игра брюс 2048
Главная / Безопасность / Технологии туннелирования / Тест 17

Технологии туннелирования - тест 17

Упражнение 1:
Номер 1
Под добровольным туннелированием понимают

Ответ:

 (1) Создание туннеля пользователем, обычно посредством использования клиента туннелирования, установленного на пользовательской рабочей станции. 

 (2) Создание туннеля Третьей Доверенной Стороной. 

 (3) Создание туннеля межсетевым экраном. 

 (4) Создание туннеля ISP. 


Номер 2
При добровольном туннелировании

Ответ:

 (1) Клиент будет посылать L2TP-пакеты к NAS, который затем будет пересылать их LNS. 

 (2) Клиент будет посылать РРР-пакеты к NAS, который затем будет инкапсулировать их в L2TP и туннелировать к LNS. 

 (3) Клиент будет посылать L2TP-пакеты к NAS, который затем будет инкапсулировать их в РРР-пакеты и туннелировать к LNS. 

 (4) Клиент будет посылать РРР-пакеты к NAS, который затем будет пересылать их к LNS. 


Номер 3
При добровольном туннелировании

Ответ:

 (1) NAS не должен поддерживать L2TP. 

 (2) LAC расположен на той же самой машине, что и клиент. 

 (3) LNS не должен поддерживать L2TP. 

 (4) Клиент не должен поддерживать L2TP. 


Упражнение 2:
Номер 1
Под обязательным туннелированием понимают

Ответ:

 (1) Создание туннеля без какого-либо участия клиента, и клиенту не предоставляется никакого выбора. 

 (2) Создание туннеля без какого-либо участия LAC, LAC не предоставляется никакого выбора.  

 (3) Создание туннеля без какого-либо участия LNS, LNS не предоставляется никакого выбора. 

 (4) Создание туннеля без какого-либо участия NAS, NAS не предоставляется никакого выбора. 


Номер 2
При обязательном туннелировании

Ответ:

 (1) Клиент будет посылать РРР-пакеты к NAS/LAC, который затем будет инкапсулировать их в L2TP и туннелировать к LNS. 

 (2) Клиент будет посылать L2TP-пакеты к NAS/LAC, который затем будет посылать их к LNS. 

 (3) Клиент будет посылать РРР-пакеты к NAS/LAC, который затем будет посылать к LNS. 

 (4) Клиент будет посылать L2TP-пакеты к NAS/LAC, который затем будет инкапсулировать их в PPP и туннелировать к LNS. 


Номер 3
При обязательном туннелировании

Ответ:

 (1) NAS/LAC должен поддерживать L2TP. 

 (2) Клиент должен поддерживать L2TP. 

 (3) Сервер в интернете, к которому хочет получить доступ клиент, должен поддерживать L2TP. 

 (4) LNS не должен поддерживать L2TP. 


Упражнение 3:
Номер 1
Примеры атак на протокол L2TP

Ответ:

 (1) Противник может узнать идентификаторы пользователей, просматривая пакеты данных. 

 (2) Противник может попытаться модифицировать управляющие пакеты. 

 (3) Противник может просматривать передаваемые пакеты. 

 (4) Противник может попытаться модифицировать пакеты данных. 


Номер 2
Примеры атак на протокол L2TP

Ответ:

 (1) Противник может попытаться встроиться в L2TP-туннель или РРР-соединение внутри туннеля, представившись одной из сторон. 

 (2) Противник может выполнить DoS-атаку, прерывая РРР-соединения или L2TP-туннели. 

 (3) Противник может выполнить replay-атаку. 

 (4) Противник может выполнить пассивную атаку. 


Номер 3
Примеры атак на протокол L2TP

Ответ:

 (1) Противник может попытаться внедриться в РРР-переговоры о параметрах шифрования, чтобы ослабить или удалить конфиденциальность. 

 (2) Противник может попытаться внедриться в РРР LCP-переговоры об аутентификации, ослабив аутентификацию и получив после этого доступ к паролям пользователей. 

 (3) Противник может изменить передаваемый общий секрет. 

 (4) Противник может подсмотреть передаваемый общий секрет. 


Упражнение 4:
Номер 1
Недостатки протокола L2TP

Ответ:

 (1) Нет защиты управляющего трафика и трафика данных на уровне пакетов. 

 (2) Управление ключом отсутствует. 

 (3) При аутентификации на уровне L2TP-туннеля не обеспечивается взаимная аутентификация LAC и LNS при создании туннеля. 

 (4) Нет аутентификации на уровне пользователя. 


Номер 2
Недостатки протокола L2TP

Ответ:

 (1) Аутентификация, целостность и защита от replay-атак на уровне пакетов отсутствует. 

 (2) Нет переговоров об используемых алгоритмах. 

 (3) Нет конфиденциальности трафика. 

 (4) Нет аутентификации конечных точек туннеля при создании туннеля. 


Номер 3
Недостатки протокола L2TP

Ответ:

 (1) Необходимо распределять пароли, с помощью которых выполняется аутентификация, каким-то внешним по отношению к протоколу способом. 

 (2) Клиенту необходимо иметь сертификат открытого ключа. 

 (3) LNS необходимо иметь сертификат открытого ключа. 

 (4) LAC необходимо иметь сертификат открытого ключа. 


Упражнение 5:
Номер 1
Основные принципы совместного использования L2TP и IPSec

Ответ:

 (1) Требуется обеспечить синхронное завершение L2TP-туннеля и SA, созданной в фазах I или II. 

 (2) Необходимо решить проблемы, связанные с фрагментацией. 

 (3) Необходимо решить проблемы, связанные с совместным использованием ключей IPSec и L2TP. 

 (4) Необходимо решить проблемы, связанные с совместным использованием сертификатов открытого ключа IPSec и L2TP. 


Номер 2
Проблемы, связанные с фрагментацией, при совместном использовании L2TP и IPSec

Ответ:

 (1) Так как MTU по умолчанию для РРР-соединений равно 1500 байтам, возможна фрагментация при добавлении L2TP- и IPSec-заголовков в РРР-кадр. 

 (2) При добавлении L2TP- и IPSec-заголовков в РРР-кадр становится невозможной фрагментация кадров. 

 (3) При добавлении L2TP- и IPSec-заголовков в РРР-кадр становится невозможным использование алгоритмов симметричного шифрования. 

 (4) При добавлении L2TP- и IPSec-заголовков в РРР-кадр становится невозможным аутентификация участников. 


Номер 3
Одним из способов решения проблемы фрагментации при совместном использовании L2TP и IPSec является

Ответ:

 (1) Использование в РРР значения MTU для входящего / исходящего трафика, равного L2TP/IPSec туннелю минус накладные расходы, связанные с внешними заголовками. 

 (2) Запрет фрагментации пакетов на уровне РРР. 

 (3) Запрет фрагментации пакетов на уровне L2TP. 

 (4) Запрет фрагментации пакетов на уровне IPSec. 


Упражнение 6:
Номер 1
Особенности совместного IPSec-туннелирования и L2TP-туннеля

Ответ:

 (1) Могут возникнуть проблемы при выполнении протокола IKE, так как в протоколе L2TP возможно изменение номера порта при переговорах. 

 (2) Могут возникнуть проблемы при выполнении протокола ESP, так как в протоколе L2TP выполняется собственное шифрование. 

 (3) Могут возникнуть проблемы при выполнении протокола IKE, так как в протоколе L2TP выполняется собственная аутентификация. 

 (4) Могут возникнуть проблемы при выполнении протокола IKE, так как в протоколе L2TP должны использоваться собственные разделяемые секреты. 


Номер 2
Выберите правильное утверждение

Ответ:

 (1) Так как IKE/IPSec не знает о деталях приложения, которое он защищает, не требуется никакой интеграции между приложением и IPSec-протоколом, если приложение не изменяет номера портов. 

 (2) Так как IKE/IPSec не знает о деталях приложения, которое он защищает, никогда не требуется никакой интеграции между приложением и IPSec-протоколом. 

 (3) Несмотря на то, что IKE/IPSec не знает о деталях приложения, которое он защищает, всегда требуется интеграция между приложением и IPSec-протоколом. 

 (4) Так как IKE/IPSec знает все о деталях приложения, которое он защищает, не требуется никакой интеграции между приложением и IPSec-протоколом. 


Номер 3
При совместном использовании L2TP и IPSec

Ответ:

 (1) При выборе Получателем нового IP-адреса, он посылает StopCCN Инициатору с AVP Result Code, Error Code. Result Code установлен в 2 (General error), и Error Code установлен в 7 (Try Another). 

 (2) Инициатор после обработки сообщений о новом IP-адресе должен послать новый SCCRQ на этот новый IP-адрес. 

 (3) При выборе Получателем нового IP-адреса, он посылает StopCCN Инициатору с AVP Result Code, Error Code. Result Code установлен в 0 (No general error). 

 (4) Инициатор после обработки сообщений о новом IP-адресе не должен производить никаких дополнительных действий. 


Упражнение 7:
Номер 1
При обеспечении безопасности L2TP с использованием IPSec возможны следующие изменения портов и IP-адресов Инициатора и Получателя

Ответ:

 (1) Порт Инициатора – 1701, IP-адрес Получателя – фиксированный, порт Получателя – 1701. 

 (2) Порт Инициатора – 1701, IP-адрес Получателя – фиксированный, порт Получателя – динамический. 

 (3) IP-адрес Инициатора – динамический, IP-адрес Получателя – фиксированный, порт Получателя – 1701. 

 (4) IP-адрес Инициатора – динамический, порт Инициатора – 1701, порт Получателя – 1701. 


Номер 2
Возможны следующие изменения портов и IP-адресов Инициатора и Получателя

Ответ:

 (1) Порт Инициатора – динамический, IP-адрес Получателя – фиксированный, порт Получателя – 1701. 

 (2) Порт Инициатора – динамический, IP-адрес Получателя – динамический, порт Получателя – динамический. 

 (3) IP-адрес Инициатора – динамический, порт Инициатора – 1701, IP-адрес Получателя – фиксированный. 

 (4) IP-адрес Инициатора – динамический, порт Инициатора – динамический, IP-адрес Получателя – фиксированный. 


Номер 3
Изменение номеров портов и IP-адреса Получателя может потребоваться

Ответ:

 (1) Для обеспечения балансировки нагрузки. 

 (2) Для обеспечения гарантированного качества (QoS). 

 (3) Для обеспечения возможностей фильтрования. 

 (4) Для обеспечения возможностей маршрутизации. 


Упражнение 8:
Номер 1
Для обеспечения возможности динамического изменения номеров портов и IP-адреса Получателя

Ответ:

 (1) Должны быть разработаны механизмы, которые позволяют L2TP вставлять свои записи в БД IPSec. 

 (2) Должны быть разработаны механизмы, которые позволяют IPSec вставлять свои записи в БД L2TP. 

 (3) Должны быть разработаны механизмы, которые позволяют Третьей Доверенной Стороне вставлять свои записи в БД L2TP. 

 (4) Должны быть разработаны механизмы, которые позволяют Третьей Доверенной Стороне вставлять свои записи в БД IPSec. 


Номер 2
Технология, обеспечивающая возможность L2TP вставлять свои записи в БД IPSec, должна обеспечивать следующие возможности

Ответ:

 (1) Инициатор должен позволять Получателю изменить его, Получателя, порт. 

 (2) Инициатор должен позволять Получателю изменить его, Получателя, IP-адрес. 

 (3) Получатель должен позволять Инициатору изменить его, Инициатора, IP-адрес. 

 (4) Никаких изменений IP-адресов и портов не допускается. 


Номер 3
Начальные записи в политике, необходимые для защиты SCCRQ

Ответ:

 (1) Как Инициатор, так и Получатель должны быть заранее сконфигурированы с дополнительными записями для поддержки L2TP. 

 (2) В L2TP должен быть определен метод добавления информации о новых IP-адресах и портах в БД политик IPSec. 

 (3) Записи должны быть созданы до того, как будет послано первое сообщение об установке L2TP-туннеля. 

 (4) В IPSec должен быть определен метод добавления информации о новых IP-адресах и портах в БД политик L2TP. 


Упражнение 9:
Номер 1
Начальные записи в политике IPSec на стороне Получателя для исходящего трафика

Ответ:

 (1) Нет начальных записей. Они должны быть динамически созданы IKE при успешном завершении фазы II. 

 (2) Начальные записи должны разрешать весь трафик с любого IP-адреса и порта на любой IP-адрес и порт. 

 (3) Начальные записи должны разрешать трафик на физический Ethernet-порт Получателя с любого IP-адреса и порта. 

 (4) Начальные записи должны запрещать весь трафик. 


Номер 2
Начальные записи в политике IPSec на стороне Получателя для входящего трафика

Ответ:

 (1) Разрешен доступ с любого IP-адреса с любого порта на IP-адрес, который Получатель слушает при получении начального SCCRQ и порт 1701. 

 (2) Разрешен доступ с IP-адреса, который Получатель слушает при получении начального SCCRQ, и с любого порта на IP-адрес, который Получатель слушает при получении начального SCCRQ и порт 1701. 

 (3) Разрешен доступ с IP-адреса, который Получатель слушает при получении начального SCCRQ, и с порта, который Инициатор выбирает для инициализации и получения L2TP-трафика, на IP-адрес, который Получатель слушает при получении начального SCCRQ и порт 1701. 

 (4) Разрешен доступ с любого IP-адреса с любого порта на любой IP-адрес и любой порт Получателя. 


Номер 3
Начальные записи в политике IPSec на стороне Инициатора для входящего трафика

Ответ:

 (1) Разрешен доступ с IP-адреса, который Получатель слушает при получении начального SCCRQ и любого порта на IP-адрес, который Инициатор использует для взаимодействия по L2TP-туннелю и номер UDP-порта, который Инициатор выбирает для инициализации и получения L2TP-трафика. 

 (2) Разрешен доступ с любого IP-адреса и любого порта на IP-адрес, который Инициатор использует для взаимодействия по L2TP-туннелю и номер UDP-порта, который Инициатор выбирает для инициализации и получения L2TP-трафика. 

 (3) Разрешен доступ с любого IP-адреса и любого порта на IP-адрес, который Инициатор использует для взаимодействия по L2TP-туннелю и любой номер UDP-порта, который Инициатор выбирает для инициализации и получения L2TP-трафика. 

 (4) Разрешен доступ с любого IP-адреса с любого порта на любой IP-адрес и любой порт Инициатора. 


Упражнение 10:
Номер 1
Начальные записи в политике IPSec на стороне Инициатора для исходящего трафика

Ответ:

 (1) С IP-адреса, который Инициатор использует для взаимодействия по L2TP-туннелю, и номера UDP-порта, который Инициатор выбирает для инициализации и получения L2TP-трафика, на IP-адрес, который Получатель слушает при получении начального SCCRQ, и порт 1701. 

 (2) С IP-адреса, который Инициатор использует для взаимодействия по L2TP-туннелю, и номера UDP-порта, который Инициатор выбирает для инициализации и получения L2TP-трафика, на любой IP-адрес и порт 1701. 

 (3) С IP-адреса, который Инициатор использует для взаимодействия по L2TP-туннелю, и номера UDP-порта, который Инициатор выбирает для инициализации и получения L2TP-трафика, на любой IP-адрес и любой порт. 

 (4) Разрешен доступ с любого IP-адреса с любого порта на любой IP-адрес и любой порт Инициатора. 


Номер 2
Начальные записи в политике IPSec на стороне Получателя для входящего трафика

Ответ:

 (1) Следует указать Any-Port для обработки потенциального изменения порта, которое может произойти в результате изменения номера порта Получателем. 

 (2) Следует указать R-Port, чтобы Получатель не мог изменить номер порта. 

 (3) Следует указать I-Port, чтобы Инициатор не мог изменить номер порта. 

 (4) Следует указать Deny-Port, чтобы запретить трафик на данный порт. 


Номер 3
Процесс, который выполняется, если Получатель решает использовать новый IP-адрес для трафика L2TP-туннеля

Ответ:

 (1) Новый адрес, который выбирает Получатель, должен быть указан в AVP Result и Error Code в STOPCCN сообщении. 

 (2) Сообщение STOPCCN посылается на тот же самый адрес и UDP-порт, которые Инициатор использовал для посылки SCCRQ

 (3) При получении STOPCCN Инициатор должен извлечь IP-адрес и вставить новый набор записей в БД политик IPSec. 

 (4) При получении STOPCCN Инициатор должен запретить весь трафик с данного IP-адреса. 


Упражнение 11:
Номер 1
Если Получатель решает использовать новый IP-адрес для трафика L2TP-туннеля

Ответ:

 (1) Если используется аутентификация по предварительно распределенному секрету, L2TP должен указать IKE связать новый IP-адрес с тем же секретом, который использовался для исходного IP-адреса. 

 (2) Если используется аутентификация по сертификату, L2TP должен указать IKE связать новый IP-адрес с тем же сертификатом, который использовался для исходного IP-адреса. 

 (3) Если используется аутентификация по имени пользователя и паролю, L2TP должен указать IKE связать новый IP-адрес с тем же именем пользователя и паролем, который использовался для исходного IP-адреса. 

 (4) Если используется аутентификация по dns-имени, L2TP должен указать IKE связать новый IP-адрес с тем же dns-именем, который использовался для исходного IP-адреса. 


Номер 2
Если Получатель решил использовать новый UDP-порт для трафика L2TP-туннеля

Ответ:

 (1) Получатель должен начать с Инициатором новую II Фазу переговоров IKE. 

 (2) Получатель должен начать с Инициатором новую I Фазу переговоров IKE. 

 (3) Новый UDP-порт можно начать использовать в рамках текущей Фазы переговоров. 

 (4) Получатель должен начать с Инициатором новую III Фазу переговоров IKE. 


Номер 3
Топология шлюз-шлюз и исходящий канал L2TP

Ответ:

 (1) Каждая сторона может инициировать создание L2TP-канала. 

 (2) Инициировать создание L2TP-канала может только Инициатор IPSec-туннеля. 

 (3) Инициировать создание L2TP-канала может только Получатель IPSec-туннеля. 

 (4) Инициировать создание L2TP-канала может только Третья Доверенная Сторона. 


Упражнение 12:
Номер 1
Различия между IKE- и РРР-аутентификацией

Ответ:

 (1) Хотя РРР-протокол и выполняет начальную аутентификацию, он не обеспечивает аутентификацию, целостность и защиту от replay-атак на уровне пакетов. 

 (2) В IPSec после того, как в IKE выполнена аутентификация и вычислены общие ключи, эти ключи используются для обеспечения аутентификации на уровне пакетов, целостности и защиты от replay-атак. 

 (3) В IPSec возможна аутентификация только по цифровым подписям, в РРР возможна аутентификация только по общему секрету. 

 (4) В IPSec нет аутентификации по имени пользователя и паролю. 


Номер 2
Различия между IKE- и РРР-аутентификацией

Ответ:

 (1) Аутентификация, выполняемая при начальной РРР-аутентификации, в дальнейшем не проверяется при получении каждого пакета. 

 (2) Аутентификация, выполняемая РРР, является идентификацией на уровне пользователя, а аутентификация, выполняемая IKE, является аутентификацией на уровне компьютера. 

 (3) Аутентификация, выполняемая IKE, не обеспечивает невозможность в дальнейшем подделаться под одну из сторон. 

 (4) Аутентификация, выполняемая IKE, не может использовать сертификаты открытого ключа. 


Номер 3
Различия между IKE- и РРР-аутентификацией

Ответ:

 (1) ПО IPSec обычно не имеет возможности сегрегации трафика на уровне различных пользователей данного компьютера. 

 (2) После открытия L2TP/IPSec туннеля любой пользователь в многопользовательской среде обычно имеет возможность посылать трафик по туннелю. 

 (3) ПО РРР не имеет возможности сегрегации трафика на уровне различных пользователей данного компьютера. 

 (4) В IKE/IPSec невозможна аутентификация по общему секрету. 




Главная / Безопасность / Технологии туннелирования / Тест 17