена.
(2) Если участник должен послать IPSec-пакеты после определенного периода простоя, он должен быть уверен в жизнеспособности противоположной стороны. В этот момент он может инициировать DPD-обмен.
(3) Каждая сторона может иметь разные требования к определению жизнеспособности.
(4) При наличии IPSec-трафика Получатель должен регулярно посылать пакеты DPD-обмена.