Wszystkie pytanka ze wszystkich lat by Teemonek

Transkrypt

1 Wszystkie pytanka ze wszystkich lat by Teemonek W RAMACH SAMOPOMOCY CHŁOPSKIEJ DOPISUJCIE NA NIEBIESKO [RGB(0, 0, 255)] KOMENTARZE, POPRAWKI I UWAGI, TAGUJĄC JE SWOIM NICKIEM KOMENTARZ DO CAŁEGO PYTANIA POD DANYM PYTANIEM everyone's commit matters kto załatwia pytania na egzamin metodą gumowego węża? metoda gumowego węża wymaga jaj ze stali Jarek is a good man - Just type: man jarek //man 666 jarek 1. Które z poniższych protokołów służą realizacji kryptograficznych tuneli wirtualnych: a) LDAP b) X.400 c) IPsec d) SSL 2. Które z poniższych protokołów służą realizacji kryptograficznych tuneli wirtualnych z ochroną poufności: a) AH b) ESP c) PGP d) X Które z poniższych protokołów służą realizacji kryptograficznych tuneli wirtualnych z ochroną poufności: a) PEM b) X.400 c) IPsec d) SSL 4. Które z poniższych protokołów służą realizacji kryptograficznych tuneli wirtualnych: a) IPsec b) TLS c) SSL d) L2TP zgodnie z sugestią Jarka, L2TP wykorzystuje IPsec do zabezpieczeń, sam ich nie realizuje 5. Do zrealizowania zamaskowanego kanału komunikacyjnego może potencjalnie posłużyć: a) port szeregowy // dlaczego nie? A jak zestawię po porcie szeregowym połączenie sieciowe do kolejki drukowania? -- Jarek; Kuba: ideą Sz. jest to, że transmisję na porcie szeregowym można było łatwo podsłuchać, do tego jest dość jawna; no i port ten służy do komunikacji, więc nie jest to specjalnie zamaskowany sposób :) b) kolejka drukowania c) system plików d) obciążenie systemu 6. Wersja 3DES-EDE jest wzmocnieniem algorytmu kryptograficznego DES osiągniętym poprzez: a) trzystopniowe sprawdzenie losowości doboru klucza

2 b) podział wyniku szyfrowania na 3 porcje różnej długości wg standardu Electronic Data Exchange c) trzykrotne użycie algorytmu DES w trybie szyfrowania, deszyfrowania i ponownie szyfrowania d) trzykrotne zastosowanie konwersji jednokierunkowej Electronic Data Exchange 7.??? Jakie funkcje mogą pełnić systemy HIPS? a) sondowanie usług (port enumeration) //Jarek: NIE b) zamek-i-klucz //Artur: wg mnie NIE, a przynajmniej nic o tym nie ma, no a co to by było za pytanie gdyby wszystkie odpowiedzi były prawdziwe ;) Jarek: wg. mnie też NIE. HIPS to tylko host IPS, a nie żadna rekonfiguracja sieci/firewalli, ogranicza się do jednego systemu c) monitor antywirusowy d) ochrona przed atakami DoS //Artur: w ostatnim wykładzie z zeszłego roku jest apropo (Intrusion Detection Systems) : * monitorowanie ruchu sieciowego w celu wykrycia zagrożeń : - podejrzanej aktywności (skanowania portów, adresów sieciowych) - podejrzanej zawartości pakietów wirusów) - dostępu do usług informacyjnych i katalogowych - ataków DoS na podstawie bazy wzorców ataków * raportowanie stanu bezpieczeństwa * półapek / przynęty - IPS (Intrusion Prevention Systems) - mają za zadanie skierować intruza w "ślepy zaułek" (fałszywe servery) odwodząc go od serwerów właściwych - dając administratorowi czas na reakcję A na następnym slajdzie : Systemy IDS / IPS mogą pracować jako: Host IDS (HIDS/HIPS) - ochrona lokalnego systemu operacyjnego / aplikacji (np. przed buffer overflow) 8. Metoda uzgadniania klucza Diffiego-Hellmana: a) jest odporna na ataki aktywne b) pozwala przekazać bezpiecznie klucz publiczny odbiorcy c) jest odporna na ataki pasywne d) pozwala przekazać bezpiecznie klucz publiczny nadawcy Adamus: zgadzam się, DH służy do uzgodnienia klucza sesji, nie jest odporne na MITM za to nic nikomu nie da podsłuch Artur: zgadzam się z Kubą i Adamusem. 9. W metodzie uzgadniania klucza Diffiego-Hellmana system kompromituje (narusza bezpieczeństwo): a) przechwycenia jednego z wymienianych kluczy b) przechwycenia obu wymienianych kluczy Kuba: jestem na NIE (nawet jeśli przechwycisz obie Alpha^klucz, nie zrobisz z tego użytecznego klucza do odczytu wiadomości) //Artur: a przynajmniej nie zrobisz tego efektywnie, w tych slajdach co unv na forum podał jest : Bezpieczenstwo opiera sie na trudnosci rozwiazania problemu logarytmu dyskretnego: znajac p, g, g^a i g^b, nie umiemy efektywnie obliczyc a, b i g^ab. adamus: żadne przechwycenie nic nie da, więc dwie pierwsze odpowiedzi nie mogą być poprawne c) podstawienie fałszywego klucza w miejsce każdego z wymienianych d) podstawienie fałszywego klucza w miejsce dowolnego z wymienianych adamus: angielskie wiki twierdzi, że potrzeba, aby atakujący robił za pośrednika wobec obydwu stron, czyli musi podstawić swoje wartości klucza w miejsce każdej wymienianej między stronami //Artur: za pośrednika tak, ale co mu po tym jak nie odczyta tych wiadomości, chyba że piszesz że

3 podmieni także na etapie negocjacji kluczy adamus: za pośrednika, czyli nie będzie bezpośredniej komunikacji A-B tylko będzie A-E-B, w domyśle nigdy nie będzie bezpośredniej komunikacji między nimi, przede wszystkim na etapie wymiany klucza 10. Mechanizm ochrony anty-spamowej o nazwie szare-listy polega na: a) automatycznym weryfikowaniu listy zabronionych adresów nadawców przez MTA b) odesłaniu komunikatu SMTP o czasowej niedostępności usługi c) analizie nagłówka SMTP przez MUA d) dynamicznym weryfikowaniu listy podejrzanych adresów nadawców przez użytkownika 11. Jaki rodzaj filtracji umożliwia podejmowanie decyzji o filtracji pakietów z uwzględnieniem stanu sesji, do której przynależą? a) filtry kontekstowe b) Stateful Packet Filtering c) filtry statyczne d) filtry bezstanowe 12. Które z poniższych reguł są prawdziwe w przypadku mechanizmu Mandatory Access Control (MAC): "Podmiot nie może... a)...zapisać danych o etykiecie niższej niż jego aktualna" b)...uruchomić procesu o etykiecie wyższej niż jego aktualna" Kuba: Ok, ze slajdów wynika że Execute jest na równi z Read c)...zapisać danych o etykiecie wyższej niż jego aktualna" d)...czytać danych o etykiecie niższej niż jego aktualna" 13. Które z wymienionych technik mogą być wykorzystane do uwierzytelniania z hasłami jednorazowymi: unv: sprawdzone a) jednokrotne uwierzytelniane (single sign-on) b) certyfikacja klucza sesji c) metoda zawołanie-odzew (challenge-response) d) synchronizacja czasu adamus: jeszcze lista haseł 14. Mechanizm OTP (one-time passwords): a) uniemożliwia atak poprzez odtwarzanie (replaying) b) weryfikuje nietrywialność hasła podczas jego zmiany c) jest niewrażliwy na podsłuch adamus: kwestia dyskusyjna, ale chyba lepiej nie zaznaczać; Jarek: ja bym zaznaczył, łatwiej wybronić w dyskusji ;-) Przykładowy scenariusz ataku: dosujemy użytkownika/serwer podczas logowania. User wysyła hasło, my je podsłuchujemy, nie dolatuje do serwera, kwestia tego, czy zaznaczamy odpowiedź poprawną, czy taką, jakiej oczekuje Omikron. adamus: tak tak, był omawiany taki przypadek -- chodzi o to, że nikt nie będzie z Tobą nad tym pytaniem się rozwodził -- jak klikaliśmy takie testy u omikrona na sopach to nie było zmiłuj. Zaznaczyłem odpowiedź poprawną u omikrona na sopach i straciłem ważny punkt, tyle z mojej strony, ale co tutaj jest wg nich poprawne to nie wiem, na pewno sama odpowiedź A jest bezpieczna Artur: z tego co nam mówił ostatnio na labkach BB, to nie będzie ujemnych punktów za zaznaczenie złej, pod warunkiem że nie przekroczymy limitu poprawych odpowiedzi J: Ale to na labach, nie egzaminie. Na labach będzie znana liczba poprawnych odpowiedzi, na examie nie. adamus: nie rozumiem (acha, o liczbie poprawnych odpowiedzi to nie wiedziałem) d) uniemożliwia zdobycie hasła metodą przeszukiwania wyczerpującego 15. Przykładem realizacji mechanizmu uwierzytelniania z udziałem zaufanej trzeciej strony jest: a) protokół Kerberos b) urząd CA???

4 c) system PKI d) protokół Diffiego-Hellmana //Artur: miałbym wątpliwości co do odpowiedzi b) i c) // J: też. B wg. mnie nie jest mechanizmem, C miałem zaznaczone // u: zależy jak definiuje się mechanizm. Wszystko można podpiąć pod mechanizm. 16. Atak typu TCP spoofing wymaga: a) intensywnego zalewania segmentami SYN b) odgadnięcia numeru sekwencyjnego pierwszego segmentu strony dającej nawiązania połączenia c) odgadnięcia numeru ISN strony odbierającej żądanie nawiązania połączenia d) zalewania żądaniami nawiązania połączenia TCP w trybie rozgłoszeniowym 17. Jaka usługa jest szczególnie narażona na atak TCP spoofing? a) ftp, ponieważ domyślnie serwery działają w trybie pasywnym, b) ftp, ponieważ domyślnie serwery działają w trybie aktywnym, c) rcp, ponieważ używa adresu klienta do uwierzytelnienia d) rcp, ponieważ nie używa adresu klienta do uwierzytelnienia 18. Które zdania poprawnie opisują protokół IKE w IPsec? a) oferuje uwierzytelnianie stron b) korzysta z UDP //port 500 c) korzysta z ICMP d) oferuje negocjację algorytmów szyfrujących 19. Które zdania poprawnie opisują protokół IKE w IPsec? a) oferuje uwierzytelnianie stron b) oferuje podpis cyfrowy pakietów IP c) oferuje negocjację algorytmów szyfrujących d) oferuje wymianę kluczy metodą Diffiego-Hellmana 20. Jaki mechanizm może wykorzystać administrator do dynamicznego uaktywnienia specjalnie przygotowanych reguł filtracji umożliwiających obejście ograniczeń narzuconych na normalny ruch sieciowy? a) zamek-i-klucz b) dynamiczny skaner portów c) sniffer dynamiczny d) NIDS lub HIPS //Network Intrusion Detection System, Host-based Intrusion Prevention System 21. Wskaż operacje stosowane w metodzie ARP cache detekcji snifferów: a) wysłanie zapytania ICMP echo request z fałszywym adresem źródłowym IP na adres podejrzewanej stacji b) wysłanie ogłoszenia ARP o fałszywym adresie IP c) wysłanie zapytania ICMP echo request z fałszywym adresem docelowym IP i oczekiwaniu na odpowiedź d) odpytanie podejrzewanej stacji o wszystkie adresy MAC sieci lokalnej 22. Klasa B1 wg TCSEC ( Orange Book ) lub równoważna jej klasa EAL4 wg Common Criteria wymaga m. in.: a) ochrony systemowych obszarów pamięci C1 < B1, czyli TAK b) uwierzytelniania użytkowników C1 < B1, czyli TAK c) ścisłej kontroli dostępu do danych (MAC) TAK d) szyfrowania plików Kuba: wynika to ze slajdów z wykładu 1. Artur: apropo c), a czy tam nie jest napisane że DAC a nie MAC?...ale jest, że są etykietowane poziomy ochrony danych (= ścisła kontrola dostępu (s.41, wykład 1))

5 23. Jakie komponenty tworzą każdą zaporę sieciową? a) dekoder ramek PDU b) filtr pakietów c) sniffer pakietów d) skaner portów 24.??? Funkcja skrótu dająca wynik 512-bitowy: a) ma teoretyczną odporność na kolizje = 2^256 b) wymaga klucza 512b c) wymaga klucza 256b d) ma teoretyczną odporność na atak urodzinowy = 2^256 Adamus: wiki mówi, że odporność na kolizje w typowej funkcji skrótu to ½ długości wyniku, co do ataku urodzinowego to można domniemywać, że D również jest poprawne (nie ma tego jakoś wprost napisane, po prostu 2^{k/2} ma duże szanse znalezienia kolizji) -- pewnie chodzi o to, że odporność wynosi ½ długości skrótu ZE WZGLĘDU NA atak urodzinowy -- wtedy byłoby wszystko jasne 25. Skrót KDC w systemie Kerberos oznacza *1+: a) Key Distribution Center b) Kerberos Domain Controler c) Kerberos Directory Center d) Kerberos Designated Certificate 26. Do szyfrów symetrycznych zaliczamy: a) Rijndael b) Blowfish c) ElGamal d) żadne z powyższych 27. Ochronę SYSKEY wprowadzono w systemie MS Windows w celu: a) szyfrowania plików użytkowników w systemie NTFS b) wzmocnionego szyfrowania postaci hash haseł użytkowników c) odszyfrowania plików przez systemową usługę odzyskiwania plików d) szyfrowania plików systemowych w systemie NTFS 28. Które zdania poprawnie opisują proces uwierzytelniania w usłudze pocztowej? a) standard ESMTP umożliwia uwierzytelnianie metodą zawołanie-odzew b) standard SMTP umożliwia uwierzytelnianie metodą zawołanie-odzew c) w standardzie SMTP serwery uwierzytelniane są na podstawie adresów d) standard ESMTP oferuje mechanizmy uwierzytelniania SASL i TLS 29. Standard SASL (Simple Authentication and Security Layer) umożliwia: // tmnk: na stronce domowej jest o tym, myślę, że potwierdzone a) rozszerzenie mechanizmu uwierzytelniania protokołu SMTP o mechanizm haseł jednorazowych b) rozszerzenie mechanizmu uwierzytelniania protokołu IMAP o współpracę z systemem Kerberos c) rozszerzenie mechanizmu kontroli dostępu do katalogu domowego o listy ACL d) redukcję mechanizmu kontroli dostępu do plików w Windows do postaci rwx 30.??? Które protokoły umożliwiają propagację portów w tunelu kryptograficznym? a) ESP b) SSH // tmnk: poprawne c) SSL d) AH

6 31. Określ prawidłową kolejność pełnej sekwencji odwołań klienta do serwerów w przypadku dostępu do usługi SMTP w środowisku Kerberos: a) serwer TGS - serwer AS - serwer TGS- serwer SMTP b) serwer AS - serwer TGS - serwer SMTP - serwer AS c) serwer AS - serwer TGS - serwer SMTP d) serwer TGS - serwer AS - serwer SMTP 32. Moduły PAM (Pluggable Authentication Modules) umożliwiają: a) oddzielenie konfiguracji procesu uwierzytelniania od kodu aplikacji b) integrację uwierzytelniania użytkowników sieci pomiędzy systemami Windows i Linux // Jarek: wg. mnie też, dzięki PAM można uwierzytelniać użytkowników pod Linuksem na przykład za pomocą LDAP albo ActiveDirectory, z których mogą też korzystać windowsy (za pomocą własnych mechanizmów) c) dostęp serwera usługi www (np. z systemu operacyjnego MS Windows w środowisku domenowym) do zewnętrznych źródeł danych uwierzytelniających, np. bazy danych // Jarek: jak serwer WWW obsługuje PAM, to czemu by nie? Czy ktoś to inaczej rozumie? d) implementuje filtry Bayesa do ochrony poczty przed niepodanymi przesyłkami 33. Która zasada realizacji zabezpieczeń wymaga konsekwentnego zastosowania odpowiedniego mechanizmu ochrony wobec wszystkich wykorzystywanych protokołów aplikacyjnych: a) spójności poziomej b) spójności pionowej c) naturalnego styku d) obligatoryjnej kontroli dostępu 34. Protokół IPv6: a) oferuje mechanizm AH w celu zapewnienia autentyczności b) oferuje mechanizm ESP w celu zapewnienia poufności c) nie oferuje AH, jako że jego zadania powiela ESP d) nie oferuje żadnych mechanizmów bezpieczeństwa (wymaga dodatkowej implementacji IPsec) 35.??? Wskaż możliwe środki ochronne przed atakami przepełnienia bufora: a) niewykonywany segment kodu b) niewykonywany segment stosu c) kontrola zakresu danych globalnych programu na etapie wykonania // tmnk: kanarek?; Jarek: niekoniecznie, starczy po prostu za każdym razem sprawdzać rozmiar bufora, jak robi Java. d) kontrola zakresu danych lokalnych funkcji na etapie kompilacji 36. Do szyfrów niesymetrycznych zaliczamy: a) MD4 b) MD5 c) DES d) żadne z powyższych 37. Do szyfrów niesymetrycznych zaliczamy: a) Rijndael b) Blowfish c) ElGamal d) żadne z powyższych 38. Wskazać szyfry symetryczne a) Blowfish b) DES c) ElGamal

7 d) żaden z powyższych 39. Klucze w szyfrowaniu symetrycznym: a) zapewniają autentyczność i niezaprzeczalność pod warunkiem zachowania tajności klucza b) mogą być publicznie dostępne pod warunkiem certyfikacji c) zawsze powinny być znane tylko komunikującym się stronom d) wymagają losowego wyboru dużych liczb pierwszych 40.??? Wskaż zagrożenia bezpieczeństwa związane z fragmentacją datagramów w protokole IP? a) fragmentacja uniemożliwia stosowanie AH IPsec b) fragmentacja uniemożliwia stosowanie ESP IPsec c) scalanie w węźle nadawcy fragmentów perfidnie przygotowanych // Jędrek uświadomił mi, że tu jest napisane nadawcy Jarek d) fragmentacja utrudnia filtrację pakietów? dlaczego (w wykładzie jest że często filtry przetwarzają właściwie (np. odrzucają) tylko pierwszy fragment pakietu (bo tylko tam są użyteczne inforamcje)) 41. Wskaż funkcje biblioteczne odpowiedzialne za podatność na atak przepełnienia bufora: a) gets() b) strncpy() c) strcpy() d) shellcode() 42. Które z wymienionych protokołów i standardów oferują szyfrowaną transmisję wiadomości pocztowych? a) X.400 b) S/MIME c) PGP d) SMTP 43. Które zdania poprawnie opisują nawiązywanie sesji SSL? a) serwer przesyła komunikat ServerHello ze swoim certyfikatem b) klient uwierzytelnia serwer na podstawie odebranego certyfikatu c) serwer przesyła komunikat ServerHello z opcjonalnym losowym zawołaniem d) klient odsyła podpisane zawołanie do serwera tylko jeśli serwer żądał uwierzytelnienia klienta 44. Czy certyfikaty SSL dla obu stron połączenia vpn nawiązanego przy pomocy programu OpenVPN muszą by podpisane przez tą sam zaufaną stronę trzecią?: a) nie, ponieważ nie ma takiej opcji w OpenVPN // tmnk: Nic o tym nie znalazłem b) nie, ponieważ nie ma znaczenia czy to jest to samo CA, ważne aby zaufanie strony trzeciej było ogólnie znane CA, np. Thawte, VeriSign, Unizeto c) nie trzeba podawać parametru wskazującego na CA, jest to opcjonalne d) tak // Tak, muszą być podpisane przez to samo CA. Jest w manualu. -- Jarek 45. Szyfrowanie asymetryczne zapewnia: a) autentyczność pod warunkiem zachowania tajności klucza prywatnego odbiorcy b) poufność pod warunkiem zachowania tajności klucza prywatnego nadawcy c) poufność pod warunkiem zachowania tajności klucza prywatnego odbiorcy d) autentyczność pod warunkiem zachowania tajności klucza prywatnego nadawcy 46. SFTP to: a) klient protokołu ftp będący częścią pakietu SSH b) niezależna implementacja protokołu SecureFTP c) SslFTP wersja protokołu ftp wykorzystująca mechanizm certyfikatów SSL d) podsystem ssh służący do przesyłania plików

8 e) podsystem raportowania o błędach w SSH 47. Które z poniższych mechanizmów stosują programy malware w celu kamuflażu swojej obecności: a) opancerzenie (armor) b) zamaskowane węzły (shadow i-node) c) fingerprinting d) polimorfizm 48. Jakie restrykcje pozwala narzucić systemowa funkcja chroot() systemu Unix? a) ograniczenie odczytu do określonego poddrzewa systemu plików b) ograniczenie komunikacji sieciowej do wybranych portów c) niedostępność odziedziczonych deskryptorów d) ograniczenie zapisu do określonego poddrzewa systemu plików 49. Mechanizm ACL: a) wyróżnia systemy MAC od DAC b) jest trybem pracy szyfrowania asymetrycznego c) oferuje niezaprzeczalność odbioru wiadomości d) oferuje niezaprzeczalność nadania wiadomości e) jest narzędziem kontroli dostępu do zasobów 50. Mechanizm ACL umożliwia: a) nadawanie praw (rwx) wielu użytkownikom i grupom b) odtwarzanie zniszczonych plików c) nadawanie nowych praw (np. dopisywania) wielu użytkownikom // tmnk: Jeśli chodzi o prawo dopisywanie, na pewno jest to błędna odpowiedź.; dopisywanie pod Linuksem to atrybuty (chattr, lsattr), więc co innego d) ustanowienie szyfrowania plików 51. Które funkcje i parametry konfiguracyjne PHP mogą być wykorzystane do ochrony przed atakami typu command injection? a) magic_quotes_gpc b) addslashes() c) mysql_escape_string() d) strip_tags() 52. Relacja zaufania w uwierzytelnianiu w środowisku sieciowym: a) jest wykorzystywana zarówno przez systemy Unix, jak i MS Windows b) może być jednostronna lub dwustronna c) nie jest przechodnia d) jest realizacją koncepcji SSO //adamus: tego nie będzie na pewno? Jarek: też to miałem zaznaczone, ale z? admus: jeśli pytanie 92 ma być tworzenie zaufania między hostami to ja bym zaznaczył tutaj D 53. Wskaż prawidłowe stwierdzenia dotyczące metod uwierzytelniania systemów operacyjnych MS Windows w środowisku sieciowym: a) Kerberos jest bezpieczniejszy niż LM i NTLM b) LM jest bezpieczniejszy niż NTLM c) Kerberos jest bezpieczniejszy niż NTLM, ale jest dostępny tylko w środowisku domenowym [chyba TAK] d) NTLM jest bezpieczniejszy niż LM 54. Wskaż własności protokołu RADIUS: a) pozwala na centralizację zarządzania danymi, które dystrybuuje

9 b) wspomaga uwierzytelnianie c) pracuje w architekturze klient-serwer d) zabezpiecza pocztę elektroniczną wraz z załącznikami 55. Które z poniższych określeń opisują protokół RADIUS: // tmnk: na podstawie wiki a) udostępnia informacje niezbędne do kontroli uprawnień zdalnego dostępu (np. restrykcje czasowe) b) oferuje wymianę kluczy protokołu IPsec przy wykorzystaniu zarówno haseł, jak i certyfikatów PKI c) pozwala na scentralizowane przechowywanie danych uwierzytelniających dla wielu punktów dostępowych d) podnosi dostępność poprzez redundantne rozproszenie danych uwierzytelniających do wielu punktów dostępowych kuba: o ile odpowiedź w 57. jest poprawna, to d także jest dobre. chociaż mam do tej odpowiedzi póki co zastrzeżenia Jarek: stawiam 2 serwery radiusa i mam redundancję. Jak jeden padnie, wszystko działa => podniesiona dostępność. Dlaczego to nie jest zaznaczone? 56. Czy program inetd to: // tmnk: na podstawie wiki a) jest ważnym elementem systemu operacyjnego Linux, odpowiedzialny za uruchamianie innych programów b) krytyczny program w systemie operacyjnym Linux, który zawsze musi być uruchomiony c) krytyczny program w systemie operacyjnym Linux, który zawsze musi być uruchomiony, jest rodzicem dla wszystkich nowo powstałych procesów d) bardzo ważny komponent systemu Linux, bez którego system operacyjny nie będzie działał prawidłowo z uwagi na niemożność uruchamiania dodatkowych programów 57. Które z poniższych określeń opisują protokół RADIUS: a) oferuje wymianę kluczy protokołu IPsec przy wykorzystaniu zarówno haseł jak i certyfikatów PKI b) podnosi dostępność poprzez redundantne rozproszenie danych uwierzytelniających do wielu punktów dostępowych c) udostępnia informacje niezbędne do kontroli uprawnień zdalnego dostępu (np. restrykcje czasowe) d) pozwala na scentralizowane przechowywanie danych uwierzytelniających dla wielu punktów dostępowych 58. Które z poniższych standardów nie oferują żadnej redundancji: a) RAID 0 b) RAID 5 c) RAID 3 d) RAID Tryb strumieniowy szyfrowania: a) wykorzystuje wektor inicjujący rejestr szyfrowania b) umożliwia szyfrowanie komunikacji asynchronicznej c) polega na szyfrowaniu każdorazowo po jednym znaku d) wymaga klucza prywatnego i publicznego 60. Wskaż najbezpieczniejszy standard zabezpieczeń komunikacji w sieciach bezprzewodowych Wi-Fi: a) IEEE WEP b) IEEE i = WPA2 :) c) WPA-Enterprise d) WPA-PSK 61. Wskaż własności protokołu HSRP (Hot Standby Router Protocol):

10 a) służy do tworzenia tuneli VPN b) zabezpiecza pocztę elektroniczną c) pozwala uzyskać redundancję routerów d) wspomaga uwierzytelnianie 62. Który protokół umożliwia transparentną dla stacji sieciowej obsługę uszkodzenia jej routera domyślnego? a) RIP (Routing Information Protocol) b) TRP (Transparent Router Protocol) c) LSP (Link State Protocol) d) HSRP (Hot Standy Routing Protocol) 63. Wskaż protokoły wymagające zabezpieczenia autentyczności i integralności danych, choć niekoniecznie - poufności: a) STP (Spanning Tree Protocol) b) FTP (File Transfer Protocol) c) DNS (Domain Name Service) d) ARP (Address Resolution Protocol) Jarek: ja bym zaznaczył wszystkie. STP pozwala na zmianę topologii sieci, FTP na pobranie złych danych (anonimowe publiczne FTP nie wymaga poufności), ARP -- pozwala na spoofing. adamus: no ARP to na bank bym zaznaczył, ogólnie pytanie z dupy ponownie -- wszystkie te protokoły byłoby fajnie, gdyby były zabezpieczane pod kątem integralności i autentyczności, w praktyce nie są (nie wiem jak z STP w praktyce w sieciach) i wszystko działa -- obawiam się, że mój ruter/sieciówka nie wymuszają podpisywania odpowiedzi na arpa :-] Jarek: dokładnie. STP podobno można podpisywać, ale jeszcze takiego nie widziałem (po prostu wyłącza się na konkretnych portach), a o podpisywaniu ARP nie słyszałem 64. Wskaż cechy certyfikatów kwalifikowanych (wg obowiązującego prawodawstwa polskiego): a) ważne są nie dłużej niż 2 lata b) służą do szyfrowania dokumentów c) służą do szyfrowania poczty d) wywołują skutki prawne równoważne podpisowi własnoręcznemu 65. Wskaż kiedy system kontroli dostępu MAC nie zezwoli podmiotowi P na dopisanie danych do zasobu Z: a) gdy zbiory kategorii przynależności danych P i Z są rozłączne b) gdy zbiór kategorii przynależności danych Z zawiera się w zbiorze kategorii P c) gdy poziom zaufania Z jest niższy niż P // tmnk: nie zapiszemy o etykiecie nizszej niz swoja d) gdy poziom zaufania Z jest wyższy niż P 66. Wskaż cechy filtracji kontekstowej (SPF) realizowanej przez zapory sieciowe: a) historia komunikacji nie ma wpływu na decyzje zapory b) pozwala na dynamiczne modyfikacje reguł filtracji c) pozwala uniknąć niepotrzebnego sprawdzania reguł dla pakietów powracających w ruchu zweryfikowanym w stronę przeciwną d) dopasowuje pakiety do zapamiętanej historii komunikacji 67. Wskaż cechy mechanizmu SYN cookies: a) pozwala przeglądarce na bezpieczną aktualizację ciasteczek b) minimalizuje ilość informacji potrzebnych przeglądarce do uwierzytelniania zdalnego dostępu c) identyfikuje połączenie wartością wpisywaną do pola ACK d) minimalizuje wielkość zasobów przydzielanych przy odbiorze żądania nawiązania połączenia kuba: trochę zastanawiam się nad d, ale nie wiem czy to nie jest nadinterpretacja? Jarek: nie. SYN cookies stosuje się właśnie po to, aby nie rezerwować zasobów dla każdego półotwartego połączenia.

11 68.??? Mechanizm SYN cookies: a) odpowiada na właśnie odebrany pakiet SYN, tylko jeśli spełnia zadanie kryteria poprawności b) nigdy nie nawiązuje połączenia pod wpływem odbioru segmentu SYN c) jest wykorzystywany do przeprowadzenia rozproszonego ataku DOS d) odpowiada na wcześniej odebrany pakiet SYN po zadanym czasie oczekiwania Jarek: zastanawiam się nad B. Z punktu widzenia stosu serwera po samym SYN nie ma połączenia. Nie jestem też pewien, o jakie kryteria poprawności chodzi i co to ma wspólnego z syn cookies. 69. Wskaż przykłady zamaskowanych kanałów komunikacyjnych: a) system plików (tworzenie / usuwanie pliku) b) obciążenie procesora c) SSL d) VPN 70. Wskaż cechy charakteryzujące kontrolę dostępu MAC: a) właściciel zasobu nie może dysponować prawami dostępu do tego zasobu b) etykiety ochrony danych przypisane do zasobów automatycznie wymuszają uprawnienia c) tylko wyróżniony oficer bezpieczeństwa może dysponować prawami dostępu do zasobów d) tylko właściciel zasobu może dysponować prawami dostępu do tego zasobu 71.??? Który z wymienionych protokołów nie chroni przed podszywaniem się pod podmiot uwierzytelniający: a) IPsec/IKE b) IPsec/ISAKMP c) PAP (jawne hasła) d) SSL 72. Który z wymienionych protokołów nie chroni przed podszywaniem się pod podmiot uwierzytelniający: a) SSL v.3 b) SSL v.2 c) TLS v.1 d) PAP (jawne hasła) 73. Wskaż cechy charakteryzujące kontrolę dostępu MAC: a) właściciel zasobu nie może przekazać możliwość decydowania o uprawnieniach dostępu do tego zasobu b) właściciel zasobu może przekazać możliwość decydowania o uprawnieniach dostępu do tego zasobu c) właściciel zasobu nie może decydować o uprawnieniach dostępu do tego zasobu d) właściciel zasobu może decydować o uprawnieniach dostępu do tego zasobu 74. Wskaż kto może rozszyfrować plik zaszyfrowany mechanizmem EFS: a) administrator //*od XP admin nie jest domyślnie DRA, wcześniej był, więc nie wiadomo] b) każdy agent DRA istniejący w momencie deszyfrowania pliku c) właściciel pliku d) każdy agent DRA istniejący w momencie szyfrowania pliku [chyba NIE] 75. Algorytm 3DES w trybie EDE wykorzystuje klucze o długości: a) 256 b b) 116 b c) 64 b d) 192 b Kuba: tym niemniej najbliższe prawdy jest 192b; chociaż tam są 2 klucze, nie?

12 adamus: pytanie jest z dupy, klucz jest jeden 192, ale tak naprawdę wykorzystywane są 3 podklucze po 64 (gdzie faktycznie klucz zajmuje 56, ale 8 bitów parzystości jest jakby nie patrzeć integralną częścią klucza), omikron na slajdach zrobił dziwny przykład z dwoma podkluczami -- nie wiem czemu to miało służyć -- być może pokazaniu możliwości, że da się zrobić EDE na dwóch podkluczach kuba: czyli odpowiedzią może być 192 jeśli mowa o całości lub 64 jeśli mowa o podkluczach wykorzystuje klucze (?) adamus: gdyby było wykorzystuje klucz to by nie było wątpliwości, że 192, ale jeśli klucze to stawiam na tolka banana i na 64 Jarek: jakby było klucz a nie klucze, to by znaczyło, że za każdym razem można korzystać z tylko jednego, tego samego klucza. Nie czepiamy się słówek, IMNSHO D. adamus: Jarek racja, może jestem za bardzo crypto-nazi i się czepnąłem 76. Standard IEEE 802.1x: a) realizuje autoryzację i kontrolę dostępu do lokalnej infrastruktury sieciowej b) współpracuje z protokołami takimi jak RADIUS lub TACACS+ c) dotyczy zabezpieczenia poufności [chyba TAK] d) dotyczy uprawnień dostępu do zasobów plikowych 77. Statyczne reguły filtracji (filtracja bezstanowa) nie radzą sobie z precyzyjną filtracją ruchu: a) HTTP, gdy serwer pracuje w trybie bezstanowym b) HTTP, gdy serwer pracuje w trybie stanowym c) FTP, gdy serwer pracuje w trybie aktywnym (17/65 - wykład 7) d) FTP, gdy serwer pracuje w trybie pasywnym // Jarek: też. Zależy, po której stronie jest firewall (może być na serwerze FTP albo u klienta) 78. Standard IEEE 802.1x: a) umożliwia scentralizowane uwierzytelnianie wielu punktów zdalnego dostępu b) oferuje wymianę kluczy w sieci WiFi przy wykorzystaniu zarówno haseł jak i certyfikatów // Jarek: wg. mnie tak. ZTCP 802.1x obsługuje i hasła, i certyfikaty, a z wifi też działa c) podnosi dostępność poprzez redundantne rozproszenie danych uwierzytelniających do wielu punktów dostępowych // patrz RADIUS -- Jarek d) pozwala uwierzytelniać stanowiska sieciowe przy dostępie do sieci lokalnej 79. Mechanizm SSO umożliwia: a) uwierzytelnianie użytkownika wobec wielu serwerów jednorazową procedurą weryfikacji hasła b) szyfrowanie całej komunikacji łącznie z procedurą uwierzytelniania c) uwierzytelnianie użytkownika innym hasłem wobec każdego serwera d) uwierzytelnianie użytkownika za każdym razem innych hasłem wobec tego samego serwera 80. Mechanizm SSO (single sign-on): a) służy ochronie danych uwierzytelniających użytkownika b) pozwala jednolicie chronić podpisem cyfrowym poufność całej komunikacji c) służy ochronie niezaprzeczalności danych składowanych w repozytorium d) pozwala jednolicie chronić podpisem cyfrowym integralność całej komunikacji 81. Wskaż cechy protokołu Hot Standby Routing Protocol: a) oferuje transparentne zasilanie z kilku redundantnych torów energetycznych b) jest wykorzystywany w LAN Emulation c) chroni przed atakami DoS poprzez czasowe wyłączanie routingu po wykryciu próby ataku d) oferuje trasparentną redundancję urządzeń sieciowych 82. Koncepcja "zamkniętych grup użytkowników" dotyczy odseparowania danych przetwarzanych przez odrębne grupy użytkowników tego samego środowiska sieciowego. Które z poniższych mechanizmów są realizacją tej koncepcji:

13 a) uwięzienie (jail) b) protokół rezerwacji zasobów (RSVP) c) transmisja grupowa (multicast) w sieci Ethernet d) sieci wirtualne VLAN 83. Wskaż kiedy system kontroli dostępu MAC może zezwolić podmiotowi P na dopisanie danych do zasobu Z: a) gdy zbiór kategorii przynależności danych Z zawiera się w zbiorze kategorii P b) gdy poziom zaufania P jest niższy niż Z c) gdy poziom zaufania P jest wyższy niż Z d) gdy zbiór kategorii przynależności danych P zawiera się w zbiorze kategorii Z 84. Który z wymienionych protokołów pozwala uniknąć przesyłania hasła podmiotu uwierzytelnianego (w jakiejkolwiek postaci): a) PAP (nie, jawne) b) SSH // tmnk: metodą Diffiego-Hellmana lub metodą klucza asymetrycznego c) SPAP // tmnk: Simple Password Authentication Protocol?? nic takiego nie znalazlem d) CHAP // (nie, hash); Jarek: to chyba było challenge-response. Jak mi się będzie chciało, to jeszcze sprawdzę; Bartek: zgadza się: wykład04 sieci, slajd Wskaż cechy filtracji bezstanowej realizowanej przez zapory sieciowe: a) dopasowuje pakiety do zapamiętanej historii komunikacji b) pozwala uniknąć niepotrzebnego sprawdzania reguł dla pakietów powracających w ruchu zweryfikowanym w stronę przeciwną c) wymaga sprawdzania reguł dla każdego pakietu d) historia komunikacji nie ma wpływu na decyzje zapory 86. Flaga suid wg standardu POSIX a) oznacza przejęcie przez proces uprawnień właściciela pliku, z którego proces został uruchomiony b) oznacza, że usunięcie i zmiana nazwy pliku są możliwe tylko przez właściciela samego pliku (lub właściciela katalogu) c) może być nadawana dla plików wykonywalnych // tmnk: no bo jak inaczej? Jarek: normalnie, chmod u+s. Po prostu będzie ignorowana. d) ma sens tylko w przypadku katalogów 87. Wskaż cechy metody uwierzytelniania klienta wobec serwera z udziałem zaufanej trzeciej strony: a) serwer uwierzytelnia klienta na podstawie poświadczenia wystawionego przez trzecią stronę b) opłaca się stosować szczególnie wobec większej ilości serwerów // Jarek: wg. mnie tak. Im więcej serwerów, tym większy zysk. Przy jednym serwerze bez sensu, przy dwóch może być niewarto. c) serwer uwierzytelnia klienta poprzez hasło (np. jednorazowe) d) serwer uwierzytelnia klienta metodą chellenge-response 88. Jeśli ls -l plik.txt wygląda następująco *1+: -rwxr-xr-x+ 1 user group :00 plik.txt to "chmod 715 plik.txt" spowoduje: a) zwiększenie uprawnień wpisom ACL'owym b) zmianę uprawnień grupie "group" dla tego pliku c) zmniejszenie uprawnień wpisom ACL'owym // tmnk: W notatkach z labek mam, że chmod nie wplywa na ACL, więc to będzie źle... Jarek: masz złe notatki. mask z ACL-i znajduje się w uprawnieniach dla grupy, najlepiej sprawdź sobie szybko touchem, setfaclem i chmodem. d) rozszerzenie uprawnień dla innych 89. Zapora sieciowa wbudowana w Ms Win XP sp2 [1]:

14 a) jest typu stateless b) jest jedyną możliwą do zastosowania zaporą sieciową w systemie c) pozwala powiadamiać użytkownika drogą mailową o zagrożeniach d) jest zaporą typu statefull // tmnk: znalezione w necie //adamus: potwierdzam, pamiętam z labek 90. Ukrycie widoczności systemu Ms Win spowoduje: (ze jak?? Chodzi o blokowanie icmp?) a) nie działanie zdalnego logowania do systemu b) nie działanie udostępniania zasobów //adamus: jak to było? już udostępnione nie znikną, ale da się udostępniać kolejne? kuba: AFAIR i tak będzie działać, tylko tyle, że nie widać zasobów c) ukrycie systemu przed innymi systemami // tmnk: net config server /hidden:yes -laby d) ukrycie systemu tylko przed systemami typu Unix 91. W jaki sposób można utworzyć wiele połączeń z danego hosta za pomocą programu OpenVPN (wybierz 2 odpowiedzi)? a) należy powtórzyć wpisanie opcji: remote <ip> <port> tyle razy ile połączeń VPN mamy utworzyć b) należy uruchomić program OpenVPN z przełącznikiem: --force-multi-instance, wymuszając w ten sposób uruchomienie wielu procesów programu OpenVPN do obsługi wielu jednoczesnych połączeń vpn // tmnk: na pewno nie c) nie ma takiej możliwości // tmnk: na pewno nie d) należy uruchomić program OpenVPN z wieloma plikami konfiguracyjnymi, każdy plik definiuje jedno połączenie // tmnk: prawdopodobnie nie e) należy wykorzystać opcję --mode server ale tylko dla połączeń z zastosowaniem certyfikatów SSL / / tmnk: prawdopodobnie nie f) należy uruchomić kolejne instancje programu OpenVPN wraz z osobnymi plikami konfiguracyjnymi Jarek: Ja mam E i F, to tutaj mnie nie przekonuje. Ale nie chce mi się sprawdzać. 92. Mechanizm SSO pozwala na [1]: a) zapobieganie atakom typu XSS b) zapobieganie atakom typu IP spoofing poprzez jawne podanie adresów IP w konfiguracji tego mechanizmu c) szyfrowanie ruchu sieciowego między zaufanymi hostami d) tworzenie relacji zaufania między hostami 93. Które polecenie będzie poprawne, dla ustalenia DNAT (wybierz 2 odpowiedzi)? a) iptables -t nat -A FORWARD -d i eth- -j DNAT --to b) iptables -t nat -A PREROUTING -d i eth0 -j NAT --to c) iptables -t nat -A PREROUTING -i eth0 -j SAME --to d) iptables -t nat -A PREROUTING -d i eth0 -j DNAT --to e) iptables -t nat -A POSTROUTING -d i eth0 -j DNAT --to [chyba TAK] f) iptables -t nat -A POSTROUTING -o eth0 -j SAME --to Translacja typu DNAT charakteryzuje się: a) zamianą adresów źródłowych na inne (możliwe do wykorzystania na danym urządzeniu) b) nie ma translacji typu DNAT c) zamianą adresów docelowych na inne d) zamianą adresu źródłowego z adresem docelowym w konkretnym pakiecie 95. Poniższa reguła została wpisana na komputerze pełniącym rolę routera: iptables -t filter -A INPUT -m state --state NEW -j DROP a) odrzuca nowe połączenia do tego komputera b) odrzuca nowe połączenia inicjalizowane przez ten komputer c) odrzuca nowe połączenia przechodzące przez ten komputer d) DROP znaczy nie przeszukuj dalej zapory, przepuść pakiet

15 96. Narzędzie OpenVPN (wybierz 2 odpowiedzi): a) działa tylko na protokole TCP b) wykorzystuje mechanizm pre-shared key do losowego generowania kluczy c) nie ma wyróżnionego programu serwerowego i klienckiego d) jest przykładem SSL-VPN e) wykorzystuje certyfikaty MD5 i funkcję skrótu SHA-1 do uwierzytelniania stron i szyfrowania ruchu sieciowego f) wykorzystuje mechanizm SSL-VPN do łączenia się z serwerami wspierającymi protokół https np. Apache 97. Skrót VPN to: a) szczególny rodzaj sieci vlan ale rozciągającej się na kilka sieci lokalnych rozdzielonych Internetem b) wirtualna sieć prywatna c) dodatkowy model komunikacji wykorzystywany przez IPSec do zaufanych połączeń miedzy urządzeniami sieciowymi takimi jak routery i switche, hosty d) szkieletowa siec w Internecie przeznaczona dla zastosowań korporacyjnych zapewniająca wysoki stopień bezpieczeństwa np. w przypadku transakcji między bankami albo filiami tego samego banku połączonych Internetem e) eksperymentalny projekt bezpiecznej sieci następnej generacji w której będzie można łączyć dowolną ilość sieci lokalnych rozdzielonych Internetem w jedną całość, dzięki czemu będzie możliwy swobodny dostęp do zasobów jednej sieci lokalnej przez inną np. dostęp do intranetu centrali firmy przez pracowników firmy z oddziałów firmy w innym mieście 98. W jakich trybach może działać VPN: a) ruch sieciowy tunelowy i uwierzytelniany b) ruch sieciowy nieszyfrowany ale uwierzytelniany c) ruch sieciowy szyfrowany ale nie uwierzytelniany d) ruch sieciowy tunelowany/transportowany // VPN w trybie transportowym? Z definicji nie. -- Jarek e) ruch sieciowy transportowany, szyfrowany i uwierzytelniany Jarek: jeśli A, B i C mają być niepoprawne, to proszę o argumenty. 99.??? Narzędzie Vtun to: a) samodzielny pakiet niskopoziomowego(działającego na poziomie jądra ) oprogramowania do tworzenia podsieci VPN b) proste narzędzie do tworzenia połączeń VPN korzystające tylko z jednego pliku konfiguracyjnego i zestawu narzędzi obecnych w systemie c) narzędzie działające na poziomie warstwy użytkownika ( tzw. userland ) pozwalające tworzyć tylko pojedyncze połączenia VPN przy użyciu prostego pliku konfiguracyjnego vtund. 100.??? Program Vtun działa w architekturze: a) punkt punkt b) klient serwer c) połączenia peer-to-peer dla każdego połączenia d) w żadnej z powyższych ponieważ Vtun jest bardzo prosty i nie zawiera w sobie żadnej skomplikowanej architektury 101.??? Program Vtun działa: a) na porcie domyślnym 1045 ale można to zmienić b) na porcie domyślnym 5000 i można to zmienić ale trzeba przekompilować kod programu c) na domyślnym porcie 5000 d) na porcie domyślnym 1001 można to zmienić w pliku konfiguracyjnym vtund.conf e) na porcie domyślnym 1045 ale można to bez problemu zmienić w pliku konfiguracyjnym vtund.conf

16 102.??? Połączenie w Vtun przebiega następująco: a) w momencie tworzenia połączenia wykonywane są odpowiednie podsekcje up w definicji danego połączenia które ma zostać utworzone, w momencie zakończenia połączenia wykonywana jest podsekcja down w definicji połączenia // up jest wykonywane po nawiązaniu połączenia, a nie dla połączenia, które dopiero ma zostać nawiązane. b) po nawiązaniu połączenia obie strony uzgadniają parametry połączenia takie jak np. hasło i rodzaj transmisji danych, w momencie zakończenia połączenia następuje specjalna procedura rozpoczynana przez stronę, która chce zakończyć połączenie c) w żaden z wymienionych, na początku sposobów, obie strony muszą wymienić się ustalonym hasłem, potwierdzić jego prawdziwość, wynegocjować parametry transmisji i dopiero tworzone jest połączenie do przesyłania danych, zakończenie rozpoczynane jest przez dowolną stronę 103.??? Tunel Host -to- host to: a) połączenie punkt - punkt między dwoma hostami ale tylko na czas transmisji zaszyfrowanej b) połączenie peer-to-peer z rezerwacją pasma na całej c) połączenie wykorzystujące juz zestawione połączenie punkt-punkt dodające tylko szyfrowanie i uwierzytelnianie 104.??? Tunel Net -to- Net to:(2 poprawne odpowiedzi) a) bezpośrednie połączenie dwóch lub więcej sieci przez Internet // Serio? -- Jarek b) bezpośrednie połączenie dwóch sieci przez Internet c) koncepcja połączenia dwóch lub więcej sieci w której istnieją zestawione tunele między bramami dla każdej z sieci kuba: co w takim razie z zadaniem 112? adamus: no nie, chyba jednak dokładnie 2 a nie >2, tunel raczej ma dwa końce, chyba że to proca kuba: ok, ale skoro masz zaznaczyć dwie, przy czym dwie z możliwych odpowiedzi wspominają o >2 to staje się realne ??? Narzędzie FreeS/Wan to: a) łata na jądro implementująca funkcjonalność ISec plus zestaw skryptów do zarządzania tym narzędziem b) program działający w przestrzeni użytkownika który posiada jeden plik konfiguracyjny zlokalizowany domyślnie: /etc/spiec c) narzędzie w formie łaty na jądro systemu Linux wraz z zestawem skryptów zarządzających oraz demon pozwalający wymieniać klucze // To się zgadza, ale IMO implikuje też A d) narzędzie bardzo podobne do narzędzia Vtun służące do zestawiania połączeń VTN 106.??? Kryptografia oportunistyczna to: a) nowy rodzaj szyfrowania, bardzo wydajny i nie do złamania w dzisiejszych czasach z użyciem obecnych maszyn obliczeniowych b) automatyczny sposób negocjowania parametrów połączenia zaimplementowany w pakiecie FreeS/Wan c) eksperymentalny projekt nowego rodzaju szyfrowania rozwijany na potrzeby amerykańskiej Agencji Bezpieczeństwa Narodowego d) prosty rodzaj szyfrowania, nazwa "oportunistyczna" zaczerpnięta od francuskiego słowa: opprtunisme oznaczającego "sprzyjający, dogodny" 107.??? Pakiet FreeS/Wan składa się z: a) z trzech komponentów: łata na jądro KLIPS, demon PLUTO, zestaw skryptów b) z dwóch protokołów: AH i ESP c) z kilkunastu różnych algorytmów szyfrowania m.in. DES i 3DES oraz protokołu wymiany kluczy: ISAKMP 108.Skrót IKE oznacza: a) rodzaj algorytmów wymiany kluczy w FreeS/Wan

17 b) bardzo ważny element pakietu FreeS/Wan pozwalający tworzyć bezpieczne połączenia sterujące tunelami VPN // tmnk: jest coś takiego jak połączenie sterujące? c) Information Key Exchange // tmnk: nie bo to Internet Key Exchange d) jeden z algorytmów szyfrowania w pakiecie FreeS/Wan // tmnk: to nie jest algorytm szyfrowania 109.??? Połączenie aktywne ftp to: a) jeden z czterech rodzajów połączeń jakie może nawiązać klient tj. połączenie danych, połączenie sterujące, połączenie aktywne, połączenie pasywne b) sytuacja w której serwer ftp tworzy połączenie do klienta na losowy wybrany port przez klienta aby przesłać żądany plik c) sytuacja w której specjalnie skonfigurowany serwer ftp potrafi przyjmować połączenia gdy sam znajduje sie za firewallem realizującym usługę SNAT d) sytuacja w której przychodzące połączenie od serwera ftp do klienta ftp jest przekierowywane na firewall'u do klienta znajdującego się w sieci lokalnej 110.??? Połączenie pasywne ftp to: a) jeden z czterech rodzajów połączeń jakie może nawiązać klient tj. połączenie danych, połączenie sterujące, połączenie aktywne, połączenie pasywne b) specjalny rodzaj szybkich połączeń przeznaczony do wysyłania dużych porcji danych do klientów c) połączenie w którym klient informuje serwer aby to on określił port a klient połączy się z tym portem i pobierze dane d) specjalny rodzaj połączeń dzięki którym możliwe jest połączenie w sytuacji gdy klient i serwer znajdują się za firewallem realizującym SNAT 111.Klucz FEK to: a) klucz asymetryczny b) klucz prywatny użytkownika c) klucz publiczny użytkownika d) klucz symetryczny 112.Tunel Net -to- Net to: a) koncepcja połączenia dwóch lub więcej sieci, w której istnieją zestawione tunele między bramami dla każdej z sieci w sieci Internet b) bezpośrednie połączenie typu proxy dwóch sieci przez Internet c) tunel zestawiany między systemami autonomicznymi w celu wymiany informacji o trasach routingu d) bezpośrednie połączenie dwóch lub więcej sieci przez Internet Jarek: no to bezpośrednie, czy przez Internet? Za pomocą tuneli między bramami przez Internet => A Bartek: Moim zdaniem A również jest poprawne. Na stronie efw.vpn.intro.html net-to-net określone jest również jako gateway-to-gateway dla dwóch lub więcej sieci kuba: to co w takim razie z zadaniem 104? 113.??? Czy polecenie jest poprawne? iptables -t mangle -A PREROUTING -s localnet -d! localnet -m ipp2p --dc -m comment -- comment "zla regulka" -j TTL --ttl-set 1 a) tak, ale system będzie usuwał te pakiety b) tak, lecz taka reguła niczego nie zmieni, gdyż nie ma celu ACCEPT lub DROP c) nie, gdyż nie można używać wielu argumentów "-m" d) nie, gdyż cel TTL może być używany tylko w łańcuchu POSTROUTING 114.Serwer KDC: a) może zapewnić bardzo dobre bezpieczeństwo w sieci b) stosuje proste mechanizmy kryptograficzne, które są proste do złamania c) jest bardzo dobrze zabezpieczony // z definicji serwera KDC? Powinien!= jest -- Jarek d) można prosto oszukać podszywając się pod niego

18 115.Mechanizm TCP Wrapper: a) pozwala ograniczać dostęp do usług uruchamianych przez xinetd b) pozwala blokować spam przychodzący do serwera smtp c) pozwala szyfrować ruch TCP z użyciem protokołów TLS/SSL d) powstał aby wprowadzić silne uwierzytelnianie dla tzw. small services 116.Nazwa domenowa komputera a nazwa domeny kerberos: a) musi być różna b) musi być identyczna // nie musi -- Jarek c) zaleca się, aby była identyczna d) zaleca się, aby była różna 117.??? Aby serwer usług w domenie kerberos mógł działać wykorzystując uwierzytelniania Single-Sign-On, musi: a) używać odpowiednio zmodyfikowanych demonów usług, które potrafią rozmawiać z serwerem Kerberos b) używa zmodyfikowanego stosu IP, który współpracuje z serwerem KDC c) zapewnia sprzętowe szyfrowanie i generowanie liczb losowych d) używa specjalnego jądra systemu operacyjnego, wspierającego współpracę z serwerem KDC 118.Ideą połączeń typu VPN jest *1+: a) zmiana routingu pakietów, aby z jednej sieci pakiety trafiały bezpośrednio do sieci docelowej b) wsparcie połączeń p2p, aby hosty mogły bezpośrednio komunikował się c) obejście problemów z połączeniami z sieciami zlokalizowanymi za NAT d) możliwość zapewnienia bardziej niezawodnych, w sensie połączeniowym, niż TCP połączeń między hostami e) utworzenie sieci łączącej odseparowane, odległe sieci lokalne 119.Opcja PARANOID w pliku hosts.deny [1]: a) blokuje zdalne zarządzanie mechanizmem TCP wrappers, pozostawiając dostęp tylko z lokalnego hosta b) wymusza sprawdzanie segmentów TCP czy są poprawne w stosunku do norm RFC c) pozwala ograniczyć ilość pakietów/s przychodzących do danej usługi d) blokuje pakiety pochodzące od hosta, którego ip nie posiada nazwy domenowej 120.getfacl --omit-header acl-test5 user::r-x user:inf44444:r-- group::rwgroup:student:r-x mask::rwx other::--x Oznacza: (wybierz 2 odpowiedzi) a) użytkownik "inf44444" nie może czytać pliku acl-test5 b) właściciel ma prawo zmodyfikować zawartość katalogu acl-test5 c) użytkownik "inf44444" może czytać plik acl-test5 d) maska blokuje wszystkie uprawnienia do pliku acl-test5 e) grupa właściciela może zmodyfikować plik acl-test5 f) grupa "student" może zmodyfikować plik acl-test5 121.??? Wadą single-sign-on jest: a) relacja zaufania między parami hostów w domenie zaufania z wyłączeniem hosta zapewniającego uwierzytelnianie // To wada? -- Jarek b) możliwość logowania się tylko na konta systemowe

19 c) zależność od poprawnego działania uwierzytelniającej maszyny // za to to IMO tak -- Jarek d) brak relacji zaufania między hostem uwierzytelniającym a hostem usługowym z domenie zaufania 122.Zaletą single-sign-on jest: a) jednokrotne uwierzytelnianie b) stosowanie funkcji skrótu w celu uwierzytelniania c) jednokrotne szyfrowanie d) jednokrotna autoryzacja 123.$ssh host Enter passphrase for key '/home/junior/.ssh/id_dsa': Wpis passphrase to: a) Hasło, którym jest zaszyfrowany klucz publiczny b) hasło, którym jest zaszyfrowany klucz prywatny c) klucz, którym będzie szyfrowana transmisja d) hasło wymagane przez zdalny host, aby zostać zalogowanym??? > getfacl --omit-header acl-test1 user::rwuser:junior:rwx group::r-- group:student:r-x mask::r-- other::--- Oznacza, e: (wybierz 2) a) właściciel może wykonać plik b) grupa domyślna/właściciela może odczytać plik c) użytkownik "junior" może wykonać plik d) właściciel może modyfikować plik e) grupa "student" może wykonać plik f) inni mogą zmodyfikować plik 124.Dziedziczenie uprawnień w systemie plików NTFS: a) uprawnienia są pobierane bezpośrednio z uprawnień obiektu wyższego b) może przenieść również na system plików FAT64 c) jest identycznie z systemem plików ext3 d) nie istnieje w tym systemie plików 125.LMhash to: a) hasło administratora systemu zapisane w sposób jawny b) hasła użytkowników w postaci skrótów (hashy) wykorzystywane przez Lan Managera c) Lan Manager hash służący do identyfikacji systemu w sieci lokalnej d) hash numeru seryjnego systemu Ms Windows 126.Wykorzystując stanowość zapory sieciowej możemy określić: (wybierz 2 odpowiedzi) a) odrzucić pakiety próbujące podszyć się pod rzekomo istniejące połączenia b) czy pakiet próbuje obejść nasz system bezpieczeństwa c) czy połączenie jest już ustanowione d) czy pakiet zawiera flagę ACK 127.Szyfrowanie plików w systemie Ms Windows: a) jest dostępne dla każdego pod warunkiem korzystania z partycji typu NTFS b) jest dostępne wyłącznie dla administratora systemu c) jest niemożliwe d) jest dostępna dla administratora systemu i operatora kopii bezpieczeństwa

20 128.Czy w systemie Ms Windows można korzysta z szyfrowania PGP? a) niestety system ten nie wspiera szyfrowania PGP b) tak, ale tylko przy wykorzystaniu komercyjnych, płatnych programów c) tylko przy wykorzystaniu programu Ms Outlook d) tak, jeżeli wykorzysta się odpowiednie oprogramowanie 129.Co ma na celu publikowanie swojego klucza publicznego PGP(wybierz 2 odpowiedzi)?: a) umożliwienie zaszyfrowania wiadomości adresowanej do właściciela klucza b) uniemożliwienie intruzowi podszycie się pod nasz c) umożliwienie odszyfrowania zawartości a wysłanej przez właściciela klucza d) nic nie daje, publikowanie klucza ma na celu tylko usprawnienie mechanizmu wymiany kluczy między użytkownikami e) umożliwienie sprawdzenia autentyczności listu wysłanego przez właściciela klucza 130.??? Co ma na celu publikowanie swojego klucza publicznego PGP(wybierz 3 odpowiedzi)?: a) nic nie daje, publikowanie klucza ma na celu tylko usprawnienie mechanizmu wymiany kluczy między użytkownikami b) uniemożliwienie intruzowi podszycie się pod nasz c) umożliwienie zaszyfrowania wiadomości adresowanej do właściciela klucza d) umożliwienie sprawdzenia autentyczności listu wysłanego przez właściciela klucza e) umożliwienie odszyfrowania zawartości a wysłanej przez właściciela klucza Jarek: D -- nie. Na serwer kluczy klucz może wysłać każdy, mogę sobie wygenerować klucz dla yacoob@vilo.eu.org i umieścić go na serwerze. Autentyczność pozwalają potweirdzić sygnatury na kluczy (web of trust) E -- nie po to szyfruję, aby każdy mógł odszyfrować, tylko aby odszyfrować mógł odbiorca. IMO nie. C -- tak (w przeciwieństwie do E) B -- nie (patrz D) A -- w sumie to mi pasuje, bo samo w sobie to tylko usprawnienie mechanizmu wymiany kluczy adamus: E jest bez sensu, D Jarek a co z weryfikacją podpisu za pomocą klucza publicznego nadawcy?, C wiadomo -- oczywiste, że tak, B chyba nie ma to nic wspólnego z podszywaniem się pod , A jest z dupy -- nie można powiedzieć, że nic nie daje a z kolei nie jest to tylko wymiana kluczy, bo ta wymiana jest w określonym celu przeprowadzana kuba: biorąc pod uwagę, że muszą być 3 odpowiedzi, może jednak B i D są szychopoprawne? A to trochę bzdura z tym nic nie daje. 131.Do czego służy komenda rlogin? a) pozwala tylko systemowym użytkownikom zalogować się na lokalną maszynę b) pozwala na zdalny dostęp do hosta c) pozwala zalogować się lokalnym użytkownikom na zdalną maszynę tylko na konto o takiej samej nazwie d) dostarcza zaawansowanego mechanizmu uwierzytelniania użytkowników logujących się na lokalną maszynę 132.Do czego służy protokół SMTP? a) pozwala na szyfrowania załączników wiadomości b) pozwala na rozsyłanie grupowych wiadomości w trybie multicast c) pozwala na przeszukiwanie bazy użytkowników na serwerze smtp w celu określenia adresata wiadomości d) pozwala na wysyłanie wiadomości do innych użytkowników 133.Jak zachowa się system kontroli ACL standardu POSIX w przypadku użytkownika U należącego do grupy G jeśli ani U ani G nie mają jawnie przydzielonego prawa r wobec obiektu p, ale kategoria "wszyscy użytkownicy" (others) takie uprawnienie posiada: a) prawo r nie zostanie efektywnie przyznane, ale U odziedziczy je w głąb, jeśli p jest katalogiem

21 b) prawo r nie zostanie efektywnie przyznane c) prawo r zostanie efektywnie przyznane, o ile U jest właścicielem p d) prawo r zostanie efektywnie przyznane bezwarunkowo 134.Jak zachowa się system kontroli ACL standardu POSIX w przypadku użytkownika U należącego do grupy G i wpisanego na liście ACL obiektu p, jeśli ani U ani G nie mają jawnie przydzielonego prawa r, ale kategoria wszyscy użytkownicy (others) takie uprawnienie do obiektu posiada: a) prawo r do obiektu p zostanie efektywnie przyznane, o ile U jest właścicielem p b) prawo r do obiektu p zostanie efektywnie przyznane bezwarunkowo c) prawo r do obiektu p nie zostanie efektywnie przyznane d) prawo r do obiektu p nie zostanie efektywnie przyznane, ale U odziedziczy je w głąb, jeśli p jest katalogiem 135.Która klasa RAID zapewnia odporność na jednoczesną awarię 2 dysków w 5-dyskowej macierzy? a) RAID 2 b) RAID 1 // tmnk: odporny na awarie n -1 dysków w n-dyskowej macierzy c) żadna d) RAID 6 //adamus: dokładnie 2. reszta ma 1 a raid0 ma Do szyfrów niesymetrycznych zaliczamy: a) MD4 b) MD5 c) DES d) żadne z powyższych 137.Do szyfrów symetrycznych zaliczamy: a) RC2 b) RC4 //rc4 jest strumieniowy, reszta rc* są blokowe c) RSA żadne z powyższych 138.Do szyfrów symetrycznych zaliczamy: a) RC2 b) RC4 c) AES d) żadne z powyższych 139.Do szyfrów symetrycznych zaliczamy: a) IDEA b) RSA c) WD-40 (wtf? :P) [z cyklu: pytanie wyciągające] d) żadne z powyższych 140.Do szyfrów symetrycznych zaliczamy: a) MD4 b) MD5 c) DES d )żadne z powyższych 141.Następująca reguła filtracji zapory sieciowej:

22 od do port źródłowy port docelowy protokół flagi reakcja *.*.*.* 80 * TCP ACK=0 odrzuć a) blokuje wszelkie połączenia nawiązywane z serwerem www o dowolnym adresie b) blokuje wszelkie połączenia nawiązywane z serwera www o dowolnym adresie c) blokuje wszelkie połączenia nawiązywane z serwerem www o adresie d) blokuje wszelkie połączenia nawiązywane z serwera www o adresie Następująca reguła filtracji zapory sieciowej (od do port źródłowy port docelowy protokół flagi reakcja): > * TCP SYN=1, ACK=0 odrzuć a) uniemożliwia nawiązanie połączenia z serwerem www pod adresem b) uniemożliwia nawiązanie połączenia z serwera www pod adresem c) uniemożliwia nawiązanie połączenie z serwera www pod adresem d) uniemożliwia nawiązanie połączenia z serwerem www pod adresem // moim zdaniem to nie jest poprawna odpowiedź, SYN=1,ACK=0 jest tylko przy inicjowaniu połączenia - gdy serwer odpowiada klientowi ma albo SYN=1,ACK=1, albo SYN=0,ACK=1; zgadza się? -- unv adamus: na razie wychodzę z założenia, ze jeśli Jarek nie zgłosił uwag, to było dobrze 143.??? IPsec ESP umożliwia zapewnienie: a) autentyczności treści datagramu przy wykorzystaniu algorytmu MD5 b) autentyczności treści datagramu przy wykorzystaniu algorytmu 3DES c) poufności treści datagramu w trybie tunelowym d) poufności treści datagramu w trybie transportowym 144.??? IPsec ESP umożliwia zapewnienie: a) tylko autentyczności treści datagramu, nie poufności b) tylko poufności treści datagramu, nie autentyczności c) poufności i/lub autentyczności treści datagramu, w trybie synchronicznym d) poufności i/lub autentyczności treści datagramu, w trybie tunelowym 145.Cechy charakterystyczne ataku SYN flood to: a) intensywny strumień segmentów SYN skierowany na adres ofiary b) intensywny strumień segmentów SYN/ACK skierowany na adres ofiary c) brak segmentów SYN/ACK d) brak segmentów ACK 146.Do szyfrów symetrycznych zaliczamy: a) IDEA b) RSA c) WD-40 d) żadne z powyższych 147.Mechanizm Lock-and-Key: a) wymaga uwierzytelnienia użytkownika, np. za pomocą RADIUS-a b) automatycznie blokuje stacje niespełniające wymagań polityki bezpieczeństwa // tym się zajmuje NAP/NAC/..., nie zaznaczałbym tego -- Jarek c) pozwala dynamicznie zmieniać reguły filtracji? //adamus: to przeczy jakiejś poprzedniej odpowiedzi d) może być wykorzystany do tymczasowego uzyskania uprzywilejowanego dostępu do sieci wewnętrznej z zewnątrz // dlaczego? Do tego służy VPN -- Jarek, adamus: hmm, na slajdach była raczej odwrotna sytuacja Metoda PING stosowana przez systemy IDS polega na wysłaniu:

23 a) zapytania ICMP echo request pod adres MAC niezgodny z odpytywanym IP i oczekiwaniu na odpowiedź b) pakietów ICMP ping i porównaniu różnic w czasach odpowiedzi pomiędzy różnymi stanowiskami c) zapytania ICMP echo request pod adres rozgłoszeniowy i oczekiwaniu na odpowiedź d) zapytania ICMP echo request pod adres MAC podejrzewanej stacji i oczekiwaniu na odpowiedź // Nie -- Jarek. 149.??? Wskaż rodzaje adresów, które zapora sieciowa dokonująca translacji NAT powinna filtrować w pakietach przychodzących od strony sieci zewnętrznej: a) dowolne prywatne IP, w polu źródłowym // tmnk: prywatne IP poprawne zaznaczenie - doktor mówił o tym na ostatnim wykładzie //adamus: a to nie było przy okazji IDS/IPS? b) dowolne prywatne IP, w polu docelowym c) adresy wykorzystywane wewnątrz, w polu źródłowym d) adresy wykorzystywane wewnątrz, w polu docelowym ->??? Jarek: poprawne odpowiedzi to C (pakiet przychodzi z zewnątrz) i D (po to jest NAT, żeby reszta świata nie wiedziała nic o adresach wewnątrz). A i B są niepoprawne, nic nie stoi na przeszkodzie aby po jednej stronie zapory były jedne adresy prywatne, a po drugiej drugie. Za kilka miesięcy będzie bardzo popularne ;-) (przykładowo TPSA, ale także inni ISP w związku z końcem IPv4 planują wdrożenia carrier-grade-nat. Neostradowicze od TP będą dostawać adresy z 10/8, ale w swoich lanach będą musieli używać innych). Bartek: Czy odpowiedzi już są prawidłowe? Ostatni wykład odnosi się do zapór sieciowych i na slajdzie 4 piszą o filtracji adresów z puli prywatnej we wszystkie strony. Jest jeszcze jedno pytanie: jak interpretować słowo filtracja? Bo to jest i odrzucanie złych rzeczy i akceptowanie/przepuszczanie dobrych. Mam nadzieję, że to następne pytanie, które ktoś źle zapamiętał i teraz my się z tym męczymy. 150.Który angielski termin określa wykorzystanie do ataku znanych luk w systemie atakowanym: a) eavesdropping b) tampering c) exploiting d) masquerading 151.Proszę wskazać algorytmy wykorzystywane w HMAC: a) ElGamal b) Blowfish c) Rijndael d) żadne z powyższych 152.W HMAC może być używany algorytm a) MD5 b) WD-40 c) żaden z powyższych 153.System NAC (Network Admission Control): a) oferują filtrację poczty elektronicznej b) służą realizacji rozległych korporacyjnych sieci VPN c) to zapory sieciowe stosujące bezstanowe reguły filtracji d) umożliwiają blokowanie ruchu sieciowego ze stacji nie spełniających wymagań polityki bezpieczeństwa 154.Istotna przewaga podpisu elektronicznego nad odręcznym polega m. in. na: a) jest ściśle powiązany z treścią podpisywanego dokumentu b) weryfikacja podpisu wymaga tylko dostępu do certyfikatu klucza prywatnego podpisującego, co wystarcza do sądowego uznania podpisu za autentyczny c) autentyczność podpisu można zweryfikować poprzez prostą weryfikację certyfikatu klucza

24 publicznego podpisującego d) samo złożenie podpisu uniemożliwia wyparcie się tego przez podpisującego adamus: od czasów Bizancjum byłem uczony, że niezaprzeczalny podpis to nie to samo co normalny podpis (edit: normalny podpis elektroniczny ofc) i tylko podpis niezaprzeczalny gwarantuje, że nadawca nie może się go wyprzeć, jako crypto-nazi bym się czepiał odpowiedzi D, ale może inne książki z omikronem czytaliśmy Jarek: IMO podpis elektroniczny nie jest normalny, tylko niezaprzeczlny ;-) Mając podpis wiesz, że musiał być złożony przy pomocy odpowiedniego klucza prywatnego, więc jak jego właściciel ma się tego wyprzeć? adamus: do jednego klucza publicznego pasuje wiele kluczy prywatnych -- tu pojawia się kolejny rodzaj, mianowicie niepodrabialny podpis, więc tak -- możesz wyprzeć się normalnie podpisanej wiadomości, ale na pewno na egzaminie ta wiedza nam się nie przyda, wręcz zaszkodzi Jarek: w algorytmach podpisu elektronicznego masz wiele kluczy prywatnych dla jednego publicznego? Możesz rozwinąć? 155.Proszę wskazać algorytmy wykorzystywane w HMAC: a) AES b) SHA-4 c) SSH d) żadne z powyższych 156.Szyfr, w którym poddawana szyfrowaniu zostaje tej samej wielkości jednobajtowa porcja nieregularnie pojawiających się danych, nazywamy: a) strumieniowym b) symetrycznym c) blokowym d) niesymetrycznym 157.Mechanizm SGID/SUID: a) SUID powoduje wykonanie aplikacji z uprawnieniami właściciela aplikacji b) SUID zawsze powoduje wykonanie aplikacji z uprawnieniami administratora c) SUID zawsze powoduje wykonanie aplikacji z uprawnieniami grupy administracyjnej d) SUID powoduje wykonanie aplikacji z uprawnieniami grupy właściciela aplikacji 158.SUID to: a) uproszczona wersji limitów b) bit uprawnień c) odpowiednik SGID dla katalogów d) rozszerzenie mechanizmu SUDO 159.??? W jaki sposób administrator może narzucić ograniczenia użytkownikom (limity)? (jakie limity??) a) korzystając z mechanizmu PAM b) korzystając z mechanizmu Kerberos c) wykorzystując skrypt "hosts.equiv" d) wykorzystując skrypty startowe systemu 160.Zastosowanie rozszerzenia Enigmail w kliencie poczty Thundebird pozwala na: a) używanie mechanizm SSL do zapewniania bezpiecznych szyfrowanych kanałów komunikacyjnych z serwerem poczty POP b) wykorzystywanie PGP do szyfrowania i podpisywania wiadomości c) ochronę przed atakami man-in-the-middle // Jak najbardziej. Po to szyfrujemy wiadomości, aby man-in-the-middle nie mógł ich przeczytać, a po to podpisujemy, aby nie mógł zmodyfikować. Jedyne co może zrobić to zablokować komunikację.pytanie wygląda na test z labków, więc stosowność tej odpowiedzi będzie zależeć od zasugerowanej liczby poprawnych odpowiedzi

25 d) używanie mechanizm SSL do zapewniania bezpiecznych szyfrowanych kanałów komunikacyjnych z serwerem poczty SMTP 161.Które operacje mogą być wykorzystane do realizacji ataku DoS (Denial of Service): a) intensywny strumień rozgłoszeniowych segmentów SYN z adresem źródłowym ofiary // na pewno? Rozgłoszeniowe segmenty SYN nie zostaną zignorowane? -- Jarek b) fragmentacja datagramu o sumarycznej wielkości ponad 64kB c) intensywny strumień pakietów UDP echo z adresem docelowym ofiary d) intensywny strumień segmentów FIN z adresem docelowym ofiary // Poczęstować kogoś kilkudziesięciomegabitowym strumieniem FIN? DoS jak najbardziej -- Jarek 162.W uwierzytelnianiu z udziałem zaufanej trzeciej strony, do zadań strony uwierzytelnianej należy: a) przekazanie poświadczenia uwierzytelnienia drugiej ze stron b) pobranie poświadczenie uwierzytelnienia od drugiej ze stron c) przekazanie danych uwierzytelniających drugiej ze stron d) przekazanie danych uwierzytelniających stronie trzeciej 163.W uwierzytelnianiu z udziałem zaufanej trzeciej strony, do zadań tej trzeciej strony należy: a) poświadczenie uwierzytelnienia b) pobranie listu uwierzytelniającego od jednej ze stron list uwierzytelniający? coś takiego było?; Jarek: też nie pamiętam; adamus: może to miał być list polecający c) pobranie listu uwierzytelniającego od obu stron d) uwierzytelnienie jednej ze stron // wg. mnie też -- Jarek 164.??? Wektor inicjujący w szyfrowaniu: a) musi być tajny i znany tylko odbiorcy b) musi być tajny i znany obu stronom komunikacji//a jak nie będzie tajny to co? -- Jarek; dms: nie musi c) powinien mieć losową wartość, za każdym razem inną d) wykorzystywany jest wyłącznie w szyfrowaniu asymetrycznym Bartek: w wykładzie 4 slajd 85 jest napisane odnośnie WEP: Wektor inicjujący dołączany jawnie do kryptogramu, czyli niejawny?!%$#?? Jarek: O to mi właśnie chodziło. IMO tylko C adamus: czy w kryptografii asymetrycznej występują iv?, bo już zwątpiłem 165.Problem przepełnienia bufora dotyczy potencjalnie aplikacji: a) napisanych w języku C b) napisanych w języku Java c) uruchamianych w systemie z rodziny Windows d) uruchamianych w systemie z rodziny Unix/Linux adamus: w slajdach jest napisane wprost, że java nie ma z tym problemu bo nie ma wskaźników, czyli B nie, ale A tak. [nie dyskutujmy o merytorycznej stronie tych odpowiedzi] Co do systemów operacyjnych to również jest to wprost napisane na slajdach Jarek: system operacyjny dowolny. Java może mieć potencjalnie problemy w wyniku błędów w JVM oraz w okolicach JNI, ale stawiam na to, że Szychowiak oczekuje B odznaczonego 166.Które narzędzia wykorzystywane są do ochrony anty-spamowej w systemie pocztowym? a) open proxy b) open relay c) szare listy d) filtry Bayesa

26 167.Serwer KDC: a) jest bardzo dobrze zabezpieczony // samo istnienie KDC nie powoduje automatycznie, że jest ono dobrze zabezpieczone! -- Jarek b) może zapewnić bardzo dobre bezpieczeństwo w sieci c) stosuje proste mechanizmy kryptograficzne, które są proste do złamania d) można prosto oszukać podszywając się pod niego adamus: powyższe pytanie jak i tamto poprzednie oraz sugerowane odpowiedzi chyba mają nas naprowadzać, że KDC jest super, abstrahując od tego czy jest dobrze skonfigurowany itd 168.??? Serwer KDC: a) ufa każdej usłudze b) ufa uwiarygodnionym użytkownikom c) ufa każdemu komputerowi w domenie d) działa jedynie w obrębie jednej sieci lokalnej 169.??? Czy istnieje możliwość zmiany portu docelowego i adresu docelowego na adres localhost i dowolny inny port? (wybierz 2) a) tak b) tylko, jeśli określimy protokół oraz oryginalny port docelowy c) tylko poprzez dodatkowy moduł d) nie 170.??? W jaki sposób program OpenVPN będzie wiedział, gdzie znajduje się drugi koniec tunelu VPN a) OpenVPN w sposób interaktywny poprosi użytkownika o podanie adresu IP i numeru portu b) należy wpisać odpowiednią opcje w pliku konfiguracyjnym c) OpenVPN wyśle zapytanie do najbliższego serwera VPN d) OpenVPN odczytuje zawartość zdalnej tablicy routingu i pobiera tą informację 171.Czy maska mechanizmu ACL jest definiowana dla każdego użytkownika osobno? a) nie // maska określa maksymalne prawa efektywne - laby 3 puntk b) jest to możliwe, jeśli nie będziemy używać maski globalnej c) tak, ale tylko dla grup użytkowników d) tak 172.Protokół SSH umożliwia (2 odp): a) odbieranie telewizji // jak najbardziej, przez forwardowanie portów albo FIFO -- Jarek. Kuba: Dwie odpowiedzi (Junior mówił, że za nieczytanie treści dostaje się -1p.) A junior ma telewizję z kablówki, a nie streaming pewnie na myśli :) Jarek: niech Ci będzie, faktycznie 2 odpowiedzi. A tak mi ładnie pasowało do pytania o forwarding portów ;-) (a kablówki też mogą być TVoIP) b) pobieranie plików c) bezpołączeniową komunikację ze zdalnym hostem, na którym uruchomiony jest serwer ssh d) nawiązywanie połączeń ze zdalnymi terminalami 173.Jakie restrykcje wprowadza tryb Safe w konfiguracji modułu PHP serwera WWW? a) blokowanie wybranych funkcji b) ograniczenie dostępu do fragmentu systemu plików c) dostęp tylko do plików o tym samym właścicielu co skrypt d) ograniczenie zakresu zmiennych modyfikowalnych 174.??? Możliwości uwierzytelniania się przy użyciu SSH to (2 odp): a) certyfikaty SSL X.509 // niby tak, ale to nie takie proste. Nie wiem, czy Sz. oczekuje tej odpowiedzi -- Jarek. b) para login, hasło naszego konta na zdalnym hoście

27 c) samo hasło naszego konta na zdalnym hoście d) klucz publiczny, używany przy szyfrowaniu symetrycznym e) para klucz publiczny i klucz prywatny //potwierdzić (w sumie wynika to chyba z następnego pytania) 175.Możliwości uwierzytelniania się przy użyciu SSH to (2 odp): a) klucz publiczny, używany przy szyfrowaniu symetrycznym b) samo hasło naszego konta na zdalnym hoście c) trójka login, klucz publiczny i klucz prywatny d) para login, hasło naszego konta na zdalnym hoście // to akurat powinno być oczywiste Jarek e) certyfikaty SSL X Dyrektywa "mask" w ACL określa: (wybierz 2) a) można ją modyfikować jedynie raz // teemonek: Drogą eliminacji to musi być poprawne; Jarek: ale nie jest. setfacl -m mask::... b) jest utożsamiana z uprawnieniami grupy // tmnk: jest definiowana dla wszystkich; kuba: ACL wykorzystuje bity uprawnienia grupy, więc można stwierdzić, że jest utożsamiana If the ACL has an ACL_MASK entry, the group permissions correspond to the permissions of the ACL_MASK entry wzięte z man acl c) ukrywanie nadanych uprawnień dodatkowych użytkowników d) nie ma żadnego znaczenia // tmnk: Ma znaczenie - maksymalne prawa efektywne 177.W jaki sposób można zarządzać mechanizmem TCP Wrapper?(2 odp): a) wykorzystując plik /etc/hosts.deny b) wykorzystując plik /etc/hosts.allow c) należy uruchomić demon tcpd i zalogowad się do niego d) poprzez dostęp przez telnet do demona tcpd e) poprzez konfigurowanie reguł iptables 178.TUN/TAP to: a) rozszerzenie programu OpenVPN b) sterownik działający tylko na systemach Windows c) sterownik działający tylko na systemach Linux d) coś takiego nie istnieje e) komponent pozwalający tworzyć wirtualne interfejsy sieciowe 179.Szyfrowanie asymetryczne(2 odp): a) to używanie dwóch matematycznie zależnych kluczy b) jest wykorzystywane przy podpisywaniu wiadomości c) to używanie dwóch niezależnych kluczy: jednego do szyfrowania, drugiego do deszyfrowania d) nie jest wykorzystywane przez SSH 180.Czy RSBAC zapewnia: (wybierz 2) a) wymuszanie stosowania skomplikowanych haseł b) aktualizację oprogramowania c) stosowanie polityki MAC d) system trudny do przechwycenia przez osobę niepowołaną e) poufność przechowywanych danych f) stosowanie polityki DAC 181.Opcja spawn w pliku hosts.deny: a) pozwala tworzyć kolejne procesy TCP wrapper // niby dlaczego? -- Jarek b) jest wykorzystywana tylko w pliku hosts.allow c) nie jest wykorzystywana d) pozwala odesłać do nadawcy specjalnie spreparowaną wiadomość w odpowiedzi na żądanie

28 182.Które polecenie będzie poprawne, dla ustalenia SNAT (2 poprawne)? a) iptables -t nat -A FORWARD -o eth0 -j SNAT --to b) iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to // unv: moje pytanie: w SNAT jest coś takiego jak --to? AFAIK jest --to-source c) iptables -t nat -A PREROUTING -o eth0 -j SAME --to d) iptables -t nat -A POSTROUTING -o eth0 -j NAT --to e) iptables -t nat -A PREROUTING -o eth0 -j SNAT --to f) iptables -t nat -A POSTROUTING -o eth0 -j SAME --to Czy iptables umożliwia ograniczenie dostępu do usługi w jednym poleceniu? (wybierz 2) a) jeśli określamy protokół b) jeśli nie określimy protokołu c) nie d) tak 184.Oprogramowanie OpenVPN wykorzystuje tablice routingu w Linuxie:? a) do sprawdzenia kosztu trasy prowadzącej do sieci po drugiej stronie połączenia VPN b) aby dowiedzieć się jak nawiązać połączenie z siecią po drugiej stronie tunelu VPN c) do przechowywania trasy do sieci dostępnej po drugiej stronie połączenia VPN d) jako bufor przechowujący nadchodzące informacje o zmianie trasy do odległej sieci po drugiej stronie połączenia VPN 185.Skrót ACL oznacza: (wybierz 2 odpowiedzi) a) Added Control List b) Access Control List c) Lista uprawnie nadanych d) Lista kontroli dostępu 186.Mechanizm SUDO: a) zawsze pyta się o hasło docelowego użytkownika b) pozwala wykonywać dowolne polecenia bez pytania o hasło // jak się tak go skonfiguruje, to pozwala. Chyba dość typowe. c) nigdy nie pyta się o hasła d) może prosić o hasło użytkownika Bartek: Brodecki mówił, że sudo jest wypaczone przez współczesne linuxy i ich userów wiec pewnie Jarek masz rację 187.Aplikacja SUDO umożliwia: a) stałe zmniejszenie uprawnień użytkownika b) uruchamianie innych aplikacji na prawach innych użytkowników c) stałe zwiększenie uprawnień użytkownika d) uruchamianie innych aplikacji wyłącznie z uprawnieniami administratora // Bzdura -- Jarek 188.Nazwa konta "administrator" w systemie Ms Windows XP: a) można ją zmienić w każdej chwili b) jest definiowana przy instalacji systemu c) mona ją zmieni tylko przy wykorzystaniu dodatkowego oprogramowania d) jest stała i nie może być zmieniona 189.Jaki użytkownik zostanie wybrany w momencie logowania się na zdalną maszynę przez rsh, gdy w poleceniu rsh nie podano nazwy użytkownika?: a) wystąpi błąd podczas uwierzytelniania ponieważ nie podano nazwy użytkownika b) lokalny użytkownik nobody c) zawsze root z uwagi na możliwość wykonania niektórych komend systemowych

29 d) lokalny użytkownik rshd e) zdalny użytkownik rshd f) lokalny użytkownik operator g) lokalny bieżący użytkownik 190.Do czego służy komenda rsh? a) pozwala wykonać zdalne polecenie na lokalnym hoście // rsh localhost dupa? -- Jarek b) pozwala wykonać polecenie na zdalnym hoście c) pozwala nawiązać szyfrowane połączenie ze zdalnym hostem 191.??? W RSBAC, czy każdy program może zmienić uprawnienia na inne niż te, na których został uruchomiony? a) zgodę wydaje oficer bezpieczeństwa modyfikując odpowiednio politykę bezpieczeństwa // Chyba -- Jarek b) tak c) każdorazowo musi otrzymać zgodę oficera bezpieczeństwa d) bezwzględnie nie 192.user::rwuser:inf44444:r-x group::rwx group:student:rwx mask::rwx other::--- Oznacza: (wybierz 2) a) grupa "student" nie może skasować pliku b) użytkownik "inf44444" może wykonać plik c) grupa "student" może skasować katalog d) właściciel może wykonać plik e) maska blokuje wszystkie uprawnienia f) grupa domyślna (właściciela) nie może zmodyfikować pliku 193.Czy system MS Windows korzysta z serwera Kerberos? a) nigdy b) tylko w starszych systemach (95, 98) c) zawsze d) jeśli zostanie odpowiednio skonfigurowany 194.Mechanizm haseł jednorazowych można zrealizować poprzez: a) listy haseł jednorazowych b) generowanie hasła jednorazowego co stały czasu c) generowanie hasła jednorazowego w odpowiedzi na zadany kod d) generowanie hasła jednorazowego na podstawie czasu i kodu //Artur: miałbym wątpliwości co do odp b), bo jeśli to by było rzeczywiście generowanie, to byłoby to pseudolosowe, i wogóle nie o to by chodziło //kuba: a mi się wydaje, że to jest poprawne - był na wykładzie przykład urządzenia RSA Securid - breloczek, który co stały interwał generował One Time Password i był synchronizowany z czasem na serwerze 195.Algorytmy SHA-256 i SHA-512 różnią się wzajemnie: a) ograniczeniami eksportowymi b) długością kluczy c) wielkością wynikowego skrótu d) żadne z powyższych //potwierdzone na podstawie wiki

30 196.Wyobraźmy sobie serwer udostępniający wybranym podsieciom dwie usługi: www i ftp. Zapewnienie kontroli dostępu, np. za pomocą narzędzia personal firewall (lub wrappera połączeń) tylko do jednej z tych usług stanowi: a) realizację predykatu ograniczonej kontroli dostępu (MAC) b) naruszenie warunków spójności pionowej zabezpieczeń c) naruszenie warunków spójności poziomej zabezpieczeń d) naruszenie zasad poziomu B1/TCSEC i EAL4/CC 197.Algorytmy SHA-256 i SHA-512 różnią się wzajemnie: a) ograniczeniami eksportowymi b) podatnością na kolizje c) wielkością wynikowego skrótu d) żadne z powyższych 198.Bezpośrednim celem ataku metodą przepełnienia bufora jest: a) wypchnięcie wartości zmiennych globalnych programu poza chroniony segment danych b) uszkodzenie zawartości segmentu danych i w efekcie zawieszenie procesu c) uszkodzenie zawartości segmentu kodu i w efekcie zawieszenie procesu d) nadpisanie adresu powrotu na stosie 199.W przypadku systemu kontroli ACL standardu POSIX użytkownik U należący do grupy G posiada efektywne uprawnienie r do zasobu p jeśli: a) właściciel p ma prawo r oraz p posiada ustawiony bit suid - bez względu na zawartość ACL b) U jest właścicielem p - bez względu na zawartość ACL c) prawo r zostanie jawnie nadane U lub G d) U oraz G występują na liście ACL bez prawa r, ale kategoria "wszyscy użytkownicy" (others) takie uprawnienie posiada 200.Którym z poniższych terminów określa się ograniczone środowisko wykonawcze aplikacji lub jej komponentu: a) komnata (room) b) komora (chamber) c) karcer (jailbox) d) piaskownica (sandbox) 201.Kontrola dostępu do zasobów jest związana z zachowaniem własności: a) poufności i integralności b) tylko poufności c) tylko integralności d) żadnej z powyższych adamus: w poufności jest to napisane wprost na 2 wykładzie, w integralności jako kontrola dostępu do danych, rejestracja operacji na danych 202.Co zapewnia uwierzytelnianie przez posiadanie? a) poufność b) integralność c) poufność i integralność d) żadne z powyższych adamus: stawiam na D, nijak się ma uwierzytelnienie wobec systemu do zachowania integralności albo poufności Jarek: ja na C. Co to za autoryzacja bez wcześniejszego uwierzytelnienia? Bartek: Ja podobnie jak adamus myślę bardziej o D, ale to pytanie w oryginale brzmi pewnie bardziej sensownie. czy każde uwierzytelnianie niesie ze sobą zapewnienie poufności? Prędzej wymagałbym integralności. Jarek: niby nie, chociażby logując się rloginem. Hmm... nie wiem, później pomyślę ;-P

31 Pomyślałem. D. 203.Którego typu ataku dotyczy następujący opis: Atak ten przeprowadza osoba, która wobec każdej z dwóch uprawnionych stron komunikacji podszywa się za przeciwną stronę, pośrednicząc w przesyłaniu danych : a) aktywny b) zdalny c) pasywny d) środkowy 204.Które z poniższych określeń opisują mechanizm CAP (capabilities): a) opisuje prawa uwierzytelnionego użytkownika w bilecie systemu Kerberos b) specyfikuje w certyfikacie klucza publicznego możliwości wykorzystania danego klucza c) pozwala na rozdzielenie uprawnień ogólno administracyjnych na szczegółowe podzbiory d) przydziela użytkownikowi pewne informacje uwierzytelniające przedstawiane następnie podczas dostępu do poszczególnych usług 205.Mechanizm umożliwiający przydzielenie poszczególnych uprawnień administracyjnych (uprzywilejowanych operacji jądra systemu operacyjnego) użytkownikom nazywamy: a) switch root b) remote administration c) capabilities d) sandbox 206.Który termin określa ochronę informacji przed nieautoryzowanym jej zmodyfikowaniem: a) autoryzacja // ochrona przed czymś nieautoryzowanym to autoryzacja -- Jarek // autoryzacja to proces przydzielania praw dostępu, ochroną zajmuje się kontrola dostępu -- unv. b) niezaprzeczalność c) spójność d) integralność // integralność jest cechą, a nie metodą ochrony -- Jarek // myślę podobnie jak Ty Jarek, ale obawiam się, że Sz. oczekuje odpowiedzi d, czyli integralność. Slajd 35 we wprowadzeniu mówi, że: 6. Nienaruszalność (integralność; ang. data integrity) ochrona informacji przed nieautoryzowanym jej zmodyfikowaniem (ew.detekcja takiej modyfikacji) -- unv. 207.Niezaprzeczalność to własność potwierdzająca iż: a) nadawca wiadomości faktycznie ją wysłał b) odbiorca wiadomości nie sfałszował jej treści // wg. mnie też -- Jarek // dlaczego? definicja na slajdach wydaje się jasna -- unv. c) odbiorca wiadomości faktycznie ją otrzymał // dlaczego? -- Jarek d) nadawca wiadomości jest rzeczywiście tym za kogo się podaje // trochę się nad tym zastanawiam -- Jarek wykład: 8. niezaprzeczalność * ochrona przed fałszywym zaprzeczeniem - przez nadawcę - faktu wysłania danych - przez odbiorcę - faktu otrzymania danych 208.??? Czy RSBAC to: (wybierz 2) a) poprawnie skonfigurowana polityka bezpieczeństwa b) domyślne uprawnienia systemowe c) zestaw rozszerzający kontrolę uprawnień d) zestaw łat na jądro systemu Linux

32 209.Pre-shared key to(2 odp):?? a) przestarzały mechanizm służący do logowania się na zdalnego hosta bez podawania hasła b) coś takiego nie istnieje c) prosty mechanizm pozwalający szyfrować i uwierzytelniać strony za pomocą jednego klucza d) silny mechanizm uwierzytelniania wykorzystujący generowany losowo po obu stronach klucz e) silny mechanizm szyfrowania wykorzystujący certyfikaty SSL do generacji losowego klucza sesyjnego f) jest to przykład kryptografii symetrycznej 210.Czy iptables umożliwia określenie domyślnej polityki w łańcuchu? (wybierz 2) a) tylko w nowo utworzonych łańcuchach b) tak c) tylko w standardowych łańcuchach d) nie 211.Co to jest challenge-response?: a) mechanizm pozwalający uwierzytelniać się bez potrzeby przesyłania tajnego klucza b) przestarzała forma uwierzytelniania stosowana w ssh c) nie istnieje coś takiego d) mechanizm wykorzystywany w kryptografii dyskretnej e) silny mechanizm szyfrowania wykorzystujący kryptografię klucza publicznego 212.Czy serwer KDC w systemie Kerberos przechowuje konta użytkowników? a) tak b) tylko lokalne konta c) nie d) tylko konta administratorów Jarek: nie powiedziałbym. Konta muszą być tworzone lokalnie/przechowywane w jakimś LDAP-ie/ NIS-ie. Podawaliście chociażby takie informacje jak UID, grupa albo gecos? Może za to przechowywać pary (nazwa, hasło). Może je też pobierać na przykład z LDAP-a. 213.W jaki sposób połączenie nawiązane przez rsh jest zabezpieczone?: a) kodowana komunikacja przy użyciu funkcji XOR b) szyfrowana komunikacja po podaniu hasła i loginu c) komunikacja uwierzytelniana w kryptograficznie bezpieczny sposób d) komunikacja nie jest chroniona 214.??? W RSBAC, czy można zmienić uprawnienia do katalogu dla programu podczas jego działania? a) jeśli program posiada taką możliwość (programista uwzględnił taką opcję) b) nie jest to określone c) istnieją takie możliwości d) nie 215.??? Czy TCP wrapper to: a) samodzielny program analizujący tylko połączenia tcp b) łata (ang. patch) rozszerzająca funkcjonalność programu xinetd c) program analizujący tylko przychodzące połączenia tcp, ale dla numerów portów na których uruchomione są usługi zarządzane przez xinetd // IMNSHO nie. Używam tcpd bez xinetd (z OpenBSD INETD, aplikacja może też linkować się sama z libtcpwrapper) -- Jarek. d) program w postaci prostego firewalla za pomocą którego można blokować wychodzące połączenia, odpowiednie reguły zapisywane są w plikach /etc/hosts.allow i /etc/hosts.deny e) dodatkowy podsystem sieciowy dla systemu operacyjnego Linux pozwalający na nakładanie ograniczeń dla połączeń przychodzących

33 Jarek: stawiam na A 216.??? Ideą połączeń typu VPN jest: a) obejście problemów z połączeniami z sieciami zlokalizowanymi za NAT // Jarek: ja tego nie zaznaczyłem. To tylko dodatkowy bonus, a nie główna idea. Ale kto wie, o co chodziło Sz... b) możliwość zapewnienia bardziej niezawodnych w sensie połączeniowym niż TCP połączeń między hostami c) wsparcie połączeń p2p aby hosty mogły bezpośrednio komunikować się [chyba NIE] d) zmiana routingu pakietów aby z jednej sieci pakiety trafiały bezpośrednio do sieci docelowej e) utworzenie sieci łączącej odseparowane, odległe sieci 217.user::r-x user:inf44444:r-- group::rwgroup:student:r-x mask::rwx other::--x Oznacza: (wybierz 2) a) wszyscy mogą wykonać plik b) grupa "student" może zmodyfikować plik c) użytkownik "inf44444" nie może czytać plik d) użytkownik "inf44444" może czytać plik e) grupa właściciela może zmodyfikować plik f) maska blokuje wszystkie uprawnienia

34 Dotarłeś do końca, good job!