Главная / Безопасность /
Технологии туннелирования / Тест 17
Технологии туннелирования - тест 17
Упражнение 1:
Номер 1
Под добровольным туннелированием понимают
Ответ:
 (1) Создание туннеля пользователем, обычно посредством использования клиента туннелирования, установленного на пользовательской рабочей станции. 
 (2) Создание туннеля Третьей Доверенной Стороной. 
 (3) Создание туннеля межсетевым экраном. 
 (4) Создание туннеля ISP. 
Номер 2
При добровольном туннелировании
Ответ:
 (1) Клиент будет посылать L2TP-пакеты к NAS, который затем будет пересылать их LNS. 
 (2) Клиент будет посылать РРР-пакеты к NAS, который затем будет инкапсулировать их в L2TP и туннелировать к LNS. 
 (3) Клиент будет посылать L2TP-пакеты к NAS, который затем будет инкапсулировать их в РРР-пакеты и туннелировать к LNS. 
 (4) Клиент будет посылать РРР-пакеты к NAS, который затем будет пересылать их к LNS. 
Номер 3
При добровольном туннелировании
Ответ:
 (1) NAS не должен поддерживать L2TP. 
 (2) LAC расположен на той же самой машине, что и клиент. 
 (3) LNS не должен поддерживать L2TP. 
 (4) Клиент не должен поддерживать L2TP. 
Упражнение 2:
Номер 1
Под обязательным туннелированием понимают
Ответ:
 (1) Создание туннеля без какого-либо участия клиента, и клиенту не предоставляется никакого выбора. 
 (2) Создание туннеля без какого-либо участия LAC, LAC не предоставляется никакого выбора.  
 (3) Создание туннеля без какого-либо участия LNS, LNS не предоставляется никакого выбора. 
 (4) Создание туннеля без какого-либо участия NAS, NAS не предоставляется никакого выбора. 
Номер 2
При обязательном туннелировании
Ответ:
 (1) Клиент будет посылать РРР-пакеты к NAS/LAC, который затем будет инкапсулировать их в L2TP и туннелировать к LNS. 
 (2) Клиент будет посылать L2TP-пакеты к NAS/LAC, который затем будет посылать их к LNS. 
 (3) Клиент будет посылать РРР-пакеты к NAS/LAC, который затем будет посылать к LNS. 
 (4) Клиент будет посылать L2TP-пакеты к NAS/LAC, который затем будет инкапсулировать их в PPP и туннелировать к LNS. 
Номер 3
При обязательном туннелировании
Ответ:
 (1) NAS/LAC должен поддерживать L2TP. 
 (2) Клиент должен поддерживать L2TP. 
 (3) Сервер в интернете, к которому хочет получить доступ клиент, должен поддерживать L2TP. 
 (4) LNS не должен поддерживать L2TP. 
Упражнение 3:
Номер 1
Примеры атак на протокол L2TP
Ответ:
 (1) Противник может узнать идентификаторы пользователей, просматривая пакеты данных. 
 (2) Противник может попытаться модифицировать управляющие пакеты. 
 (3) Противник может просматривать передаваемые пакеты. 
 (4) Противник может попытаться модифицировать пакеты данных. 
Номер 2
Примеры атак на протокол L2TP
Ответ:
 (1) Противник может попытаться встроиться в L2TP-туннель или РРР-соединение внутри туннеля, представившись одной из сторон. 
 (2) Противник может выполнить DoS-атаку, прерывая РРР-соединения или L2TP-туннели. 
 (3) Противник может выполнить replay-атаку. 
 (4) Противник может выполнить пассивную атаку. 
Номер 3
Примеры атак на протокол L2TP
Ответ:
 (1) Противник может попытаться внедриться в РРР-переговоры о параметрах шифрования, чтобы ослабить или удалить конфиденциальность. 
 (2) Противник может попытаться внедриться в РРР LCP-переговоры об аутентификации, ослабив аутентификацию и получив после этого доступ к паролям пользователей. 
 (3) Противник может изменить передаваемый общий секрет. 
 (4) Противник может подсмотреть передаваемый общий секрет. 
Упражнение 4:
Номер 1
Недостатки протокола L2TP
Ответ:
 (1) Нет защиты управляющего трафика и трафика данных на уровне пакетов. 
 (2) Управление ключом отсутствует. 
 (3) При аутентификации на уровне L2TP-туннеля не обеспечивается взаимная аутентификация LAC и LNS при создании туннеля. 
 (4) Нет аутентификации на уровне пользователя. 
Номер 2
Недостатки протокола L2TP
Ответ:
 (1) Аутентификация, целостность и защита от replay-атак на уровне пакетов отсутствует. 
 (2) Нет переговоров об используемых алгоритмах. 
 (3) Нет конфиденциальности трафика. 
 (4) Нет аутентификации конечных точек туннеля при создании туннеля. 
Номер 3
Недостатки протокола L2TP
Ответ:
 (1) Необходимо распределять пароли, с помощью которых выполняется аутентификация, каким-то внешним по отношению к протоколу способом. 
 (2) Клиенту необходимо иметь сертификат открытого ключа. 
 (3) LNS необходимо иметь сертификат открытого ключа. 
 (4) LAC необходимо иметь сертификат открытого ключа. 
Упражнение 5:
Номер 1
Основные принципы совместного использования L2TP и IPSec
Ответ:
 (1) Требуется обеспечить синхронное завершение L2TP-туннеля и SA, созданной в фазах I или II. 
 (2) Необходимо решить проблемы, связанные с фрагментацией. 
 (3) Необходимо решить проблемы, связанные с совместным использованием ключей IPSec и L2TP. 
 (4) Необходимо решить проблемы, связанные с совместным использованием сертификатов открытого ключа IPSec и L2TP. 
Номер 2
Проблемы, связанные с фрагментацией, при совместном использовании L2TP и IPSec
Ответ:
 (1) Так как MTU по умолчанию для РРР-соединений равно 1500 байтам, возможна фрагментация при добавлении L2TP- и IPSec-заголовков в РРР-кадр. 
 (2) При добавлении L2TP- и IPSec-заголовков в РРР-кадр становится невозможной фрагментация кадров. 
 (3) При добавлении L2TP- и IPSec-заголовков в РРР-кадр становится невозможным использование алгоритмов симметричного шифрования. 
 (4) При добавлении L2TP- и IPSec-заголовков в РРР-кадр становится невозможным аутентификация участников. 
Номер 3
Одним из способов решения проблемы фрагментации при совместном использовании L2TP и IPSec является
Ответ:
 (1) Использование в РРР значения MTU для входящего / исходящего трафика, равного L2TP/IPSec туннелю минус накладные расходы, связанные с внешними заголовками. 
 (2) Запрет фрагментации пакетов на уровне РРР. 
 (3) Запрет фрагментации пакетов на уровне L2TP. 
 (4) Запрет фрагментации пакетов на уровне IPSec. 
Упражнение 6:
Номер 1
Особенности совместного IPSec-туннелирования и L2TP-туннеля
Ответ:
 (1) Могут возникнуть проблемы при выполнении протокола IKE, так как в протоколе L2TP возможно изменение номера порта при переговорах. 
 (2) Могут возникнуть проблемы при выполнении протокола ESP, так как в протоколе L2TP выполняется собственное шифрование. 
 (3) Могут возникнуть проблемы при выполнении протокола IKE, так как в протоколе L2TP выполняется собственная аутентификация. 
 (4) Могут возникнуть проблемы при выполнении протокола IKE, так как в протоколе L2TP должны использоваться собственные разделяемые секреты. 
Номер 2
Выберите правильное утверждение
Ответ:
 (1) Так как IKE/IPSec не знает о деталях приложения, которое он защищает, не требуется никакой интеграции между приложением и IPSec-протоколом, если приложение не изменяет номера портов. 
 (2) Так как IKE/IPSec не знает о деталях приложения, которое он защищает, никогда не требуется никакой интеграции между приложением и IPSec-протоколом. 
 (3) Несмотря на то, что IKE/IPSec не знает о деталях приложения, которое он защищает, всегда требуется интеграция между приложением и IPSec-протоколом. 
 (4) Так как IKE/IPSec знает все о деталях приложения, которое он защищает, не требуется никакой интеграции между приложением и IPSec-протоколом. 
Номер 3
При совместном использовании L2TP и IPSec
Ответ:
 (1) При выборе Получателем нового IP-адреса, он посылает StopCCN
Инициатору с AVP Result Code, Error Code
. Result Code
установлен в 2 (General error
), и Error Code установлен в 7 (Try Another
). 
 (2) Инициатор после обработки сообщений о новом IP-адресе должен послать новый SCCRQ
на этот новый IP-адрес. 
 (3) При выборе Получателем нового IP-адреса, он посылает StopCCN
Инициатору с AVP Result Code, Error Code
. Result Code
установлен в 0 (No general error
). 
 (4) Инициатор после обработки сообщений о новом IP-адресе не должен производить никаких дополнительных действий. 
Упражнение 7:
Номер 1
При обеспечении безопасности L2TP с использованием IPSec возможны следующие изменения портов и IP-адресов Инициатора и Получателя
Ответ:
 (1) Порт Инициатора – 1701, IP-адрес Получателя – фиксированный, порт Получателя – 1701. 
 (2) Порт Инициатора – 1701, IP-адрес Получателя – фиксированный, порт Получателя – динамический. 
 (3) IP-адрес Инициатора – динамический, IP-адрес Получателя – фиксированный, порт Получателя – 1701. 
 (4) IP-адрес Инициатора – динамический, порт Инициатора – 1701, порт Получателя – 1701. 
Номер 2
Возможны следующие изменения портов и IP-адресов Инициатора и Получателя
Ответ:
 (1) Порт Инициатора – динамический, IP-адрес Получателя – фиксированный, порт Получателя – 1701. 
 (2) Порт Инициатора – динамический, IP-адрес Получателя – динамический, порт Получателя – динамический. 
 (3) IP-адрес Инициатора – динамический, порт Инициатора – 1701, IP-адрес Получателя – фиксированный. 
 (4) IP-адрес Инициатора – динамический, порт Инициатора – динамический, IP-адрес Получателя – фиксированный. 
Номер 3
Изменение номеров портов и IP-адреса Получателя может потребоваться
Ответ:
 (1) Для обеспечения балансировки нагрузки. 
 (2) Для обеспечения гарантированного качества (QoS). 
 (3) Для обеспечения возможностей фильтрования. 
 (4) Для обеспечения возможностей маршрутизации. 
Упражнение 8:
Номер 1
Для обеспечения возможности динамического изменения номеров портов и IP-адреса Получателя
Ответ:
 (1) Должны быть разработаны механизмы, которые позволяют L2TP вставлять свои записи в БД IPSec. 
 (2) Должны быть разработаны механизмы, которые позволяют IPSec вставлять свои записи в БД L2TP. 
 (3) Должны быть разработаны механизмы, которые позволяют Третьей Доверенной Стороне вставлять свои записи в БД L2TP. 
 (4) Должны быть разработаны механизмы, которые позволяют Третьей Доверенной Стороне вставлять свои записи в БД IPSec. 
Номер 2
Технология, обеспечивающая возможность L2TP вставлять свои записи в БД IPSec, должна обеспечивать следующие возможности
Ответ:
 (1) Инициатор должен позволять Получателю изменить его, Получателя, порт. 
 (2) Инициатор должен позволять Получателю изменить его, Получателя, IP-адрес. 
 (3) Получатель должен позволять Инициатору изменить его, Инициатора, IP-адрес. 
 (4) Никаких изменений IP-адресов и портов не допускается. 
Номер 3
Начальные записи в политике, необходимые для защиты SCCRQ
Ответ:
 (1) Как Инициатор, так и Получатель должны быть заранее сконфигурированы с дополнительными записями для поддержки L2TP. 
 (2) В L2TP должен быть определен метод добавления информации о новых IP-адресах и портах в БД политик IPSec. 
 (3) Записи должны быть созданы до того, как будет послано первое сообщение об установке L2TP-туннеля. 
 (4) В IPSec должен быть определен метод добавления информации о новых IP-адресах и портах в БД политик L2TP. 
Упражнение 9:
Номер 1
Начальные записи в политике IPSec на стороне Получателя для исходящего трафика
Ответ:
 (1) Нет начальных записей. Они должны быть динамически созданы IKE при успешном завершении фазы II. 
 (2) Начальные записи должны разрешать весь трафик с любого IP-адреса и порта на любой IP-адрес и порт. 
 (3) Начальные записи должны разрешать трафик на физический Ethernet-порт Получателя с любого IP-адреса и порта. 
 (4) Начальные записи должны запрещать весь трафик. 
Номер 2
Начальные записи в политике IPSec на стороне Получателя для входящего трафика
Ответ:
 (1) Разрешен доступ с любого IP-адреса с любого порта на IP-адрес, который Получатель слушает при получении начального SCCRQ
и порт 1701. 
 (2) Разрешен доступ с IP-адреса, который Получатель слушает при получении начального SCCRQ
, и с любого порта на IP-адрес, который Получатель слушает при получении начального SCCRQ и порт 1701. 
 (3) Разрешен доступ с IP-адреса, который Получатель слушает при получении начального SCCRQ
, и с порта, который Инициатор выбирает для инициализации и получения L2TP-трафика, на IP-адрес, который Получатель слушает при получении начального SCCRQ и порт 1701. 
 (4) Разрешен доступ с любого IP-адреса с любого порта на любой IP-адрес и любой порт Получателя. 
Номер 3
Начальные записи в политике IPSec на стороне Инициатора для входящего трафика
Ответ:
 (1) Разрешен доступ с IP-адреса, который Получатель слушает при получении начального SCCRQ
и любого порта на IP-адрес, который Инициатор использует для взаимодействия по L2TP-туннелю и номер UDP-порта, который Инициатор выбирает для инициализации и получения L2TP-трафика. 
 (2) Разрешен доступ с любого IP-адреса и любого порта на IP-адрес, который Инициатор использует для взаимодействия по L2TP-туннелю и номер UDP-порта, который Инициатор выбирает для инициализации и получения L2TP-трафика. 
 (3) Разрешен доступ с любого IP-адреса и любого порта на IP-адрес, который Инициатор использует для взаимодействия по L2TP-туннелю и любой номер UDP-порта, который Инициатор выбирает для инициализации и получения L2TP-трафика. 
 (4) Разрешен доступ с любого IP-адреса с любого порта на любой IP-адрес и любой порт Инициатора. 
Упражнение 10:
Номер 1
Начальные записи в политике IPSec на стороне Инициатора для исходящего трафика
Ответ:
 (1) С IP-адреса, который Инициатор использует для взаимодействия по L2TP-туннелю, и номера UDP-порта, который Инициатор выбирает для инициализации и получения L2TP-трафика, на IP-адрес, который Получатель слушает при получении начального SCCRQ
, и порт 1701. 
 (2) С IP-адреса, который Инициатор использует для взаимодействия по L2TP-туннелю, и номера UDP-порта, который Инициатор выбирает для инициализации и получения L2TP-трафика, на любой IP-адрес и порт 1701. 
 (3) С IP-адреса, который Инициатор использует для взаимодействия по L2TP-туннелю, и номера UDP-порта, который Инициатор выбирает для инициализации и получения L2TP-трафика, на любой IP-адрес и любой порт. 
 (4) Разрешен доступ с любого IP-адреса с любого порта на любой IP-адрес и любой порт Инициатора. 
Номер 2
Начальные записи в политике IPSec на стороне Получателя для входящего трафика
Ответ:
 (1) Следует указать Any-Port
для обработки потенциального изменения порта, которое может произойти в результате изменения номера порта Получателем. 
 (2) Следует указать R-Port
, чтобы Получатель не мог изменить номер порта. 
 (3) Следует указать I-Port
, чтобы Инициатор не мог изменить номер порта. 
 (4) Следует указать Deny-Port
, чтобы запретить трафик на данный порт. 
Номер 3
Процесс, который выполняется, если Получатель решает использовать новый IP-адрес для трафика L2TP-туннеля
Ответ:
 (1) Новый адрес, который выбирает Получатель, должен быть указан в AVP Result
и Error Code
в STOPCCN
сообщении. 
 (2) Сообщение STOPCCN
посылается на тот же самый адрес и UDP-порт, которые Инициатор использовал для посылки SCCRQ
. 
 (3) При получении STOPCCN
Инициатор должен извлечь IP-адрес и вставить новый набор записей в БД политик IPSec. 
 (4) При получении STOPCCN
Инициатор должен запретить весь трафик с данного IP-адреса. 
Упражнение 11:
Номер 1
Если Получатель решает использовать новый IP-адрес для трафика L2TP-туннеля
Ответ:
 (1) Если используется аутентификация по предварительно распределенному секрету, L2TP должен указать IKE связать новый IP-адрес с тем же секретом, который использовался для исходного IP-адреса. 
 (2) Если используется аутентификация по сертификату, L2TP должен указать IKE связать новый IP-адрес с тем же сертификатом, который использовался для исходного IP-адреса. 
 (3) Если используется аутентификация по имени пользователя и паролю, L2TP должен указать IKE связать новый IP-адрес с тем же именем пользователя и паролем, который использовался для исходного IP-адреса. 
 (4) Если используется аутентификация по dns-имени, L2TP должен указать IKE связать новый IP-адрес с тем же dns-именем, который использовался для исходного IP-адреса. 
Номер 2
Если Получатель решил использовать новый UDP-порт для трафика L2TP-туннеля
Ответ:
 (1) Получатель должен начать с Инициатором новую II Фазу переговоров IKE. 
 (2) Получатель должен начать с Инициатором новую I Фазу переговоров IKE. 
 (3) Новый UDP-порт можно начать использовать в рамках текущей Фазы переговоров. 
 (4) Получатель должен начать с Инициатором новую III Фазу переговоров IKE. 
Номер 3
Топология шлюз-шлюз и исходящий канал L2TP
Ответ:
 (1) Каждая сторона может инициировать создание L2TP-канала. 
 (2) Инициировать создание L2TP-канала может только Инициатор IPSec-туннеля. 
 (3) Инициировать создание L2TP-канала может только Получатель IPSec-туннеля. 
 (4) Инициировать создание L2TP-канала может только Третья Доверенная Сторона. 
Упражнение 12:
Номер 1
Различия между IKE- и РРР-аутентификацией
Ответ:
 (1) Хотя РРР-протокол и выполняет начальную аутентификацию, он не обеспечивает аутентификацию, целостность и защиту от replay-атак на уровне пакетов. 
 (2) В IPSec после того, как в IKE выполнена аутентификация и вычислены общие ключи, эти ключи используются для обеспечения аутентификации на уровне пакетов, целостности и защиты от replay-атак. 
 (3) В IPSec возможна аутентификация только по цифровым подписям, в РРР возможна аутентификация только по общему секрету. 
 (4) В IPSec нет аутентификации по имени пользователя и паролю. 
Номер 2
Различия между IKE- и РРР-аутентификацией
Ответ:
 (1) Аутентификация, выполняемая при начальной РРР-аутентификации, в дальнейшем не проверяется при получении каждого пакета. 
 (2) Аутентификация, выполняемая РРР, является идентификацией на уровне пользователя, а аутентификация, выполняемая IKE, является аутентификацией на уровне компьютера. 
 (3) Аутентификация, выполняемая IKE, не обеспечивает невозможность в дальнейшем подделаться под одну из сторон. 
 (4) Аутентификация, выполняемая IKE, не может использовать сертификаты открытого ключа. 
Номер 3
Различия между IKE- и РРР-аутентификацией
Ответ:
 (1) ПО IPSec обычно не имеет возможности сегрегации трафика на уровне различных пользователей данного компьютера. 
 (2) После открытия L2TP/IPSec туннеля любой пользователь в многопользовательской среде обычно имеет возможность посылать трафик по туннелю. 
 (3) ПО РРР не имеет возможности сегрегации трафика на уровне различных пользователей данного компьютера. 
 (4) В IKE/IPSec невозможна аутентификация по общему секрету.