SóProvas

Questões de IDS (Intrusion Detection System)

ID
7375
Banca
ESAF
Órgão
CGU
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

Intrusões costumam ser conseqüência de mal uso do sistema ou de mudança de padrão. O objetivo de um IDS é identificar intrusões. Alguns erros podem ocorrer com um IDS, colocando-se em risco a segurança da informação. Com relação aos erros característicos do mal funcionamento ou configuração de um IDS, é correto afirmar que

Alternativas
Comentários
  • "falso positivo" esse termo é usado para referir a uma situação em que um firewall ou IDS mostra uma atividade como sendo um ataque, mas na verdade esta atividade não é um ataque.
  • SUBVERSÃO - ocorre quando o intruso modifica a operação da ferramenta de IDS para forçar a ocorrência de fato negativo;

    FALSO NEGATIVO - ocorre quando uma intrusão real acontece mas a ferramenta permite que la passe como se fosse uma ação legítima.

    FALSO POSITIVO - ocorre quando a ferramenta classifica uma ação como uma possível intrusão, quando na verdade trata-se de uma ação legítima.

  • De forma simplificada, vamos classificar:

    Falso negativo: uma intrusão que deveria ser detectada.
    Falso positivo: um alarme falso - uma detecção de algo que não é uma intrusão.
    Comportamento normal/verdadeiro positivo: intrusão detectada.
    Verdadeiro negativo: não ter detectado algo que, de fato, não é uma intrusão.
    Subversão: intruso modificando IDS para forçar ocorrência de falso negativo, ou seja, de um ataque que ele faça no futuro e não seja detectado.

    Dito isto, percebemos que as alternativas a) e b) referem-se a um falso positivo; as alternativas c) e d) referem-se a um comportamento normal de verdadeiros positivos; e, por fim, a alternativa e) refere-se a uma subversão. Com isto, nota-se que a única alternativa com a correta associação é a alternativa b).

  • LETRA B

    Segundo Nakamura(2010,p.281),

    "-Tráfego suspeito detectado(comportamento normal);

    -Tráfego suspeito não detectado(falso negativo);

    -Tráfego legítimo que o IDS analisa como sendo suspeito(falso positivo);

    -Tráfego legítimo que o IDS analisa como sendo legítimo(comportamento normal)."

    **Para ajudar a fazer questões de falso positivo e falso negativo, eu sempre uso a ideia de uma doença quando vc vai realizar um exame de sangue. Ex: Exame para verificar se o cidadão está com AIDS. 

     -Falso positivo: O resultado do exame de HIV deu que vc está doente, mas na verdade não está. (Sortudo o cara né.)

    -Falso negativo: O resultado do exame de HIV deu que vc NÃO está doente, MAS na verdade está.(Aí o cara fica feliz e continua a "fazer" desprotegido.)

    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVO-2010-NAKAMURA


  • Somente ajustando o erro do conceito de subversão (acredito que de digitação) do excelente comentário do colega Fábio Carvalho. Somente troquei o termo fato por falso (em caixa-alta e negrito):

    "SUBVERSÃO - ocorre quando o intruso modifica a operação da ferramenta de IDS para forçar a ocorrência de fato (FALSO) negativo;
    FALSO NEGATIVO - ocorre quando uma intrusão real acontece mas a ferramenta permite que la passe como se fosse uma ação legítima.
    FALSO POSITIVO - ocorre quando a ferramenta classifica uma ação como uma possível intrusão, quando na verdade trata-se de uma ação legítima."

  • Letra B

     

    Erros possíveis da ferramenta IDS:

    1. Falso positivo: ocorre qdo a ferramenta classifica uma ação como possível intrusão, embora, na verdade, trate-se de uma ação legítima;

    2. Falso negativo: ocorre quando uma intrusão real acontece, mas a ferramenta permite que ela passe como se fosse uma ação legítima;

    3. Subversão: ocorre quando o intruso modifica a operação da ferramenta de IDS para forçar a ocorrência de falso negativo.

     

    http://www.diegomacedo.com.br/ids-sistema-de-deteccao-de-intrusos/

ID
7423
Banca
ESAF
Órgão
CGU
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

As tecnologias de detecção de intrusos são divididas em classes. Na classe do tipo Host Based

Alternativas
Comentários
  • Segundo a Wikipedia:

    Sistema de detecção de intrusos ou simplesmente IDS ( em inglês: Intrusion detection system) refere-se a meios técnicos de descobrir em uma rede quando esta está tendo acessos não autorizados que podem indicar a acção hacker ou até mesmo funcionários mal intencionados.

    Com o acentuado crescimento das tecnologias de infra-estrutura tanto nos serviços quanto nos protocolos de rede torna-se cada vez mais difícil a implantação de sistema de detecção de intrusos. Esse fato está intimamente ligado não somente a velocidade com que as tecnologias avançam, mas principalmente com a complexidade dos meios que são utilizados para aumentar a segurança nas transmissões de dados.
    Uma solução bastante discutida é a utilização de host-based IDS que analisam o tráfego de forma individual em uma rede. No host-based o IDS é instalado em um servidor para alertar e identificar ataques e tentativas de acessos indevidos à própria máquina.
  • Existem dois tipos de implementação de ferramentas IDS:

    Host Based: são instalados em servidores para alertar e identificar ataques etentativas de acesso indevido à própria máquina, sendo mais empregados nos casos em que a segurança está focada em informações contidas em um servidor eos usuários não precisam ser monitorados. Também é aplicada em redes onde avelocidade de transmissão é muito alta como em redes "Gigabit Ethernet" ouquando não se confia na segurança corporativa da rede em que o servidor estáinstalado.
    Network Based: são instalados em máquinas responsáveis por identificar ataques direcionados a toda a rede, monitorando o conteúdo dos pacotes ou do tráfego e seus detalhes como informações de cabeçalhos e protocolos. O IDS tem como umdos objetivos principais detectar se alguém está tentando entrar no seu sistema ouse algum usuário legítimo está fazendo mau uso do mesmo.

  • Instalado em um servidor foi ridículo hehe

ID
12097
Banca
CESPE / CEBRASPE
Órgão
Polícia Federal
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

Os sistemas de informação possuem diversas vulnerabilidades que podem ser exploradas para se comprometer a segurança da informação. Para reduzir os riscos de segurança, empregam-se diversos mecanismos de controle e de proteção física e lógica desses sistemas. Acerca das vulnerabilidades e proteções dos sistemas de informação, julgue os itens a seguir.

Um sistema de detecção de intrusão (IDS) por uso incorreto utiliza descrições de ataques previamente conhecidos (assinaturas) para identificar a ocorrência de ataques. Esse tipo de IDS tem como inconveniente a geração de um número elevado de falsos positivos quando ataques novos, para os quais ainda não foram especificadas assinaturas de ataque convenientes, são lançados contra o sistema monitorado pelo IDS.

Alternativas
Comentários
  • A afirmação está toda correta. Com excessão do termo "por uso incorreto".
  • Na minha opinião o erro está em afirmar que serão gerados falsos positivos para novos ataques, quando neste caso os ataques não serão detectados.
  • Quando o ataque é novo ainda não existe uma assinatura correspondente a ele, dessa forma, o ataque não é detectado.
  • O erro da questão está no fato em dizer "geração de um número ELEVADO de falsos positivos", sendo que IDS por assinatura (chamado também de preemptivo ou detecção por abuso) faz é detectar um número menor de falso positivo, quando comparado com o IDS por anomalia (chamado também de comportamento ou reacionário)
  • A questão está toda errada. Esse trecho, por exemplo, "...falsos positivos quando ataques novos, para os quais ainda não foram especificadas assinaturas de ataque convenientes, são lançados contra o sistema monitorado pelo IDS."

    Quando acontecem novos ataques, para os quais ainda não foram especificadas assinaturas, na realidade, acontecem FALSOS NEGATIVOS. Ou seja, o sistema monitorado pelo IDS não detecta um ataque, quando, na verdade, está acontecendo um ataque.
  • QUestão muito bem feita do CESPE. Vamos "quebrar" a questão para facilitar:

    "Um sistema de detecção de intrusão (IDS) por uso incorreto utiliza descrições de ataques previamente conhecidos (assinaturas) para identificar a ocorrência de ataques."

    "IDS por uso incorreto" podemos interpretar como "IDS baseado em anomalias" ou "IDS baseado em comportamento". De fato, se adotarmos esta linha estaria ERRADO, pois o IDS baseado em comportamento adota a análise heurística e estatística.

    Nos dizeres de Nakamura, pag 286...Se o comportamento é diferente do que é listado (do padrão), então é perigoso. Aqui voce cadastra os comportamentos "normais" de uma rede. Veja que o CESPE "inverte" a logica, dizendo que "apenas o que esta na minha lista é considerado perigoso". Neste caso, estaríamos falando de um IPS... (estou "prevenindo" os comportamentos que considero suspeito em minha rede).

    Esse tipo de IDS tem como inconveniente a geração de um número elevado de falsos positivos quando ataques novos, para os quais ainda não foram especificadas assinaturas de ataque convenientes, são lançados contra o sistema monitorado pelo IDS. "

    Cuidado com a Confusão dos FALSOS...

    Falso Positivo, para lembrar, é algo que "tem cara de positivo + na verdade é negativo" (seria o "Lobo em pele de cordeiro"). Na questão ele fala que, para ataques novos, são gerados um numero elevado de falsos positivos.

    ERRADO, pois como estamos tratando de um IDS baseado em comportamento. Um novo tipo de ataque "se passaria" por algum fluxo novo não conhecido na tabela de estados de comportamento. Como não esta listado na tabela, então seria considerado um ataque. Lembrando que "Se o comportamento é diferente do que é listado (do padrão), então é perigoso.".

    Enfim.. interpretando "IDS por uso incorreto" como "IDS baseado em anomalias" ou "IDS baseado em comportamento". seria isto.

    OU o erro pode ser simplismente por que "IDS por uso incorreto" não seria um termo muito usual (ou mesmo ERRADO).

    Resumo da ópera: Cabeça de examinador e bumbum de nenêm nunca se sabem o que e quando vem pela frente...
  • Em suma, o IDS pode detectar ataques com base nas ASSINATURAS (ataques conhecidos) e ANOMALIAS (comportamento do tráfego). Os bloqueios feitos com base nas assinaturas geram pouquíssimos falsos-positivos, afinal se ele não "conhece" determinado ataque ele não será detectado.
  • O Lucas acima tem razão....IDS por uso incorreto é o mesmo que IDS por assinatura:

    http://repositorio.bce.unb.br/bitstream/10482/2672/1/2007_FabioMiziaraSilveira.pdf

    Apesar dos comentários dos colegas, ainda não consegui me convencer do erro desse item. Ele diz "assinaturas convenientes". O que eu entendi disso é que ataques novos podem ainda não ter uma assinatura confiável produzida e uma primeira versão dessa assinatura pode acabar gerando muitos falsos positivos. A medida que vai se estudando melhor o ataque, uma assinatura mais refinada pode ser disponibilizada e não são disparados tantos alarmes falsos (ou falso positivo, é a mesma coisa).
  • Concordo com quem fala sobre falsos negativos. Vejam bem: em um IDS baseado por assinaturas, para que ele detecte uma ameaça, ele precisa de ter, em seu banco de dados, uma assinatura sobre essa ameaça. Uma assinatura é um padrão de ataque, que será responsável pelo reconhecimento efetivo do ataque. Se o ataque é novo, então evidentemente não existe assinatura para ele em seu banco de dados. Ocorre que, portanto, este ataque não será detectado. Ou seja, trata-se de um falso negativo: um ataque que deveria ter sido detectado, mas que não foi. A questão erra ao inferir que trata-se de um falso positivo.

    Conceitos:
    Falso negativo: uma intrusão que deveria ser detectada.
    Falso positivo: um alarme falso - uma detecção de algo que não é uma intrusão.
    Comportamento normal/verdadeiro positivo: intrusão detectada.
    Verdadeiro negativo: não ter detectado algo que, de fato, não é uma intrusão.
  • RETIRADO DA CESPE

     ITEM 102 – mantido. Um IDS por uso incorreto não gera necessariamente um elevado número de falsos positivos. Ao contrário, são esperados falsos negativos associados aos ataques para os quais ainda não foram definidas as respectivas assinaturas.
  • quem gera falso positivo é a detecção por anomalia
  • Em vez de "..geram falsos positivos", deveria ser geram falsos positivos pois os ataques iam passar imunes, despercebidos.

  • Um sistema de detecção de intrusão (IDS) por uso incorreto (Que viagem! Que imaginação! Se isso quer dizer “anomaly based”, aqui já está o erro) utiliza descrições de ataques previamente conhecidos (assinaturas) para identificar a ocorrência de ataques. Esse tipo de IDS tem como inconveniente a geração de um número elevado de falsos positivos quando ataques novos, para os quais ainda não foram especificadas assinaturas de ataque convenientes, são lançados contra o sistema monitorado pelo IDS.

    Esta "interessante" questão (IDS por uso incorreto!) pelo menos é fácil, pois contém 2 erros, quando um já basta.

    IDS por “uso incorreto” (se isso quer dizer por "anomalias") não usa assinaturas, ele analisa o tráfego (erro 1); IDS por "assinatura" não gera falso positivo, pelo contrário, ele não percebe o malware que não esteja registrado em seu banco, dá falso negativo por não reconhecer um verdadeiro ataque (erro 2).

    Eu tenho visto alguns colegas relacionarem sensoriamento "signature based" com sensoriamento por "detecção por regras", mas o que detecta por regras é o sensoriamento "policy detection". 


  • Ano: 2009

    Banca: CESPE

    Órgão: INMETRO

    Prova: Analista Executivo em Metrologia e Qualidade - Redes

    Os sistemas de detecção de intrusão normalmente apresentam baixa incidência de falsos-positivos.

    ERRADA

  • Gabarito Errado

    Copiando a resposta para melhor visualização:

    Questão muito bem feita do CESPE. Vamos "quebrar" a questão para facilitar:

    "Um sistema de detecção de intrusão (IDS) por uso incorreto utiliza descrições de ataques previamente conhecidos (assinaturas) para identificar a ocorrência de ataques."

    "IDS por uso incorreto" podemos interpretar como "IDS baseado em anomalias" ou "IDS baseado em comportamento". De fato, se adotarmos esta linha estaria ERRADO, pois o IDS baseado em comportamento adota a análise heurística e estatística.

    Nos dizeres de Nakamura, pag 286...Se o comportamento é diferente do que é listado (do padrão), então é perigoso. Aqui voce cadastra os comportamentos "normais" de uma rede. Veja que o CESPE "inverte" a logica, dizendo que "apenas o que esta na minha lista é considerado perigoso". Neste caso, estaríamos falando de um IPS... (estou "prevenindo" os comportamentos que considero suspeito em minha rede).

    Esse tipo de IDS tem como inconveniente a geração de um número elevado de falsos positivos quando ataques novos, para os quais ainda não foram especificadas assinaturas de ataque convenientes, são lançados contra o sistema monitorado pelo IDS. "

    Cuidado com a Confusão dos FALSOS...

    Falso Positivo, para lembrar, é algo que "tem cara de positivo + na verdade é negativo" (seria o "Lobo em pele de cordeiro"). Na questão ele fala que, para ataques novos, são gerados um numero elevado de falsos positivos.

    ERRADO, pois como estamos tratando de um IDS baseado em comportamento. Um novo tipo de ataque "se passaria" por algum fluxo novo não conhecido na tabela de estados de comportamento. Como não esta listado na tabela, então seria considerado um ataque. Lembrando que "Se o comportamento é diferente do que é listado (do padrão), então é perigoso.".

    Enfim.. interpretando "IDS por uso incorreto" como "IDS baseado em anomalias" ou "IDS baseado em comportamento". seria isto.

    OU o erro pode ser simplismente por que "IDS por uso incorreto" não seria um termo muito usual (ou mesmo ERRADO).

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Resumindo:

     

    FALSO POSITIVO é algo comum detectado como algo malicioso.

     

    A questão está falando que o IDS usa assinatura, neste caso, a detecção por assinatura é aquela que só vai detectar o que está "assinado", ou seja, o que já foi detectado como algo malicioso e está lá na listinha do IDS/"antivirus" avisando exatamente quais são os códigos maliciosos.

     

    Portanto podemos perceber que IDS por assinatura NÃO detecta falsos positivos. 

     

    MAS PORQUE MESMO?

    Porque o SISTEMA DE ASSINATURA do IDS já tem definido o que é ou não malicioso e falso positivo é algo que NÃO É MALICIOSO.

  • Se o IDS está trabalhando com assinaturas em seu banco de dados, e há um ataque que ainda não foi especificado como tal, então o que acontecerá é uma maior incidência de falsos negativos (intrusão não detectada).

    É isso?

  • Os sistemas de detecção de intrusão normalmente apresentam alta incidência de falsos-positivos.IDS por assinatura NÃO detecta falsos positivos. O erro está na parte final.

  • GABARITO: ERRADO.

  • Baseado em anomalias - Gera um grande numero de falso Negativo.

    Falso negativo - Legal - Que bloqueou

    Falso Positivo - Ruim - Que deixou passar.

  • Errado.

    Falso negativo.

  • O IPS que é conhecido por gerar falso Negativo.

  • ERRADO

    Trata-se de Falso Negativo (IDS)

    Falso Positivo = indica que um arquivo é malicioso, mas na verdade ele é seguro. 

    Falso Negativo = indica que um arquivo é seguro, mas na verdade ele é malicioso.

  • ACERTEI POR PENSAR QUE SE TRATAVA DE UMA DESCRIÇÃO DE ANTIVIRUS HAHA

  • Por acaso, teria alguma correlação que o IDS gera falso negativo e o IPS gera falso positivo?

    Alguém tem um informação que possa me ajuda a diferenciar quando o IDS e o IPS vão gerar um ou o outro?

ID
16765
Banca
CESPE / CEBRASPE
Órgão
TRE-AL
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de ferramentas e métodos relacionados à segurança da
informação, julgue os itens seguintes.

Um dos mecanismos utilizados pelos sistemas detectores de
intrusão (IDS - intrusion detection system) é a detecção por
assinatura, em que a assinatura típica de um tráfego
malicioso permite identificá-lo como um ataque a
computador.

Alternativas
Comentários
  • Falar em assinatura de malware é meio forçoso. O que se constata é que alguns malware têm sequências já conhecidas pelo mercado de segurança da informação, o que possibilita sua detecção.
  • Os dois mecanismos existentes são:
    • Assinatura: compara o tráfego com uma base de tráfegos relativos a ataques conhecidos
    • Anomalias: aprende-se por um tempo qual é o tráfego esperado. Após estes aprendizado, qualquer anomalia é reportado como possível ataque.

  • Certa para o Cespe, mas está MUITO ERRADA. Por mais que se force a barra, não se pode dizer que “em que a assinatura típica de um tráfego malicioso permite identificá-lo como um ataque” é o mesmo que analisar pacote a pacote procurando em seu payload a “assinatura” (um trecho distinto do código) de um malware registrado no "banco de dados de assinaturas de malwares" do IDS. O que torna esta questão errada é a palavra "tráfego", que é analisado no IDS "por anomalia". IDS por assinatura não trabalha com tráfego, mas procura nos pacotes por trechos conhecidos de "código criminoso". Exatamente como nos antivírus de PC. É incrível um gabarito desses.

ID
17968
Banca
CESGRANRIO
Órgão
BNDES
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Um usuário externo, mal-intencionado, está promovendo um ataque do tipo SYN FLOOD contra um determinado servidor de e-mail E na Internet. Para isso, o atacante está utilizando uma única máquina e forjando os endereços IP de origem com valores aleatórios. Supondo que não existe firewall e nem configurações para proteção no roteador e servidor, assinale a afirmativa correta.

Alternativas
Comentários
  • SYN flood ou ataque SYN é uma forma de ataque de negação de serviço (também conhecido como Denial of Service - DoS) em sistemas computadorizados, na qual o atacante envia uma seqüência de requisições SYN para um sistema-alvo.

    Quando um cliente tenta começar uma conexão TCP com um servidor, o cliente e o servidor trocam um série de mensagens, que normalmente são assim:

    O cliente requisita uma conexão enviando um SYN (synchronize) ao servidor.
    O servidor confirma esta requisição mandando um SYN-ACK de volta ao cliente.
    O cliente por sua vez responde com um ACK, e a conexão está estabelecida.
    Isto é o chamado aperto de mão em três etapas (Three-Way Handshake).

    Um cliente malicioso pode não mandar esta última mensagem ACK. O servidor irá esperar por isso por um tempo, já que um simples congestionamento de rede pode ser a causa do ACK faltante.

    Esta chamada conexão semi-aberta pode ocupar recursos no servidor ou causar prejuízos para empresas usando softwares licenciados por conexão. Pode ser possível ocupar todos os recursos da máquina, com pacotes SYN. Uma vez que todos os recursos estejam ocupados, nenhuma nova conexão (legítima ou não) pode ser feita, resultando em negação de serviço. Alguns podem funcionar mal ou até mesmo travar se ficarem sem recursos desta maneira.

    Algumas contra-medidas para este ataque são os SYN cookies. Apenas máquinas Sun e Linux usam SYN cookies.

    Ao contrário do que muitos pensam, não se resolve negação de serviço por Syn flood limitando conexões por minuto (como usar o módulo limit ou recent do iptables), pois as conexões excedentes seriam descartadas pelo firewall, sendo que desta forma o próprio firewall tiraria o serviço do ar. Se eu, por exemplo, limito as conecões SYN a 10/seg, um atacante precisa apenas manter uma taxa de SYNs superior a 10/s para que conexões legítimas sejam descartadas pelo firewall. O firewall tornou a tarefa do atacante ainda mais fácil. Em "Iptables protege contra SYN Flood?" tem uma boa descrição dos motivos pelos quais uma configuração de firewall não resolve.

    Um ataque de Syn Flood é feito com os ips forjados (spoof), para que o atacante não receba os ACKs de suas falsas solicitações.

  • a) O tempo de resposta depende do tempo de processamento e alocacao de recursos por E.
    b) Uma configuração correta de filtro de pacotes pode evitar que máquinas na mesma rede possam se conectar entre si, o que evita o SYN flood.
    c) A velocidade do flood independe da velocidade da rede. Depende mais da velocidade de processamento por E.
    d) O hacker é esperto. Ele usa IP spoofing.
    e) Um bom IDS detecta.
  • a) False. Se levar em consideração que o examinador tratou SYN_ACK como somente ACK, o erro é que quem irá receber este "ACK" serão os IP de origem. Se o examinador foi técnico, o ACK só seria recebido se o IP de origem de fato fosse o do atacante.LEMBRETEA conexão TCP é formada por três mensagem: * SYN (origem p/ destino) - "Posso me conectar à vc?";* SYN-ACK (destino p/ origem) - "Pode sim!" - Vulgarmente também chamado de ACK;* ACK (origem p/ destino) - "Fechado então!"b) True. Pois ROTEADOR não repassa pacotes oriundos da rede EXTERNA, com endereço de origem internos, para a rede INTERNA.c) False. Não amplificaria, seria na mesma velocidade. Entretanto, pro se tratar de um ip de origem interno, o roteador novamente não deixaria passar.d) False. Solução inútil, pois o servidor irá responder sempre SYN-ACK para os pacotes que chegarem pra ele.e) False. Este ataque é típico dos ataques detectados pelo IDS.

  • Acertei pois ignorei o comando da questão que dizia que não existia proteção no roteador.

ID
27604
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

Assinale a afirmação INCORRETA sobre os firewalls e sistemas de detecção de intrusão (IDS - Intrusion Detection Systems).

Alternativas
Comentários
  • Recomendação: Bloqueio de incoming echo request (ping e Windows traceroute), bloqueio de outgoing echo replies, time exceeded, e mensagens unreachable.
    O ICMP é utilizado para ajudar na assistência com mapeamento de ambientes de rede. Com o propósito primário de transmitir mensagens de status e erros (ex: host unreachable, redirect, e time exceeded). Ao invés da concepção de transportar dados, o protocolo pode ser utilizado por invasores para levantar informações do ambiente.
    A mais conhecida aplicação ICMP com certeza trata-se do echo request e echo reply. O ICMP echo request é um dos métodos mais utilizados para mapeamento de redes. É de extrema importância restringir o echo request quando o mesmo é solicitado a partir da Internet com destino ao perímetro da rede.
    O famoso ataque de fragmentação "Ping of Death", utiliza pacotes icmp fragmentados para causar ataque do tipo Denial Of Service através da técnica de criar pacotes IP que excedem a especificação de 65,535 bytes de dados. Este ataque resulta, muitas vezes, em crash ou congelamento do host. Além do Ping of Death, um invasor pode obter informações preciosas através da análise das mensagens ICMP e utilizar o protocolo para a técnica de ataques do tipo Smurf ou Loki.
  • Concordo com o Deivison, mas é importante ressaltar que a letra A também está incorreta, pois afirma que o IDS "detecta e bloqueia" tentativas de invasão. Vejamos os conceitos abaixo:O IDS tem por finalidade detectar uma ameaça ou intrusão na rede. Pode se dizer por analogia que o IDS é como se fosse um alarme de um carro que soa quando alguém abre sua porta.O IPS complementa um IDS bloqueando a intrusão e impedindo um dano maior para a rede. É uma ferramenta que detecta e bloqueia o invasor. Como foi dito o IDS é como se fosse um alarme de um carro que somente soa quando alguém abre sua porta. Já o IPS dispara o alarme e também trava as rodas para que o invasor não leve o carro.

  • A letra "A" está correta pois o IPS é um tipo específico de IDS.

    IPS = IDS do tipo reativo.

  • O IDS pode ser configurado de modo passivo ou ativo. No modo ativo, em conjunto com o firewall ele poderá bloquear ataques, da mesma forma que um IPS.
  • Um ids funcionado na forma ativa, na verdade nada mais é que um IPS. Acredito que a letra a esteja sim incorreta.
  • Odeio essas bagunças de conceito.
    Ora, por todos os lugares que li, livros, internet e outras questões. IDS, somente detectam invasão e não bloqueiam. E IPS, serve para detectar e bloquear.
    Podem pesquisar existem inúmeras questões que definem exatamente isso, se eu for considerar agora que um IDS pode também bloquear ataques, teremos milhares de questões anuláveis por ai.
  • Eugênio,
    [ 1 ] considera que:

    "Os IDS geralmente são apenas passivos(observando e gerando alertas). Porém, em alguns casos, o sistema pode reagir em caso de uma intrusão ser detectada, como por exemplo fechar a conexão, bloquear a partir do firewall ou até mesmo desabilitar uma conta."

    [ 2 ] considera que:

    O sistema de detecção de intrusão ou IDS, tem como um dos objetivos principais detectar se alguém está tentando entrar no seu sistema ou se algum usuário legitimo está fazendo mau uso do mesmo. Esta ferramenta roda constantemente em background e somente gera uma notificação quando detecta alguma coisa que seja suspeita ou ilegal.

    Desta forma, quando algum ataque (antígeno) for detectado pelos sensores, torna-se possível ações de conta-ataque (anticorpos) que podem ser: envio de e-mail para o administrador, envio de mensagem via pager, ativação de alertas nas estações de gerência via SNMP, reconfiguração de elementos de rede como firewall e roteadores, e até mesmo o encerramento da conexão através do envio de pacotes de reset (flag RST do TCP ) para a máquina atacante e para a máquina atacada, com o objetivo de descarregar a pilha TCP.

    Ou seja, a questão A está correta.





    [ 1 ]: http://www.gta.ufrj.br/grad/07_2/rodrigo_leobons/deteccao.html
    [ 2 ]: http://www.rnp.br/newsgen/9909/ids.html












    [ 1 ]






  • Então temos que nos atentar para o que cada banca considera mesmo, porque nessa questão aqui por exemplo, a FCC tem outro entendimento como pode ser visto na letra b

    http://www.questoesdeconcursos.com.br/questoes/074adcba-80

    Ou eu deveria mandar essa literatura para eles, para anularem a questão?
  • Boa noite galera! Não é a 1ª questão que vejo vários comentários sobre este assunto. Também acho que não existe um padrão bem claro (infelizmente) no que as bancas consideram, então gostaria de avisar que o CESPE tbm age assim, igual a CESGRANRIO agiu. Da mesma forma que postei em outras questões sobre o assunto, acho que a palavra que pega aqui é o PODE.
    Resumidamente, IPS pode ser considerada uma classe especializada de IDS. Então um IDS PODE reagir sim, o problema é que um IDS reativo é classificado como IPS.
    Pelo menos neste caso aqui, tem item que está completamente errado, enquanto outro item gera dúvida, então dá pra acertar. Questões do CESPE são ainda mais cruéis, pois vc erra algo que sabe e ainda perde outro ponto.
    Sobre a FCC, depois que vi questões retiradas de blogs e wiki, não dá nem pra dizer mais nada. Pior não é nem retirar a ideia, é copiar literalmente. Muitas vezes é o mesmo texto que aparece na questão. Tanto que já vi muita gente chamando de Fundação Ctrl + C. Apesar disso tudo, neste caso, concordo mais com o entendimento da FCC do que do CESPE ou CESGRANRIO.

    Espero ter ajudado.
  • sobre a letra C, quando ele diz s IDS podem ser utilizados para detectar falhas de segurança em uma rede ou computadores antes mesmo que um ataque ou falha ocorra.

    Isso não seria definição de IPS não, sistema de prevenção?

  • Cuidado, galera!
    A Letra A está correta já que o IDS pode atuar em modo Passivo ou em modo Reativo também faz o bloqueio do  tráfego do IP suspeito ou do usuário mal-intencionado.
    IDS Reativo: Se recupera da invasão, atuando "pós"

    Modo Passivo
        Um IDS passivo quando detecta um tráfego suspeito ou malicioso gera um alerta e envia para o administrador.
        Não toma nenhum atitude em relação ao ataque em si.

    Não confundir com o IPS:
        IPS: Previne a invasão, atuando "pré".

    Fonte: https://seginfo.com.br/2010/06/21/sistemas-de-deteccao-de-intrusoes-ids-intrusion-detection-systems-usando-unicamente-softwares-open-source/#modo-reativo

  • minha dica: não estude por essa questão

     

    passe para a próxima

     

    estuda por estas:

     

    2013 - CNJ

    Ferramentas de IDS (intrusion detect system) são capazes de detectar anomalias no tráfego de rede, gerar logs e reações, como regras de bloqueio do tráfego considerado anormal.

    errada


     

    Ano: 2014Banca: CESPEÓrgão: TJ-SE

    A detecção de intrusão compreende medidas proativas na proteção de sistemas computacionais.

    errada

     

    2014

    A detecção de intrusão abrange formas de resposta, tais como a geração de alertas e a interrupção dos fluxos de dados maliciosos.

    certa

  • Pessoal vamos devagar...

    Primeiro, o IDS é que é um tipo de IPS, e não o contrário. Só vocês pensarem em qual surgiu primeiro, históricamente.

    Outra coisa, sobre a letra C: é muito comum no mundo das Redes fazer-se ataques à frio, simulando tráfego...neste sentido, pode sim o IDS ajudar à evitar falhas!

    Claro que devemos evitar sim essa respostinha do echo reply rs. Tb errei kkk!

  • IPS é uma especialidade de IDS. O primeiro age ativamente ao Bloquear ataques. O segundo agr passivamente detectando, ou reativamente quando envia comandos ao Firewall para melhorar regras de bloqueio.
  • O fato é que o IDS REATIVO não bloqueia nada, apenas envia comandos ao Firewall, mas o ataque/estrago já é uma realidade. O IDS ATIVO, sinônimo de IPS, é quem bloqueia...
ID
101941
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2007
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a segurança de hosts e redes, julgue os itens
seguintes.

Roteadores de borda, firewalls, IDSs, IPSs e VPNs são alguns dos principais elementos do perímetro de segurança da rede.

Alternativas
Comentários
  • Conceito:Uma rede adicionada entre a rede interna e a externa com o objetivo deprover uma camada adicional de segurança.Esta rede “perímetro” é chamada de DMZ, que significa De-Militarized Zone (nomeada assim por similaridade com a separação da Korea do Norte e do Sul, acreditem ou nao :)Pode ser implementada de maneiras diferentes de acordo com:- a Política de Segurança;- o que precisa ser protegido;- o nível de segurança necessário;- o orçamento de segurança;- outros fatores.Realizada com elementos de rede, que podem ser combinados de várias maneiras para proteger a rede interna.Um único roteador poderia ser usado.Implementada segundo uma topologia, na qual um roteador de perímetro é a primeira linha de defesa e um Firewall é a segunda linha de defesa.Roteadores de perímetro são usados para implementar a parte da política de segurança de rede que especifica como a rede interna será conectada à rede externa.Roteador de PerímetroProtege o Firewall.Funciona como alarme, se ele próprio ou um Host de Segurança for invadido.O Firewall é usado para criar uma DMZ protegida, colocando Hosts de Segurança em uma outra interface do Firewall.Pode utilizar regras de filtragem de pacotes para restringir o acesso a serviços TCP/IP e aplicativos.Listas de Controle de Acesso (ACL) são usadas para implementar as regras de filtragem.Ponto principal do controle de acesso a redes internas.Recursos de segurança:- autenticação de usuário,- autorização de usuário,- proteção contra endereços de origem/destino desconhecidos,- oculta endereços IP internos,- rastreiam atividade dentro e fora do roteador,- administradores podem implementar política de segurança no perímetro.

  • Gabarito CERTO mas a questão está ERRADA, reflexo de teorias em contradição encontradas na pobre literatura nacional, de pouco cunho prático e escasso rigor acadêmico. Há aqui uma confusão no conceito básico de perímetro. O que define perímetro de redes são firewalls, roteadores de borda e bridges (e os softwares e firmwares associados). Se a questão ficasse restrita a um ou mais destes elementos estaria correta. Perímetro tem a ver com endereçamento, não com funcionalidades de segurança. O problema é que alguns produtos comerciais expandem este conceito por razões de marketing, e pelo visto algum autor endossa isso, afinal a questão está CERTA e deve ter passado por recursos. Mas eu pergunto como a redação dessa questão pode estar correta, se sistemas tipo IDS/IPS operam DENTRO do perímetro, procurando ameaças em curso ou iminentes, e excepcionalmente comparam o fluxo de dados interno com uma cópia do fluxo externo (ou seja, ANTES e DEPOIS do firewall) verificando se uma ameaça passou pelo firewall, e muitas vezes alarmando um ataque muitos minutos após a tentativa? E o que dizer de VPN, que vai de um host numa rede para um host noutra rede por um túnel na "via pública", mas cujas extremidades estão no interior seguro da rede, ou então em sua DMZ, que está fora do perímetro de segurança mesmo quando definida com um firewall exclusivo? É só pesquisar pelos recentes exploits de VPN para certificar-se que estas não compõem o perímetro. Um mínimo de rigor invalida o CERTO imputado à questão. Na verdade, se considerada ERRADA, teria sido uma questão fácil, pois aplicações tipo IDS, IPS e VPN, não operam no perímetro, não o caracterizam e menos ainda o compõem, ao contrário do que uma pesquisa apressada no Google possa afirmar. Infelizmente tenho visto isso em questões do Cespe relacionadas à segurança de rede (todas CERTAS no gabarito), como uma questão que diz que "trojans abrem backdoors", ou uma que cita "IDS por uso incorreto" como sinônimo de "IDS por detecção de anomalia de tráfego", e outra - a pior - confundindo análise de tráfego com inspeção de assinatura em payload, por exemplo. Dica para quem é do ramo (não vale para os clicadores de mouse): se citar firewall, IPS, IDS, NBA, antivirus, proxy, proxy as firewall, NAT, IPSec, etc, a não ser que se tenha muita certeza é melhor deixar a questão em branco, pois a possibilidade de um gabarito absurdo é muito grande. Não adianta entrar com recursos, eles não são acatados, e a razão deve ser existirem literaturas nacionais justificando bobagens desse gênero, neste caso expandindo o conceito de perímetro até ele abarcar toda a rede, ou pelo menos abarcar qualquer host da rede que contenha um aplicativo de segurança.

  • A questão está correta.

    "É importante entender onde o perímetro da rede existe e quais tecnologias são usadas contra as ameaças. A segurança perimetral é tratada por várias tecnologias diferentes, incluindo roteador de borda, firewalls, sistemas de detecção de intrusão e sistemas de prevenção, VPNs."

    https://studyhelp.com.br/categories/ensaios/ciencia-da-computacao/o-sistema-de-seguranca-da-rede-de-perimetro-computer-science-essay

  • Cesp falou em VPN , usou o S (IDSs, IPSs) item certo . ok

  • Eu acho q o nosso coleguinha Luciano está redondamente enganado no seu conceito. Segundo[1], "Os firewalls podem ser utilizados na implementação do conceito de defesa em profundidade. Nesse conceito, são definidos perímetros de segurança em camadas. As camadas mais externas têm menores restrições de segurança, enquanto que as camadas mais internos têm maiores restrições".

    E em q consiste essas camadas? Justamente nesses itens q ele despreza no comentario(VPN, IDS, antivirus etc)

    Fonte:

    [1] Seguranca da Informacao Descomplicada, Socrates Filho

  • Um pouco do resumo que montei fazendo questões sobre o assunto:

    Todos os dados que trafegam através da VPN são encriptados, o que elimina o risco inerente à transmissão via internet. Com a VPN, o risco na transmissão é muito pequeno. Através da VPN, pode-se imprimir em impressoras da rede remota, da mesma forma que se faria com uma impressora local.

     

    Uma VPN, rede formada por circuitos virtuais, pode utilizar-se corretamente de infraestruturas de redes públicas com protocolos de segurança implementados como IPSEC e L2PT, por exemplo, com o uso de protocolos de segurança, criptografia e firewall.

     A utilização de VPN (virtual private network) entre o usuário e o ponto de acesso que difunde o sinal em uma rede wireless garante confidencialidade e integridade ao tráfego da rede;

    Remote Access VPN é o nome dado a uma  (VPN) que pode ser acessada remotamente através de um provedor. Esta tecnologia permite o acesso à  ou  de uma empresa, por funcionários localizados remotamente, através de uma infraestrutura compartilhada. Uma "Remote Access VPN" pode utilizar tecnologias analógicas, de discagem (), ,  (Digital Subscriber Line),  móvel e de cabo, para fazer a conexão segura dos usuários móveis, telecomutadores e filiais.

    As redes privadas virtuais podem ser configuradas também como um meio substituto ao acesso remoto tradicional.

    Outra forma de remote-access-VPN é quando o túnel VPN é iniciado no provedor de acesso, que faz o papel de provedor VPN.

    Por questões de segurança, quando um servidor de VPN está à frente de um firewall e conectado à Internet, filtros de pacotes devem ser configurados na interface Internet do servidor de VPN para permitir somente tráfego VPN de e para o endereço IP daquela interface. Esta configuração evita que recursos da Intranet sejam compartilhados com usuários de Internet não conectados ao servidor VPN;

ID
101950
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2007
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a segurança de hosts e redes, julgue os itens
seguintes.

Em geral, os firewalls inspecionam todo o pacote, enquanto os IDSs inspecionam apenas os cabeçalhos.

Alternativas
Comentários
  • É justamente o contrário. Apesar de alguns modelos de firewall inspecionarem todo o pacote, em geral inspecionam apenas o cabeçalho, principalmente campos de origem e destino. Já os IDSs analisam o conteúdo do pacote.

  • Quando uma questão do CESPE não mencionar o tipo de firewall, considere que ele está falando de FILTRO DE PACOTES.

    Assim, um filtro de pacotes atua somente nas camadas 3 e 4 (rede e transporte) do modelo OSI, ou seja, inspecionam somente os cabeçalhos destas camadas e não do pacote todo.

  • CESPE - 2009 - INMETRO
    Tipicamente, firewalls realizam a inspeção dos cabeçalhos, enquanto os sistemas de detecção de intrusão
    verificam todo o conteúdo dos pacotes. CERTO

  • Errado. Firewall de pacote que analisa os cabeçalhos

    Firewall de Pacote: analisa e filtra o pacote de acordo com as regras específicas contidas em seus cabeçalhos, atua na camada 3 (rede)

    Firewall de Estado: são mais elaborados e trabalham na camada transporte, capazes de detectar falhas não só no nível de pacotes, mas no de conexões também.

    IDS: Programas que auxiliam os firewalls em uma análise mais macro, ampliando a visão sobre as comunicações e alertando o firewall sobre possiveis problemas que ele não tenha visto. 

    Créditos: Livro João Antonio 6 edição.

  • Corrigindo a questão:

    ''Em geral, o IDS inspeciona todo o pacote, enquanto o firewall (filtro de pacotes) inspeciona apenas os cabeçalhos (campos de origem e destino).''

  • GABARITO: ERRADO

    Em geral, os IDS inspecionam todo o pacote, enquanto os FIREWALL inspecionam apenas os cabeçalhos.

  • errado Em geral, os firewalls inspecionam todo o pacote, enquanto os IDSs inspecionam apenas os cabeçalhos.

    certo Em geral, os IDSs inspecionam todo o pacote, enquanto os firewalls inspecionam apenas os cabeçalhos.

  • GABARITO ERRADO!

    .

    .

    CONCEITOS INVERTIDOS!!!

    CONFORME LECIONA NAKAMURA, 2011, PÁGINA 111:

    Os filtros realizam o roteamento de pacotes de maneira seletiva, ou seja, aceitam ou descartam pacotes por meio da análise das informações de seus cabeçalhos. Essa decisão é tomada de acordo com as regras de filtragem definidas na política de segurança da organização. Os filtros podem, além de analisar os pacotes comparando um conjunto de regras de filtragem estáticas com as informações dos cabeçalhos dos mesmos, tomar decisões com base nos estados das conexões.

    .

    .

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS.

  • Corrigindo: Em geral,os IDS inspecionam todo o pacote, enquanto os firewalls inspecionam apenas os cabeçalhos.

  • [1][2] É EXATAMENTE O QUE ELE DISSE, SÓ QUE TUDO AO CONTRÁRIO.

    FONTE:

    [1] CONCURSEIRO QUASE NADA

    [2] KIKO

ID
126559
Banca
ESAF
Órgão
Prefeitura de Natal - RN
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Analise as seguintes afi rmações relacionadas à Segurança da Informação e os objetivos do controle de acesso:

I. A disponibilidade é uma forma de controle de acesso que permite identifi car os usuários legítimos da informação para que lhes possa ser liberado o acesso, quando solicitado.
II. A confi dencialidade é uma forma de controle de acesso que evita que pessoas não autorizadas tenham acesso à informação para criá-la, destruí-la ou alterá-la indevidamente.
III. O IDS (Intrusion Detection System) é um dispositivo complementar à proteção contra invasão de redes, que inspeciona uma rede de dentro para fora, identifi ca e avalia padrões suspeitos que podem identifi car um ataque à rede e emite um alarme quando existe a suspeita de uma invasão.
IV. A integridade é uma forma de controle de acesso que evita o acesso de pessoas não autorizadas a informações confi denciais, salvaguardando segredos de negócios e protegendo a privacidade de dados pessoais.

Indique a opção que contenha todas as afi rmações verdadeiras.

Alternativas
Comentários

  • Resposta: B
    Entendo que as assertivas II e III estão corretas. As erradas são: I e IV.

    Vejamos os conceitos:
    DISPONILIDADE é o atributo ligado à segurança da informação que garante que ela esteja sempre disponível para o uso legítimo dos usuários, ou seja, por aqueles usuários autorizados pelo proprietário da informação a ter acesso ao conhecimento da informação;

    INTEGRIDADE é o atributo ligado à segurança da informação que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida. A informação não pode ser alterada.

    Discordo do gabarito

  • Concordo com o colega, eu também entendo que seja B a resposta correta, mas não encontrei o gabarito da prova para comprovar isso. Mais uma vez ficamos na mão da banca...
  • Achei estranho constar que "inspeciona uma rede de DENTRO para FORA". A análise não é de tráfego invasor, que vem de FORA para DENTRO? O que acham?
  • A banca é a ESAF.. tem que se atentar a todos os detalhes.
    Errei mas concordo que a certa seja a letra D, senão vejamos:

    I - A Disponibilidade aqui deve ser interpretada como o Controle de Acesso. Disponível apenas para o dono da informação. Controlando a sua disponibilidade é possível controlar o seu acesso, ou seja, quem não é dono da informação não vai tê-la disponível!!
    II - Para algo Confidencial, utiliza-se a criptografia. Um arquivo criptografado é Confidencial, no entanto pessoas não autorizadas podem sim ter acesso ao arquivo. Embora não entendam o que há nesse arquivo, podem alterá-lo, deletá-lo etc, já que podem ter acesso ao mesmo.
  • Livro do Stallings - pg 09 e 10

    Controle de acesso = capacidade de limitar e controlar o acesso aos sistemas e aplicações hospedeiras por meio de enlaces de comunicação. Cada entidade precisa ser identificada antes de obter acesso, ou autenticada, de modo que os direitos de acesso possam ser ajustados ao individuo.

    Disponibilidade = propriedade de um sistema ou de um recurso do sistema ser acessível e utilizável sob demanda por uma entidade autorizada do sistema. É associada a vários serviços de segurança. Depende do gerenciamento e controle apropriado dos recursos do sistema, do serviço de controle de acesso e outros serviços de segurança.

    Integridade = mensagens são recebidas conforme enviadas, sem duplicação, inserção, modificação, reordenação ou repetição.


    Livro da Claudia Dias

    Confidencialidade = proteger as informações contra acesso de qualquer pessoa não explicitamente autorizada pelo dono da informação.


    Logo:

    (C) I. A disponibilidade é uma forma de controle de acesso que permite identifi car os usuários legítimos da informação para que lhes possa ser liberado o acesso, quando solicitado

    (E) II. A confidencialidade é uma forma de controle de acesso que evita que pessoas não autorizadas tenham acesso à informação para criá-la, destruí-la ou alterá-la indevidamente

    (C) III. O IDS (Intrusion Detection System) é um dispositivo complementar à proteção contra invasão de redes, que inspeciona uma rede de dentro para fora, identifi ca e avalia padrões suspeitos que podem identifi car um ataque à rede e emite um alarme quando existe a suspeita de uma invasão. 

    (E) IV. A integridade é uma forma de controle de acesso que evita o acesso de pessoas não autorizadas a informações confi denciais, salvaguardando segredos de negócios e protegendo a privacidade de dados pessoais.

  • O gabarito realmente está correto, letra D
    Item I - Disponibilidade é o acesso à informação de pessoas autorizadas para esse fim, tratrou-se de autorização, então controla o acesso;
    O erro do item II é que confidencialidade não protege que a informação seja destruída, protege quanto ao sigilo dessa informação;
    Item III - correto
    Item IV - Integridade não se trata de controle de acesso, está relacionada quanto a auteração ou não da informação, dar garantia de que a informação não foi auterada.
    Abraços.
    vamo que vamo.
  • I - Disponibilidade = Pessoas autorizadas + acesso a informação + QUANDO SOLICITADO.
    II - Confidencialidade = Pessoas autorizadas + acesso a informação. Quando se fala em modificação da informação trata-se de integridade e não confidencialidade.
    III - IDS apenas emite alertas, ele não responde aos ataques diretamente, é como um cachorro pequenez (só dá escândalo). Já o IPS responde aos ataques, é um pitbull.
    IV - Integridade = Completude + Não modificação. Quando de fala em acesso a informação de pessoas autorizadas fala-se de confidencialidade, mas se a esses dois itens for acrescentado "quando solicitado" aí será disponibilidade. Perceba que disponibilidade e confidencialidade são bem parecidos o que os difere é somente o fato de a informação estar disponível, acessivel, quando for solicitado.
ID
144694
Banca
CESPE / CEBRASPE
Órgão
SECONT-ES
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Um órgão público, visando identificar o atual nível de proteção
da rede de computadores das organizações públicas para as quais
presta serviços, desenvolveu um conjunto de processos de
avaliação de segurança da informação em redes de computadores.
Empregando métodos analíticos e práticos, os auditores coletaram
várias informações acerca da rede e produziram diversas
declarações, sendo algumas delas consistentes com o estado da
prática e outras incorretas. A esse respeito, julgue os itens de 101
a 105.

Considere que os auditores identifiquem, entre a rede de uma organização e a Internet, um sistema em funcionamento que realiza a filtragem e correção automática do fluxo de pacotes e datagramas estabelecidos entre os hosts da organização e aqueles da Internet. Considere também que o referido sistema realiza inspeção e eventuais ajustes nos pedidos e respostas http que trafegam em ambos sentidos. Nesse caso, diante das informações mencionadas, é correto afirmar que tal sistema pode ser classificado como de prevenção de intrusão em rede NIPS (network intrusion prevention system) e não apenas como de detecção de intrusão IDS (intrusion detection system).

Alternativas
Comentários

  • Como o referido sistema realiza eventuais ajustes, ou seja toma alguma ação em resposta a um evento, é consistente afirmar que tal sistema pode ser classificado como um IPS de rede.

  • Acredito que também possa ser classificado como um proxie de nível de aplicação!

  • Questão tratou de '' eventuais ajustes e correção automática'' são atividades de execução. Logo, se encaixa na definição de Sistemas de Prevenção

  • FAMOSO NETWORK IPS.

ID
148051
Banca
FCC
Órgão
TRT - 16ª REGIÃO (MA)
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Um sistema de detecção de intrusão (IDS) baseado em host, comparativamente aos baseados em rede, apresenta

Alternativas
Comentários
  • Questão meio que pegadinha, concordam? Mas a alternativa escolhida seria a mais correta.
  • Acredito que a alternativa D é a única que se enquadra. 

    a) HIDS ou Host-based IDS é mais difícil de gerenciar pois, ao contrário do NIDS (Network IDS), não temos um gerenciamento centralizado. Cada estação possui um IDS configurado que deve ser gerenciado, o que aumenta consideravelmente esse trabalho.
    b) Um HIDS consome recursos da máquina, como memória, processamento, espaço em disco e registros, etc. Alguns consomem recursos em pequenas quantidades, mas ainda assim reduzem o desempenho do Host.
    c) O HIDS é altamente dependente do sistema operacional. Como ele trabalha analisando dados de logs e registros do S.O. cada software possui seu funcionamento baseado na arquitetura de cada S.O. em específico.
    d) CORRETO - HIDS independe da topologia da rede, visto que analisa os eventos do host e não da rede.
    e) Conforme comentário na letra A, a instalação e manutenção é mais complicada.
  • realmente, prepararam uma pegadinha mesmo. quem foi de "melhor desempenho do host" se atente que isso não é fator de comparação, uma vez que IDS baseado em rede não atua em hosts

  • letra D. Segundo Nakamura(2010,p.271),

    "Os pontos fortes do HIDS(Sistema de detecção de intrusão baseado em host) são:

    É independente da topologia da rede, podendo ser utilizado em redes separadas por switches."


    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-2010-NAKAMURA

ID
150283
Banca
FCC
Órgão
TJ-PA
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Os sistemas de detecção de intrusos que monitoram os cabeçalhos e o campo de dados dos pacotes a fim de detectar possíveis invasores no sistema, além de acessos que podem prejudicar a performance da rede, são denominados IDS baseado em

Alternativas
Comentários

  • Segundo Willian Stallings, em Cryptography and Network Security, os sistemas de IDS podem ser classificados quando à localidade em "baseado em host" e "baseados em rede". O último item tenta nos induzir ao erro porque no enunciado se fala em analisar os pacotes que trafegam na rede. Ocorre, porém, que esta é uma descrição mais adequada aos IDS baseados em assinaturas. Ademais, destaca-se que não há classificação para IDS baseado em siwtching, splitting ou protocolos.

  • Colega, existem sistemas de detecção de intrusão baseados em protocolos, são os PIDS:

    http://en.wikipedia.org/wiki/Protocol-based_intrusion_detection_system (referência em inglês)
    http://www.gta.ufrj.br/grad/03_1/sdi/sdi-3.htm (referência em português)

    Acho que a última alternativa seria a mais correta de todas

  • Network Based Intrusion Detection System (NIDS)

    O NIDS é instalado em um segmento de rede ondeatravés de uma base de dados faz comparações necessárias com os pacotes de redeou então faz a decodificação e verifica os protocolos de rede. O NIDS verificaos usuários externos não autorizados a entrar na rede, DoS ou roubo de basedados.

    O IDS baseado em rede opera sobre as camadas de rede do modelo(OSI/RM). Esse tipo aplicativo baseado em rede é bem interessante quando sequer analisar o tráfego da rede.

    Um IDS baseado em rede se torna muito mais eficiente e de fácilcontrole pelo administrador quando se utiliza vários servidores para aplicaçãodo IDS. Um servidor para captura de dados, outro para monitoração earmazenamento e um para análise atenderia à necessidade de processamento e armazenagemdos dados. O servidor sensor detecta os dados que passam pela rede e os enviapara o servidor de armazenagem, este envia para o servidor de análise o arquivoque contém os pacotes enviados pelo sensor. O servidor de análise pode entãoler os pacotes onde estão armazenados ou selecionar os eventos da estação dearmazenagem.

    O dispositivo de armazenagem pode deixar todos os eventos prontos paraserem enviados através de um servidor Web. O servidor para análise pode ser umservidor Linux com um navegador de Web. O administrador poderá utilizar onavegador Web para acessar o servidor Web do dispositivo de armazenamento. Oadministrador pode ainda utilizar um Secure Shell (SSH) para acessardiretamente os eventos, ou seja, à base de dados.

    Vale salientar que um IDS precisa de muito processamento para seufuncionamento e os arquivos de registros precisam de grande quantidade deespaço no disco rígido. Assim deve se levar em consideração, a ideia de dividiro trabalho realizado por um IDS em servidores diferentes. 

    Gabarito: D

  • Os IDS baseados em rede analisam pacotes de dados que trafegam pela rede. Esses pacotes são examinados e algumas vezes comparados com dados empíricos para verificar a sua natureza: maliciosa ou benigna. Pelo fato de serem responsáveis pelo monitoramento da rede, ao invés de uma simples estação, os IDS de rede tem a tendência de serem mais distribuídos do que os IDS baseados em estação. Softwares, ou em alguns casos aparelhos de hardware, residem em um ou mais sistemas conectados numa rede, e são usados para analisar dados, como pacotes de rede. Ao invés de analisar informação que reside e é originada em um computador, IDS de rede usa técnicas como “packet-sniffing”, para pegar dados do TCP/IP ou pacotes de outros protocolos passando sozinhos pela rede. Essa vigilância das conexões entre computadores faz com que IDS de rede sejam ótimos em detectar tentativas de acesso por fora da rede confiável. 
    http://www.gta.ufrj.br/grad/07_2/rodrigo_leobons/nids.html

ID
173281
Banca
FGV
Órgão
MEC
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

O Sistema de Detecção de Intrusão - IDS é um componente essencial em um ambiente cooperativo. Sua capacidade de detectar diversos ataques e intrusões auxilia na proteção do ambiente, e sua localização é um dos pontos a serem definidos com cuidado.
Dentre os tipos primários de IDS, um faz o monitoramento do sistema, com base em informações de arquivos de logs ou de agentes de auditoria, inclusive realizando detecção de port scanning. Outro tipo monitora o tráfego do segmento de rede, geralmente com a interface de rede atuando em modo promíscuo. A detecção é realizada com a captura e análise dos cabeçalhos e conteúdos dos pacotes.
Esses tipos são conhecidos como:

Alternativas
Comentários

  •  Um Sistema de detecção de intrusão é um dispositivo ou software que monitora a rede à procura de softwares maliciosos ou violação de políticas, além de gerar relatórios para o gerente da rede. Destacam-se dois tipos de sistemas de detecção de intrusão:

    NIDS - Network Intrusion Detection System (Sistema de detecção de intrusão baseado em rede): é uma plataforma independente que identifica intrusos por meio da análise do tráfego da rede e monitora múltiplos hosts.

    HIDS - Host Intrusion Detection System (Sistema de detecção de intrusão baseado em host): é um agente instalado no host que identifica intrusos pela análise de chamadas do sistema, logs, modificações de arquivos do sistema, e outras atividades do host.

    Fonte: http://en.wikipedia.org/wiki/Intrusion_detection_system

  • Questão retirada integralmente do livro Segurança de Redes em Ambientes Cooperativos - Emilio Tissato Nakamura e Paulo Lício de Geus. Bibliografia super recomendada para o assunto em concurso.Nesse caso o examinador sem pudoR nenhum REPRODUZIU as assertivas do livro.

    "O sistema de detecção de intrusão baseado em host(HIDS) faz o monitoramento do sistema, com base em informações de arquivos de logs ou de agentes de auditoria (...), entre outros aspectos como a detecção de port scanning." cap 8 pag 270

    "O sistema de detecção de intrusão baseado em rede (NIDS) monitora o trafego do segmento da rede, geralmente com a interface de rede atuando em modo promiscuo. A detecção é realizada com a captura e análise de cabeçalhos e conteúdos dos pacotes..." cap 8 pag 272.

    Fica a dica, ja vi questões integrais desse livro nas bancas CESPE e FCC, FGV é a primeira vez. LEITURA OBRIGATÓRIA.
  • Questão muito mal feita. Bastava saber que:

    Dentre os tipos primários de IDS, um faz o monitoramento do sistema (HOST-HIDS), com base em informações de arquivos de logs ou de agentes de auditoria, inclusive realizando detecção de port scanning. Outro tipo monitora o tráfego do segmento de rede (NETWORK-NIDS), geralmente com a interface de rede atuando em modo promíscuo. A detecção é realizada com a captura e análise dos cabeçalhos e conteúdos dos pacotes.

    Os outros tipos nem sequer existem (IID, SIDS, AIDS...rs)

    • a) SIDS - Sistema de Detecção de Intrusão baseado no software e IIDS - Sistema de Detecção de Intrusão baseado na informação.
    • b) IIDS - Sistema de Detecção de Intrusão baseado na informação e AIDS - Sistema de Detecção de Intrusão baseado no agente
    • c) NIDS - Sistema de Detecção de Intrusão baseado em rede e SIDS - Sistema de Detecção de Intrusão baseado no software
    • d) AIDS - Sistema de Detecção de Intrusão baseado no agente e HIDS - Sistema de Detecção de Intrusão baseado em host
    • e) HIDS - Sistema de Detecção de Intrusão baseado em host e NIDS - Sistema de Detecção de Intrusão baseado em rede

  • Rindo do "AIDS".

    IDS pode ser dividido em: 

    • H IDS : baseado em host.

    •N IDS : baseado em network(rede)

     

    Gabarito: E

  • Gabarito E

    Sistemas de Detecção de Intrusão baseados em Host (HIDS)

    Sistemas de Detecção de Intrusão baseados em Host monitora e analisa informações coletadas de um único Host (Máquina). Não observa o tráfego que passa pela rede, seu uso volta-se a verificação de informações relativas aos eventos e registros de logs e sistema de arquivos (permissão, alteração, etc.). São instalados em servidores para alertar e identificar ataques e tentativas de acesso indevido à própria máquina, sendo mais empregados nos casos em que a segurança está focada em informações contidas em um servidor e os usuários não precisam ser monitorados. Também é aplicada em redes onde a velocidade de transmissão é muito alta como em redes “Gigabit Ethernet” ou quando não se confia na segurança corporativa da rede em que o servidor está instalado.

     

    Sistemas de Detecção de Intrusão baseados em Rede (NIDS)

    Sistemas de Detecção de Intrusão baseados em Rede monitora e analisa todo o tráfego no segmento da rede. Consiste em um conjunto de sensores que trabalha detectando atividades maliciosas na rede, como ataques baseados em serviço, portscans, etc… São instalados em máquinas responsáveis por identificar ataques direcionados a toda a rede, monitorando o conteúdo dos pacotes ou do tráfego e seus detalhes como informações de cabeçalhos e protocolos. Os NIDS tem como um dos objetivos principais detectar se alguém está tentando entrar no seu sistema ou se algum usuário legítimo está fazendo mau uso do mesmo.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • E. HIDS - Sistema de Detecção de Intrusão baseado em host e NIDS - Sistema de Detecção de Intrusão baseado em rede - correta

  • TIPOS DE IDS :

    HIDS > Sistemas de Detecção de Intrusão Baseado em Host

    NIDS > Sistemas de Detecção de Intrusão Baseado em Rede

    TIPOS DE IPS:

    HIPS > Sistema de prevenção de intrusão baseado em host

    NIPS > Sistema de prevenção de intrusão baseado em rede

ID
201469
Banca
FCC
Órgão
BAHIAGÁS
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Os sistemas de detecção de intrusão (IDS) em redes de computadores podem ser classificados em

I. Network Intrusion Detection System.

II. Protocol-Based Intrusion Detection System.

III. Host-Based Intrusion Detection System.

Está correto o que se afirma em

Alternativas
Comentários

  • Na bibliografia de referência sobre o assunto (Segurança de Redes em Ambientes Cooperativos - Nakamura) só existem três tipos de IDS levando em consideração o alvo em que eles atuam:

       - Host-Based Intrusion Detection System - HIDS (IDS baseado em host)

       - Network-Based Intrusion Detection System – NIDS (IDS baseado em rede)

       - Hybrid IDS (IDS híbrido) 

    Mas na Wikipedia, fonte bastante utilizada pela FCC como referência, existem mais outros tipos:

       - Protocol-Based Intrusion Detection System – PIDS (IDS baseado em protocolo)

       - Application protocol-based intrusion detection system - APIDS (IDS baseado em protocolo de aplicação)

    Resposta: E

    Fonte: http://en.wikipedia.org/wiki/Protocol-based_intrusion_detection_system

  • A FCC às vezes complica de graça. Por que não usar a palavra "based" também para o tipo Network?
ID
204808
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a dispositivos de segurança de redes, julgue os
próximos itens.

Os IDS e IPS embasados em detecção por assinatura podem apresentar ocorrência de falsos-positivos, sendo mais severos os efeitos nos IPS que nos IDS.

Alternativas
Comentários

  • As consequências podem ser mais graves para as redes que utilizam IPS, pois o IPS executará contramedidas baseado em alarmes falsos.

  • Lembrando que enquanto o IDS apenas detecta, o IPS além de detectar toma medidas.

  • IDS pode tomar medidas SIM!!! porém essas medidas são posteriores ao ataque e não preventivas como geração de alertas e até mesmo interrupção de fluxo



    várias questões corroboram pra isso


    Ano: 2014Banca: CESPEÓrgão: TJ-SE

    A detecção de intrusão compreende medidas proativas na proteção de sistemas computacionais.

    errada



    2014

    A detecção de intrusão abrange formas de resposta, tais como a geração de alertas e a interrupção dos fluxos de dados maliciosos.

    certa



    2011 - (CESPE – TJ-ES/2011 – Analista Judiciário – Análise de Suporte – 93)

    IDS (intrusion detection system) pode ser utilizado para incrementar o trabalho do firewall e permitir que o tráfego de dados de uma rede seja monitorado para correção imediata de problemas ou falhas

    certa





    e mais outras questões para ajudar



    http://www.itnerante.com.br/group/seguranadainformao/forum/topics/cnj-2013-ids-cespe

  • Essa relação/diferenciação entre IDS e IPS é bem polêmica.

    Já fiz várias questões sobre o assunto e, por fim, é visível que não há um consenso. Isso porque ora consideram o IDS totalmente passivo, ora é considerado com alguma capacidade de resposta.

    De qualquer forma, na maioria dos casos das questões, o IDS é visto, normalmente, como passivo, e o IPS como ativo, realizando contra-ataques e medidas de bloqueio.

    Vamos na fé.

  • Sávio,

     

    Entenda que há um hiato entre passivo e reativo. Falar que o IDS é passivo significa que ele cruza os braços mediante um evento. Em contrapartida, o que é característica mesmo do IDS é ser reativo, visto que ele emite um alerta ou solicita uma ação de outra ferramenta de segurança (ex.: firewall) ao receber um evento.

     

    Abraço!

  • Pq assinatura? Não seria baseada em comportamento não ? por anomalias

  • o falso-positivo ocorre quando um fluxo normal de dados é considerado como um ataque. No entanto, ambos

    podem apresentar falsos-positivos, sendo os efeitos mais severos no IPS que no IDS. Por que? Porque – diante de um falso- positivo - o IDS apenas gerará uma alerta na ocorrência normal, mas permitirá o tráfego de dados; já o IPS bloqueará uma ocorrência normal, impedindo o tráfego de dados (Correto).

  • GABARITO CORRETO!

    .

    .

    Um sistema de detecção de intrusão trabalha como uma câmera ou um alarme contra as intrusões, podendo realizar a detecção com base em algum tipo de conhecimento, como assinaturas de ataques, ou em desvios de comportamento.

    NAKAMURA, 2011.

ID
208972
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca dos dispositivos de segurança de redes de computadores,
julgue os itens subsequentes.

IDS e IPS são sistemas que protegem a rede de intrusões, diferindo no tratamento dado quando uma intrusão é detectada. Especificamente, o IPS limita-se a gerar alertas e ativar alarmes, e o IDS executa contramedidas, como interromper o fluxo de dados referente à intrusão detectada.

Alternativas
Comentários

  • O erro está nos conceitos que estão invertidos: IDS limita-se a gerar alertas e ativar alarmes, e o IPS executa contramedidas, como interromper o fluxo de dados referente à intrusão detectada.

  • Como o colega disse, o erro do item está na inversão dos conceitos. 

     IDS - é o sistema de DETECÇÃO de intrusão, limitando-se a gerar alertas e ativar alarmes;

    IPS - é o sistema de PREVENÇÃO de intrusão, executa contramedidas.

     

  • QUESTÃO ERRADA

    IDS é como aqueles sensores em porta de loja, se você não colocar um segurança olhando, o meliante passa correndo o alarme dispara e nada acontece.

    IPS é como uma porta giratória de banco, se ele identificar algo suspeito ele trava.

  • Esses peguinhas de inverter as descrições são bem típicos do Cespe.

  • Corrigindo a questão:

    ''IDS e IPS são sistemas que protegem a rede de intrusões, diferindo no tratamento dado quando uma intrusão é detectada. Especificamente, o IDS (''detection'') limita-se a gerar alertas e ativar alarmes (emitir alertas é característica do IDS, que é reativo), e o IPS (''prevention'') executa contramedidas, como interromper o fluxo de dados referente à intrusão detectada.''

    Como comentado pelo colega, em questões de informática, redes ou segurança da informação, se o examinador trouxer conceitos em paralelo, substitua os termos e analise se as características fazem sentido. Isto porque nestas questões o mais óbvio seria a inversão dos conceitos como justificativa de gabarito.

    Erros, avisem.

  • Os conceitos de IDS e IPS foram trocados na questão tornando-a ERRADA

  • IDS e IPS são sistemas que protegem a rede de intrusões, diferindo no tratamento dado quando uma intrusão é detectada. Especificamente, o IPS limita-se a gerar alertas e ativar alarmes, e o IDS executa contramedidas, como interromper o fluxo de dados referente à intrusão detectada.

    Os conceitos foram trocados... tornando a assertiva ERRADA

  • IDS e IPS são sistemas que protegem a rede de intrusões, diferindo no tratamento dado quando uma intrusão é detectada. Especificamente, o IPS limita-se a gerar alertas e ativar alarmes, e o IDS executa contramedidas, como interromper o fluxo de dados referente à intrusão detectada.

    Os conceitos foram trocados... tornando a assertiva ERRADA

  • [1] [2] É EXATAMENTE O QUE ELE DISSE, SÓ QUE TUDO AO CONTRÁRIO.

    FONTE:

    [1] CONCURSEIRO QUASE NADA

    [2] KIKO

  • ERRADO

    Conceitos invertidos

    IDS = apenas informa os tráfegos mal intencionados (Não bloqueia)

    IPS = bloqueia os tráfegos mal intencionados

  • IDS - Intruso Detectato no Sistema. Alerta o usuário! Late mas não morde

    IPSImpede , Previne ataque no Sistema. Late e morde

    ERROUU..TROCOU OS CONCEITOSS

  • IDS e IPS são sistemas que protegem a rede de intrusões, diferindo no tratamento dado quando uma intrusão é detectada (CERTO) Especificamente, o IPS limita-se a gerar alertas e ativar alarmes, e o IDS executa contramedidas, como interromper o fluxo de dados referente à intrusão detectada. (ERRADO)

    LEIA-SE

    Especificamente, o IDS limita-se a gerar alertas e ativar alarmes, e o IPS executa contramedidas, como interromper o fluxo de dados referente à intrusão detectada.

    IPS -- PIT BULL -- ATACA/REAGE

    IDS -- DALMATA -- MANSO/NÃO REAGE

    JESUS O FILHO DO DEUS VIVO

ID
208975
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca dos dispositivos de segurança de redes de computadores,
julgue os itens subsequentes.

A ocorrência de falsos positivos normalmente acarreta consequências mais graves para as redes que utilizam IDS do que para aquelas que usam IPS.

Alternativas
Comentários

  • As consequências podem ser mais graves para as redes que utilizam IPS, pois o IPS executará contramedidas baseadas em alarmes falsos.

  • O falso positivo ocorre quando um tráfego normal é caracterizado pelo sistema como uma tentativa de intrusão. Nesse caso, o IDS - Intrusion Detection System, só irá identificar a intrusão. Ao passo que o IPS - Intrusion Prevention System - irá tomar medidas de prevenção como finalização de sessões TCP e alteração de uso de largura de banda, o que causará impacto no desempenho da rede. Portanto, o item está ERRADO, já que as consequências serão mais graves nas redes que usam IPS, do que nas redes que usam IDS.

  • Questão inteligente. aí sim.

  • Ano: 2010Banca: CESPEÓrgão: Banco da AmazôniaProva: Técnico Científico - Tecnologia da Informação

    Os IDS e IPS embasados em detecção por assinatura podem apresentar ocorrência de falsos-positivos, sendo mais severos os efeitos nos IPS que nos IDS.

    certa

  • Questão curta, mas que, apesar de não parecer à primeira vista, exige conhecimento e análise cuidadosa.

     

    Vamos na fé. 

  • IDS é como aqueles sensores em porta de loja, se você não colocar um segurança olhando, o meliante passa correndo o alarme dispara e nada acontece.

    IPS é como uma porta giratória de banco, se ele identificar algo suspeito ele trava.

    fonte : colega do QC Edluise Costa

    Deste modo, entendo que um falso positivo no IPS será mais danoso pois vai travar a rede toda (visto que ele é reativo a ataques), ao passo que um falso positivo no IDS apenas soará um alarme falso.

  • Falsos-positivos são eventos que normais que são identificados como anormais! O IDS apenas

    detectará, mas não reagirá contra esse evento normal, logo as consequências são mais brandas; já

    o IPS detectará e reagirá contra esse evento normal, logo as consequências são mais graves.

    Gabarito: Errado

  • Os IDS e IPS embasados em detecção por assinatura podem apresentar ocorrência de falsos-positivos, sendo mais severos os efeitos nos IPS que nos IDS.

ID
239710
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de segurança da informação, julgue os próximos itens.

O modo de análise de tráfego realizada por um sistema de detecção de intrusão (IDS) do tipo detecção de comportamento (behaviour detection) fundamenta-se na busca por padrões específicos de tráfego externo que seja embasado em assinatura.

Alternativas
Comentários

  • Existem duas técnicas de detecção de intrusão:

     - baseado em assinatura: o tráfego da rede é analisado de acordo com padrões de ataques, conhecidos como assinaturas;

     - baseado em anomalias ou detecção de comportamento: é estabelecido um padrão normal de comportamento para o tráfego de rede e quando for detectado uma atividade diferente deste padrão, um alarme é disparado.

  • Consoante Nakamura(Segurança de Redes em ambientes coorporativos) existem duas metodologias de detecção, a saber: 

    -Knowledge based instruction detection - detecções realizadas com fundamentos em base de dados c informações sobre ataques conhecidos.Procura por padrão ou assinatura;

    -Behavior-based instrusion detection - identifica desvios de comportamento dos user ou dos sistemas,independente de S.O. ou plataforma.Faz análise de protocolos ,suscetível a técnicas de inserção e evasão.

    O item está errado, pois se refere a metodologia Knowledge based instruction detection.

  • Os IDS's podem ser classificados segundo inúmeras características:
    No caso da questão se refere pelo Método de Detecção, que no caso temos:
    -Pelo Método de Detecção

    *Detecção por assinaturas (Signature Detection)
    Analisa a atividade do sistema à procura de padrões de ataques conhecidos, chamado assinaturas. 

    *Detecção por comportamento (Behavior Detection)
    Também conhecido como IDS baseado em anomalias, sua intenção é definir o comportamento normal de um sistema e desvios abrutos a essa normalidade. Sistemas desse tipo normalmente requer que passe por um tempo um período de aprendizagem em que o comportamento normal é aprendido atra'ves de IA(inteligência artificial) ou modelação estatística. A grande vantagem desse método é que permite, teoricamente, detectar ataques desconhecidos. A grande desvatagem é a dificuldade de definir modelos robustos de bom comportamento e acuidade ao ajustar o grau de sensibilidade do sistema.

    -Pela Fonte de Eventos
    -Pela rapidez de detecção
    -Pela reatividade
    -Pela distributividade

    .: Portanto a questão é ERRADO, pois esta se referindo a detecção por assinaturas (Signature Based)

  • assinatura - baixo falso positivo , mas pode torna-se obsoleto, detectando apenas ataques conhecidos

    anomalias / comportamento - alto numero de falsos positivos, detecta ataques desconhecidos

  • Ano: 2014

    Banca: FCC

    Órgão: TJ-AP

    Prova: Analista Judiciário - Área Apoio Especializado - Tecnologia da Informação

    Resolvi errado

    Suponha que área de TI do Tribunal de Justiça do Amapá tenha identificado uma série de ocorrências indesejadas de redução de desempenho da rede de computadores e servidores de dados e aplicação, em razão de ações maliciosas de software ou de pessoas. Essas aparentes ações maliciosas não são destinadas a nenhum servidor ou sistema de software específico. A equipe de TI quer capturar os infratores durante a ação, antes de realmente danificarem seus recursos. Para isso precisa implantar um

    a

    Proxy

    b

    Antivírus.

    c

    Firewall.

    d

    IDS - Intrusion Detection System.

    letra D



    1 [66] Em IDS baseado em assinaturas, é necessário ajuste destas visando à redução de falsos-positivos.

    certo



    Prova: CESPE - 2010 - ABIN - AGENTE TÉCNICO DE INTELIGÊNCIA - ÁREA DE TECNOLOGIA DA INFORMAÇÃO

    Disciplina: Redes de Computadores | Assuntos: Segurança de Redes; 

     Ver texto associado à questão

    Em um sistema de detecção de intrusão de rede, a assinatura consiste em um padrão que é verificado no tráfego, com o objetivo de detectar certo tipo de ataque.

                  Certo       Errado

               

    CERTO


    Prova: CESPE - 2011 - MEC - Gerente de Segurança

    Disciplina: Segurança da Informação | Assuntos: Sistemas de Prevenção-Detecção de Intrusão; 

     Ver texto associado à questão

    Um IDS (intrusion detection system) é capaz de procurar e detectar padrões de ataques em pacotes trafegados em uma rede local por meio de assinaturas de ataques conhecidos.

                    Certo       Errado

             

    CERTO



    Prova: CESPE - 2010 - MPU - Técnico de Informática

    Disciplina: Segurança da Informação | Assuntos: Sistemas de Prevenção-Detecção de Intrusão; 

     Ver texto associado à questão

    Considere que essa empresa tenha adotado um sistema de detecção de intrusos embasado em anomalias. Nessa situação, o sistema adotado cria um perfil de tráfego a partir da operação normal do sistema sem depender de conhecimentos prévios de ataques já registrados.

                  Certo       Errado

    CORRETO


  • Um sistema de detecção de intrusão (IDS) baseado em assinatura, também chamado IDS por uso incorreto, utiliza descrições de ataques previamente conhecidos (assinaturas) para identificar a ocorrência de ataques.

  • AssiNatura =CoNhecimento

    AnoMalia = CoMportamento

    Errado.

    A questão misturou um com o outro.

  • Prezados,

    Um IDS pode funcionar de 2 formas , ou na detecção por assinaturas ou na detecção por comportamento. Na detecção por assinaturas é que o IDS busca por padrões específicos de tráfego exerno que seja embasado em assinatura.

    Portanto a questão está errada.

  • Corrigindo a questão:

    ''O modo de análise de tráfego realizada por um sistema de detecção de intrusão (IDS) do tipo detecção por assinatura fundamenta-se na busca por padrões específicos de tráfego externo que seja embasado em assinatura.''

    IDS trabalha sob duas técnicas distintas:

    a) detecção por assinatura - utiliza assinaturas de ataques previamente conhecidos (padrões) para identificar a ocorrência de novos ataques.

    b) detecção por anomalia - um padrão normal de comportamento é definido para uma rede; qualquer desvio gerará um alerta.

    Erros, avisem no privado.

  • COMPORTAMENTO != ASSINATURA

ID
249544
Banca
CESPE / CEBRASPE
Órgão
DETRAN-ES
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere à segurança em redes de computadores, julgue os
itens a seguir.

As ferramentas de IDS (sistemas de detecção de intrusão) atuam de forma mais proativa que as ferramentas de IPS (sistemas de prevenção de intrusão).

Alternativas
Comentários
  • Detectar é reativo e não proativo. Errado.

     

  • Sem maiores delongas, a definição é exatamente o contrário do que diz a questão.

  • IDS é como aqueles sensores em porta de loja, se você não colocar um segurança olhando, o meliante passa correndo o alarme dispara e nada acontece.

    IPS é como uma porta giratória de banco, se ele identificar algo suspeito ele trava.

    Logo o IPS é mais proativo.

    GAB: ERRADO

  • Nunca! Vejamos:

    IPS efetuam bloqueios e outras atividades, enquanto IDS apenas emitem uma notificação.

  • Gabarito: ERRADO

    A diferença básica entre um Intrusion Detection System (IDS) para um Intrusion Prevention System (IPS) é que os sistemas de prevenção são ativos, enquanto os sistemas de detecção são passivos. Enquanto o IDS informa sobre um potencial ataque, o IPS promove tentativas de parar o ataque. Um outro grande avanço sobre o IDS é que o IPS tem a capacidade de prevenir invasões com “assinaturas” conhecidas, mas também pode impedir alguns ataques não conhecidos, devido a sua base de dados de “comportamentos” de ataques genéricos. Visto como uma combinação de IDS e de uma “camada de aplicação Firewall” para proteção, o IPS geralmente é considerado a geração seguinte do IDS.



    Fonte: ESTRATÉGIA CONCURSOS

  • Gabarito: E

    Aqui vai uma dica 'macete'.

    reativo e proativo --> o P é de IPS

    isso me ajudou bastante na memorização.

  • (E)

    Conceitos invertidos. Fazendo a reescritura:

    As ferramentas de  IPS (sistemas de prevenção de intrusão) atuam de forma mais proativa que as ferramentas IDS (sistemas de detecção de intrusão)(C)

    Outra questão sobre o mesmo tema que ajuda a responder:

    Os sistemas IDS (intrusion detection system) e IPS (intrusion prevention system) utilizam metodologias similares na identificação de ataques, visto que ambos analisam o tráfego de rede em busca de assinaturas ou de conjunto de regras que possibilitem a identificação dos ataques.(C)

  • IDS

    Em português, Sistema de Detecção de Intrusão – trata-se de um dispositivo

    passivo que monitora a rede, detecta e alerta quando observa tráfegos

    potencialmente mal-intencionados, mas não os bloqueia.

    IPS

    (INTRUSION PREVENTION SYTEM)

    Em português, Sistema de Prevenção de Intrusão – trata-se de um dispositivo

    reativo ou proativo que monitora a rede, detecta e bloqueia quando observa

    tráfegos potencialmente mal intencionados.

ID
252199
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação aos ataques e aos dispositivos de segurança,
julgue os itens subsequentes.

IDS e IPS detectam intrusões com alta precisão, porém diferem pelo fato de o segundo atuar bloqueando o tráfego, quando algum evento relevante é detectado.

Alternativas
Comentários
  • Questão esquisita, tanto IDS quanto IPS detectam intrusão, sendo o IPS ativo ao contrario do IDS, no meu conceito a questao deveria ser marcada como correta.
  • A questão afirma que a diferença do IPS para o IDS é que o IPS bloqueia tráfegos. Não é essa a única diferença. A ação tomada pelo IPS pode ser outra: alteração de regras de firewall, alteração de regras do QoS, mudança de rotas, etc...

    Por ser restritiva, a questão está ERRADA
  • Concordo com o Marques. Será que esse já é o gabarito definitivo?
  • Eu marquei essa questão como errada, pois para mim IDS e IPS não tem alta precisão (eles tem boa precisão). O que falar do problema do alto número de falso-postiivos qnd utilizado o método de behavior-detection. Essa foi minha linha de raciocínio. 

    Bons estudos a todos!!
  • Com certeza marcaria essa questão como certa, afinal o que define a precisão ou não (tanto de um IDS quanto IPS) é a configurção do  mesmo.
  • O IDS é uma ferramenta passiva, que somente monitora o tráfego e alerta o adm no caso de intrusão. Alguns IDS são reativos, ou seja, se algo de errado for detectado ele encerra a sessão (bloqueia o tráfego). Já o IPS é ativo e possui um conjunto de regras que serão usadas quando uma intrusão ocorrer.
  • O erro está ao afirmar que apenas o segundo é capaz de bloquear o tráfego.
    O IDS no modo passivo apenas gera logs. Mas no modo reativo, é capaz de finalizar sessões de usuário ou reconfigurar o firewall, bloqueando o tráfego também.

    Fonte: http://www.npd.ufes.br/node/87
  • O erro não seria que o IDS DETECTA e o IPS Previne? Assim os dois não detectam... já que um deles teroricamente nem deixa que a intrusão ocorra. Eu segui essa linha de raciocinio.
  • Os sistemas IDS e IPS não são altamente eficazes, tampouco altamente precisos, por causa da existência de falsos positivos e falsos negativos.
  • Na prática, basta ver a quantidade de falsos positivos geradas por esses dois tipos de sistema: se fossem de alta precisão não haveria tantos e  seriam muito mais automatizados. Obviamente, esses sistemas melhoram a cada dia, implementando funções como correlação de eventos mais confiáveis, mas ainda longe de serem altamente precisas. Exemplo disso é a evolução dos módulos de segurança e gerência de redes do IBM Tivoli. 
  • O erro realmente deve estar quando a acertiva afirmar que a diferença está no fato de o IPS bloquear o trafego e o IDS não. Essa não é a diferença, conforme já foi mencionado acima. O IDS em modo reativo pode/vai trabalhar em conjunto com um firewall, bloquando trafego. A questão é que o IDS REAJE ao ataque, enquanto que o IPS pode bloquear de imediato, sendo, portanto, ATIVO e não REATIVO.

  • acho que o erro está em dizer que o ips bloqueia quando detecta algum evento relevante. neste caso ele estaria sendo reativo, quando na verdade ele é proativo, age antes do ataque. e outro detalhe, eu notei que o cespe considera o IDS somente passivo, ou seja, capaz de notificar e agir pós ataque

  • IPS não detecta somente o que é relevante não, é uma das desvantagens dele o que resolve a questão, ele bloqueia qualquer coisa que aparecer no farol.


    Há tecnologias no mercado que trabalham com IPS de forma diferenciada do que a questão afirma.

  • GABARITO ERRADO!

    .

    .

    Um IDS (Sistema de Detecção de Intrusão) pode ser dividido em:

    - Baseado em assinatura: onde existe uma lista com assinaturas de alguns vírus e esta assinatura precisa estar pré-configurada no host para que seja detectada um ataque. (ESSE AQUI É UMA DESVANTAGEM EM RELAÇÃO AO BASEADO EM ANOMALIAS).

    - Baseado em anomalias: onde é feito um perfil de um host com um comportamento padrão para aquele host. Assim se no monitoramento for detectado um comportamento anormal será gerado um alerta.

  •  "Um dispositivo que gera alertas quando observa tráfegos potencialmente mal-intencionados é chamado de sistema de detecção de invasão (IDS, do inglês intrusion detection system). Um dispositivo que filtra o tráfego suspeito é chamado de sistema de prevenção de invasão (IPS, do inglês intrusion prevention system)." Kurose, Redes de computadores, ED6, p. 544.

    vai entender essa cespe... ¯\_(ツ)_/¯

  • Baita questão subjetiva.

  • O erro é que o IPS é PROATIVO, por tratar comportamento, acaba gerando muitos falsos positivos, logo ele não tem uma alta precisão.

  • Como a maioria dos IPS utilizam o método baseado em comportamento, isso implica em uma taxa mais elevada de falso positivos e negativos, o que contraria a afirmação de alta precisão.

    Fonte: Estratégia Concursos.

ID
311974
Banca
CESPE / CEBRASPE
Órgão
TJ-ES
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a procedimentos de segurança da informação, julgue
os itens subsequentes.

IDS (intrusion detection system) pode ser utilizado para incrementar o trabalho do firewall e permitir que o tráfego de dados de uma rede seja monitorado para correção imediata de problemas ou falhas.

Alternativas
Comentários
  • Concordo com o colega: quando se fala em correção imediata está se referindo ao conceito de IPS.
  • Absurdo isso!! Correção imediata? Isso é característica do IPS, o IDS emite alertas.
  • Eu entendi essa questão de maneira diferente dos colegas:

    IPS - Sistema de Prevenção de Intrusos - tem o objetivo de PREVENÇÃO (evitar), não de CORRIGIR os problemas causados por um ataque.
    IDS - Sistema de Detecção de Intrusos - tem o objetivo de DETECTAR se um ataque está ocorrendo ou já ocorreu. Dependendo da rapidez com que os administradores de rede tomam conhecimento do ataque (em andamento ou já finalizado), a correção poderá ocorrer (imediata ou não) .

    Portanto, a alternativa está CORRETA.

    Bons estudos!
  • Não concordo com gabarito dessa questão, pois se o tráfego de rede é analisado então teríamos um NIDS (Network Intrusion Detection System).

    O termo IDS é mais abrangente.
  • No meu entender, esta assertiva tem dois erros:

    IDS (intrusion detection system) pode ser utilizado para incrementar o trabalho do firewall e permitir que o tráfego de dados de uma rede seja monitorado para correção imediata de problemas ou falhas.

    O IDS não faz aumentar o trabalho do Firewall. O Firewall tem seu próprio trabalho, grande ou pequeno, de acordo com suas regras.
    O papel do IDS é ser uma ferramenta para analisar o tráfego justamente nas conexões que o Firewall deixa passar. Se o sentido do verbo incrementar for melhorar ou desenvolver, penso que a sentença está mau redigida e ambígua.

    E como já foi dito acima, em outras questões similares, os CESPE considera que é o IPS quem provê monitoramento ATIVO, que providencia ações preemptivas e corretivas assim que um problema é detectado.

    O gabarito da questão aqui está errado.
  • Galera,

    o que muita gente não vê é que IPS é uma classe de IDS. Então podemos dizer que os IDS (não todos) podem fazer inspeção ativa.

    att,
  • Está certo quem diz que o IDS faz o monitoramento, identificando ataques e intrusão, sendo o IPS aquele que pode bloquear ataques ou como diz a questão "faz correção imediata de problemas ou falhas." Lembrando que o IPS também pode operar passivamente, não bloqueando pacotes mas o IDS não pode interromper um ataque. Entretanto A CESPE considera que ambos podem atuar ativamente em resposta a um ataque.
  • Ok Fernando. Entendi o seu argumento, mas se ela classifica assim está errado. Pelo menos em todas as fontes que li, IPS e IDS realizam funções diferentes. E mesmo que outro colega tenha dito que IPS é um sub-classe de IDS, e a meu ver é, a afirmação dele tbm está errada.
    Todo IPS é um IDS, mas nem todo IDS é um IPS, logo nem todo IDS é capaz de atuar ativamente, reprogramando o FW por exemplo, e é justamente isso que torna a questão falsa. Se fosse dito colocado um IPS no lugar do IDS estaria verdadeiro.
    .......
    ...

    Galera, antes de enviar a questão resolvi refletir mais um pouco sobre o assunto, e acho que a "pegadinha" esta na palavra PODE. Realmente um IDS pode fazer tudo isso, mas na minha opinião é muita sacagem formular algo assim.
    Resolvi deixar minha justificativa anterior pq acho que ainda vale como argumento, mas esse PODE aí é uma baita sacanagem. Típico de CESPE.
  • Uma grande polêmica é gerada com relação a este assunto: se o IDS pode ou não ser ativo.
    A resposta, depois de ler o Stallings, é SIM.

    O IDS pode ser passivo (apenas detectar possíveis desvios/intrusões na rede ou no host) ou ativo (além de detectar tomar atitudes que foram pré-configuradas pela adm de segurança).

    O IPS tem a característica principal de ser ATIVO (tomar atitudes sobre possíveis intrusões).

    Rodrigo Gomes
  • "IDS (intrusion detection system) pode ser utilizado para incrementar o trabalho do firewall e permitir que o tráfego de dados de uma rede seja monitorado para correção imediata de problemas ou falhas."

    Essa correção é feita usando o firewall e não o IDS, cuidado com a interpretação.

    CERTO
  • Segue a relação entre firewall e IDS só para complementar. A imagem não é do autor Nakamura, contudo coloquei ela pois é semelhante à imagem do livro deste autor. 

    Segundo Nakamura (2010, p. 266), "A relação entre o IDS e o firewall pode ser vista na figura 8.2" (figura abaixo)
    Segundo Nakamura (2010, p.267),"O firewall libera conexões e o IDS detecta, notifica e responde a tráfegos suspeitos"




    Bibliografia:
    1)Segurança de redes em ambientes cooperativos
    Autor: Nakamura
    2) http://www.metropoledigital.ufrn.br/aulas_avancado/web/disciplinas/seg_redes/aula_09.html     (Fonte da figura)
  • Os IDS podem ser definidos como sistemas de software/hardware que automatizam o processo de monitoramento de eventos os quais ocorrem em sistemas computacionais, analisando-os com base em assinaturas criadas a partir de problemas de segurança (intrusões). Esse mecanismo de segurança serve basicamente para trazer informações sobre a rede, como, por exemplo, quantas tentativas de ataques (intrusão) foram recebidas por dia e qual tipo de ataque foi usado. É um complemento do firewall, pois analisa os serviços permitidos. Ferramenta passiva.
     
    IDS Passivo: Apenas gera alarmes
    IDS Ativos: Tomam contramedidas DEPOIS que a invasão acontece

    Conclusão
    O IDS pode ser um complemento ao Firewall e pode tomar contramendidas DEPOIS de uma invasão (IDS ativo).
    Alternativa: Certa

  • Esta questão está grotescamente ERRADA. O Cespe pisou feio. A Cisco que criou estes conceitos, e para eles um IDS opera em "promiscuos mode", ou seja, numa cópia do fluxo de dados. Isto permite que ele não atrapalhe o desempenho da rede, mas o impede de emitir um alarme a tempo de bloquear um ataque em tempo real. É o IPS que opera no "inline mode", ou seja, no fluxo de dados real, podendo "alarmar" a tempo do firewall ou roteador bloquear o ataque. Se alguém disser que tem um determinado tipo de IDS, citado por "tal autor nacional", que IDS bloqueia mesmo, ele (o autor) caiu no marketing de algum vendedor, pois é mau uso do termo IDS. Azar nosso não haver uma bibliografia consolidada.

    Será que ninguém entrou com recurso?

    referência: http://www.ciscopress.com/articles/article.asp?p=1336425

  • Um professor uma vez me disse que essa questão estaria CERTA pois IMEDIATA == SEGUINTE

     

    e de fato, o IDS toma ações posteriores ao ataque.

     

     

    de qualquer forma, marcar certo nessa questão tem que ter BALLS

     

     

     

     

    2014

    A detecção de intrusão abrange formas de resposta, tais como a geração de alertas e a interrupção dos fluxos de dados maliciosos.

    certa

     

    Ano: 2014Banca: CESPEÓrgão: TJ-SE

    A detecção de intrusão compreende medidas proativas na proteção de sistemas computacionais.

    errada

     

    2013 - CNJ

    Ferramentas de IDS (intrusion detect system) são capazes de detectar anomalias no tráfego de rede, gerar logs e reações, como regras de bloqueio do tráfego considerado anormal.

    errada

  • Minha interpretação foi a que não é o IDS que age para correção imediata, ele só monitora o tráfego, permitindo uma eventual correção imediata

  • "E permitir que o tráfego de dados de uma rede seja monitorado para correção imediata de problemas ou falhas."

    Quem vai permitir?

    O Firewall

    A pegadinha da questão é interpretar que o complemento acima se refere ao firewall e não ao IDS!

    Observe agora:

    IDS (intrusion detection system) pode ser utilizado para incrementar o trabalho do firewall e permitir que o tráfego de dados de uma rede seja monitorado para correção imediata de problemas ou falhas.

ID
314593
Banca
FCC
Órgão
TRT - 1ª REGIÃO (RJ)
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação a ferramentas e protocolos de segurança, é INCORRETO afirmar:

Alternativas
Comentários
  • Questão "E" é a resposta incorreta.

    IPSec é um protocolo que opera sob a camada de rede (ou camada 3) do modelo OSI.

    Outros protocolos de segurança da internet como SSL e TLS é que operam desde a camada de transporte (camada 4) até a camada de aplicação (camada 7).
  • O IPSEC é um protocolo que opera somente na camada de rede, diferentemente de outros protocolos como o SSL e TLS. Eles operam desde a camade de transporte até a de aplicação.
ID
320368
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a sistemas de proteção IDS, IPS e VLANs, assinale a opção correta.

Alternativas
Comentários

  • Os Intrusion Detection Systems (IDS) fazem o monitoramento de redes baseado em padrões previamente estabelecidos pelo administrador. Caso achem alguma anomalia, um aviso (trigger) é disparado para o administrador tomar alguma ação.

    Já os Intrusion Prevention Systems (IPS), estes são mais "inteligentes" que os IDS devido ao fato de tomarem ações baseado em análise heurísticas do tráfego de rede. Ou seja, eles não precisam de uma intervenção humana para que seja tomada uma ação efetiva.

    Gabarito: A

  • D) tu pode matar, mas não pode algemar.

  • ids - chihuahua

    ips - pitbull

ID
332815
Banca
CESPE / CEBRASPE
Órgão
Correios
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens seguintes, referentes a ferramentas de proteção de estações de trabalho e servidores.

Uma ferramenta de trabalho como o HIDS (host intrusion detection system) tem capacidade de capturar todo o tráfego de uma rede, o que permite a análise de possíveis ataques a essa rede.

Alternativas
Comentários
  • Sistemas de detecção de intrusos são divididos em HOST (HIDS - Host Intrusion Detection System -> "Sistema de Detecção de Intrusão em uma Máquina-PC") e REDE (NIDS - Network Intrusion Detection System -> Sistema de Detecção de Intrusão em uma Rede).

    Um Sistema de detecção de intrusos por host (HIDS) monitora o comportamento do sistema em umá máquina, o HIDS pode detectar se um software está tentando fazer alguma atividade que não faz parte de seu funcionamento, ele consegue verificar o estado do sistema operacional, informações armazenadas, memória RAM, e certificar se os índices estão normais, podemos considerar o HIDS como um agente que monitora tudo que seja interno.


    Já um Sistema de detecção de intrusos da rede (NIDS) é um sistema que trabalha detectando atividades maliciosas na rede, como ataques baseados em serviço, port scans ou até monitoramento do tráfego da rede. O NIDS faz isto lendo todos os pacotes que entram na rede e tenta encontrar alguns testes padrões.

    Ou seja, a questão estaria certa se estivesse falando de NIDS...


    Fonte: http://www.vivaolinux.com.br/artigo/Deteccao-de-intrusos-%28IDS%29-conceitos-e-implantacao-do-SNORT

  • Só para complementar o excelente comentário do colega.

    Uma das grandes desvantagens do HIDS é o problema de Escabilidade.

  • Desvantagens

    escalabilidade - gerenciar e configurar todos os hosts

    não possuem portabilidade entre S.O(NAKAMURA)

    não é boa para modo reativo

    diminui o desempenho do HOST

    consome mais espaço

    não detecta scanning de rede ou Smurf

  • GABARITO:E

     

     

    Uma ferramenta de trabalho como o NIDS (NETWORK intrusion detection system) tem capacidade de capturar todo o tráfego de uma rede, o que permite a análise de possíveis ataques a essa rede.
     

  • Gabarito Errado

    Enquanto sistemas NIDS monitoram redes inteiras, os sistemas HIDS monitoram apenas um único host na rede.

     

    Porém, ao invés de monitorar pacotes de rede, o software também irá monitorar que processo acessa qual recurso, quais arquivos são alterados,

    verificar as informações da RAM e logs, garantir que as informações destes não foram alterados.

     

    Os HIDS operam sobre informações provindas de computadores individuais. HIDS observam as atividades e os acessos referentes a servidores chave nos quais foram instalados.

    Analisam as atividades determinando quais processos e usuários estão envolvidos em um tipo particular de ataque.

     

    Podem então ver as conseqüências de uma tentativa de ataque, podendo acessar e monitorar os arquivos e processos que normalmente são alvos de ataque.

     

    HIDS é valioso para detectar não só intrusão externa como também acessos por usuários internos com aparente confiança.

    Eles procuram por atividades suspeitas tais como falhas de login, mudanças nas autorizações dos sistemas e acessos a arquivos não autorizados.

     

    Agem  nas máquinas que devem proteger. Os sistemas HIDS parecem ser o ponto de ligação entre firewalls e NIDS.

     

    O HIDS pode funcionar com um banco de dados contendo checksums dos arquivos presentes no sistema de arquivos para que ele saiba quando um determinado arquivo foi

     alterado ou mesmo quais objetos devem ser monitorados.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • ERRADO

    NIDS--> Network( analisa o trafego de uma Rede )

    HiDS--> Host ( analisa o trafego de um único host/máquina)

ID
370723
Banca
FCC
Órgão
TCE-GO
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

A atuação integrada de equipamentos, tais como, firewalls, switches e roteadores aumentam a segurança da rede, diminuindo os riscos, por meio de utilização de po- líticas, regras, geração de logs, etc. Entretanto, esse nível pode ser melhor ainda quando ferramentas como IDS (Intrusion Detection System) e IPS (Intrusion Prevention System) são utilizadas. Nesse contexto, considere:

I. O IPS é um sistema de prevenção e proteção contra as intrusões e não apenas de reconhecimento e sinalização das intrusões, como a maior parte dos IDS.

II. O HIDS é um tipo de IDS instalado para alertar sobre ataques ocorridos aos ativos da rede, por meio do monitoramento das conexões de entrada para tentar determinar se alguma destas conexões pode ser uma ameaça.

III. Nas análises do tráfego da rede, o IDS tem como função verificar os padrões do sistema operacional e de rede, tais como, erros de logins, excesso de conexões e volume de dados trafegando no segmento de rede e ataques a serviços de rede.

Está correto o que se afirma APENAS em

Alternativas
Comentários

  • Acredito que a III esteja errada. Pois no meu entendimento o IDS pode ser HDIS (host) ou NIDS(Network)... um analisa uma maquina especifica e o outro verifica a rede. Assim, como diz no início da afirmativa III, "na análise da rede", logo seria um NIDS, e o NIDS não verifica os padrões de um sistema operacional. Alguém pode comentar isso!!!???

  • Thiago, acho que a análise é diferente. Na III, ele quer dizer: "no caso de analisar o tráfego da rede, o IDS...". Ou seja, a questão não está dizendo que o IDS analisa apenas a rede.


    Quanto ao item II, fiquei na dúvida. O HIDS analisa somente o host, mas não é isso mesmo que a II fala? Ou será que está dizendo como se uma aplicação na rede analisa host a host?

  • Tiago 

    Sua justificativa não invalida a questão ....

    O examinador falou do gênero (IDS), portanto abre o conceito para ser quaisquer uma das espécies (NIDS ou HIDS)

    []'s

  • Host-Based Intrusion Detection System (HIDS): Este tipo de IDS é instalado em um host que será alertado sobre ataques ocorridos contra a própria máquina.O IDS host-based monitora as conexões de entrada no host e tenta determinar se alguma destas conexões pode ser uma ameaça.

     

    II. O HIDS é um tipo de IDS instalado para alertar sobre ataques ocorridos aos ativos da MÁQUINA (host), por meio do monitoramento das conexões de entrada para tentar determinar se alguma destas conexões pode ser uma ameaça. 

ID
388300
Banca
NCE-UFRJ
Órgão
UFRJ
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Uma das maiores preocupações atuais é a segurança de computadores e redes. Uma ferramenta de segurança que tem como principal objetivo detectar se alguém está tentando entrar no seu sistema ou se algum usuário autorizado está fazendo mau uso do sistema é conhecida como:

Alternativas
Comentários
  • IDS (Intrusion Detection Systems) são sistemas de detecção de intrusos, que têm por finalidade detectar atividades incorretas, maliciosas ou anômalas, em tempo real, permitindo que algumas ações sejam tomadas. 
     
    • Geram logs para casos de tentativas de ataques e para casos em que um ataque teve sucesso.
    • Mesmo sistemas com Firewall devem ter formas para detecção de intrusos.
    • Assim como os firewalls, os IDSs também podem gerar falsos positivos (Uma situação em que o firewall ou IDS aponta uma atividade como sendo um ataque, quando na verdade não é).

    INFORMÁTICA - JUNIOR MARTINS - CANAL DOS CONCURSOS

    Abs

  • Gabarito letra E.

    Sistema de detecção de intrusos ou também conhecido como Sistema de detecção de intrusão ( em inglês: Intrusion detection system - IDS) refere-se aos meios técnicos de descobrir em uma rede acessos não autorizados que podem indicar a ação de um cracker ou até mesmo de funcionários mal intencionados.

    Com o acentuado crescimento das tecnologias de infraestrutura tanto nos serviços quanto nos protocolos de rede torna-se cada vez mais difícil a implantação de sistema de detecção de intrusos. Esse fato está intimamente ligado não somente à velocidade com que as tecnologias avançam, mas principalmente com a complexidade dos meios que são utilizados para aumentar a segurança nas transmissões de dados.

    Uma solução bastante discutida é a utilização de host-based IDS que analisam o tráfego de forma individual em uma rede. No host-based o IDS é instalado em um servidor para alertar e identificar ataques e tentativas de acessos indevidos à própria máquina.

    Fonte:https://pt.wikipedia.org/wiki/Sistema_de_detec%C3%A7%C3%A3o_de_intrusos

ID
630883
Banca
FCC
Órgão
TRE-PE
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação a firewall, IPS e IDS é correto afirmar:

Alternativas
Comentários
  •     a) NIDS HIDS são instalados em servidores para analisar o tráfego de forma individual em uma rede, tais como, logs de sistema operacional, logs de acesso e logs de aplicação. (NIDS - Network IDS - Analisa apenas tráfego de rede e não logs de aplicação)

        b) O IDS IPS usa sua capacidade de detecção e algumas funcionalidades de bloqueio, típicas de um firewall, para notificar e bloquear eficazmente qualquer tipo de ação suspeita ou indevida.

        c) O firewall do tipo Roteador de Barreira IPS/IDS não examina cada pacote, em vez disso, compara o padrão de bits do pacote com um padrão sabidamente confiável.

        d) Poder avaliar hipertextos criptografados, que, normalmente, não são analisados por firewalls tradicionais de rede, constitui uma vantagem do firewall de aplicação. (Correto)

        e) Um conjunto IDS/IPS instalado em um switch pode ser considerado do tipo HIDS/HIPS NIDS/NIPS, dada a sua atuação na detecção e prevenção de intrusões com base no comportamento e no histórico do tráfego de dados do dispositivo de rede. (HIDS/HIPS - Host IDS/IPS - Analisa os logs de máquinas)
  •  a implantação de um firewall não exclui a necessidade de um IDS/IPS e vice-versa. O firewall vai controlar a sua visibilidade na rede (e fazer o controle de acesso). Já o IDS vai monitorar as atividades suspeitas, que já passaram pelo firewall. O IPS vai um pouco além e atua pró-ativamente quando é detectada uma intrusão ou atividade maliciosa.
  • Firewall de aplicação é mais conhecido como Proxy de aplicação. Os Proxy de aplicação vão até a camada de aplicação e são especializados em protocolos de aplicaão, o que possibilita a descriptografia e análise de hipertextos.

  • Como exatamente um firewall de aplicação examina algo que está criptografado?

  • flashfs ', através da troca dos certificados, isto é bem comum em organizações maiores.

    A requisita a B um endereço C

    B percebe que C é um servidor seguro

    B requisita o conteúdo de C como se ele fosse o cliente.

    B inicia uma negociação de troca de chaves com A e apresenta o certificado para A como se ele fosse o servidor C

    C responde um conteudo criptografado a B.

    B sabe ler o conteúdo, pois foi ele quem fez o pedido para C.

    B devolve a resposta a A, porém essa resposta agora é criptografada com a chave privada de B.

    A sabe ler o conteúdo de B, pois foi em quem fez o pedido para B.

    A sabe o que o certificado foi trocado, eles são diferentes do certificado original de C, só que você adiciona à lista de certificados confiáveis o certificado de B, por isso a comunicação funciona normalmente.

  • a) FALSO, pois a descrição corresponde ao HIDS (host-based intrusion detection system);

    b) FALSO, pois a descrição corresponde ao IPS (Intrusion Prevention System);

    c) ficarei devendo o comentário dessa assertiva;

    d) CORRETO;

    e) FALSO, pois a descrição corresponde ao NIDS/NIPS (Network Intrusion Detection System/Network Intrusion Prevention System)
ID
645244
Banca
FCC
Órgão
TJ-PE
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Análise de comportamento de redes, ou NBA, da sigla, em inglês, Network Behavior Analysis, é uma técnica que examina o tráfego da rede em busca de ameaças que geram fluxos não usuais, como DdoS e violações de políticas da empresa ou um sistema cliente provendo serviços de rede para outros sistemas. Essa técnica de análise é uma característica

Alternativas
Comentários
  • IDS baseadas em rede, ou network-based, monitoram os cabeçalhos e o campo de dados dos pacotes a fim de detectar possíveis invasores no sistema, além de acessos que podem prejudicar a performance da rede. A implantação de criptografia (implementada via SSL,IPSec e outras) nas transmissões de dados como elemento de segurança prejudica esse processo.
  • IPS é a sigla para "Intrusion Prevention System" ou sistema de prevenção de invasão. IDS é a sigla para "Intrusion Detection System" ou sistema de detecção de invasão. Ambos são termos-chave, entre outros, no contexto de "invasão" de computadores, redes e sistemas de informação.
     
    Termo usado em segurança de computadores, a detecção de intrusão (ou invasão) se refere aos processos de monitoramento de atividades em computadores e redes e de análise dos eventos na busca por sinais de invasão nos sistemas relacionados.  Uma questão importante, um foco, na procura por invasões ou acessos não autorizados é alertar os profissionais de TI e os administradores de sistemas da organização para potenciais ameaças e falhas de segurança dos sistemas ou das redes.
     
    De modo geral, IDS é uma solução passiva de segurança ao passo que IPS é uma solução ativa de segurança. Porém, vale notar que há sistemas passivos e reativos. Em um sistema passivo, O IDS detecta uma potencial violação da segurança, registra a informação (log) e dispara um alerta. Em um sistema reativo, o IDS responde à atividade suspeita finalizando a sessão de usuário ou reprogramando o Firewall para bloquear o tráfego de rede da fonte maliciosa suspeitada.
     
    IPS é uma solução ativa de segurança. IPS ou sistema de prevenção de invasão é, definitivamente, o nível seguinte de tecnologia de segurança com sua capacidade para fornecer segurança em todos os níveis de sistemas, desde o núcleo do sistema operacional até os pacotes de dados da rede. O IPS provê políticas e regras para o tráfego de rede - juntamente com um IDS para emitir alertas para administradores de sistemas e redes em caso de tráfego suspeito - mas permite também que administradores executem ações relacionadas ao alerta dado. Enquanto o IDS informa sobre um potencial ataque, o IPS promove tentativas de parar o ataque. Um outro grande avanço sobre o IDS é que o IPS tem a capacidade de prevenir invasões com “assinaturas” conhecidas, mas também pode impedir alguns ataques não conhecidos, devido a sua base de dados de “comportamentos” de ataques genéricos. Visto como uma combinação de IDS e de uma “camada de aplicação Firewall” para proteção, o IPS geralmente é considerado a geração seguinte do IDS.
  • IDS (intrusion detection system) detecta intrusões e acessos que violam a política estabalecida, e de quebra envia um report to a Management Station.
  • Protocolos IPS e IDS podem ser de 4 tipos:

    NIPS (Netword Intrusion Prevention System): monitora toda a rede em busca do tráfego malicioso baseado nas atividades dos protocolos de rede

    WIPS (Wireless Intrusion Prevention System): monitora redes sem fio baseado em protocolos wireless

    NBA (Network Behavior Analisys): examina o comportamento geral da rede de forma a detectar padrões que possam ser caracterizados como ameaças (Dos, ets...)

    HIPS (Host Intrusion Prevention System): monitora um único host em busca de atividades suspeitas
ID
747190
Banca
ESAF
Órgão
CGU
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Os tipos de IDS – Sistema de Detecção de Intrusão são

Alternativas
Comentários
  • Em relação ao IDS podemos dizer que:

    Quanto ao MÉTODO DE DETECÇÃO eles podem ser classificados como:
    • Sistemas de detecção baseados em ANOMALIAS
    • Sistemas de detecção baseados em ASSINATURA
    Quanto à ARQUITETURA são classificados segundo critérios de LOCALIZAÇÃO e ALVO.
    Com base no ALVO são classificados em:
    • Sistemas baseados em HOST (HIDS)
    • Sistemas baseado em REDE (NIDS)
  • Intrusion detection system são meios de descobrir em uma rede quando há acessos não autorizados que podem indicar a acção de um cracker ou até mesmo funcionários mal intencionados. Os tipos são:

    host-based IDS: analisa o tráfego de forma individual em uma rede;
    com um servidor para alertar e identificar ataques e tentativas de acessos indevidos à própria máquina.

    Network IDS: analisa o todo tráfego em uma rede;

    Stack-based intrusion detection system:(SIDS) analisa packets que passam pela pilha TCP/IP (TCP/IP stack), o que faz desnecessário ter interface da rede m modo promíscuo. Esse IDS é subordinado ao sist.oper do host.


    HoneyPot tem a função de simular falhas de segurança de um sistema e colher informações sobre o invasor. É um espécie de armadilha para invasores. Não oferece nenhum tipo de proteção.

  • letra D

    Segundo Nakamura(2010,p.269),"Os dois tipos primários de IDS são os seguintes: o baseado em host(Host-Based Intrusion Detection System-HIDS) e o baseado em rede(Network-Based Intrusion Detection System-NIDS).O processo evolutivo que acontece com toda tecnologia levou ao desenvolvimento do IDS híbrido(Hybrid IDS), que aproveita as melhores características do HIDS e do NIDS."

    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA


  • São Sistemas de Detecção de Intrusão que possuem caracteríscticas tanto de NIDS quanto de HIDS. Um SDI híbrido fareja o tráfego de rede e analisa os logs de casos de uso do sistema, tornando a detecção mais eficaz.Um IDS híbrido deve ser instalado em uma máquina.

    Vantagens e Desvantagens

    Um SDI híbrido capta os pacotes como um NIDS e os processa como um HIDS (), o que o torna menos vulneravel ao tráfego na rede. Porém, por ficar, instalado em uma máquina, ele depende do processamento da mesma alem de ser mais vulnerável a ataques contra o mesmo assim como os HIDS's.

    https://www.gta.ufrj.br/grad/10_1/sdi/hibids.html

ID
771157
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens a seguir, relativos a sistemas de detecção de intrusão (IDS).

Em IDS, um falso negativo é uma situação que caracteriza que um sistema não está sob ataque.

Alternativas
Comentários

  • ERRADO. Corrigindo a questão e clareando a resposta.

    **Em IDS, um falso negativo é uma situação que caracteriza que um sistema está sob ataque,porém este ataque não está sendo detectado.


    Segundo Nakamura(2010,p.281),

    "-Tráfego suspeito detectado(comportamento normal);

    -Tráfego suspeito não detectado(falso negativo);

    -Tráfego legítimo que o IDS analisa como sendo suspeito(falso positivo);

    -Tráfego legítimo que o IDS analisa como sendo legítimo(comportamento normal)."

    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVO-2010-NAKAMURA

  • Cespe ama isso

    Falso Negativo: tratar os tráfegos suspeitos como legais, ou seja, deixa de detectar um ataque que efetivamente ocorreu

     

     

    Ano: 2010Banca: CESPEÓrgão: Banco da AmazôniaProva: Técnico Científico - Tecnologia da Informação

    A ocorrência de falsos positivos normalmente acarreta consequências mais graves para as redes que utilizam IDS do que para aquelas que usam IPS.
    Errada

    Ano: 2010Banca: CESPEÓrgão: Banco da AmazôniaProva: Técnico Científico - Tecnologia da Informação
    Os IDS e IPS embasados em detecção por assinatura podem apresentar ocorrência de falsos-positivos, sendo mais severos os efeitos nos IPS que nos IDS.
    certa
    POSITIVO == LEGAL e BLOQUEOU
    2017
    Em uma varredura de arquivos armazenados, se um arquivo legítimo do usuário for classificado como vírus por um software antivírus, então tal ocorrência caracterizará um falso negativo.
    errada
    NEGATIVO == ILEGAL e DEIXOU passar


    (CESPE – ABIN/2004 – Analista de Informações – Código 9 – 103)
    Em um sistema de detecção de intrusão (intrusion detection system — IDS), um falso positivo consiste em um evento em que o IDS deixa de detectar uma intrusão que efetivamente ocorreu.
    errada

  • FALSO NEGATIVO é quando o sistema trata algo PERIGOSO como se fosse algo normal.

  • Falso Negativo: Atividade suspeita detectada como legítima.

  • GABARITO: ERRADO.

  • Gabarito E

    Falso positivo: detecta aquilo que não deveria

    Falso negativo: deixa de detectar aquilo que deveria

    Leia de direita pra esquerda, fica mais fácil memorizar

    Positivo que deu Falso: algo legitimo q foi dado como ataque

    Negativo que deu Falso: algo ilegítimo que foi dado como falso.

ID
771160
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens a seguir, relativos a sistemas de detecção de intrusão (IDS).

Um IDS, diferentemente de um firewall, é capaz de reagir e enviar solicitação de desconexão quando detecta alguma anomalia de tráfego na rede.

Alternativas
Comentários

  • IDS não bloqueia tráfego e suas ações são posteriores ao ataque

    Serviços de detecção de intrusos são capazes de detectar anomalias no tráfego de dados, a partir de regraspreviamente definidas. Também são capazes de efetuar bloqueios de tráfego, a partir de análises heurísticas

    errada



    2014

    A detecção de intrusão abrange formas de resposta, tais como a geração de alertas e a interrupção dos fluxos de dados maliciosos.

    certa


    2011 - (CESPE – TJ-ES/2011 – Analista Judiciário – Análise de Suporte – 93)

    IDS (intrusion detection system) pode ser utilizado para incrementar o trabalho do firewall e permitir que o tráfego de dados de uma rede seja monitorado para correção imediata de problemas ou falhas

    certa


  • Gabarito Errado

    Quemm faz isso é o IPS.

     

    Vamos na fé !

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • IDS

    Um Sistema de Detecção de Intrusão (Intrusion Detection System - IDS) é um software que automatiza o processo de detecção de intrusão.


    IPS

    Um Sistema de Prevenção de Intrusão (Intrusion Prevention System - IPS) é um software de prevenção de intrusão. Tem a capacidade de impedir possíveis incidentes.


    Fonte: Professor Frank Mattos

  • IDS - Sistemas para Detecção de Intrusão: não é capaz de reagir/bloquear ataques, apenas detecta e alerta os administradores da rede. Apresenta ALTA incidência de falsos-positivos.

    IPS - Sistemas para Prevenção de Intrusão: é capaz de detectar e bloquear ataques, realizando contramedidas. Ele avalia o tráfego comparando assinaturas e comportamentos anômalos. Pode ser baseado em rede ou host.

    WAF - Firewall de Aplicativo da Web: avalia o comportamento e a lógica do que é solicitado e devolvido. Pode ser baseado em rede ou host.

    NIDS - Sistema de Detecção de Intrusão Baseado em Rede: é eficiente principalmente contra ataques como port scanning, IP spoofing ou Syn flooding e é também capaz de detectar ataques de buffer overflow [...]

    Firewalls precisam ser capazes, basicamente, de executar as seguintes tarefas: Filtrar pacotes - Defender recursos - Validar acessos - Gerenciar e controlar trafego de rede - Registrar e relatar eventos - Atuar como intermediário. Sendo assim, é possível bloquear todo o tráfego de entrada na máquina com destino a uma porta e liberar todo o tráfego de saída. Ele não evita que a rede de computadores seja atacada, apenas pode, de certa forma proteger bloqueando as portas. Quando se tem uma rede se faz necessária a instalação em apenas um computador, e não em todos.

    Atenção: Apesar de alguns modelos de firewall inspecionarem todo o pacote, em geral, inspecionam apenas o cabeçalho, principalmente campos de origem e destino. Já os IDS analisam o conteúdo do pacote.

    Gabarito: Errado.

  • IDS age passivamente.

  • GABARITO ERRADO!

    .

    .

    Um IDS (Intrusion Detection System) pode ser usado para detectar varreduras de porta e de pilha TCP, além de ataques de DDoS, de inundação de largura de banda, de worms e de vírus.

    NAKAMURA

  • No caso de tomar um contramedida seria função do IPS

  • Na verdade está mais para o Firewall reagir. Geralmente quando comparar FIREWALL e IDS fica esperto. GRANDE CHANCES DE ESTAR ERRADO

    Quando compara o IPS e o IDS você não acerta, já que um reage e o outro não?

    FIREWALL -- Impede, bloqueia -- ou seja age

    IPS -- PIT BULL -- ATACA/AGE

    IDS -- DALMATA -- MANSO/NÃO AGE

    QUALQUER EQUIVOCO MANDE-ME MENSAGEM PARA APAGAR O COMENTÁRIO

    JESUS O FILHO DO DEUS VIVO

ID
771163
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens a seguir, relativos a sistemas de detecção de intrusão (IDS).

No IDS, erros do tipo falso positivo podem levar usuários a ignorar a saída dos dados porque tratam ações legítimas como tentativas de invasão.

Alternativas
Comentários

  • CERTO

    Segundo Nakamura(2010,p.281),

    "-Tráfego suspeito detectado(comportamento normal);

    -Tráfego suspeito não detectado(falso negativo);

    -Tráfego legítimo que o IDS analisa como sendo suspeito(falso positivo);

    -Tráfego legítimo que o IDS analisa como sendo legítimo(comportamento normal)."

    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVO-2010-NAKAMURA


  • Falso positivo: detecta aquilo que não deveria (inibe um tráfego legítimo);

    Falso negativo: deixa de detectar aquilo que deveria (negligencia um tráfego suspeito).

  • POLESU

    Falto Positivo - Legitimo como Suspeito.

    NESULE

    Falto Negativo - Suspeito como Legitimo.

ID
788614
Banca
CESGRANRIO
Órgão
Transpetro
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Há, pelo menos, dois tipos de sistemas de detecção de intrusão: os baseados em host (HIDS) e os baseados em rede (NIDS).

Segundo alguns autores, um dos pontos fortes dos HIDS é

Alternativas
Comentários

  • HIDS - Host Intrusion detection system - O HIDS é instalado diretamente no ativo a ser monitorado, onde ocorrerão as análises de logs, messages, syslogs, wtmp, etc. Portanto, o monitoramento ocorre única e exclusivamente na plataforma em que ele está configurado. 


    Como vantagens, citamos:

    - Por monitorarem eventos localmente, os HIDS são capazes de detectar ataques mais específicos quando comparados com os NIDS.

    - Capacidade de tratar dados criptografados. Na origem antes de ocorrer a criptografia e no destino, após a decriptação.

    - Não são afetados por elementos de rede como switches ou roteadores.

    - O HIDS pode verificar o sucesso ou a falha de um ataque, com base nos registros(logs) do sistema.



    Como desvantagens, podemos citar:

    - Difícil configuração pois se deve considerar as características de cada estação;

    - Podem ser derrubados por DoS, pois se trata de uma solução centralizada.

    - Degradação de desempenho na estação;

ID
794020
Banca
FCC
Órgão
TST
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A detecção instantânea da intrusão em uma rede de computadores é um dos aspectos primordiais para a segurança da informação. Para tal, existem diversas ferramentas, como o IDS (Intrusion Detection System) de rede que pode realizar a detecção por meio da monitoração

Alternativas
Comentários
  • Opção correta letra E.

    O  IDS (Intrusion Detection System) de rede que pode realizar a detecção por meio da monitoração das portas TCP. e a detecção é instantânea da intrusão em uma rede de computadores. 

  • Apenas complementando......


    A varredura de portas (port scanning), é o processo de se conectar a portas TCP e UDP do sistema-alvo para 

    determinar que serviços estão em execução ou em estado de escuta. Esse processo é crucial para se identificar o tipo de 

    sistema operacional e o tipo de aplicativos em uso. Serviços ativos podem permitir a um usuário não autorizado ter 

    acesso a sistemas mal configurados ou que estejam exe cutando algum software que possua falhas de segurança 

    conhecidas


  • Não são os HIDS que fazem varredura de portas?

  • LETRA E. Segundo Nakamura(2010,p.273),"Os pontos positivos do NIDS são:

    -Com o análise de cabeçalhos e do payload de pacotes, ataques de rede como o port scanning, IP Spoofing ou Teardrop podem ser detectados."

     

    -SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA-2010.

  • Letra E

    Deveria haver vírgulas isolando o trecho 'por meio da monitoração', pois na verdade a questão faz menção sobre a "... detecção, por meio da monitoração, de varreduras de Portas TCP. Consegue visualizar como ficaria uma resposta mais congruente???

     

ID
801244
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens subsequentes, relativos a ataques e vulnerabilidades.

Firewalls e IDS são dispositivos eficazes para detectar e evitar ataques de buffer overflow.

Alternativas
Comentários
  •  O buffer overflow :
     O comprometimento depende da linguagem utilizada na implementação do programa específico que tem seu buffer sobrecarregado.
                
    não Pode-se evitar o buffer overflow utilizando-se firewalls na proteção das máquinas

    Os buffer overflows exploram deficiências de programas que utilizam linguagens de programação fracamente tipificadas

    A forma de um IDS detectar genericamente ataques de buffer overflow seria por meio de uma assinatura contendo seqüências de bytes correspondentes ao código de NO-OP da arquitetura que se deseja proteger






  • O IDS pode detectar ataques de buffer overflow como o colega acima disse. E o proxy, como um tipo de firewall, pode realizar filtragem de dados de camada de aplicação, portanto os dois são eficazes, de foma que o gabarito está, provavelmente, errado.
  • questao parecida

    Prova: CESPE - 2008 - STJ - Analista Judiciário - Tecnologia da Informação

    Disciplina: Segurança da Informação | Assuntos: Ataques e ameaças

     

     

     

     

     Ver texto associado à questão

    Em geral, firewalls com inspeção de estado evitam ataques do tipo buffer overflow.

     

                     Certo       Errado

               

                   ERRADA

    Não há como um firewall barrar um ataque de buffer overflow.

  • Complementando os colegas
    Segundo Nakamura (2010, p. 272),"O sistema de detecção de intrusão baseado em rede (NIDS) é eficiente principalmente contra ataques como port scanning, IP spoofing ou Syn flooding e é também capaz de detectar ataques de buffer overflow [...]."


    Bibliografia:

    Segurança de redes em ambientes cooperativos
    Autor: Nakamura
    Editora: Novatec

  • Estou meio sem tempo para achar a fonte, mas já vi questões aqui que dizem que IDS só detecta, ao contrário do IPS que detecta e bloqueia. Lembrando que a questão fala sobre "detectar e evitar".

  • Gabarito: Errado.

    Firewall não consegue lidar com o buffer overflow.

    Um buffer overflow (ou transbordamento de dados) acontece quando um programa informático excede o uso de memória assignado a ele pelo sistema operacional, passando então a escrever no setor de memória contíguo. Essas falhas são utilizadas por cibercriminosos para executar códigos arbitrários em um computador, o que possibilita muitas vezes aos atacantes controlar o PC.

    Bons estudos!

  • Corroborando:

    Os firewalls não são eficientes, em regra, contra o ataque de buffer overflow justamente por conta do nível em que o ataque acontece.

  • IDS -- Sistema de detecção de intruso

    *Age passivamente

    *monitora o tráfego da rede

    *não bloqueia uma ação, mas verifica se esta ação é ou não uma ameaça

    *não interfere no fluxo de tráfego da rede

    IPS -- Sistema de prevenção de intruso

    *age ativamente

    *complemento do IDS

    *identifica um intruso, analisa a relevância do evento/risco

    *bloqueia determinados eventos

    *O IPS usa a capacidade de detecção do IDS junto com a capacidade de bloqueio do Firewall

    *age em diversos pontos de uma arquitetura de rede

  • gaba ERRADO

    IDS ------> vai DDDDDDDDDDDDDDDETECTAR

    IPS ------> vai PPPPPPPPPPPPPPPPARAR

    obs: Nesses comentários tem um José ricardo. Estamos juntos há um ano quase já. Ele não me assume. Gostaria de pedir para vocês me ajudarem e colocar no comentário dele #assumeZé. Obrigado <3

    pertencelemos!

  • Galera, me perdoem, mas só achei algo em inglês nesse link:

    https://www.imperva.com/blog/buffer-overflow-tutorial-a-brief-overview-of-an-all-too-common-vulnerability/

    Dá pra traduzir, mas vai ficar ao pé da letra.

    Why isn’t a firewall enough?

    A buffer overflow attack can be prevented or mitigated with proper coding practices or boundary checking on input received from users.

    If an input exceeds the allocated number of characters then the buffer size should be truncated or blocked. Unfortunately, dynamically increasing the size of the number of allocated bytes is not an option as a user can force the program to allocate an abnormally large amount of memory, which may lead to other vulnerabilities such as program crashes.

    Firewalls themselves, while essential security measures, cannot detect the length of these buffers and therefore cannot determine whether or not the user entered a valid size. Most intrusion detection and prevention systems likewise cannot enforce mitigation tactics against buffer overflow attacks.

  • GABARITO ERRADO!

    .

    .

    FIREWALL STATEFULL E PROXY NÃO EVITAM BUFFER OVERFLOW; JÁ O IDS EVITA.

  • Entenda o que é Buffer Overflow

    https://youtu.be/zeX2ZLzgPOA

  • #assumeZé

    A pedido do Patlick ApLovado <3

ID
801403
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere à segurança da informação, bem como às técnicas,
às tecnologias e aos conceitos a ela relacionados, julgue os
próximos itens.

Um IDS (intrusion detection system) é capaz de procurar e detectar padrões de ataques em pacotes trafegados em uma rede local por meio de assinaturas de ataques conhecidos.

Alternativas
Comentários
  • Um IDS é um sistema que funciona com o objetivo de detectar tentativas de invasao ou codigos maliciosos. Para tal tarefa, ele verifica nos pacotes da rede em que esta instalado se entre os dados trafegados algum possui padrão de alguma ameaça previamente cadastrada. Caso esta ameça ainda não tenha sido catalogada e definida como um padrão de reconhecimento, mesmo que o IDS intercepte este pacote para verificação, não irá acusar nada, e deixará que a mesmoa continue na rede. Por isto, é sempre importante manter atualizado o IDS.

    A questao está correta!

  • CERTO

    Segundo Kurose(2013,p.544),"Sistemas IDS são classificados de modo geral tanto como sistemas baseados em assinatura, ou sistemas baseados em anomalia."


    KUROSE, J. F.; ROSS, K. W. Redes de Computadores e a Internet: Uma Abordagem Top-Down. 6. ed. São Paulo: Pearson, 2013.

  • Gabarito Certo

    IDS (Intrusion detection System) é um sistema de detecção de Intrusão na rede que geralmente trabalha no modo passivo. O seu modo Inline é conhecido como IPS (Intrusion Prevention System) que é capaz de fazer a detecção em tempo real.

    Em outras palavras o IDS é um sistema de configurações e regras que tem como objetivo gerar alertas quando detectar pacotes que possam fazer parte de um possível ataque.

    Existem diversos tipos de ferramentas IDS para diferentes plataformas, mas basicamente trabalham analisando os pacotes que trafegam na rede e comparando-os com assinaturas de ataques ou anomalias conhecidas, evitando que possa ocorrer danos em sua rede/computador.

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
801586
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de criptografia e detecção de intrusão, julgue os itens
subsequentes.

Uma forma de utilização de IDS é a distribuição de sensores na rede, de maneira que cada sensor monitore um segmento de rede. Na distribuição desses sensores, deve-se considerar a impossibilidade de fazer qualquer monitoração em segmentos cujo tráfego seja sempre criptografado, como em conexões VPN.

Alternativas
Comentários
  • O IPSec, que é um dos protocolos utilizados em uma VPN para prover os requisitos de segurança, apresenta dois modos de operação: Modo transporte - o cabeçalho IPSec é inserido entre o cabeçalho IP e o cabeçalho TCP, cifrando todo o pacote a partir do cabeçalho TCP; Modo túnel - o cabeçalho IPSec é inserido antes do cabeçalho IP, cifrando todo o pacote, inclusive o cabeçalho IP. Um novo cabeçalho IP é construído, escondendo informações que permitam a análise de tráfego. Dessa forma, caso a VPN esteja utilizando IPSec em modo transporte, é possível sim realizar análise de tráfego e consequentemente o IDS conseguirá realizar a monitoração da rede.
  • O erro da questão está em "deve-se considerar a impossibilidade de fazer qualquer monitoração em segmentos cujo tráfego seja sempre criptografado", é possível monitorar o comportamento do tráfego, através de um IDS baseado em anomalia de comportamento.

  • Nem sempre os dados serão criptografados numa VPN, pode ocorrer simplesmente isolamento utilizando-se o protocolo MPLS.

  • eu acho que essa afirmacao está certa

  • achei importante o Bruno Campos expor sua opinião

  • ERRADO. Neste caso, pode-se, pois, usar um HIDS (Host-based IDS).

  • Existe uma ressalva: o HIDS (IDS baseado em Host). Eles têm a capacidade de analisar o tráfego criptografado, uma vez que ficam instalados nos hosts finais muitas vezes.

ID
814693
Banca
AOCP
Órgão
TCE-PA
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A finalidade do IDS (Intrusion Detection System) é

Alternativas
Comentários

  • Sistema de detecção de Intrusão(IDS) (PASSIVO)

    É um dispositivo que geralmente gera alertas quando observa tráfego potencialmente mal intencionado. Um IDS pode ser usado para detectar uma série de tipos de ataques, por exemplo, de (nmap), escaneamento de portas, escaneamento de pilha tcp, ataques de inundação de banda DoS, vírus, vulnerabilidade de OS e ataques de vulnerabilidades de aplicações.

  • lembrando que ele é reativo e não proativo

  • Gabarito B

    O IDS (Intrusion Detection System) é um sistema de detecção de intrusão que possibilita a coleta e o uso de informações dos diversos tipos de ataques em prol da defesa de toda uma infraestrutura de rede. Dessa forma, é possível identificar pontos ou tentativas de invasão, dando permissão para registro e possibilitando a melhoria contínua do ambiente de segurança.


    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !

  • Só pelo ingles da pra matar a questao, a pergunta deu a resposta.

ID
820063
Banca
CESGRANRIO
Órgão
CMB
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A técnica de defesa em profundidade é baseada em camadas de segurança. Um dos principais fatores dessa técnica é o perímetro de segurança que forma a borda fortificada de uma rede.

O componente do perímetro que utiliza métodos de detecção por anomalia e por assinatura para identificar tráfego malicioso na rede é o

Alternativas
Comentários

  • Sistemas de Detecção de Intrusão (SDI, ou IDS na sigla em inglês - Intrusion Detection Systems) são ferramentas que visam melhorar a segurança em um sistema computacional. Detecção de Intrusão são as técnicas utilizadas para detectar ataques ou perturbações a um sistema computacional ou rede de computadores. O SDI usa as informações coletadas do sistema monitorado (computador, rede ou segmento de rede) para detectar intrusões. Enquanto as medidas de prevenção ativamente buscam evitar que ataques aconteçam, os sistemas de detecção procuram identificar ataques pela análise passiva do tráfego da rede ou os logs do sistema. Após a detecção de um ataque, um SDI deve gerar uma resposta, que pode ser uma intervenção automatizada no sistema ou um alerta para intervenção humana.

    Especificamente para redes de computadores, têm-se os Sistemas de Detecção de Intrusão de Rede (SDIR), que utilizam informações coletadas em uma rede ou segmento de rede para identificar ataques que estejam ocorrendo ou que já tenham ocorrido. Para a análise dos dados coletados da rede, os SDIR usam principalmente a abordagem baseada em assinaturas e a abordagem baseada em anomalias, ambas apresentando suas peculiaridades e limitações.

  • Intrusion Detection System. O nome já diz.


    Claro que em alguns casos este serviço pode estar rodando no mesmo hardware do Firewall...

  • Gabarito A

    IDS (Intrusion detection System) é um sistema de detecção de Intrusão na rede que geralmente trabalha no modo passivo. O seu modo Inline é conhecido como IPS (Intrusion Prevention System) que é capaz de fazer a detecção em tempo real.

    Em outras palavras o IDS é um sistema de configurações e regras que tem como objetivo gerar alertas quando detectar pacotes que possam fazer parte de um possível ataque.

    Existem diversos tipos de ferramentas IDS para diferentes plataformas, mas basicamente trabalham analisando os pacotes que trafegam na rede e comparando-os com assinaturas de ataques ou anomalias conhecidas, evitando que possa ocorrer danos em sua rede/computador.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
837448
Banca
CESPE / CEBRASPE
Órgão
ANAC
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Considerando os conceitos de segurança em redes de comunicações, julgue os itens seguintes.

Uma das vantagens da detecção de intrusão baseada em anomalias é a eficiência na detecção, comparativamente à detecção baseada em assinaturas, uma vez que não gera grande número de alarmes falsos.

Alternativas
Comentários

  • Conceitos invertidos:

    Uma das vantagens da detecção de intrusão baseada em assinatura é a eficiência na detecção, comparativamente à detecção baseada em anomalias, uma vez que não gera grande número de alarmes falsos.

  • Ida... Anomalias geram muitos falsos positivos

  • Falso negativo = homem hétero hj em dia

    vc pensa que não é e é

  • e qual é mais eficiente ? o que só pega os "conhecidos" ou o que pega "tudo"

ID
880924
Banca
ESAF
Órgão
DNIT
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

O Host-based Intrusion Detection System (HIDS) e o Network-based Intrusion Detection System podem ser combinados para oferecer uma melhor capacidade de detecção de intrusões. O IDS que combina estes dois tipos é o:

Alternativas
Comentários
  • Quanto ao tipo, os IDS atualmente disponíveis podem ser divididos em dois grandes grupos: baseados em host (Host-based Intrusion Detection Systems –  HIDS) e baseados em rede (Network-based Intrusion Detection Systems - NIDS). Muitos dos sistemas existentes no mercado combinam estas duas formas de proteção, conseguindo deste modo uma visão muito mais abrangente da atividade dos sistemas de informação, são os IDS híbridos (Hybrid IDS), que aproveitam as melhores características do HIDS e do NIDS.
    Tecnicamente, a combinação dos diferentes tipos de IDS proporciona uma proteção mais eficiente dos sistemas de informação contra ataques realizados internamente, bem como daqueles oriundos da Internet.

  • LETRA d) Hybrid IDS

    Segundo Nakamura(2010,p.269),"O processo evolutivo que acontece com toda tecnologia levou ao desenvolvimento do IDS híbrido(Hybrid IDS), que aproveita as melhores características do HIDS(Host-Based Intrusion Detection System) e do NIDS(Network-Based Intrusion Detection System)."

    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA

  • Honeypot está dentro do assunto, mas é utilizado para enganar hackers, expondo vulnerabilidades de propósito.

    Vamos na fé.

ID
883189
Banca
CESPE / CEBRASPE
Órgão
TJ-AC
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere a redes de computadores e ferramentas para
Internet, julgue os itens subsequentes.

O IPS (Intrusion Prevention System) e o IDS (Intrusion Detection System) são ferramentas de rede que, respectivamente, protegem a rede interna de ataques externos e antivírus em cloud para Internet.

Alternativas
Comentários
  • Resposta: Errado

    O que significam as siglas IPS e IDS, no contexto de redes de computadores?

    IPS é a sigla para "Intrusion Prevention System" ou sistema de prevenção de invasão. IDS é a sigla para "Intrusion Detection System" ou sistema de detecção de invasão. Ambos são termos-chave, entre outros, no contexto de "invasão" de computadores, redes e sistemas de informação.

    Termo usado em segurança de computadores, a detecção de intrusão (ou invasão) se refere aos processos de monitoramento de atividades em computadores e redes e de análise dos eventos na busca por sinais de invasão nos sistemas relacionados.  Uma questão importante, um foco, na procura por invasões ou acessos não autorizados é alertar os profissionais de TI e os administradores de sistemas da organização para potenciais ameaças e falhas de segurança dos sistemas ou das redes.

    De modo geral, IDS é uma solução passiva de segurança ao passo que IPS é uma solução ativa de segurança. Porém, vale notar que há sistemas passivos e reativos. Em um sistema passivo, O IDS detecta uma potencial violação da segurança, registra a informação (log) e dispara um alerta. Em um sistema reativo, o IDS responde à atividade suspeita finalizando a sessão de usuário ou reprogramando o Firewall para bloquear o tráfego de rede da fonte maliciosa suspeitada.

    IPS é uma solução ativa de segurança. IPS ou sistema de prevenção de invasão é, definitivamente, o nível seguinte de tecnologia de segurança com sua capacidade para fornecer segurança em todos os níveis de sistemas, desde o núcleo do sistema operacional até os pacotes de dados da rede. O IPS provê políticas e regras para o tráfego de rede - juntamente com um IDS para emitir alertas para administradores de sistemas e redes em caso de tráfego suspeito - mas permite também que administradores executem ações relacionadas ao alerta dado. Enquanto o IDS informa sobre um potencial ataque, o IPS promove tentativas de parar o ataque. Um outro grande avanço sobre o IDS é que o IPS tem a capacidade de prevenir invasões com “assinaturas” conhecidas, mas também pode impedir alguns ataques não conhecidos, devido a sua base de dados de “comportamentos” de ataques genéricos. Visto como uma combinação de IDS e de uma “camada de aplicação Firewall” para proteção, o IPS geralmente é considerado a geração seguinte do IDS.

    Fonte: http://www.npd.ufes.br/node/87

  • IPS e IDS  são dois sistemas de detecção de intrusão. A diferença básica entre um e outro é que o primeiro (IPS) além de emitir alertas sobre uma possível intrusão é capaz de bloquear um ataque, já o IDS não tem essa capacidade, ele apenas emite alertas.
  • Intrusão -> em redes de computadores, equivale à entrada não autorizada de um computador na rede, com o objetivo de comprometer, danificar ou roubar informações.
    IDS (Intrusion Detection System) -> é um hardware ou software que monitora um sistema ou uma rede contra atividades não autorizadas. Um IDS é uma ferramenta que sabe ler e interpretar arquivos de log e tráfego de firewall, servidores e outros dispositivos de rede. Suas funções incluem monitorar, detectar a presença de atividade não autorizada e gerar de alertas.
    IPS (Intrusion Prevention System) -> é um hardware ou software que realiza alguma ação quando o IDS gera um alerta em decorrência da detecção de uma atividade não autorizada. Essas ações, têm como objetivo bloquear ataques antes que eles alcancem seu alvo. Por exemplo, bloquear o IP de origem do ataque.
  • Questão totalmente errada. IPS e IDS possuem a finalidade de detecção de tráfego malicioso com uma diferença: 

    IDS - tem comportamente passivo, ou seja, detecta e alarma apenas.
    IPS - faz o que o IDS faz, mas também pode bloquear, se necessário e configurado para isso. 

  • IPS = prevenção e ataque ! ''Pitbull''

    IDS = avisa , ''Poodle"

  • gab: E

    Os Sistemas de Detecção de Intrusão (IDS) analisam o tráfego da rede em busca de assinaturas que correspondam a ciberataques conhecidos. Os Sistemas de Prevenção de Intrusões (IPS) também analisam pacotes, mas podem impedir que esses pacotes sejam entregues com base nos tipos de ataques detectados – ajudando a interromper o ataque.

    O IDS não altera os pacotes de rede de nenhuma maneira, já o IPS impede que o pacote seja entregue com base em seu conteúdo, da mesma forma como um firewall impede o tráfego por endereço IP.

  • uma guerra de ego do car$#lho. 57 comentários sobre os "conceitos" de IPS/IDS, iguais, praticamente, e ninguém respondendo absolutamente NADA da questão.

  • Os IDS e IPS embasados em detecção por assinatura podem apresentar ocorrência de falsos-positivos, sendo mais severos os efeitos nos IPS que nos IDS.

ID
883291
Banca
CESPE / CEBRASPE
Órgão
TJ-AC
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens a seguir, a respeito de aplicativos usados no combate
a pragas virtuais.

Sistemas de prevenção à intrusão (IPS) e sistemas de detecção de intrusão (IDS) são sistemas concebidos com os mesmos propósitos. A diferença entre eles encontra-se no público-alvo. Enquanto os IPS são sistemas voltados para os usuários domésticos, os IDS focam as grandes redes corporativas.

Alternativas
Comentários
  • IDS

    Um Sistema de Detecção de Intrusão (Intrusion Detection System - IDS) é um software que automatiza o processo de detecção de intrusão.

    IPS

    Um Sistema de Prevenção de Intrusão (Intrusion Prevention System - IPS) é um software de prevenção de intrusão. Tem a capacidade de impedir possíveis incidentes.

    IDPS

    Um Sistema de Detecção e Prevenção de Intrusão (Intrusion Detection and Prevention System - IDPS) é um sistema híbrido, surgido a partir da junção dos sistemas IDS e IPS. Administradores tem a opção de desativar as funções de IPS, fazendo com que o sistema passe a funcionar apenas como IDS.

    Fonte:     http://www.gta.ufrj.br/grad/12_1/ids/ConceitodeIDS.html

  • QUESTÃO ERRADA

    IDS é como aqueles sensores em porta de loja, se você não colocar um segurança olhando, o meliante passa correndo o alarme dispara e nada acontece.

    IPS é como uma porta giratória de banco, se ele identificar algo suspeito ele trava.

  • O CESPE contou uma historinha para confundir. Seguem os conceitos:

    Os Intrusion Detection Systems (IDS) fazem o monitoramento de redes baseado em padrões previamente estabelecidos pelo administrador. Caso achem alguma anomalia, um aviso (trigger) é disparado para o administrador tomar alguma ação.

    Já os Intrusion Prevention Systems (IPS), estes são mais "inteligentes" que os IDS devido ao fato de tomarem ações baseado em análise heurísticas do tráfego de rede. Ou seja, eles não precisam de uma intervenção humana para que seja tomada uma ação efetiva.

    DICÃO
     
    IDS é como aqueles sensores em porta de loja, se você não colocar um segurança olhando, o meliante passa correndo o alarme dispara e nada acontece. Ao passo que, IPS é como uma porta giratória de banco, se ele identificar algo suspeito ele trava.

    Portanto, não existe essa restrição de usuário doméstico ou grandes redes corporativas. Isso é uma decisão que envolve a Política de Segurança da empresa.

    Alternativa: Errada

  • Errado! A diferença básica entre um Intrusion Detection System (IDS)

    para um Intrusion Prevention System (IPS) é que os sistemas de prevenção

    são ativos, enquanto os sistemas de detecção são passivos. Enquanto o IDS

    informa sobre um potencial ataque, o IPS promove tentativas de parar o ataque.

    Um outro grande avanço sobre o IDS é que o IPS tem a capacidade de prevenir

    invasões com “assinaturas” conhecidas, mas também pode impedir alguns

    ataques não conhecidos, devido a sua base de dados de “comportamentos” de

    ataques genéricos. Visto como uma combinação de IDS e de uma “camada de

    aplicação Firewall” para proteção, o IPS geralmente é considerado a geração

    seguinte do IDS.

  • Sim, substitua o IPS pela sua geladeira e seja feliz!

     

     

  • GABARITO: ERRADO

     

     

    Sistemas de Detecção de Intrusos (IDS) são sistemas que monitoram atividades em redes de computadores, capazes de detectar atividades suspeitas. Configura-se uma solução passiva.


    Sistemas de Prevenção de Intrusos (IPS), por sua vez, são sistemas que implementam regras e políticas para o tráfego de uma rede, capazes de prevenir e combater ataques. É uma solução ativa!

     

    ----------------------------------------------------------------------------------------------------------------------------------------------------------------------

    A diferença básica entre um Intrusion Detection System (IDS) para um Intrusion Prevention System (IPS) é que os sistemas de prevenção são ativos, enquanto os sistemas de detecção são passivos. Enquanto o IDS informa sobre um potencial ataque, o IPS promove tentativas de parar o ataque.

    Um outro grande avanço sobre o IDS é que o IPS tem a capacidade de prevenir invasões com “assinaturas” conhecidas, mas também pode impedir alguns ataques não conhecidos, devido a sua base de dados de “comportamentos” de ataques genéricos. Visto como uma combinação de IDS e de uma “camada de aplicação Firewall” para proteção, o IPS geralmente é considerado a geração seguinte do IDS.

     

     

    Prof. Victor Dalton -  Estratégia Concursos


     

  • A diferença básica entre um Intrusion Detection System (IDS) para um Intrusion Prevention System (IPS) é que os sistemas de prevenção são ativos, enquanto os sistemas de detecção são passivos. Enquanto o IDS informa sobre um potencial ataque, o IPS promove tentativas de parar o ataque. Um outro grande avanço sobre o IDS é que o IPS tem a capacidade de prevenir invasões com “assinaturas” conhecidas, mas também pode impedir alguns ataques não conhecidos, devido a sua base de dados de “comportamentos” de ataques genéricos. Visto como uma combinação de IDS e de uma “camada de aplicação Firewall” para proteção, o IPS geralmente é considerada a evolução do IDS.

    Errado!

  • Firewall (possui regras): 

    - Controle de acessos 

    - Filtro de pacotes 

    - Só ativa no cabeçalho (origem, destino) 

     

     

    IPS ou IDS – Complementam o Firewall.  

    Sistema de prevenção de intrusos e Sistema de Prevenção contra Intrusão 

    Analisam o corpo do pacote, o conteúdo. 

    Conforme regras do Firewall.   

    Analogia – Porteiro e cachorros (complementam o porteiro) vigiando a residência. Pinscher que só late e não morde.  

    IPS (ativo) – Pitbull – emite alerta e já protege. 

    IDS (passivo) – Pinscher – emite alertas (só late)

    Professor Léo Matos - Estúdio Aulas

  • IPS e IDS

    ** IDS: Sistemas de Detecção de Intrusos (IDS) são sistemas que monitoram atividades em redes de computadores, capazes de detectar atividades suspeitas. Configura-se uma solução passiva.

    ** IPS: Sistemas de Prevenção de Intrusos (IPS), por sua vez, são sistemas que implementam regras e políticas para o tráfego de uma rede, capazes de prevenir e combater ataques. É uma solução ativa!

    Os IDS podem ser classificados da seguinte forma:

    IDS baseado em host (HIDS): monitoram o sistema com base em informações de arquivos de logs ou de agentes de auditoria. Consegue detectar ataques mais simples, como os de força bruta, ou mesmo ataques criptografados, mas não identifica ataques mais sofisticados.

    IDS baseado em rede (NIDS): monitora a rede, capturando e analisando cabeçalhos e conteúdos dos pacotes, que são comparados com padrões ou assinaturas conhecidos. Como principal vantagem, está a detecção do ataque em tempo real. Por outro lado, não monitora tráfego cifrado.

    IDS híbrido: mescla a detecção baseada em rede com a detecção baseada em host, aproveitando os pontos fortes de cada abordagem e melhorando a capacidade de detecção de intrusões.

    Honeypot: o honeypot é uma ferramenta muito útil, pois pode ir além da detecção de intrusos. É uma máquina feita especialmente para sofrer ataques, passando-se por dispositivo legítimo da organização, com o objetivo de estudar o comportamento do hacker, levá-lo a uma armadilha, armar uma emboscada ou enviar informações falsas a ele.

    O comentário do(da) Colega Foco, Força e Fé completa...

    ** A diferença básica entre um Intrusion Detection System (IDS) para um Intrusion Prevention System (IPS) é que os sistemas de prevenção são ativos, enquanto os sistemas de detecção são passivos. Enquanto o IDS informa sobre um potencial ataque, o IPS promove tentativas de parar o ataque.

    ** Um outro grande avanço sobre o IDS é que o IPS tem a capacidade de prevenir invasões com “assinaturas” conhecidas, mas também pode impedir alguns ataques não conhecidos, devido a sua base de dados de “comportamentos” de ataques genéricos. Visto como uma combinação de IDS e de uma “camada de aplicação Firewall” para proteção, o IPS geralmente é considerado a geração seguinte do IDS.

    Fonte: Estratégia e outras.

    ERRO? Me avisem no CHAT!

  • (E)

    Outra que ajuda

    PF /CESPE / 2018

    Os sistemas IDS (intrusion detection system) e IPS (intrusion prevention system) utilizam metodologias similares na identificação de ataques, visto que ambos analisam o tráfego de rede em busca de assinaturas ou de conjunto de regras que possibilitem a identificação dos ataques.(C)

ID
885121
Banca
CESPE / CEBRASPE
Órgão
ANP
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito dos mecanismos de segurança da informação, julgue
os próximos itens.

Serviços de detecção de intrusos são capazes de detectar anomalias no tráfego de dados, a partir de regras previamente definidas. Também são capazes de efetuar bloqueios de tráfego, a partir de análises heurísticas.

Alternativas
Comentários
  • Os Intrusion Detection Systems (IDS) fazem o monitoramento de redes baseado em padrões previamente estabelecidos pelo administrador. Caso achem alguma anomalia, um aviso (trigger) é disparado para o administrador tomar alguma ação.

    Já os Intrusion Prevention Systems (IPS), estes são mais "inteligentes" que os IDS devido ao fato de tomarem ações baseado em análise heurísticas do tráfego de rede. Ou seja, eles não precisam de uma intervensão humana para que seja tomada uma ação efetiva.

    Sendo assim, constata-se que a questão aborda o conceito de IPS e não de IDS e por isso está errada.

  • IDS é como aqueles sensores em porta de loja, se você não colocar um segurança olhando, o meliante passa correndo o alarme dispara e nada acontece.

    IPS é como uma porta giratória de banco, se ele identificar algo suspeito ele trava.

    Bote isso na cabeça que você não erra mais nunca.

    Gab: ERRADO

  • Unindo a informação técnica de CHE com as dicas de memorização de  Edluise Costa temos uma boa resposta, no que tange concurso banca CESPE. Parabéns pelos comentários, pessoal.
  • O correto poderia ser:
    "Serviços de detecção de intrusos são capazes de detectar anomalias no tráfego de dados a partir de regras previamente definidas e a partir de análises heurísticas."

    Pois são essas as 2 técnicas usadas por esses sistemas:
    • Regras: mantém um banco de dados de regras relacionadas a atividades de intrusos. Apesar de ainda ser a técnica mais usada hoje, ela tem a desvatagem de ser  "cega" a novos ataques; ameças cujas assinaturas não estão em seus banco de dados;
    • Heurísticas: cria um perfil de tráfego observando a operação na rede, procurando por cadeias de pacotes com características incomuns. Pode detectar ataques novos que não foram documentados.
    Mais informações sobre o tema: http://www.seginfo.com.br/sistemas-de-deteccao-de-intrusoes-ids-intrusion-detection-systems-usando-unicamente-softwares-open-source/#deteccao-por-assinatura
  • Na verdade o CESPE não sabe o que é realmente um IDS...
    A banca insiste na idéia de que um IDS não pode ser capaz de realizar bloqueios de tráfego, o que é mentira.

    Existem dois tipos de IDS:
    IDS passivo: Ao detectar uma anomalia, apenas envia um "sinal" ao administrador.
    IDS reativo: Além de enviar o sinal, é capaz de executar ações para impedir o tráfego anormal.

    Só que a banca confunde esse conceito com o de IPS (Intrusion Prevent System), que na verdade possui o mesmo conceito do IDS reativo, só que o IPS executa ações para PREVENIR,  e o IDS reativo para IMPEDIR uma suposta invasão já CONCRETIZADA.


    Esse posicionamento do CESPE pode ser confirmado nas várias questões que questionam a capacidade do IDS em reagir aos ataques, como na prova do CNJ 2013
  • Na minha opinião, o erro da questão está em dizer que "serviços de detecção de intrusos são capazes de detectar anomalias no tráfego de dados, a partir de regras previamente definidas." O IDS detecta anomalias no tráfego de dados, a partir de estatísticas. O IDS detecta assinaturas a partir de um banco de dados com assinaturas de ataques, isto é, a partir de regras previamente definidas.

    Resumindo... O IDS detecta assinaturas (fácil implementação) e anomalias (difícil implementação).
    Anomalias está para     estatísticas; 
    Assinaturas está para regras previamente definidas.

    Ponto fraco do IDS baseado em assinaturas: Se o ataque é novo, simplesmente não haverá assinaturas para identificar o ataque. Não está no banco de dados do produto, não é ataque. 

    Concluindo... São capazes de bloquear tráfegos a partir de análises heurísticas ou assinaturas. O erro não está em dizer que o IDS bloqueia, e sim em dizer que quando bloqueia anomalias usa regras previamente definidas. 
  • Não vou explicar o IDS em si, porém pretendo desmistificar esta questão e mostrar os erros que encontrei. Separei por tópicos e partes para clarear o entendimento.

    Conforme Nakamura (2010, p.265), "[...] um sistema de detecção de intrusão (Intrusion Detection System - IDS), que tem como objetivo detectar atividades suspeitas, impróprias, incorretas ou anômalas, é um elemento importante dentro do arsenal de defesa da organização."

    Segundo Kurose(2010, p.543), "Sistemas IDS são amplamente classificados tanto como sistemas baseados em assinatura, ou sistemas baseados em anomalias. "

    Segundo Kurose(2010, p.543), "[...] sistemas IDS baseados em assinaturas [...] requerem conhecimento prévio do ataque para gerar uma assinatura precisa."

    Segundo Kurose(2010, p.543), "O mais interessante sobre sistemas IDS baseados em anomalias é que eles não recorrem a conhecimentos prévios de outros ataques."

    Conforme Nakamura (2010, p.286), "[...] no Behavior-Based Intrusion Detection, também conhecido como Anomaly Detection System (IDS baseado em anomalia) [...] a decisão é tomada por meio de uma análise estatística ou heurística, afim de encontrar possíveis mudanças de comportamento."

    Conforme Nakamura (2010, p.267), "O firewall libera conexões (ou bloqueia) e o IDS detecta, notifica e responde a tráfegos suspeitos."

    Conforme Nakamura (2010, p.268), "Após a detecção de uma tentativa de ataque pelo IDS, vários tipos de ações podem ser tomados como resposta. Alguns deles podem ser vistos a seguir:  - RECONFIGURAÇÃO DO FIREWALL."


     Uma forma de tornar a questão correta poderia ser:
    1)Serviços de detecção de intrusos são capazes de detectar tráfegos suspeitos, a partir de regras previamente definidas (com IDS baseado em assinatura) ou a partir de análises heurísticas (com IDS baseado em anomalia). Também são capazes de responder a ataques como a reconfiguração do firewall, e este podendo bloquear ou permitir conexões.

    2) Sistemas de detecção de intrusos são capazes de detectar anomalias no tráfego de dados, a partir de análises heurísticas.  Também são capazes de responder a ataques como realizar a reconfiguração do firewall, e este podendo bloquear ou permitir conexões. 


    Bibliografia:

    KUROSE, J. F.; ROSS, K. W. Redes de Computadores e a Internet: Uma Abordagem Top-Down. 5. ed. São Paulo: Pearson, 2010.
    Segurança de Redes em Ambientes Cooperativos - Nakamura, Emilio Tissato; Geus, Paulo Lício De 



  • A questão fala de Sistemas de Detecção de Intrusão (IDS), e não de Prevenção (IPS ou IDPS).

    Segundo http://www.gta.ufrj.br/grad/12_1/ids/FuncionamentobsicodeIDS.html:

    "Após detectada uma intrusão, um IDS normalmente apresenta apenas um comportamento passivo de resposta, isto é, ele apenas alerta o usuário do ocorrido, no entanto, ele pode dar uma resposta ativa (uma solução) se configurado não como um IDS mas como um IDPS."

    Para efetuar o bloqueio no tráfego (que é uma ação ativa), teria que ser um IPS/IDPS e não simplesmente um IDS.

  • o erro está em servicos. Era pra ser sistema.

  • errado - firewall bloqueia acesso.intrusion attack systems sinalizam ataques dentro da LAN e quando se originam de fora.

  • ERRADO. "... são capazes de efetuar bloqueios de tráfego, a partir de análises heurísticas...."

    Quem faz essa análise é o IPS.

  • "Serviços de DETECÇÃO" = IDS.

    IDS --> detecta e avisa. NÃO bloqueia

    IPS --> detecta e bloqueia

ID
895258
Banca
CESPE / CEBRASPE
Órgão
CNJ
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito da segurança de redes de computadores, julgue os
itens de 86 a 90.

Ferramentas de IDS (intrusion detect system) são capazes de detectar anomalias no tráfego de rede, gerar logs e reações, como regras de bloqueio do tráfego considerado anormal.

Alternativas
Comentários
  • Trecho do Livro Redes de Computadores e a Internet, 5 edição, Kurose e Ross, padinas 540 e 542.

    (..)Quando um dispositivo observa o pacote suspeito, ou uma série de pacotes suspeitos, ele impede que tais pacotes entrem naa rede organizacionaol. Ou, quando a atividade só e vista como suspeita, o dispositivo pode deixar os pacotes passarem, mas envia um alerta ao administrador de rede, que pode examinar o tráfego minuciosamente e tomar as ações necessárias. Um dispositivo que gera alertas quando observa tráfegos potencialmete mal intencionados pe chamado de sistema de decção de intrusos (IDS - Intrusion detection sustem). Um dispositivo que filtra o tráfego suspeito é chamado de sistema de prevensão de intruso (IPS - intrusion prevention system).
  • Um IDS é uma ferramenta utilizada para monitorar o tráfego da rede, detectar e alertar sobre ataques e tentativas de acessos indevidos. Na grande maioria das vezes não bloqueia uma ação, mas verifica se esta ação é ou não uma ameaça para um segmento de rede. Já o IPS tem a capacidade de identificar uma intrusão, analisar a relevância do evento/risco e bloquear determinados eventos. O IPS usa a capacidade de detecção do IDS junto com a capacidade de bloqueio de um firewall, notificando e bloqueando de forma eficaz qualquer tipo de ação suspeita ou indevida e é uma das ferramentas de segurança de maior abrangência, uma vez que seu poder de alertar e bloquear age em diversos pontos de uma arquitetura de rede.
  • Um IDS apenas emite alerta, não reagem. É como  um cachorro pequenez, ele late, late, mas não defende a casa.
    Os sistemas IPS é que são capazes de reagir a possíveis invasões. IPS é um "pit bull", ele late e arranca o braço do ladrão.
  • IDS = Ferramenta Passiva (só detecta)
    IPS = Ferramenta Ativa (detecta e reage).
  • Ah, que ótimo, agora o CESPE adota diferentes entendimentos acerca de um mesmo tema. E agora, qual resposta devo marcar? Vamos ficar sempre na linha tênue da dúvida. Eu acertei, no chute, mas é complicado...
    Segundo o professor: "(...) reprogramando o Firewall para bloquear o tráfego de rede da fonte maliciosa suspeitada.". Entendo que o comando da questão disse exatamente isso "gerar logs e reações, como regras de bloqueio do tráfego considerado anormal", pois afinal definir "regras de bloqueio" significaria "reprogramar o firewall", não? Então a questão poderia muito bem ser considerada correta? Ai meu Deus...
  • A questão é passível de recurso. Conforme já citado, existem os IDS ATIVOS que podem mudar regras do firewall e derrubar seções quando detecta uma anomalia...
  • Olá,

    Entendo que o CESPE classifica IDS como um analisador que detecta, alerta, mas não reage efetivamente contra ataques. Isto é, o IDS até pode reagir disparando alarmes aos administradores de segurança/redes, enquanto o ataque continuará afetando a máquina. Esta seria a forma PASSIVA!
    Já o IPS é classificado como um analisador e que reage EFETIVAMENTE ao ataque. Não só ele detecta, alarma, mas envia um comando ao Firewall bloquear o ataque, esse sendo, rapidamente, evitado. É assim que acontece nos appliance de mercado. Este seria a forma ATIVA DO IDS = IPS!

    É só uma questão de interpretação, isto é, o CESPE é fogo!
  • O cespe pode até adotar isso,

    Mas NAKAMURA 2007, pg 293, não. Conforme trecho a seguir:

    " Os IDS passivos, na realidade, possuem alguma forma de reação, normalmente com o envio de "TCP reset" ou enviando mensagens de reconfiguração de regras de firewall ou de roteadores"

    Se o IDS envia mensagens de reconfiguração de regras é ele que criar as regras, mas quem as aplica é o firewall.
  • Prezados,

    O conceito mais simples de ferramentas de IDS e IPS, em linhas gerais, determinam que as ferramentas de IDS ( Intrusion detection system ) apenas detectam as intrusões, enquanto as ferramentas de IPS ( Intrusion prevention system ) filtram e bloqueiam o trafego suspeito.
    Corroborando com esse conceito, temos o conceito apresentado pelo Kurose, página 542 :
    “Um dispositivo que gera alertas quando observa tráfegos potencialmente mal intencionados é chamado de sistema de detecção de intrusão (IDS, do inglês intrusion detection system ) . Um dispositivo que filtra o tráfego suspeito é chamado de sistema de prevenção de intrusão ( IPS, do inglês intrusion prevention system ) “
    Porém , os IDS´s podem também ser sub-classificados como ativos e passivos. Em um sistema passivo, o IDS detecta uma potencial violação da segurança, registra a informação e dispara um alerta, enquanto um IDS ativo ( também chamado de inline ) responde a atividade suspeita finalizando a sessão do usuário ou reprogramando o Firewall para bloquear o tráfego de rede da fonte maliciosa suspeitada.
    O próprio cespe já aceitou essa classificação e entendeu como verdade o fato do IDS também podendo atuar com bloqueio de trafego em outras provas, como TJ-ES 2011 ( Q103989 ) e STM 2011 ( Q84064 )
    Fonte :
    - Stallings, W. , Criptografia e segurança de redes , 4º edição
    - KUROSE ; ROSS, 2009
    - NAKAMURA, E. T., GEUS, P.L. Segurança de Redes em Ambientes Cooperativos. Ed. Novatec, 2007.

  • http://www.itnerante.com.br/group/seguranadainformao/forum/topics/cnj-2013-ids-cespe

  • O conceito mais simples de ferramentas de IDS e IPS, em linhas gerais, determinam que as ferramentas de IDS ( Intrusion detection system ) apenas detectam as intrusões, enquanto as ferramentas de IPS ( Intrusion prevention system ) filtram e bloqueiam o trafego suspeito.

  • ERRADO

    Dispositivo passivo que monitora a rede, detecta e alerta quando observa tráfegos potencialmente mal-intencionados, mas não os bloqueia.

ID
902317
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

O perímetro de segurança de uma rede utiliza diversos componentes que visam a proteger a empresa do tráfego de rede malicioso.

O componente responsável por farejar e analisar o tráfego da rede procurando por assinaturas que podem indicar uma atividade de reconhecimento ou tentativa de explorar uma vulnerabilidade é o

Alternativas
Comentários
  • Letra E

    O IDS utiliza da assinaturas de ameaças e invasões já detectadas para detectar novas tentativas de invasão,

  • Só uma correção, acho que o colega se referia a alternativa E.
  • Um sistema de detecção de intrusos (IDS) geralmente detecta manipulações de sistemas de computadores indesejadas, normalmente através da internet. Essas manipulações normalmente vêm de ataques de hackers.
     Um IDS é composto de diversos componentes: sensores, que geram eventos de segurança; console para monitorar eventos e alertas e controlar os sensores; e um mecanismo central que grava os eventos registrados pelo sensor na base de dados e usa um sistema de regras para gerar alertas a partir dos eventos de segurança recebidos. Umas vez que é detectado alguma intrução, alertas são enviados, e podem haver dois tipos de resposta, ativa ou passiva. Na ativa, respostas aos incidentes são geradas pelo próprio sistema, enquanto que na passiva, são gerados apenas relatórios para que o administrador venha a tomar as medidas que julgar necessárias.
    Fonte: http://www.gta.ufrj.br/grad/07_2/rodrigo_leobons/deteccao.html

  • e) Sistema de Detecção de Intrusão

    Segundo Nakamura(2010,p.266),"Um sistema de detecção de intrusão trabalha como uma câmera ou um alarme contra as intrusões, podendo realizar a detecção com base em algum tipo de conhecimento, como assinaturas de ataques, ou em desvios de comportamento,[...]"

    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA

  • Sistema de Detecção de Intrusão mais especificamente o do tipo NIDS (baseado em rede) que é o que analisa o tráfego do segmento da rede. Captura e analisa os cabeçalhos e conteúdos do pacote e os comparam com padrões e assinaturas.

  • IDS usa geralmente banco de assinaturas. Analisa o tráfego PARALELAMENTE buscando essas assinaturas e sinalizando, mas não bloqueiam.
ID
922870
Banca
FUNCAB
Órgão
CODATA
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Quando ocorre a análise do comportamento interno de uma máquina, verificando-se e eventos do sistema operacional a fim de detectar anomalias, tem-se um sistema de detecção de intrusão baseado em:

Alternativas
Comentários

  • Os sistemas de detecção de intrusão servem para indicar que alguma tentativa de intrusão foi feita no sistema. Para isso, existem dois tipos diferentes de detecção que podem ser empregados, os baseados na rede e os baseados na estação. Cada um tem uma maneira distinta de abordar o problema e o modo como isso é feito traz vantagens e desvantagens para cada tipo. Resumidamente, podemos dizer que os sistemas baseados na estação monitoram dados em uma determinada máquina, sejam eles processos, sistemas de arquivos e o uso de CPU, por exemplo; enquanto que os sistemas baseados na rede observam todo os dados trocados entre estações.


    Fonte: http://www.gta.ufrj.br/grad/03_1/sdi/sdi-2.htm


ID
933250
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação à segurança da informação, julgue os seguintes itens.

Em uma rede de comunicação, um sistema de detecção de intrusos monitora os cabeçalhos e o campo de dados dos pacotes, a fim de detectar possíveis invasores no sistema, além de acessos que podem prejudicar o desempenho da rede. Esse processo não fica prejudicado com a implantação de criptografia, via SSL, IPSec, entre outras, como elemento de segurança nas transmissões de dados.

Alternativas
Comentários
  • Prejudica sim. Nesse caso, seria necessário fazer interceptação dos dados criptografados (“man in the middle não malicioso”).

  • Assertiva ERRADA.

    .

    .

    Se você implementar algum tipo de criptografia ponta-a-ponta, o IDS fica impossibilitado de analisar o conteúdo e cabeçalho dos pacotes para determinar se são maliciosos ou não. Por isso que a questão está errada.

    .

    Há, no entanto, uma ressalva: o HIDS (IDS baseado em Host). Eles têm a capacidade de analisar o tráfego criptografado, uma vez que ficam instalados nos hosts finais muitas vezes.

  • Para analisar pacotes e detectar possíveis ataques, é necessário que eles não

    estejam criptografados, logo o processo fica prejudicado.

    Gabarito: Errado.

  • ERRADO

    Segundo o Cespe :

    ( CESPE - 2013 - INPI )

    Um sistema de detecção de intrusão tem a função de identificar se determinado tráfego entre dois servidores ocorre sem criptografia, e é capaz de utilizar mecanismos para criptografar esse tráfego com SSL.Errado!

    ( CESPE - 2013 - Polícia Federal)

    O uso de criptografia SSL (Secure Socket Layer) como item de segurança nas transmissões de dados via Internet dificulta o monitoramento realizado por sistemas de detecção de intrusos (IDS) de redes. Uma solução para esse problema é o uso de proxies reversos, que permite retirar o processo de criptografia do servidor web e, consequentemente, possibilita ao IDS o monitoramento do tráfego.Certo!

    Proxy reverso :

    Criptografia SSL otimizada:

    Criptografar e decodificar pedidos SSL/TLS para cada cliente pode ser altamente tributário para o servidor de origem. Um proxy reverso pode assumir esta tarefa para liberar os recursos do servidor de origem para outras tarefas importantes, como servir conteúdo.

    Outra vantagem de descarregar a criptografia e descriptografia SSL/TSL é reduzir a latência para clientes que estão geograficamente distantes do servidor de origem.

  • De fato fica prejudicado, mas, nesse caso, pode-se utilizar um proxy reverso para conter tal empecilho.

ID
934009
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de VPNs, software maliciosos e detecção de intrusão, julgue os próximos itens


A desvantagem de um IDS com análise por estado do protocolo é que a monitoração e a análise dos ataques é feita individualmente em cada pacote, desconsiderando a informação distribuída dentro de uma sessão.

Alternativas
Comentários

  • A desvantagem de um IDS com análise por estado do protocolo é que a monitoração e a análise dos ataques é feita individualmente em cada pacote, desconsiderando a informação distribuída dentro de uma sessão.

    [1] Descreveu o IDS com análise por protocolo

    [2] A análise por estado do protocolo monitora e analisa todos os eventos que acontecem dentro de uma conexão ou sessão.

ID
959983
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

No que concerne à segurança, julgue os itens subsequentes.

Falsos positivos referem-se a ataques ocorridos e que são considerados como normais por um IDS (intrusion detection system). Nesse caso, os IDSs embasados em estatísticas de anomalias conseguem gerar uma quantidade menor de falsos positivos que os fundamentados em regras, por causa do controle das ACLs (access control lists).

Alternativas
Comentários

  • Falso positivo é quando uma operação normal é considerado erroneamente como um ataque.

  • O termo "falso positivo" é utilizado para designar uma situação em que um firewall ou IDS aponta uma atividade como sendo um ataque, quando na verdade esta atividade não é um ataque. 

    Obs.: Outro caso comum de falso positivo ocorre quando o firewall não está devidamente configurado e indica como ataques respostas a solicitações feitas pelo próprio usuário.

  • ERRADO.  Essa questão possui dois grandes erros. Vou sublinhá-los e justificar conforme Nakmaura.


    1 erro)Falsos positivos referem-se a ataques ocorridos e que são considerados como normais por um IDS (intrusion detection system). 

    **Não se trata de um falso positivo, mas sim um FALSO NEGATIVO.

     Segundo Nakamura(2010,p.281),"Tráfego suspeito não detectado (falso negativo)."

    ______________________

    2 erro)Nesse caso, os IDSs embasados em estatísticas de anomalias conseguem gerar uma quantidade menor de falsos positivos que os fundamentados em regras, por causa do controle das ACLs (access control lists).

    ** É ao contrário.


    Segundo Nakamura(2010,p.286),"O Anomaly Detection System (...) pode gerar falsos negativos(quando o ataque não causa mudanças significativas na medição do tráfego) e um grande número de falsos positivos(bug no sistema de monitoramento,erro no modo de análise da medição ou falta de certeza da verificação de todo o tráfego normal). "


    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA-2010.


  • (CESPE – ABIN/2004 – Analista de Informações – Código 9 – 103)

    Em um sistema de detecção de intrusão (intrusion detection system — IDS), um falso positivo consiste em um evento em que o IDSdeixa de detectar uma intrusão que efetivamente ocorreu.

    errada

  • Saber que FALSO POSITIVO é algo NORMAL tratado como se fosse algo PERIGOSO já mata a questão.

  • se o HTTP Concurseiro acha, eu concordo

    se o HTTP Concurseiro fala, eu escuto

    se o HTTP Concurseiro erra, eu perdoo 

    se o HTTP Concurseiro pensa, eu admiro

    se o HTTP Concurseiro tem 100 fãs, eu sou um deles

    se o HTTP Concurseiro tem 10 fãs, eu sou um deles

    se o HTTP Concurseiro tem 1 fã, eu sou esse fã

    se o HTTP Concurseiro não tem fãs, eu não existo

  • GABARITO ERRADO!

    .

    .

    A QUESTÃO SE REFERE AO IDS POR ASSINATURAS PRÉ-CONFIGURADAS.

  • Falso positivo: quando há alerta mas o evento não existe (vulgo "alarme falso") presente (achou algo)

    Falso negativo: quando não há um alerta e o evento existe. Ausente (não achou nada)

  • É o contrario:

    Detecção por anomalias: identifica ações diversas das normais --> Causa muitos falsos-positivos.

  • a resposta da questão é apenas a diferenciação entre os dois tipos de IDS/IPS (por Assinatura/ por Anomalia).

    tendo os conceitos de falso positivo, era só analisar:

    • O por Assinatura contém uma base de dados, pré-definidos da composição de pacotes potencialmente maliciosos.
    • O por Anomalia pré-define um perfil de normalidade e em seguida filtra os pacotes por comportamentos discrepantes desse perfil de normalidade pré-definido.

    só usar a lógica e ver que quando um pacote não está dentro da normalidade, ele não necessariamente é um pacote potencialmente malicioso; e quando um pacote tem a ASSINATURA de um pacote potencialmente malicioso, muito dificilmente ele não o será.

    errado

ID
985213
Banca
CESPE / CEBRASPE
Órgão
CPRM
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a ataques a redes de computadores, julgue os itens a seguir.


O correto posicionamento e configuração de um IDS/IPS representa uma medida eficaz na mitigação de ataques que exploram o payload de dados.

Alternativas
Comentários

  • Segundo Nakamura(2010,p.266),"Todos os tipos de detecção realizados pelo IDS dependem de alguns fatores:

    -Tipo de IDS.

    -Metodologia de Detecção.

    -Posicionamento dos sensores.

    -Localização do IDS na rede"

    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA- 2010

  • GABARITO CORRETO!

    .

    .

    A forma de implementar um IDS centralizado é usando um NIDS. As vantagens do NIDS encontram-se em analisar todo o fluxo de informações de uma rede de computadores, monitorando pacotes, serviços, portas, e requisições, bem como prover maior segurança, já que normalmente roda em uma máquina (física ou virtual) específica e configurada para aquela aplicação.

    .

    .

    https://www.gta.ufrj.br/grad/16_2/2016IDS/tipos.html

  • Payload refere-se à carga de uma transmissão de dados .

    É a parte principal dos dados transmitidos, da qual se excluem as informações utilizadas para facilitar a entrega, como cabeçalhos e metadados (conhecidos como "dados complementares") que podem conter, por exemplo, a identificação da fonte e do destino dos dados.

ID
990976
Banca
CESPE / CEBRASPE
Órgão
MS
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere a sistemas de detecção de intrusão e proteção contra software malicioso, julgue os itens subsequentes.

Mediante a detecção de intrusão por assinatura, é possível detectar novas técnicas de ataques sempre que houver uma mudança no comportamento da rede de computadores.

Alternativas
Comentários

  • Detecção por Assinatura

    A Detecção por assinatura analisa as atividades do sistema procurando por eventos que correspondam a padrões pré-definidos de ataques e outras atividades maliciosas. Estes padrões são conhecidos como assinaturas e geralmente cada assinatura corresponde a um ataque. Uma desvantagem desta técnica de detecção é que ela pode detectar somente ataques conhecidos, ou seja, que estão incluídos no conjunto de assinaturas que o IDS possui, necessitando-se assim de constante atualização diante da rapidez que novos ataques surgem.


  • Agregando conhecimento...


    A questão está se referindo à detecção de intrusão por ANOMALIA:

    Detecção por Anomalias

    A detecção por anomalias parte do princípio que os ataques são ações diferentes das atividades normais de sistemas. IDS baseado em anomalias monta um perfil que representa o comportamento rotineiro de um usuário, Host e/ou conexão de rede. Estes IDS’s monitoram a rede e usam várias métricas para determinar quando os dados monitorados estão fora do normal, ou seja, desviando do perfil. Uma desvantagem é a geração de um grande número de alarmes falsos devido ao comportamento imprevisível de usuários e do próprio sistema.


    Detecção por Assinatura

    A Detecção por assinatura analisa as atividades do sistema procurando por eventos que correspondam a padrões pré-definidos de ataques e outras atividades maliciosas. Estes padrões são conhecidos como assinaturas e geralmente cada assinatura corresponde a um ataque. Uma desvantagem desta técnica de detecção é que ela pode detectar somente ataques conhecidos, ou seja, que estão incluídos no conjunto de assinaturas que o IDS possui, necessitando-se assim de constante atualização diante da rapidez que novos ataques surgem.


    http://www.seginfo.com.br/sistemas-de-deteccao-de-intrusoes-ids-intrusion-detection-systems-usando-unicamente-softwares-open-source/#formas-de-deteccao

  • Baseado em assinatura: onde existe uma lista com assinaturas de alguns vírus e esta assinatura precisa estar pré-configurada no host para que seja detectada um ataque.

    Desvantagem desta técnica: é que ela pode detectar somente ataques conhecidos, ou seja, que estão incluídos no conjunto de assinaturas que o IDS possui, necessitando-se assim de constante atualização diante da rapidez que novos ataques surgem.

  • GABARITO ERRADO!

    .

    .

    A QUESTÃO SE TRATA DO NIDS POR ANÁLISE HEURÍSTICA.

  • Gabarito: errado

    (CESPE-TJSE-2014)A identificação de padrões por assinatura está associada à detecção de intrusão, ao passo que a identificação por anomalias comportamentais está associada aos antivírus.(CERTO)

ID
990979
Banca
CESPE / CEBRASPE
Órgão
MS
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere a sistemas de detecção de intrusão e proteção contra software malicioso, julgue os itens subsequentes.

O uso de um programa do tipo keylogger permite a captura e o armazenamento de teclas digitadas pelo usuário no teclado do computador, bem como a captura de senhas bancárias ou números de cartões de crédito e a recuperação de informações, em caso de perda de energia elétrica.

Alternativas
Comentários

  • recuperação de informações? alguém sabe explicar isso por favor ?

  • Em caso de perda de energia elétrica?

  • Essa o CESPE tirou do wikipédia, kkkkkkkkk

    Saca só:

    "Os programas do tipo key logger também podem ser usados de maneira não fraudulenta, por exemplo quando um usuário instala o key logger em seu próprio computador particular e tem o hábito de digitar textos compridos, como livros, teses e dissertações. Caso haja perda de energia elétrica, ao se reiniciar o computador, o usuário tem a oportunidade de recuperar todas as teclas digitadas até quase o exato momento em que o seu computador foi desligado repentinamente. Alguns programas key loggers editam e salvam o LOG de dados a cada tecla digitada, o que aos olhos mais aguçados, pode ser percebida uma lentidão de até um décimo de segundo no intervalo entre duas teclas. Alguns outros programas key loggers ativam o acesso e o salvamento do arquivo LOG a cada pacote de dez ou vinte teclas digitadas. Há programas key loggers que podem ter o pacote de teclas configurado. Portanto vários destes programas são boas alternativas se comparados ao salvamento automático de editores de textos. Estes salvamentos automáticos normalmente são configurados para cada cinco minutos, quando o usuário já digitou algumas centenas de teclas, ou no mínimo um minuto, quando o usuário já digitou dezenas de teclas."


    fonte: http://pt.wikipedia.org/wiki/Keylogger

  • Danadinho o CESPE, copiando Wikipedia e nem verificando o que acabou de dar Ctrl+C e Ctrl+V.

    Existe o certo, o errado, e a resposta do CESPE. Lamentemos.

  • Hummm preciso dar uma verificada nessa CESPE com essas questões malvadinhas e má formuladas.... vou falar com o gilmar...

  • Tá de brincadeira uma questão dessa!

  •  ...em caso de perda de energia elétrica.

    misericodia kkk

  • Creio que a questão quis se referir ao registro das teclas, que é feito no momento em que a tecla é utilizada. Logo, se tiver uma queda de energia, o registro continua la, podendo ser verificado ao voltar a energia. Tipo um backup.

  • ' tô começando achar que mais maliciosos que esses malwares é a cespe com essas questões mirabolantes...

    #DEUSÉMAIS...

  • Palhaçada.

  • Eu que perdi minha energia tentando entender o final desta questão.

  • esse Keylogger faz backup agr? sabia não. Nem nem no livro do Tanebal ele cita isso

  • Bah! Essa questão é pra quem já usou Keylogger..

    O Keylogger grava todas informações que o usuário digita no computador.

    Então, se o usuário está usando o "notepad" para escrever um texto e nesse momento o Keylogger está ativo, ele está gravando todas informações. Quando religar o computador, o Keylogger que estava gravando as informações vai ter tudo ali, salvo!

    Lembrando que o Keylogger nem sempre é usado para fins maldosos.

  • É um tipo de questão que revolta quem está estudando sério.

  • QUESTÃO CERTO

  • Key = Tecla

    Keylogger = Captura da TECLA

  • A JUSTIFICATIVA DO WIKIPÉDIA É PLAUSÍVEL. ALÉM DO MAIS ESSA FONTE TEM REFÊRENCIA BIBLIOGRÁFICA.

  • Danadinho o CESPE, copiando Wikipedia e nem verificando o que acabou de dar Ctrl+C e Ctrl+V.

    Existe o certo, o errado, e a resposta do CESPE. Lamentemos.

    -Nishimura

  • os keyloggers nem sempre têm fins maldosos, o nome de quem tem sempre fins maldosos é banca de concurso!

ID
1015954
Banca
Marinha
Órgão
CAP
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Um sistema cuja função é detectar atividades maliciosas ou anômalas é chamado de:

Alternativas
Comentários

  • Gabarito B

    Um IDS e IPS, acrônimos para Intrusion Detection System ou Sistema de Detecção de Intrusão e Intrusion Prevention System ou Sistema de Prevenção de Intrusão respectivamente, são sistemas que tem por função detectar e prevenir os acessos não autorizados às redes ou hosts de uma ou mais redes, sendo portanto grandes aliados dos(as) administradores(as) de redes na manutenção da segurança dos ambientes por eles(as) controlados.

    Estes sistemas podem ser implementados com a utilização de hardwares dedicados à estas funções, ou através da instalação de softwares com esta função em hardwares já existentes na rede, como uma switch, um roteador, ou mesmo em um ou vários servidores ou desktops. Dependendo de suas localizações na rede, eles possuem designações diferentes, assim como métodos ou arquiteturas de verificação e proteção diferentes, sendo considerados de tipos diferentes.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
1022269
Banca
IBFC
Órgão
PC-RJ
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Quanto a Segurança da Informação precisamos agir continuamente para combater aos constantes ataques de hackers e crackers que podem causar vários danos aos computadores. Dentre os meios técnicos que auxiliam na proteção de uma rede de computadores à ação de hackers e crackers, inclui-se o:

Alternativas
Comentários
  •   A maioria dos IDS comerciais é baseada em rede. Os IDS baseados em rede analisam pacotes de dados que trafegam pela rede. Esses pacotes são examinados e algumas vezes comparados com dados empíricos para verificar a sua natureza: maliciosa ou benigna. Pelo fato de serem responsáveis pelo monitoramento da rede, ao invés de uma simples estação, os IDS de rede tem a tendência de serem mais distribuídos do que os IDS baseados em estação. Softwares, ou em alguns casos aparelhos de hardware, residem em um ou mais sistemas conectados numa rede, e são usados para analisar dados, como pacotes de rede. Ao invés de analisar informação que reside e é originada em um computador, IDS de rede usa técnicas como “packet-sniffing”, para pegar dados do TCP/IP ou pacotes de outros protocolos passando sozinhos pela rede. Essa vigilância das conexões entre computadores faz com que IDS de rede sejam ótimos em detectar tentativas de acesso por fora da rede confiável. Os IDS baseados em rede normalmente consistem em um conjunto de sensores implantado em diversas partes da rede, monitorando o trafego, realizando analises e relatando ataques a uma central. Em geral, IDS de rede são melhores em detectar as seguintes atividades:
                - Acesso desautorizado de fora: quando um usuário desautorizado loga com sucesso, ou tenta logar, são melhores monitorados por IDS de estação. Entretanto, detectar usuários desautorizados antes da tentativa de log is melhor realizado por IDS de rede;
                - Denial of Service ( Negação de Serviço ): os pacotes que iniciam esses ataques podem melhor ser percebidos com o uso de IDS de rede;
    ·
    Vantagens do IDS baseado em rede:
                - Com um bom posicionamento, pode haver apenas poucos IDS instalados para monitorar uma rede grande;
                - Um pequeno impacto é provocado na rede com a instalação desses IDS, pois são passivos, e não interferem no funcionamento da rede;
                - Difíceis de serem percebidos por atacantes e com grande segurança contra ataques; ·

    Desvantagens do IDS baseado em rede:
                - Podem falhar em reconhecer um ataque em um momento de trafego intenso;
                - Em redes mais modernas baseadas em switches, algumas das vantagens desse tipo de IDS não se aplicam;
                - Não conseguem analisar informações criptografadas, sendo um grande problema, visto que muitos atacantes utilizam criptografia em suas invasões;
                - Grande parte não pode informar se o ataque foi ou não bem sucedido, podendo apenas alertar quando o ataque foi iniciado.

  • Gabarito C

    Um IDS e IPS, acrônimos para Intrusion Detection System ou Sistema de Detecção de Intrusão e Intrusion Prevention System ou Sistema de Prevenção de Intrusão respectivamente, são sistemas que tem por função detectar e prevenir os acessos não autorizados às redes ou hosts de uma ou mais redes, sendo portanto grandes aliados dos(as) administradores(as) de redes na manutenção da segurança dos ambientes por eles(as) controlados.

    Estes sistemas podem ser implementados com a utilização de hardwares dedicados à estas funções, ou através da instalação de softwares com esta função em hardwares já existentes na rede, como uma switch, um roteador, ou mesmo em um ou vários servidores ou desktops. Dependendo de suas localizações na rede, eles possuem designações diferentes, assim como métodos ou arquiteturas de verificação e proteção diferentes, sendo considerados de tipos diferentes.

    Por exemplo, um conjunto IDS/IPS instalado em um computador ou servidor é considerado do tipo HIDS/HIPS, ou seja, Host Intrusion Detection System/Host Intrusion Prevention System, que significam Sistema de Detecção de Intrusão baseado em Host/Sistema de Prevenção de Intrusão baseado em Host, assim chamados por atuarem na detecção e prevenção de intrusões com base no comportamento e no histórico do tráfego de dados do computador no qual está instalado. Neste tipo de instalação, podemos encontrar uma sub-categoria conhecida por Honeypot, que é aquela em que o computador no qual este sistema está instalado tem a finalidade de permitir o acesso do(o) invasor(a) a um ambiente controlado, para que assim o(a) administrador(a) da rede possa estudar a forma como o atacante agiu, além de observar seu comportamento e intenções após a suposta obtenção deste acesso à rede.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • ...Olha o Ibsen fazendo escola....kkkk...(Comentário do Leandro Rangel)

  • Gabarito: C

    IDS: trata-se de um dispositivo passivo que monitora a rede, detecta e alerta quando observa tráfegos potencialmente mal-intencionados, mas não os bloqueia.

    IPS: trata-se de um dispositivo reativo ou proativo que monitora a rede, detecta e bloqueia quando observa tráfegos potencialmente mal intencionados.

    O IPS executa tudo o que o IDS executa, mas vai além - ele não só envia um alerta, ele age para impedir o ataque.

ID
1045327
Banca
CESPE / CEBRASPE
Órgão
UNIPAMPA
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere à segurança de sistemas, julgue os itens que se seguem.

Ao atuar em uma rede como NIDS (Network IDS), uma ferramenta de IDS (Intrusion Detect System) utiliza recurso de sniffer, colocando a interface de rede em modo promíscuo para que seja possível capturar todos os pacotes que chegam a essa interface.

Alternativas
Comentários

  • CERTO.

    Segundo Nakamura(2010,p. 273),"Uma característica importante do NIDS é sua capacidade de detectar ataques na rede em 'tempo real'. Como o sensor atua em modo promíscuo no mesmo segmento de rede atacado,por exemplo, ele pode capturar pacotes referentes ao ataque, analisar e responder ao ataque praticamente ao mesmo tempo em que o servidor é atacado."

    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA- 2010

  • GABARITO CORRETO!

    .

    .

    As placas ethernet sempre recebem toda a atividade de rede do seu segmento (tráfego não isolado por bridges ou switches). O chip que trata o protocolo ethernet CSMA/CD (Carrier Sense, Multiple Access with Colision Detection) na placa de rede verifica se o endereço destino é igual ao configurado para a placa. Se for, o pacote é repassado para o driver de rede. Senão, o pacote é simplesmente descartado.

    No modo promíscuo, desliga-se esta seleção de pacotes, e portanto TODOS eles são repassados para o driver de rede. Logo, um programa que acesse as funções do driver de rede (ou da placa de rede) diretamente pode coletar todo o tráfego do segmento, desde que a placa de rede suporte modo promíscuo e o driver de rede do sistema operacional utilizado ofereça funções de API para colocar a placa em modo promíscuo. 

  • NIDS--> Network( monitora trafego de rede )

    HIDS--> Host ( atua em um único host)

  • Promíscuo = em que se confundem elementos heterogêneos; misturado, baralhado, confuso.

  • Nakamura classifica dois tipos primários de IDS, que são:

    • Sistemas de Detecção de Intrusão Baseado em Rede (NIDS)
    • Sistemas de Detecção de Intrusão Baseado em Host (HIDS)

    Assim, o IDS (híbrido) abrange características dos dois.

    (CESPE) Um sistema de detecção de intrusão (intrusion detection system – IDS) consegue detectar comportamentos maliciosos tanto em computadores individuais quanto em redes de computadores. (CERTO)

    Ainda segundo o referido autor, NIDS monitora o tráfego do segmento de rede no qual está inserido, com sua interface de rede atuando em modo promíscuo.

    (CESPE) Ao atuar em uma rede como NIDS (Network IDS), uma ferramenta de IDS (Intrusion Detect System) utiliza recurso de sniffer, colocando a interface de rede em modo promíscuo para que seja possível capturar todos os pacotes que chegam a essa interface. (CERTO)

    Uma das desvantagens do NIDS é a análise do tráfego criptografado, o que não ocorre com o HIDS. 

    (CESPE) Uma ferramenta de trabalho como o HIDS (host intrusion detection system) tem capacidade de capturar todo o tráfego de uma rede, o que permite a análise de possíveis ataques a essa rede. (ERRADO, seria o NIDS)

    O HIDS apresenta problema de escalabilidade, faz análise de um Host. 

    Acrescentado um pouco mais 

    IDS detecta

    IPS detecta e bloqueia

    (CESPE) O dispositivo de IPS (do inglês intrusion prevention system) utilizado em redes corporativas tem como objetivo bloquear ataques a partir da identificação de assinaturas e(ou) anomalias. (CERTO)

    Também é dividido, no caso em HIPS e NIPS. 

ID
1109971
Banca
VUNESP
Órgão
EMPLASA
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Existem diversos recursos que podem ser utilizados para aumentar a segurança em sistemas de informação. Para detectar as invasões nesses sistemas, pode-se utilizar um IDS (Sistema de Detecção de Intrusão) ou o recurso denominado.

Alternativas
Comentários

  • Honeypot

    -Funcionam como armadilhas para os crackers.

    -Não contém dados ou informações importantes para a organização.

    -Seu único propósito é passar-se por um equipamento legítimo da organização.

    -É configurado para interagir como o atacante.

    -Detalhes de ataques podem ser capturados e estudados.


  • A - trap: Significa nada na informática. Pode ate ser uma operação do SNMP, mas aqui não está especificado

    B - bridge: Dispositivo que conecta fisicamente duas redes, e passa quatros ethernet de um lado a outro sem ligar para quem é o destinatário

    C - switch: Dispositivo de comutação de quadros ethernet que é "mais espertinho" e sabe pra quem entregar

    D - gateway: Endereço de uma rede que é o destino para as redes desconhecidas para aquele host. Entrega pro gateway que ele "se vira" em mandar para frente utilizando protocolos de roteamento ou rotas estáticas por ele conhecidas.

    e - honeypot: Opção certa. Se passa por software legítimo com falhas de segurança fictícias para ludibriar atacantes.

  • Gabarito E

    HoneyPot (tradução livre para o português, Pote de Mel) é uma ferramenta que tem a função de propositalmente simular falhas de segurança de um sistema e colher informações sobre o invasor. É um espécie de armadilha para invasores. O HoneyPot não oferece nenhum tipo de proteção.

     

    Honeypots de pesquisa: acumular o máximo de informações dos Invasores e suas ferramentas – Grau alto de comprometimento – Redes externas ou sem ligação com rede principal.

    Honeypots de produção: diminuir risco – Elemento de distração ou dispersão.

     

    Baixa Interatividade : Serviços Falsos – Listener TCP/UDP – Respostas Falsas

    Média Interatividade:Ambiente falso – Cria uma ilusão de domínio da máquina

    Alta Interatividade: SO com serviços comprometidos – Não perceptível ao atacante

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Questão: E

    Honeypot é um servidor que possui a finalidade de simular falhas para colher informações do invasor e técnicas utilizada por ele.

ID
1139404
Banca
Prefeitura do Rio de Janeiro - RJ
Órgão
TCM-RJ
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

O sistema de detecção de intrusão (IDS) é um componente essencial em um ambiente cooperativo, por sua capacidade de detectar diversos ataques e intrusões. O IDS, que pode ser de vários tipos, deve ter sua localização definida com cuidado. O tipo HIDS (sistema de detecção de intrusão baseado em host) apresenta, como um de seus pontos fortes, a:

Alternativas
Comentários

  • Gabarito: E.

     

    Por ser baseado em host, uma das características do HIDS (Host IDS) é a independência da topologia de rede e a dependência do SO.

    Já o NIDS (Network IDS), por ser baseado em rede, possui dependência da topologia de rede e independência do SO.

ID
1159594
Banca
CESPE / CEBRASPE
Órgão
TJ-CE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

No que diz respeito aos sistemas de detecção de intrusão (IDS), assinale a opção correta.

Alternativas
Comentários

  • ALTERNATIVA C)

     

    Para detecção de intrusão o IDS (Intrusion Detection Systems – Sistemas de Detecção de Intrusos) é a ferramenta utilizada. IDS são sistemas de detecção de intrusos, que têm por finalidade detectar atividades incorretas, maliciosas ou anômalas, em tempo real, permitindo que algumas ações sejam tomadas. O IDS procura por ataques já catalogados e registrados, podendo, em alguns casos, fazer análise comportamental do sistema.
    Geram logs para casos de tentativas de ataques e para casos em que um ataque teve sucesso.
    • Assim como os firewalls, os IDSs também podem gerar falsos positivos (Uma situação em que o firewall ou IDS aponta uma atividade como sendo um ataque, quando na verdade não é).

     

    Fonte: Professora Patrícia Quintão

  • Alternativa C!

    O IDS tem um subconjunto chamado de HIDS (Host Intrusion Detection System) esse tipo de IDS é baseado no host onde está hospedado, sendo possível realizar a instalação em servidores.
    Nesse classe de IDS tem o propósito de examinar ações específicas com base nos hospedeiros, como por exemplo os arquivos que são acessados, aplicativos utilizados, ou informações de logs.

    Fonte: https://www.gta.ufrj.br/grad/16_2/2016IDS/tipos.html

     

  • GABARITO C!

    .

    .

    ACRESCENTANDO:

    IDS PODE UTILIZAR DUAS FORMAS DE MONITORAMENTO.

    POR ANOMALIAS: UTILIZANDO ESTATÍSTICA, HEURÍSTICA ETC. NESSE MODO, O IDS É MAIS SUSCETÍVEL A FALSOS POSITIVOS.

    POR ASSINATURA: UTILIZA UMA LISTA DE ASSINATURAS PRÉ-CONFIGURADAS.

  • Segundo Nakamura (2007, p. 271): "O HIDS pode verificar o sucesso ou a falha de um ataque, com base nos registros (logs) do sistema". 

ID
1214065
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de controle de acesso e certificação digital, julgue os itens a seguir.

Um dispositivo do tipo IDS (intrusion detection system) atua com proatividade, prevendo ataques e antecipando-se a explorações de vulnerabilidades, a partir de assinaturas frequentemente atualizadas.

Alternativas
Comentários

  • quem atua de forma proativa é o IPS!!  o IDS, conjunto de hardware e software, apenas monitora o meio para verificar a presença de pacotes não compatíveis com a política de segurança adotada, procurando por intrusos ou até mesmo sniffing!! já o IPS detecta e previne atuando em conjunto com o firewall para bloquear pacotes ilegitimos. Visto como uma extensão do firewall, o IPS possibilita decisões de acesso baseadas no conteúdo da aplicação - e não apenas no endereço IP ou em portas, como os firewalls  tradicionais trabalham. Entretanto, nada impede que, para otimizar a performance, muitos IPS utilizem regras baseadas em portas e endereço IP.

  • IPS - Prevention = Proativo

  • Que bom que, ultimamente, a maioria das bancas está considerando o IDS como passivo e o IPS como proativo. Já vi algumas questões polêmicas relacionadas a esse assunto, justamente por não haver consenso nessas definições.

     

    Vamos na fé.

  • Errado

    O IDS é passivo, ele somente detecta o intruso e avisa o usuário da maquina, este sim irá bloquear ou não o intruso.

  • Errei por conta do proatividade, não se esqueça, IDS é PASSIVO

  • Um IDS passivo é projetado para detectar ameaças e informar ao administrador da rede sobre a atividade maliciosa detectada. O sistema de prevenção de intrusão (em inglês, Intrusion Prevention System - IPS), por outro lado, representa o comportamento de um IDS ativo (PROATIVO), ou seja, é projetado com o objetivo de bloquear automaticamente a atividade maliciosa, seja por configuração de firewalls e comutadores ou outras técnicas, como encerramento de conexão via envio de pacotes reset

    GAB E

  • IDS é passivo e IPS é proativo!

  • IPS -> Prevention -> Proativo

     IDS é PASSIVO

  • Gabarito: errado

    Diferenças entre IDS e IPS:

    (CESPE 2018) O dispositivo de IPS (do inglês intrusion prevention system) utilizado em redes corporativas tem como objetivo bloquear ataques a partir da identificação de assinaturas e(ou) anomalias. (CERTO)

    (CESPE/2016/FUB)Ferramentas IDS podem trabalhar simplesmente emitindo alertas de tentativa de invasão ou aplicando ações com a finalidade de contra-atacar a tentativa de invasão.(CERTO)

    (CESPE 2018) Um sistema de detecção de intrusão (intrusion detection system – IDS) consegue detectar comportamentos maliciosos tanto em computadores individuais quanto em redes de computadores. (CERTO)

  • IDS ⇢ DETECTA

    NÃO é PROATIVO

    É um Pinscher

    IPS ⇢ PREVINE (DETECTA E ATACA)

    É PROATIVO

    ▶ É um PITBULL

ID
1217584
Banca
VUNESP
Órgão
DESENVOLVESP
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Novos vírus de computador surgem com frequência, podendo não ser detectados pelos programas antivírus convencionais. Alguns programas antivírus incorporam um método de descoberta de vírus que monitora constantemente as atividades do computador e entra em ação quando algum programa tenta modificar configurações do sistema ou arquivos importantes. Esse tipo de método de identificação de vírus é denominado

Alternativas
Comentários

  • Heurística, é o nome dado a técnica capaz de detectar comportamentos característicos de uma ação maliciosa/viral. Este recurso/técnica pode ter um grande ou pequeno importância dentro da aplicação; também conhecida como “heuristic engine”, ela é a grande culpada por deixar um computador novinho em folha, igual a uma carroça.


    fonte: http://fabiojanio.com/?p=305

  • Essa questão dá uma definição bem ruinzinha de heurística.

  • Detecção Heurística

    Há duas formas de heurística: estática e dinâmica.

    Na heurística estática, o arquivo é analisado a procura não de assinaturas conhecidas, mas de padrões de código suspeitos e utilizados em vírus. Uma sequência de NOPs (instrução de no operation) ou loops que não fazem nada útil, por exemplo, são bastante comuns em vírus polimórficos.

    Na heurística dinâmica, o código é executado por algum tempo em um emulador. Depois desse tempo, o código é analisado novamente. Essa técnica serve para detectar vírus polimórficos utilizando novos métodos de empacotamento.

     

    https://seginfo.com.br/2010/09/19/os-antivirus-funcionam-2/

  • Gabarito A

    É a análise do comportamento e das características de determinados arquivos para detectar prováveis infecções sem que tenha uma informação anterior sobre o vírus.

     

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Assertiva A

    Esse tipo de método de identificação de vírus é denominado análise heurística.

    Nem sei o que é análise heurística.

    Grava assim:

    vírus heurísticos são aqueles que ainda não consta na base de dados do antivírus, mas que são detectados em decorrência de seu comportamento

ID
1226866
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de detecção de intrusão e de proteção contra softwares maliciosos, julgue os itens que se seguem.

A identificação de padrões por assinatura está associada à detecção de intrusão, ao passo que a identificação por anomalias comportamentais está associada aos antivírus.

Alternativas
Comentários

  • Estranho, normalmente quem usa assinatura são os antivirus e anomalias de comportamentos (rede) são detectadas pelos IPS e IDS.

  • Alguém explicar melhor essa questão? Alguém sabe de onde o examinador tirou essa questão?

  • Também achei que estava certa



    Ano: 2015
    Banca: CESPE
    Órgão: DEPEN
    Prova: Agente Penitenciário Federal - Área 7




    Com relação a segurança da informação, chaves assimétricas, sistemas de detecção de intrusão e software malicioso, julgue o item subsecutivo.


    Um sistema de detecção de intrusão de rede que se baseia em assinatura necessita que sejam carregados os padrões de assinatura de ataques, como, por exemplo, o padrão de comunicação de um determinado vírus de computador.



    certa

  • Essa questão não pode estar certa, absurdo. Os antivirus trabalham com assinaturas conhecidas, e não com anomalias, quando eles varrem o sistema em busca de virus eles estão procurando arquivos que possuam uma determinada assinatura conhecida de virus já identificados.

  • ERRADO ERRADO ERRADO ERRADO.

    Eu também discordo desta questão. AMBOS ELEMENTOS, PARA TOMAR DECISÕES, PODEM USAR TANTO ANÁLISES DE ANOMALIA QUANTO ASSINATURAS. MAS EM GERAL ANTIVÍRUS ADOTAM O USO DE ASSINATURAS. DA FORMA QUE VEIO ESCRITO NA QUESTÃO, NÃO HÁ OPORTUNIDADES PARA OUTRAS OPÇÕES PARA ENCONTRAR AÇÕES MALICIOSAS POR CADA FERRAMENTA DE SEGURANÇA, O QUE ESTÁ INCORRETO.

  • Conceitos invertidos. Gabarito errado. Faltou recurso.

  • Tem muita questão polêmica nesse assunto, complicado.

  • Achei que a questão inverteu os conceitos, embora os 2 sistemas são capazes de fazer análises comportamentais e por assinatura.

  • Conceitos invertidos

  • Questão tosca!!!

    Tanto o antivírus como dispositivos de detecção de intrusão trabalham com padrões de assinatura e busca por anomalias comportamentais. Affffffff

  • PQP !!!1

    Discordo do gabarito. A questão esta ERRADA pois os dois sistemas são capazes de fazer análises comportamentais e por assinatura.

  • Para compreender a assertiva, vamos destrinchar.

     

    A identificação de padrões por assinatura está associada à detecção de intrusão (o antivírus tem a assinatura do vírus, caso seja detectada a intrusão, o software irá realizar a varredura do vírus com as assinaturas que possuem). Certo.

     


    A identificação por anomalias comportamentais está associada aos antivírus (o antivírus possui a análise por comportamento do código, se tal comportamento for de forma anômala, o antivírus irá agir). Certo.

     

     

    Fonte: Comentários do Simulado V7 do Missão Papa Fox.

  • ERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADA

  • Não concordo de jeito nenhum com essa questão.

    Sem se aprofundar muito em conceitos, existem três tipos básicos de métodos de detecção de intrusão:

    - baseados em assinaturas ou regras;

    - baseado em anomalias;

    - baseado em adaptativos.

     

    O antivírus também pode utilizar outro métodos, em que pese a regra ser adotar o uso de assinaturas. Como o colega HTTP concurseiro faleu, da forma que a questão foi escrita não permite outras opções, logo deveria ter dado o gabarito como incorreta. 

     

    Fiz meu TCC da graduação sobre Detecção de Intrusão e agora a Cespe quer descontruir o que aprendi. 

    Cespe sendo Cespe.

     

  • Isso não é assinatura digital. É assinatura de vírus!

  • Não seria a detecção heurística? baseada no comportamento anômalo

  • Antivírus basicamente se dividem:

    1º Geração ( detecta a assinatura do vírus )

    2º Geração ( detecta o comportamento do vírus)e ambos estão embolados no conceito de antivírus.

    Questão sem sentido pra confundir e desmotivar. errada!

  • único explicação possível:

    www.youtube.com/watch?v=Qox27v4Qs9A&ab_channel

  • Não entendo como essa questão pode estar certa

    Outra questão da mesma banca

    Os sistemas de detecção de intrusão servem para fornecer avisos de invasão para que a área de segurança possa mitigar os danos ou, ainda, impedir o ataque. A esse respeito, julgue os itens a seguir.

    Honeypots são sistemas planejados para atrair um atacante para uma área diferente, longe dos sistemas críticos.

    II A detecção de intrusão permite a coleta de informações sobre as técnicas de intrusão e, portanto, pode contribuir para a melhoria da estrutura de prevenção de intrusão.

    III A detecção de intrusão é baseada na premissa de que o comportamento do intruso é diferente do comportamento de um usuário legítimo, podendo assim, ser quantificada.

    Gabarito - Letra E (Todos os itens estão certos)

    Questão de 2020

  • Típica questão: Se errou, acertou.

  • OLHA A PEDRAAAAAAAAAAAAAAAAAAAA. -CLEITON RASTAFARI

  • O gabarito dessa questão está EQUIVOCADO.

    GERAÇÕES DO ANTIVÍRUS

    ↳ 1 Geração: Assinatura (um pequeno TRECHO DO CÓDIGO do vírus)

    ↳ 2 Geração: Heurística (COMPORTAMENTO DO VÍRUS)

    • Detecta novos vírus sem a assinatura ser conhecida;
    • Analisa o arquivo sem precisar o antivírus está executando.

    ↳ 3 Geração: Interceptação de Atividade (AÇÕES DO VÍRUS)

    • Só funciona com o antivírus em execução.

    ↳ 4 Geração: Proteção Completa

    • Várias técnicas utilizadas em conjunto;
    • Usado hoje em dia.

  • Questão muuuito errada, quem acertou pode ir estudar mais.

  • Fonte: blogspot do marquinho

  • Fonte: Lan House do Tião.

  • Questão erradíssima. Concordo com o HTTP Concurseiro e posso fundamentar. Segundo Stallings (Segurança de Computadores - Princípios e Práticas, p. 200):

    "Como ocorre com um IDS, um IPS pode ser baseado em estação ou baseado em rede. Um IPS baseado em estação (hostbased IPS — HIPS) faz uso de técnicas de detecção de assinatura, bem como de detecção de anomalia para identificar ataques. No primeiro caso, o foco está no conteúdo específico de cargas úteis em pacotes de aplicação, em busca de padrões que já foram identificados como maliciosos. No caso de detecção de anomalia, o IPS está em busca de padrões de comportamento que indiquem malware".

    Recurso serve é pra isso!

  • Tirou do ** essa aí

  • O cespe pirou na batatinha.

  • Faltou foi recurso.

  • Fonte: Times New Roman

  • essa eles tiraram direto do famoso ÚC

  • Típica questão que faltou recurso. ERRADÍSSIMA

ID
1226872
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de detecção de intrusão e de proteção contra softwares maliciosos, julgue os itens que se seguem.

A detecção por assinaturas, tanto em IDS quanto em antivírus, é extremamente eficaz.

Alternativas
Comentários
  • Detecção por Assinatura

    A Detecção por assinatura analisa as atividades do sistema procurando por eventos que correspondam a padrões pré-definidos de ataques e outras atividades maliciosas. Estes padrões são conhecidos como assinaturas e geralmente cada assinatura corresponde a um ataque. Uma desvantagem desta técnica de detecção é que ela pode detectar somente ataques conhecidos, ou seja, que estão incluídos no conjunto de assinaturas que o IDS possui, necessitando-se assim de constante atualização diante da rapidez que novos ataques surgem.

  • O que é "extremamente eficaz" ??? sei de suas desvantagens, mas há considero sim, bem eficaz.

  • Não é eficaz para novos ataques que ainda não possuem uma assinatura catalogada. Uma detecção por comportamento é mais adequada para esses casos.

  • "eficaz pra caralho"

  • Não é eficaz pois só irá detectar assinaturas de ataques previamente conhecidos.

  • Não é eficaz pois só irá detectar assinaturas de ataques previamente conhecidos.

  • GAB E

    Nada na informática é extremamente eficaz ou perfeito.

  • VALE LEMBRAR

    IDS : trabalha na DETECÇÃO de intrusão ! é um sistema PASSIVO : é como aquele sensor que fica grudado nas roupas de shopping, quando você sai sem pagar DISPARA O ALARME, mas precisa do segurança para pegar vc furtando né ?

    IPS : é o sistema de PREVENÇÃO do ataque! é um sistema PROATIVO/REATIVO.. Ex : é como a porta giratória do banco, se um suspeito tentar passar por ela armado, já era TRAVA TUDO.

  • Vamos lá:

    Um IDS baseado em assinaturas utiliza um banco de dados com os ataques já conhecidos e compara-os com as ações, utilizando algoritmos estatísticos para reconhecer algum desses ataques.

    Na maioria dos casos, o padrão é comparado apenas se o pacote suspeito estiver associado a um determinado serviço ou, mais precisamente, destinado a uma determinada porta, pois ajuda a diminuir a quantidade de inspeção feita em cada pacote. No entanto, torna mais difícil para o sistema lidar com protocolos que não residem em portas bem definidas, como cavalos de Tróia (Trojan) e seu tráfego associado, que podem ter suas características alteradas com facilidade, como por exemplo a porta de saída usada. Na fase inicial de incorporação de IDS ou IPS baseados em assinatura, antes que as assinaturas estejam sintonizadas, pode haver muitos falsos positivos (gerando alertas que não representam ameaças para a rede).

    Logo, não é extremamente eficaz como coloca a questão. Já daria para marcar ERRADO só com a parte de IDS, mas vamos aprofundar com o antivírus também:

    A técnica de detecção de malwares Verificação de Assinaturas determina as características que levam um arquivo a ser ou não considerado um malware. São verificadas características como: tamanho do arquivo, seqüência de instruções binárias, entre outras. Quando um arquivo é reconhecido como malware, recebe uma identidade própria, com sua respectiva assinatura. São estas assinaturas que determinam cada malware que faz parte da lista de definição do antivírus.

    Este tipo de detecção pode não ser muito eficiente, pois não possibilita que um novo malware, que ainda não foi incluído na base de dados do antivírus seja detectado. Ou seja, novos malwares não serão detectados antes do software antivírus ter sua lista de definição novamente atualizada.

    GAB E

    Bons Estudos!!

  • Errado. Por isso os falsos-positivos e falsos-negativos!

  • BOTA UMA ESTATÍSTICAZINHA AÍ QUE FICA SHOW.

ID
1252375
Banca
CESPE / CEBRASPE
Órgão
TRT - 17ª Região (ES)
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A propósito de segurança de redes e certificação digital, julgue o item subsecutivo.

Ferramentas utilizadas para detecção de intrusão em redes adotam o recurso de captura de pacotes para análise e detecção de assinaturas de ataques conhecidos.

Alternativas
Comentários

  • Questão Correta, no caso dos NIDS(Network Intrusion Detection System), o IDS utiliza como requisito a placa de rede no modo promíscuo e espelhamento de porta para  realizar a captura de tráfego e detecção de de assinaturas conhecidas.

  • GABARITO: CERTO.

  • Essa está mais para antivírus e heurística do que para assinaturas, porém segue correta, ferramentas de detecção podem identificar vírus ou ameaças por suas " assinaturas" já conhecidas, criando um banco de dados e de comportamento para reconhecê-los e neutraliza-los.

    GABARITO: CORRETO

  • Gabarito: certo

    (CESPE-DEPEN-2015)Um sistema de detecção de intrusão de rede que se baseia em assinatura necessita que sejam carregados os padrões de assinatura de ataques, como, por exemplo, o padrão de comunicação de um determinado vírus de computador.(CERTO)

    Lembrando as funções do sistema de detecção de intrusão :

    (CESPE 2018) Um sistema de detecção de intrusão (intrusion detection system – IDS) consegue detectar comportamentos maliciosos tanto em computadores individuais quanto em redes de computadores. (CERTO)

    (CESPE/2016/FUB)Ferramentas IDS podem trabalhar simplesmente emitindo alertas de tentativa de invasão ou aplicando ações com a finalidade de contra-atacar a tentativa de invasão.(CERTO)

ID
1260307
Banca
VUNESP
Órgão
FUNDUNESP
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Alguns sistemas de segurança monitoram arquivos de log em busca de tentativas malsucedidas de autenticação para realizar bloqueios de acesso. Apesar da utilidade desses sistemas, eles podem colaborar com ataques de negação de serviço, pois

Alternativas
Comentários

  • Pra mim, faz mais sentido ser a letra D. Pesquisando na internet, vi um pdf do Cert que fala da geração de logs (http://www.cert.br/docs/seg-adm-redes/seg-adm-redes.html#subsec4.): "Um segundo risco é a possibilidade de um atacante usar o logging para executar um ataque de negação de serviço contra um determinado sistema, gerando eventos em excesso até que o disco onde são armazenados os logs fique cheio e o sistema trave em conseqüência disto. Conforme discutido na seção 3.2, o uso de uma partição separada para armazenar os logs pode minimizar o impacto deste problema. "

    Alguém comenta?

  • Seguindo o raciocínio da questão ... Apesar da utilidade desses sistemas, eles podem colaborar com ataques de negação de serviço, pois .... o bloqueio realizado por esses sistemas impede todos os acessos .... (Gabarito Letra A)

    Gabarito Letra C na minha opinião, seria uma solução, mas não a resposta da questão.

  • Susana e Spock, acho que vcs não se atentaram às palavras-chave no enunciado: "eles podem colaborar com ataques de negação de serviço"

    Todas as alternativas mostram situações em que poderá haver bloqueio de acesso legítimo, mas somente a C mostra que esse recurso de varredura em log FACILITA (COLABORA) para que um ataque de DoS seja executado. Quero dizer, bloquear acessos é uma tarefa "normal" desse sistema, mas a sua atividade cria uma brecha para que um invasor possa realizar o ataque. Assim, "como o sistema verifica os logs para bloquear, vamos colocar um monte de porcaria no log para ele bloquear todo mundo!".

  • Sem dúvidas, pela explicação muito bem colocada pela Rosana, a alternativa mais correta seria:

    Gabarito D

  • Assertiva C

    dados podem ser inseridos no log para impedir que o acesso seja concedido a usuários legítimos.

ID
1271239
Banca
MPE-RS
Órgão
MPE-RS
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação a ferramentas e sistemas destinados a prover segurança em redes de computadores, é correto afirmar que

Alternativas
Comentários

  • Nunca havia visto esta terminologia "computadores bastião", não creio que ela seja aceita internacionalmente, isso é regionalismo, inadmissível!

  • Também nunca tinha visto isso, tanto que eliminei essa alternativa de cara. Parei quando li "bastião".

    Alguém identifique, por favor, o erro da B. São as portas que estão erradas?

     

    Vamos na fé.

  • Sávio, o antivírus não faz monitoramento de ações em portas... quem faz esse papel é o Firewall.

    .

    Essa questão dava para matar por eliminação...

    Um pouquinho sobre hosts bastiões: https://technet.microsoft.com/pt-br/library/cc163137.aspx

  • É verdade, foi mole meu mesmo.

    Acredito que possa ter alguma relação com IDS/IPS também, mas aí nem vem ao caso.

    Valeu.

  • https://en.wikipedia.org/wiki/Bastion_host

    bastion host is a special-purpose computer on a network specifically designed and configured to withstand attacks. The computer generally hosts a single application, for example a , and all other services are removed or limited to reduce the threat to the computer. It is hardened in this manner primarily due to its location and purpose, which is either on the outside of a  or in a demilitarized zone () and usually involves access from untrusted networks or computers.

ID
1330009
Banca
FMP Concursos
Órgão
PROCEMPA
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Em um IDPS, Sistemas de Detecção e Prevenção de Intrusão, as técnicas que são baseadas em comparação de uma atividade (pacote ou entrada em um log de eventos) com uma lista previamente estabelecida, são classificadas como

Alternativas
Comentários

  • Eles podem funcionar baseado em assinaturas ou anomalias. Aquele que se baseia em uma comparação com listas estabelecidas são classificadas como Análise de Assinatura.

    Gabarito: Letra C

  • O IDPS é um sistema de proteção que necessita de uma lista prévia de assinaturas. Não é muito preciso justamente por isso, sendo comum identificar falsos-positivos. Se um ataque recente não contiver uma assinatura em sua lista, ele não será detectado ou será erroneamente detectado.

  • c-

    ataques por assinatura (signature-based) sao baseados em ataques conhecidos gravados em um db, fazeno a comparacao e identiticando sua existencia

ID
1389970
Banca
VUNESP
Órgão
TJ-PA
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Um sistema de detecção de intrusos (IDS) relatou a ocorrência de um ataque que posteriormente foi considerado inexistente. A ocorrência desse alerta configura um

Alternativas
Comentários

  • falso positivo é o alarme falso, ou seja, tráfego estava em conformidade com as regras mas foi bloqueado



    (CESPE – ABIN/2004 – Analista de Informações – Código 9 – 103)

    Em um sistema de detecção de intrusão (intrusion detection system — IDS), um falso positivo consiste em um evento em que o IDSdeixa de detectar uma intrusão que efetivamente ocorreu.

    errada ==> falso negativo

  • Gabarito E

    No atual contexto da internet e com os mais variados vírus, worms, e outras pragas soltas na rede é comum receber avisos de que seu computador está contaminado por um vírus. Eles nunca devem ser completamente desprezados, porém algumas vezes pode acontecer de um destes alertar ser o que se denomina “falso-positivo”, ou seja, um alarme falso por parte do antivírus, que acusa arquivos ou programas como infectados quando na verdade não estão.

    Falsos-positivos são razoavelmente comuns, e alguns programas (como IRC e clients de jogos) costumam causar esse tipo de alerta em vírus e firewalls com uma freqüência maior do que a desejada. Outro caso possível acontece quando faltam algumas configurações no firewall e, algumas vezes, devido a isto pode ocorrer alguma confusão por parte deste e respostas a solicitações podem acabar sendo indicadas como ataques.

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Assertiva e

    falso positivo - quando uma ação é classificada como uma possível intrusão, mas se trata de uma ação normal. Basicamente um alarme falso;

ID
1391320
Banca
FCC
Órgão
TRT - 1ª REGIÃO (RJ)
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Atualmente, a detecção de ataques e invasões aos sistemas computacionais, principalmente na rede de computadores, é realizada utilizando-se IDSs (Sistemas de Detecção de Intrusão) de diferentes tipos. Isto é feito porque não existe um IDS que detecte todos os tipos de ataques e não apresente desvantagens, como no IDS de Rede, que

Alternativas
Comentários

  • Tipos de Sistemas de Detecção de Intrusão

    Sistemas de Detecção de Intrusão baseados em Host (HIDS)

    Sistemas de Detecção de Intrusão baseados em Host monitora e analisa informações coletadas de um único Host (Máquina). Não observa o tráfego que passa pela rede, seu uso volta-se a verificação de informações relativas aos eventos e registros de logs e sistema de arquivos (permissão, alteração, etc.). São instalados em servidores para alertar e identificar ataques e tentativas de acesso indevido à própria máquina, sendo mais empregados nos casos em que a segurança está focada em informações contidas em um servidor e os usuários não precisam ser monitorados. Também é aplicada em redes onde a velocidade de transmissão é muito alta como em redes “Gigabit Ethernet” ou quando não se confia na segurança corporativa da rede em que o servidor está instalado.

    Sistemas de Detecção de Intrusão baseados em Rede (NIDS)

    Sistemas de Detecção de Intrusão baseados em Rede monitora e analisa todo o tráfego no segmento da rede. Consiste em um conjunto de sensores que trabalha detectando atividades maliciosas na rede, como ataques baseados em serviço, portscans, etc… São instalados em máquinas responsáveis por identificar ataques direcionados a toda a rede, monitorando o conteúdo dos pacotes ou do tráfego e seus detalhes como informações de cabeçalhos e protocolos. Os NIDS tem como um dos objetivos principais detectar se alguém está tentando entrar no seu sistema ou se algum usuário legítimo está fazendo mau uso do mesmo.

    Sistemas de Detecção de Intrusão Híbridos

    Sistemas de Detecção de Intrusão Híbridos é utilização dos sistemas baseados em redes e dos sistemas baseados em Host para controlar e monitorar a segurança computacional de um ambiente.


  • Fiz uma rápida pesquisa e os links que encontrei informaram que os IDS não "pegam" smurf. Alguém poderia comentar a respeito?

  • Correção segundo Nakamura.
    a)   (CORRETO)Segundo Nakamura(2010,p.273-274),"Os pontos negativos que podem ser encontrados em NIDS são:- Não é capaz de monitorar tráfego cifrado."

    b)  (ERRADO)É o HIDS que é dependente o SO. Segundo Nakamura(2010,p.273),"Os pontos positivos do NIDS são:- O monitoramento pode ser fornecido para múltiplas plataformas."

    c)  (ERRADO)Segundo Nakamura(2010,p.273),"Os pontos positivos do NIDS são:-Os ataques podem ser detectados e identificados em tempo real (...)." 
    d) (ERRADO)Segundo Nakamura(2010,p.273),"Os pontos positivos do NIDS são:
    -Não causa impacto no desempenho da rede."
    e)   (ERRADO)Segundo Nakamura(2010,p.276),"O NIDS será capaz de detectar o SYN flooding, Smurf, Teardrop e o port scanning (...)."

    NIDS = BASEADO EM REDE.

    HIDS = BASEADO EM HOST.


    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA-2010.

  • Complemento. 

    Quem não detecta o Smurf é o HIDS(baseado em host).

    Segundo Nakamura(2010,p.272),"Os pontos fracos que devem ser considerados no HIDS são: 

    Não é capaz de detectar ataque de rede, como o scanning de rede ou o Smurf, por exemplo."

ID
1414426
Banca
FCC
Órgão
TJ-AP
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Suponha que área de TI do Tribunal de Justiça do Amapá tenha identificado uma série de ocorrências indesejadas de redução de desempenho da rede de computadores e servidores de dados e aplicação, em razão de ações maliciosas de software ou de pessoas. Essas aparentes ações maliciosas não são destinadas a nenhum servidor ou sistema de software específico. A equipe de TI quer capturar os infratores durante a ação, antes de realmente danificarem seus recursos. Para isso precisa implantar um

Alternativas
Comentários

  • Devem implementar IDS

  • Fui seco no Honeypot. Esse negócio é tão bom que funciona até nas questões de prova. Rsrs.

  • Essa foi boa Marlon... você caiu no golpe Pote de Mel rs...

  • Eu errei essa questão na prova, fui seco também na "Honeypot", infelizmente.

  • Gabarito D; 

    De acordo com o comando da questão se quer "capturar os infratores"....

    Sistema de detecção de intrusos ou também conhecido como Sistema de detecção de intrusão (Intrusion detection system - IDS) refere-se aos meios técnicos de descobrir em uma rede acessos não autorizados que podem indicar a ação de um cracker ou até mesmo de funcionários mal intencionados. (Fonte: Wikipédia);

    Bons estudos! ;)

  • "Essas aparentes ações maliciosas não são destinadas a nenhum servidor ou sistema de software específico." Creio que essa parte da questão invalida a opção do pote de mel (honeypot). http://www.cert.br/docs/whitepapers/honeypots-honeynets/

  • Acho que a questão está mal formulada, pois para conseguir capturar o infrator deveria ser implementado um IPS e não um IDS. O IDS somente detecta a a infração após a mesma ter ocorrido, não sendo possível a captura do infrator no momento da infração.

  • Questãozinha safada essa viu. O honeypot foi colocado ali pra pegar a galera mesmo. Se tivesse IPS eu marcaria sem medo de ser feliz. Bom saber que pra FCC IPS e IDS são a mesma coisa. #TáSerto

  • Intrusion Detection System não "captura" ninguém, pois o nome já diz "DETECTION" e não "PROTECTION". Apenas identifica e alerta. Se fosse utilizada a sigla IPS, beleza. Quem escreveu esta questão com certeza nunca utilizou nenhuma destas tecnologias ou veria que esperar pelo IDS pode ser tarde demais.

    Hoenypot sim seria a resposta certa pois estaria ali como uma "isca" para permitir a ação dos criminosos sem danificar nenhum ativo.

    Muito mal formulada esta questão.

  • Também marquei honeypot e acredito que, realmente, deveria ser a resposta correta.

  • Lembrem-se que no caso do HoneyPot, o serviço legítimo e que está sendo atacado deveria ser "desligado/baixado" para aí então o HoneyPot subir. Isto poderia tirar qualquer prova do ataque, como também desestimular um atacante que percebesse tal ato.

    Quanto a questão fala "capturar" o infrator, não é dar uma jaula digital a ele como um "iptables -I FORWARD -s ip.do.infrator.internet -j DROP", mas sim dar ao órgão os dados necessários para que seja provado o ataque e talvez, em um trabalho cooperado com operadoras de telecom, identificar o meliante.

    É capturar na vida real, e não bloquear o acesso aos sistemas. É escutar toda a movimentação de quem ataca para aprender através do ataque. Um IPS nesta situação é o mais adequado.

    Se a questão tivesse falado em manter um vetor de ataque fictício para DEPOIS do ataque, aí sim o HoneyPot seria muito mais adequado.

     

  • O ponto chave da questão:

    "Essas aparentes ações maliciosas não são destinadas a nenhum servidor ou sistema de software específico..."

    Por este motivo não seria Honeypot.

  • Pessoal, vcs tao viajando...o q aconteceu é que eles já haviam entrado na rede, tanto que as maquinas estao lentas, só q o analista dop tribunal quer evitar que eles lancem um ataque de verdade nas maquinas...entaum tem q instalar um IDS...Honeypot e IPS é quando ninguem entrou na rede...é como se na questao existisse uma backdor na empresa, e ate agora tivesse sido apenas com worm, para degradar o desempenho das maquinas...

  • Errei a questão pq o IDS é reativo e não preventivo.

     

    Mas olhando este trecho: "A equipe de TI quer capturar os infratores durante a ação,"

     

    dá a entender que ele quer uma reação mesmo

ID
1418680
Banca
CAIP-IMES
Órgão
Prefeitura de São Paulo - SP
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

reencha a lacuna do texto a seguir com a resposta correta.

________________ é qualquer computador configurado para desempenhar algum papel crítico na segurança da rede interna, ele fica publicamente presente na Internet, provendo os serviços permitidos pela política de segurança da empresa.

Alternativas
Comentários

  • bastion host É um servidor especializado para fornecer serviços ao público externo

ID
1428223
Banca
FCC
Órgão
TJ-AP
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Existem diferentes tipos de IDS (Sistema de Detecção de Intrusão) em sistemas de computadores. Dentre eles, o IDS de host tem como característica

Alternativas
Comentários
  • apesar do conceito do DoS ser exatamente o de negação de serviço. A princípio os IDS são capazes de bloquear sua ação:

    Intrusion-prevention systems (IPS) are effective if the attacks have signatures associated with them. However, the trend among the attacks is to have legitimate content but bad intent. Intrusion-prevention systems which work on content recognition cannot block behavior-based DoS attacks.

    Contudo não encontrei nada que justificasse que esse tipo de ataque é capaz de desativar um IDS.

  • Lazaro, acredito que como os ataques DoS são baseados em tornar os sistemas indisponíveis , no momento em que isso acontece o HIDS não conseguirá atuar uma vez que ficou sem recurso operacional algum.

  • Por eliminação, alternativa "C", mas ainda assim não sei se é realmente correta. Não encontrei referências.

  • No livro do Socrates Filho - Segurança da Informação Descomplicada:


    "Técnicas Anti-IDS - Existem algumas técnicas que têm como objetivo de burlar o funcionamento dos IDS; essas técnicas vão desde simples evasão, até a negação do serviço (Denial of service - DoS) de um IDS;." pg 212;

    "Denial of Service (DoS) no IDS - O atacante pode desativar o próprio IDS, ao bombardeá-lo com pacotes de forma a sobrecarregá-lo ou ao aproveitar brechas de segurança e bugs do mesmo." pg 215;

    Na minha visão, sabendo que HIDS é um tipo de IDS e a pergunta pedir características que o IDS tem dentre as alternativas, a única que se encaixa é a letra C, pois tanto o HIDS quanto o NIDS, por serem tipos de IDS, podem ser desativados por um DoS.


    Espero ter ajudado.


    []'s

  • Gab. 

    c) poder ser desativado por DoS.

  • Sistemas baseados na estação

    Vantagens dos SDIs baseados na estação.*

    Com sua habilidade de monitorar eventos localmente num host, podem detectar ataques que não são detectados por um SDI baseado em rede.

    Podem operar em ambientes onde o tráfego seja criptografado, quando os dados são encriptados no host antes do envio e decriptados no host após a recepção.

    SDIs baseados em host não são afetados por switches. Desvantagens dos SDIs baseados em host.

    Desvantagens dos SDIs baseados na estação.*

    São difíceis de gerenciar, pois para cada host monitorado deve ser instalado e configurado um SDI.

    Desde que ao menos as fontes de informações (e algumas vezes parte do mecanismo de análise) residam no host monitorado, o SDIs pode ser atacado e desativado mascarando assim um ataque.

    Não são apropriados para detectar scans de rede.

    Podem ser desativados por certos tipos de ataques de negação de serviço.

    Consomem recursos computacionais dos hosts que estão monitorando, diminuindo a performance dos mesmos.”

    http://www.gta.ufrj.br/grad/06_2/jonas/tipos.html

    Espero ter ajudado.
    Bons estudos.

  • Todo mundo sabe que os IDS's são de 2 tipos, os passivos (só enviam mensagens- o tratamento se dá de forma manual) e os dinâmicos ( que mesmo agindo após a invasão, engatilham ações automáticas, copmo reconfiguração do firewall, bloqueio de portas e etc). Então pq, em nome de Alá, funcionar passivamente na rede, letra b), não pode ser uma das respostas...

    Acho que se um servidor com o HIDS instalado, senta, por causa de um ataque DoS, a máquina também senta...Afinal, IDS só detecta, não previne nada, ou seja, não tem como ela analisar os logs e etc, uma vez que está sentada.

  • se ele pode ser desativado por DoS ele é dependente da intensidade do tráfego também? até onde eu compreendo sim, questão estranha.

ID
1480717
Banca
COMPERVE
Órgão
UFERSA
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A partir dos conceitos, técnicas e ferramentas relacionados a sistemas de detecção de intrusões (IDS), considere as afirmativas a seguir.

I O Snort IDS pode ser classificado, em sua configuração padrão, como um IDS baseado em rede (NIDS) e em assinaturas.

II Mesmo estando conectado a um hub, por onde passa todo o tráfego a ser analisado, ou a um switch com porta de monitoramento corretamente configurada, o IDS de rede deve atuar em “modo promíscuo" evitando o descarte de pacotes não destinados à própria máquina.

III Um IDS, conceitualmente, é considerado um elemento ativo, emitindo alertas sobre ataques detectados e executando, quando configurado com essa funcionalidade, ações reativas (de bloqueio, por exemplo) .

IV Os IDS de host (HIDS) baseiam-se no uso de assinaturas de ataques comumente realizados contra redes de computadores, emitindo alertas tão logo identifiquem algum tipo de tráfego malicioso.

Das afirmações, estão corretas

Alternativas
Comentários

  • fui por eliminação

    III = é passivo

    iV = não é o IDS baseado em HOST mas baseado em REDE

  • IDS é passivo

    IPS é reativo

ID
1488991
Banca
CESPE / CEBRASPE
Órgão
CGE-PI
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a sistemas de detecção de intrusão (IDS), julgue o item a seguir.

Até a presente data não existe nenhuma técnica capaz de burlar sistemas IDS — meios técnicos que possibilitam visualizar os pacotes que entram ou saem de uma rede monitorada.

Alternativas
Comentários

  • ERRADO. Existem sim técnicas capazes de burlar o funcionamento do IDS.  O autor Nakamura cita várias.


    Segundo Nakamura(2010,p.274-275),"As técnicas de evasão e inserção serão discutidas em detalhes na seção 8.5, e algumas delas podem ser obervadas a seguir:

    - Fragmentação;

    -Ataques por meio de portas não convencionais;

    -Slow Scans;

    -Ataques coordenados;

    -Identificação negativa;

    -Mudança de padrão de ataque."


    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA-2010.


  • Ano: 2013

    Banca: CESPE

    Órgão: Polícia Federal

    Prova: Perito Criminal Federal

    Resolvi errado

    Julgue os seguintes itens, relativos à segurança em redes de computadores.

    O uso de criptografia SSL (Secure Socket Layer) como item de segurança nas transmissões de dados via Internet dificulta o monitoramento realizado por sistemas de detecção de intrusos (IDS) de redes. Uma solução para esse problema é o uso de proxies reversos, que permite retirar o processo de criptografia do servidor web e, consequentemente, possibilita ao IDS o monitoramento do tráfego.

    certa

    http://www.itnerante.com.br/group/seguranadainformao/forum/topics/ano-2013banca-cespe-rg-o-pol-cia-federalprova-perito-criminal?xg_source=activity

  • Fui pela logica nada em informática é totalmente seguro

  • Nessa época Nishimura era o rei da informatica......

ID
1500049
Banca
FCC
Órgão
CNMP
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Uma das características do Sistema de Detecção de Intrusão (IDS) baseado em rede é que

Alternativas
Comentários

  • LETRA E. 

    Segundo Nakamura(2010,p.272),"O sistema de detecção de intrusão baseado em rede(NIDS) monitora o tráfego do segmento da rede, geralmente com a interface de rede atuando em modo 'promíscuo'. A detecção é realizada com a captura e análise dos cabeçalhos e conteúdos dos pacotes, que são comparados com padrões ou assinaturas conhecidos."



    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA-2010.

  • Erro da letra A

    Ano: 2013

    Banca: CESPE

    Órgão: Polícia Federal

    Prova: Perito Criminal Federal

    Resolvi errado

    Julgue os seguintes itens, relativos à segurança em redes de computadores.

    O uso de criptografia SSL (Secure Socket Layer) como item de segurança nas transmissões de dados via Internet dificulta o monitoramento realizado por sistemas de detecção de intrusos (IDS) de redes. Uma solução para esse problema é o uso de proxies reversos, que permite retirar o processo de criptografia do servidor web e, consequentemente, possibilita ao IDS o monitoramento do tráfego.

    certa

    http://www.itnerante.com.br/group/seguranadainformao/forum/topics/ano-2013banca-cespe-rg-o-pol-cia-federalprova-perito-criminal?xg_source=activity


  • acerto da letra E

    TCU 2007

    3 [172] Em geral, os firewalls inspecionam todo o pacote, enquanto os IDSs inspecionam apenas os cabeçalhos.

    ERRADA


    Prova: CESPE - 2009 - INMETRO - Analista Executivo em Metrologia e Qualidade - Redes - Parte II

    Disciplina: Segurança da Informação | Assuntos: Firewall;  Sistemas de Prevenção-Detecção de Intrusão; 

     Ver texto associado à questão

    Tipicamente, firewalls realizam a inspeção dos cabeçalhos, enquanto os sistemas de detecção de intrusão verificam todo o conteúdo dos pacotes.

                    Certo       Errado

               

    CERTO


  • O IDS é tipo um fiscal que pede para você abrir a sua mala para ver o que tem dentro...

  • Onde está o erro da letra D?

     d) independe da topologia de rede para funcionar.

     

    Por acaso o IDS opera só em topologia específica?

  • Confesso que também não entendi o erro da alternativa D, mas acredito que por se tratar de FCC deve-se considerar que a mais correta é a letra E. 

  • É aquele tipo de questão que contém as alternativas a pouco, a menos e a mais correta. Felizmente algumas bancas gostam de brincar com esse tipo de estrutura de questão.

    Marquei a Letra E mesmo já que pacote e  cabeçalhos de conteúdos estão associados à camada Rede.

     

  • Gabarito: E.

     

    A alternativa D não pode ser a resposta. Ela estaria correta se a questão estivesse referindo-se ao IDS baseado em host (HIDS), pois ele, sim, independe da topologia de rede.

     

    Como o NIDS é baseado em rede, a topologia influencia seu funcionamento.

  • A) HIDS

    B) HIDS

    C) HIDS

    D) HIDS

    E) NIDS

ID
1567087
Banca
COSEAC
Órgão
UFF
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Algumas ferramentas de ataque e de defesa utilizados na segurança da informação estão disponibilizadas na coluna I. Estabeleça a correta correspondência com seus conceitos disponíveis na coluna II.


Coluna I

1. Phishing

2. DoS

3. IPS

4. IDS

5. PKI 



Coluna II

( ) Sistema baseado na encriptação para identificar e autenticar usuários.

( ) Ataque de negação de serviço.

( ) Artifício que induz o usuário a clicar em um link que o levará para uma página clonada.

( ) Sistema de detecção de invasão.

( ) Sistema de prevenção de invasão.


A sequência correta, de cima para baixo, é: 

Alternativas
Comentários

  • Phishing: é o tipo de fraude por meio da qual um golpista tenta obter dados pessoais e financeiros de um usuário, pela utilização combinada de meios técnicos e engenharia social. 

    Negação de serviço (DoS): é uma técnica pela qual um atacante utiliza um computador para tirar de operação um serviço, um computador ou uma rede conectada à Internet. É uma tentativa de impedir que usuários legítimos de um serviço usem esse serviço.

    IPS (Sistema de Prevenção a Intrusão): São capazes de detectar e prevenir os ataques, realizando contramedidas;

    IDS (Intrusion detection System): É um sistema de detecção de Intrusão na rede que geralmente trabalha no modo passivo. O IDS é um sistema de configurações e regras que tem como objetivo gerar alertas quando detectar pacotes que possam fazer parte de um possível ataque;

    PKI: Sistema baseado na encriptação para identificar e autenticar usuários.

    Alternativa: E

ID
1576420
Banca
CESPE / CEBRASPE
Órgão
DEPEN
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a segurança da informação, chaves assimétricas, sistemas de detecção de intrusão e software malicioso, julgue o item subsecutivo.


Um sistema de detecção de intrusão de rede que se baseia em assinatura necessita que sejam carregados os padrões de assinatura de ataques, como, por exemplo, o padrão de comunicação de um determinado vírus de computador.


Alternativas
Comentários

  • Ids baseado em assinatura

  • Um IDS (Sistema de Detecção de Intrusão) pode ser dividido em :

    - Baseado em assinatura : onde existe uma lista com assinaturas de alguns vírus e esta assinatura precisa estar pré-configurada no host para que seja detectada um ataque.

    - Baseado em anomalias: onde é feito um perfil de um host com um comportamento padrão para aquele host. Assim se no monitoramento for detectado um comportamento anormal será gerado um alerta

  • Sistema de detecção de intrusão ( em inglês: Intrusion detection system - IDS) refere-se aos meios técnicos de descobrir em uma rede acessos não autorizados que podem indicar a ação de um cracker ou até mesmo de funcionários mal intencionados.

  • Certo.

  • IDS baseado em rede vai detectar padrão de comunicação de um determinado vírus de computador??? Não deveria ser baseado em host???

  • IDS -> Baseado em Anomalias - Geram um grande Numero de Falsos Positivos

  • Um IDS baseado em assinaturas utiliza um banco de dados com os ataques já conhecidos e compara-os com as ações, utilizando algoritmos estatísticos para reconhecer algum desses ataques. Nesse caso, é de extrema importância que o banco de dados com as assinaturas esteja sempre atualizado para garantir a segurança do ambiente. Uma assinatura é um padrão do que buscar no fluxo de dados.

    GAB C

  • NIDS( sistema de detecção de intrusão na net): Faz o monitoramento do trafego de dados na rede e não efetua ação direta sobre dados maliciosos.

    Quando utiliza forma de detecção por assinatura, o IDS se baseará em ataques conhecidos, por conseguinte, esperará que o vírus use seu padrão de comunicação, uma vez que o IDS possui apenas essa assinatura em seu banco de ataques conhecidos.

    GABARITO: CORRETO

ID
1643380
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação aos dispositivos de segurança de TI, julgue o item que se segue.

Entre as principais abordagens de construção dos sistemas IDS inclui-se a aplicação de métodos como redes neurais para aprendizagem do reconhecimento de padrões de intrusão.

Alternativas
Comentários
  • Correto. Nakamura, em “Segurança de Redes em Ambientes Cooperativos” cita um tipo de IDS, o Behavior-Based Intrusion Detection. Nesta, o autor remete a Robert Graham e a obra “Network Intrusion Detection System FAQ”, que cita pesquisas em andamento, com a utilização de redes neurais, logica fuzzy e inteligência artificial. Apenas não classifiquei essa questão como “Muito Difícil” pois me parece razoável que sistemas de detecção de intrusão mais avançados utilizem IA para aprender a reconhecer invasões.

  • Só não concordo com a banca, pois pegar uma informação de 1 autor afirmando que existem pesquisas em andamento com a utilização de redes neurais...não torna esse método uma das principais abordagens de construção...pode até ser desejável..mas afirmar que é uma das principais...achei uma forçação de barra.

  • Outra: (Cespe – SEDF 2017) Uma das abordagens comuns dos sistemas IDS na realização de suas funções é aprender a reconhecer padrões de intrusões usando métodos como redes neurais. Certo!

  • GABARITO CORRETO!

    .

    .

    ACRESCENTANDO:

    IDS PODE UTILIZAR DUAS FORMAS DE MONITORAMENTO.

    POR ANOMALIAS: UTILIZANDO ESTATÍSTICA, HEURÍSTICA ETC. NESSE MODO, O IDS É MAIS SUSCETÍVEL A FALSOS POSITIVOS.

    POR ASSINATURA: UTILIZA UMA LISTA DE ASSINATURAS PRÉ-CONFIGURADAS.

  • Gabarito: Certo. ✔

    Questões Cespianas:

    1} Um IDS permite criar regras com o objetivo de monitorar aumentos anormais de tráfego de rede; além dessa funcionalidade, ele ainda pode alertar o responsável pela segurança, caso ocorram tais anomalias.(CERTO)

    2} Os sistemas de detecção de intrusos consistem em ferramentas auxiliares, utilizadas para evitar que determinados programas verifiquem a existência de portas TCP abertas em um computador e venham a invadi-lo por intermédio delas.(CERTO)

    3} Um IDS (Intrusion Detection System) pode ser usado para detectar varreduras de porta e de pilha TCP, além de ataques de DoS, de inundação de largura de banda, de worms e de vírus.(CERTO)

    4} Um sistema de detecção de intrusão (intrusion detection systemIDS) consegue detectar comportamentos maliciosos tanto em computadores individuais quanto em redes de computadores.(CERTO)

    5} Um IDS é capaz de detectar até mesmo um usuário que, para esconder suas ações, exclua arquivos de registro do sistema.(CERTO)

    6} Um sistema de detecção de intrusão (IDS) consegue coletar dados, em tempo real, sobre o funcionamento dos componentes da rede.(CERTO)

ID
1645057
Banca
FGV
Órgão
TCE-SE
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação aos IDS e IPS, analise as informações a seguir:
I. O IDS é um sistema de reconhecimento e sinalização de ataques, sem capacidade de resposta.
II. O NIDS é um tipo de IDS instalado para alertar sobre ataques ocorridos a um host específico.
III. O IDS identifica ataques a partir de análise de tráfego de rede baseado em padrões de assinatura, enquanto o IPS analisa padrões de comportamento.
Está correto somente o que se afirma em:

Alternativas
Comentários

  • GABARITO: A

     

    Sistema de detecção de intrusos ou também conhecido como Sistema de detecção de intrusão ( em inglês: Intrusion detection system - IDS) refere-se aos meios técnicos de descobrir em uma rede acessos não autorizados que podem indicar a ação de um cracker ou até mesmo de funcionários mal intencionados.

     

    NIDS: É um sistema de segurança de rede com foco sobre os ataques que vêm de dentro da rede (usuários autorizados). Quando classificamos a concepção do NIDS acordo com a propriedade interatividade do sistema, existem dois tipos: on-line e off-line NIDS. On-line NIDS lida com a rede em tempo real e analisa o pacote Ethernet e aplica-lo nas algumas regras para decidir se é um ataque ou não. Off-line NIDS lida com os dados armazenados e passá-lo em um algum processo para decidir se é um ataque ou não.

  • Essa alternativa I também está errada, pois IDS realizam respostas sim.

    Segundo Nakamura(2010,p.267),"O firewall libera conexões e o IDS detecta, notifica e responde a tráfegos suspeitos."

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA. 2010.

  • triste ver uma questão dessas




    2014

    A detecção de intrusão abrange formas de resposta, tais como a geração de alertas e a interrupção dos fluxos de dados maliciosos.

    certa



    2011 - (CESPE – TJ-ES/2011 – Analista Judiciário – Análise de Suporte – 93)

    IDS (intrusion detection system) pode ser utilizado para incrementar o trabalho do firewall e permitir que o tráfego de dados de uma rede seja monitorado para correção imediata de problemas ou falhas

    certa

  • Pessoal, apesar dessa frase apresentada pelo nosso colega a respeito do IDS no livro do NAKAMURA, devemos lembrar que o IDS sempre será posicionado de forma paralela na rede, ou seja, ele, por si só, não é capaz de reagir diretamente e influenciar o tráfego porque ele não está em série como um firewall ou IPS. 
    O que ele pode fazer é se comunicar com outros elementos na rede, o que na prática será um firewall, e fazer com que o firewall passe a bloquear determinado tráfego.

    Um exemplo de ferramenta que faz esse tipo de coisa é o GUARDIAN, baseado no SNORT de código aberto. O SNORT é um IDS puro, totalmente passivo, enquanto o GUARDIAN é a implementação reativa do IDS, mas, como mencionei, não é o próprio IDS que bloqueia.Desse modo, permita-me discordar do colega mas não vejo erro no item I dessa questão. Abraço a todos!

  • ACERTEI A QUESTÃO POIS DE CARA A II e III ESTAVAM ERRADAS, MAS FIQUEI NA DÚVIDA NA PRIMEIRA E ACHO QUE A BANCA NÃO DEIXOU EXPLÍCITO QUE NÃO DAR RESPOSTA SERIA COMBATER O PROBLEMA, ALGO QUE O IDS NÃO FAZ REALMENTE. PORÉM, MUITOS ENTENDERAM E QUE REAMENTE FICA COMPLICADO VC TER QUE AINDA INTERPRETAR É QUE RESPOSTA PARA O FIREWALL É POSSÍVEL PARA Q ESTE BLOQUEI A INTRUÇÃO.

  • Não entendi o erro da III (IDS utilizam assinatura e IPS também podem ser comportamentais...), se alguém puder enviar alguma fonte....

  • @lucas moraes. Tanto o IDS quanto o IPS utilizam as duas formas. Baseado em assinatura ou comportamento

  • I) ok;

    II) o HIDS que é baseado em host. O NIDS é baseado na rede !

    III) inverteram os conceitos !

  • IDS - alerta

    IPS - para

    NIDS (network IDS) - o nome ja diz

    assinatura: ameaças conhecidas

    comportamento: anomalias

ID
1711378
Banca
FUNCAB
Órgão
ANS
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Sistemas de detecção de intrusão com base em redes (NIDS) são compostos por um gerenciador e vários sensores. Alguns desses sensores monitoram segmentos de redes e agregam todos os tráfegos em um único fluxo de dados.

Nesse contexto, tais sensores estão atuando no modo: 

Alternativas
Comentários

  • LETRA E. Questão difícil!

     

    Segundo Nakamura(2010,p.275),"Port Clustering: permite a monitoração de diversos segmentos de rede, com todos os tráfegos sendo agregados em um único stream de dados.

     

    -SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA-2010.

ID
1738162
Banca
CESPE / CEBRASPE
Órgão
ANP
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito dos mecanismos de segurança da informação, julgue o próximo item. 

Serviços de detecção de intrusos são capazes de detectar anomalias no tráfego de dados, a partir de regras previamente definidas. Também são capazes de efetuar bloqueios de tráfego, a partir de análises heurísticas. 


Alternativas
Comentários

  • análises heurísticas são realizadas por IPSs.

  • Serviços de detecção de intrusos são capazes de detectar anomalias no tráfego de dados, a partir de regras previamente definidas. Também são capazes de efetuar bloqueios de tráfego, a partir de análises heurísticas. 

     

    Os IDS podem apenas emitir sinais de alerta, um desses sinais pode ser para o firewall, este (o firewall) podendo alterar alguma configuração sua.

  • ERRADO. "...são capazes de efetuar bloqueios de tráfego, a partir de análises heurísticas."

    Quem pode fazer isso é o IPSs.

  • Misturou firewall com IPS.

  • Como CPF. RG vc pode ter 1 em cada estado kkkkk

  • IPS e IDS

    Analisam a rede baseado em comportamentos pré-definidos como "padrão". Qualquer diferença eles emitem alertas e no caso do IPS, toma uma ação já configurada.

    Antimalwares

    Assinatura: Cara, Crachá

    Heurística: Analisa a estrutura, instruções e características

    Comportamento: Analisa o comportamento quando o código é executado.

  • Quando você se deparar com qualquer questão sobre IDS, basta ter em mente que ele é passivo, não ataca, não tem ações contundentes.

    PARA MEMORIZAR:

    IDS>>> é um vigilante sem arma, só corre e avisa!

    @rotinaconcursos

  • kkkkkkkkkkkkkkkkkkkkkkk

ID
1738513
Banca
FCC
Órgão
TRE-AP
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre os Sistemas de Detecção de Intrusão, é INCORRETO afirmar:

Alternativas
Comentários

  • Ids não bloqueia intrusão. Somente gera alertas. 

  • Gab. 

    c) podem bloquear imediatamente as intrusões, independentemente do tipo de protocolo de transporte utilizado, podendo identificar e impedir muitas ameaças, programas backdoor e outros ataques conforme eles vão passando através do dispositivo. 

  • Conceitualmente, o IDS refere-se a um mecanismo capaz de identificar ou detectar a presença de atividades intrusivas. Em um conceito mais amplo, isto engloba todos os processos utilizados na descoberta de utilizações não autorizadas de dispositivos de rede ou de computadores. Isto é feito através de um software projetado especificamente para detectar atividades incomuns ou anormais.

    Devemos no entanto diferenciar IDS e IPS (Intrusion Prevention System). Enquanto o primeiro é um software que automatiza o processo de detecção de intrusão, o segundo é um software de prevenção de intrusão, que tem por objetivo impedir possíveis ataques. Um portanto trabalha de maneira reativa e informativa, enquanto que o IPS diminui o risco de comprometimento de um ambiente.


    https://blog.ostec.com.br/seguranca-perimetro/ids-o-que-e-e-principais-conceitos

ID
1753066
Banca
FCC
Órgão
TRT - 9ª REGIÃO (PR)
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Existem diferentes tipos e formas de atuação de Sistema de Identificação de Intrusão (IDS). Um IDS cuja forma de detecção é baseada em anomalias tem como característica 

Alternativas
Comentários

  • Gabarito: a)

    Noise can severely limit an intrusion detection system's effectiveness. Bad packets generated from software bugs, corrupt DNS data, and local packets that escaped can create a significantly high false-alarm rate.


    It is not uncommon for the number of real attacks to be far below the number of false-alarms. Number of real attacks is often so far below the number of false-alarms that the real attacks are often missed and ignored.


    https://en.wikipedia.org/wiki/Intrusion_detection_system#Limitations


  • Sistema de detecção de intrusos ou também conhecido como Sistema de detecção de intrusão ( em inglês: Intrusion detection system - IDS) refere-se aos meios técnicos de descobrir em uma rede acessos não autorizados que podem indicar a ação de um cracker ou até mesmo de funcionários mal intencionados.

    Tipo de monitoramento passivo, apenas alerta ataques, baseadoem comportamento ou assinatura.

  • IDS baseado em anomalias também são conhecidos como IDS baseado em comportamento.

    "Ele assume que as instrusões podem ser detectadas por meio de desvios de comportamento dos usuários ou dos sistemas. O lado negativo dessa abordagem é que pode gerar um grande número de falsos positivos."


    Fonte: Segurança de Redes em ambientes cooperativos, Nakamura.

  • Ano: 2010Banca: CESPEÓrgão: Banco da AmazôniaProva: Técnico Científico - Tecnologia da Informação


    A ocorrência de falsos positivos normalmente acarreta consequências mais graves para as redes que utilizam IDS do que para aquelas que usam IPS.

    errada



    (CESPE – ABIN/2004 – Analista de Informações – Código 9 – 103)

    Em um sistema de detecção de intrusão (intrusion detection system — IDS), um falso positivo consiste em um evento em que o IDSdeixa de detectar uma intrusão que efetivamente ocorreu.

    errada

  • O (Intrusion Prevention System - IPS), têm como objetivo diminuir a quantidade de alarmes falsos e prevenir os ataques.

ID
1768240
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de ataques do tipo Zero-Day, julgue os itens subsequentes.

Ataques do tipo Zero-Day são detectados não só por meio de antivírus, mas também por meio de ferramentas de IDS.

Alternativas
Comentários

  • A princípio, não há oportunidade para detecção de ataques Zero-Day.

    O ataque zero-day explora uma vulnerabilidade do software ainda não conhecida (pela empresa desenvolvedora e público em geral)

    1) A empresa desenvolve um software, o qual apresenta uma vulnerabilidade, sem conhecimento da empresa.

    2) Um atacante escreve um malware que explora essa vulnerabilidade

    3) Depois de um tempo, a vulnerabilidade é descoberta. Então a empresa tem de escrever um patch/correção.


    Fonte: http://www.pctools.com/security-news/zero-day-vulnerability/

  • "Basicamente existem dois tipos de exploit, ou seja, falhas que podem ser usadas em ataques. As encontradas por empresas de segurança e as encontradas por hackers cujo intuito é pejorativo.

    Quando encontrada por empresa de segurança, ela normalmente notifica diretamente a empresa, por meio de canais oficiais ou por torneios de hacking,(...).  Ao ser informada, a empresa tipicamente o soluciona e lança uma atualização para seu programa.

    Ainda há uma possibilidade de que outros hackers possam tentar usar esta falha, mas até lá ela já foi consertada e fica mais difícil de servir para algo.

    Agora, quando são os próprios hackers que visam realizar ataques que descobrem tais vulnerabilidades, aí sim são definidos como um Exploit Zero Day. Neste caso, as empresas não tiveram tempo de se proteger ou proteger seus produtos destas falhas, por isso a definição “zero day”.

    Alguns grupos de hackers visam vender para empresas de segurança, enquanto outros preferem utilizar o exploit em seus próprios ataques. Neste caso, geralmente demora alguns dias ou até mesmo semanas para que o problema seja sanado." (...)

    http://www.baboo.com.br/software/entenda-o-que-e-um-exploit-zero-day/

  • What is a Zero-Day Vulnerability?

    A zero day vulnerability refers to a hole in software that is unknown to the vendor. This security hole is then exploited by hackers before the vendor becomes aware and hurries to fix it—this exploit is called a zero day attack. Uses of zero day attacks can include infiltrating malware, spyware or allowing unwanted access to user information. The term “zero day” refers to the unknown nature of the hole to those outside of the hackers, specifically, the developers. Once the vulnerability becomes known, a race begins for the developer, who must protect users.

    .Fonte: http://www.pctools.com/security-news/zero-day-vulnerability/

  • Gabarito Errado

    Zero-day ou 0day é uma expressão recorrente quando o assunto é vulnerabilidade grave em softwares e sistemas operacionais. O termo costuma ser aplicado em duas situações: quando brechas graves de segurança são encontradas e quando ataques de hackers explorando essas brechas são identificados.

    Falhas do tipo zero-day referem-se brechas de segurança que atingem softwares. Trata-se de uma vulnerabilidade de segurança desconhecida do público e do próprio desenvolvedor de um programa. Isso significa que, a partir do momento em que a falha é detectada, o fabricante do software tem efetivamente “zero dias” para produzir uma atualização que corrija o problema, impedindo a exploração por criminosos antes disso.

    A expressão também significa a quantidade de tempo que o desenvolvedor conhece o problema. Ou seja, zero dias. Outro exemplo é o termo 30-day, referente à falhas já conhecidas pelo provedor do software por 30 dias e que não foram corrigidas e chegam a público.

    Portanto, em geral, pode-se aplicar o termo zero-day de duas formas:

     

    Para classificar uma brecha de segurança grave, mas ainda inexplorada;

    Para classificar uma vulnerabilidade grave, até então desconhecida, e para qual já há ataques e malwares direcionados.

     

    A ideia de zero-day define a gravidade da brecha e a urgência de que uma correção (patch) seja produzida e liberada para os usuários.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • "A má notícia é que é impossível reconhecer as vulnerabilidade ou explorações de dia zero. Se você as encontrar, elas já não serão mais de dia zero! Devido a isso, esse tipo de ataque é uma ameaça grave. Mas isso não significa que você está desamparado. Por exemplo, alguns antivírus são capazes de detectar os ataques de dia zero usando algoritmos que monitoram o comportamento para identificar atividades suspeitas ou maliciosas."

     

    https://www.avast.com/pt-br/c-zero-day

  • dizer que são detectados é um erro!!! (bem as vezes o dia zero é detectado) pois alguns antivírus pode detectar os ataques de dia zero usando algoritmos que monitoram o comportamento para identificar atividades suspeitas ou maliciosas."

  • Ano: 2020 Banca:  Órgão:  Prova: 

    Acerca de ataques do dia zero (zero day attacks), julgue o item que se seguem.

    Exploits zero-day atacam brechas que ainda são desconhecidas pelos fabricantes de software e pelos fornecedores de antivírus; não existem nem assinaturas de antivírus para detectar tal exploit nem atualizações disponíveis para reparar as brechas. Gabarito cespe: CERTO

  • Gab.: ERRADO!

    Outras questões que podem auxiliar:

    (CESPE - 2020 - MINISTÉRIO DA ECONOMIA) Exploits zero-day atacam brechas que ainda são desconhecidas pelos fabricantes de software e pelos fornecedores de antivírus; não existem nem assinaturas de antivírus para detectar tal exploit nem atualizações disponíveis para reparar as brechas.

    GAB: CERTO

    (CESPE - 2018 - ABIN - Oficial de Inteligência - Área 4) Um exploit elaborado para um ataque direcionado e com base em uma vulnerabilidade zero day permanece efetivo até que a vulnerabilidade seja publicamente revelada e a correção de software seja produzida, distribuída e aplicada.

    GAB: CERTO

    (CESPE - 2016 - POLÍCIA CIENTÍFICA - PE - Perito Criminal - Ciência da Computação)  A técnica de ataque a redes que visa explorar uma vulnerabilidade associada a um recurso tecnológico, podendo, inclusive, ser utilizada para exploração de vulnerabilidade zero-day, é denominada exploit.

    GAB: CERTO

    (CESPE - 2015 - MEC - Analista de Segurança) Ataques do tipo Zero-Day são detectados não só por meio de antivírus, mas também por meio de ferramentas de IDS.

    GAB: ERRADO

    (CESPE - 2015 - MEC - Analista de Segurança) Ataques do tipo Zero-Day apresentam baixa taxa de sucesso na exploração da falha, já que ela é desconhecida do fabricante do produto explorado.

    GAB: ERRADO

  • ERRADO

    Exploits zero-day (exploração de "dia zero") 

    • é um ataque virtual que ocorre no mesmo dia em que um ponto fraco do software é descoberto. Então, ele é explorado antes que o fornecedor disponibilize uma correção.

  • Já brincaram de esconde-esconde? O Zero-day é aquele sujeito que fica atrás, literalmente, do "investigador" sem ser percebido. Quando ele termina a contagem, o espertinho que estava "escondido" atrás daquele que estava com os olhos fechados se safa sem ao menos ser procurado.

    Se vocês nunca fizeram isso, jamais conhecerão a sensação de ser odiado na roda por burlar as regras.

  • o NGAV nova geração de antivirus consegue bloquear os zero day

    Pois essa nova geração utiliza tecnologia de detecção de algoritmos

  • Como que voce vai identificar o bandido sem saber como ele é? Nao tem como, esse é o "ZERO-DAY"(bandido desconhecido)

ID
1782688
Banca
CESPE / CEBRASPE
Órgão
TJ-DFT
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

O termo APT (advanced persistent threat) é utilizado em segurança da informação para descrever ameaças cibernéticas através de técnicas de coleta de informações que tenham valor para o atacante.
Acerca desse assunto, julgue o item subsequente.

Em geral, uma APT não é detectada por antivírus ou por softwares IDS firmados em assinaturas.

Alternativas
Comentários

  • Se alguém puder contribuir com uma explicação para esta questão...

    Se o "firmados" estiver referindo-se ao antivírus e ao IDS, tudo bem. Caso contrário, quer dizer que nenhum antivírus existente é capaz de detectar uma APT?

  • É que na verdade a APT é um tipo de ataque muito mais voltado para a engenharia social (diga-se de passagem extremamente complexa e bem coordenada) do que para atifícios tecnológicos. Uma APT é um ataque conjunto, que pode utilzar (e uma hora irá utilzar, provavelmente) malwares, mas que em geral explora as vulnerabilidades "humanas" sobre a informação que se quer obter.

     

    Respondendo ao seu questionamento quanto a parte "softwares IDS firmados em assinaturas", quando se utiliza de meios tecnológicos em uma APT, isso é feito por meio de muito planejamento e estudo da estrutura que se deseja atacar (o alvo) e se dá através de vulnerabilidades desconhecidas do sistema (que até mesmo o desenvolvedor desconhece!) que são as chamadas 0-day exploits e de malwares criados especialmente para atacar essas vulnerabilidades, ou seja, que ainda não possuem qualquer tipo de assinatura de identificação, que por consequencia não podem ser identificadas por IDS ou antivírus. Isso que, no meu entendimento, a questão pediu.

     

    Resumindo, em geral, o uso de um IDS em um ataque APT só fará sentido se este for feito com uso massivo de malwares conhecidos e principalmente com um mal planejamento da APT, o que a desconfigura justamente por ser esta altamente planejada e organizada.

     

    Espero ter contribuído e se alguém tiver alguma correção ou observação, favor contribuir!

     

    Obs.: O texto da Wikipedia sobre o assunto não está ruim e ajuda a responder essa questão:

    https://pt.wikipedia.org/wiki/Amea%C3%A7a_persistente_avan%C3%A7ada

  • Na verdade a resposta para essa questão é muito simples. As APT não são identificadas por antivírus ou softwares IDS firmados por assinaturas pois são ataques bastante únicos, específicos e direcionados, por exemplo o Worm Stuxnet que foi desenvolvido para sabotar as usinas nucleares iranianas e que utilizava 0-day exploits. Os antivírus e IDS apenas são capazes de detectar ameaças mais genéricas.

  • É que na verdade a APT é um tipo de ataque muito mais voltado para a engenharia social (diga-se de passagem extremamente complexa e bem coordenada) do que para atifícios tecnológicos. Uma APT é um ataque conjunto, que pode utilizar (e uma hora irá utilizar, provavelmente) Malwares, mas que em geral explora as vulnerabilidades "humanas" sobre a informação que se quer obter.

  • Certo.

    O indicado é o NGAV - Next Generation Antivirus.

    Considerado a melhor defesa contra esses ataques.

    Ataques APT's: vários ataques concentrados em uma máquina (malwares, phishing, spam, spoofing...)

  • APT: Uma ameaça persistente avançada (APT) é um processo de hacking avançado a uma rede por razões políticas ou econômicas. O APT também inclui hacks avançados em instituições financeiras, empreiteiros de defesa e empresas de software como Twitter ou Facebook, que conteriam uma grande quantidade de informações confidenciais que o hacker gostaria de coletar.

    Fonte:

    [1] CompTIA PenTest+ Certificação Para Retardados Mentais, Glen E. Clarke · 2020

  • Certo.

    Em ataques APT (Advanced Persistent Threat), são aplicadas técnicas de engenharia social para que se invadam, de forma discreta, os sistemas organizacionais.(CESPE)

    • Podem utilizar diversos protocolos de rede para transmitir ou receber informações do ponto de comando e controle do malware. 
    • Normalmente esse tráfego é construído pelo atacante para parecer um tráfego de rede legítimo.

  • CERTO

    APT são técnicas, não é worm ou vírus em si, logo, não será identificador por antivírus ou firewall

ID
1815043
Banca
IDECAN
Órgão
PRODEB
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

A internet não é um lugar muito seguro neste ambiente hostil; é imprescindível que o administrador de rede tenha possibilidade de monitorar a rede com informações periódicas sobre seu estado e ferramentas de apoio e que seus usuários sintam‐se seguros ao utilizá‐la. Neste contexto, assinale a afirmativa INCORRETA.

Alternativas
Comentários

  • Sistema de detecção de intrusos ou também conhecido como Sistema de detecção de intrusão ( em inglês: Intrusion detection system - IDS) refere-se aos meios técnicos de descobrir em uma rede acessos não autorizados que podem indicar a ação de um cracker ou até mesmo de funcionários mal intencionados.

    Com o acentuado crescimento das tecnologias de infraestrutura tanto nos serviços quanto nos protocolos de rede torna-se cada vez mais difícil a implantação desistema de detecção de intrusos. Esse fato está intimamente ligado não somente a velocidade com que as tecnologias avançam, mas principalmente com a complexidade dos meios que são utilizados para aumentar a segurança nas transmissões de dados.

    Uma solução bastante discutida é a utilização de host-based IDS que analisam o tráfego de forma individual em uma rede. No host-based o IDS é instalado em um servidor para alertar e identificar ataques e tentativas de acessos indevidos à própria máquina.

  • Imaginei que o trecho "protegida apenas por um filtro de pacote" deixaria a afirmativa incorreta.

  • Não consegui identificar a alternativa INCORRETA. Pra mim, a definição de IDS parece certa.

  • Não se pode generalizar sobre a facilidade de configuração.


    Existe 3 tipos de IDS: NIDS, HIDS, Hybrid


    Uma das desvantagens do HIDS é a difícil configuração pois se deve considerar as características de cada estação.


    GAB: C

  • Com o acentuado crescimento das tecnologias de infraestrutura tanto nos serviços quanto nos protocolos de rede torna-se cada vez mais difícil a implantação de sistema de detecção de intrusos

ID
1839112
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a tecnologias de IDS, julgue o item que se segue.

Os IDS estatísticos podem detectar novas e imprevistas vulnerabilidades, além de sinalizar a ocorrência de eventuais ataques por anomalias comportamentais de tráfego; esses IDS são, ainda, muito menos suscetíveis à indicação de falsos positivos do que os IDS baseados em assinaturas.

Alternativas
Comentários

  • Desvantagens da detecção por anomalias:

                - É comum produzir grande numero de alarmes falsos, devido a comportamentos imprevisíveis dos usuários e de sistemas;
                - Devem ser realizadas muitas sessões para coletar dados para o sistema, com o intuito de caracterizar os padrões normais de comportamento.

     

    https://www.gta.ufrj.br/grad/07_2/rodrigo_leobons/anomalias.html

  • Gabarito: Errado

    Comentário:

    A primeira parte da questão está correta, portanto, ocorre o erro por conta do segundo trecho(após o ;)

                "; esses IDS são, ainda, muito menos suscetíveis à indicação de falsos positivos do que os IDS baseados em assinaturas."

    Fonte:

    "A detecção de intrusão estatística não requer nenhum conhecimento prévio de ataques de intrusão conhecidos e tem a capacidade potencial de tectar novas espécies de intrusões.

    Como os IDSs estatísticos se apoiam na análise de padrões de tráfego na rede, seria difícil para um atacante esconder o seu comportamento de um gerente IDS que estja usando essas técnicas. Contudo, a potencial fragilidade de métodos estatísticos é que algum comportamento não malicioso pode gerar uma anomalia significativa, que poderia levar o IDS a soar um alarme. Essa sensibilidade a alterações normais no comportamento de um sistema ou um usuário poderia levar a falsos positivos.

    Além disso, um atacante furtivo pode não gerar muito tráfego e, portanto, passar despercebido por IDSs estatísticos de rede, levando a falsos negativos. Por exemplo, atacantes podem encapsular conteúdo malicioso em protocolos de rede benignos como HTTP, esperando que esse tráfegos seja ignorado como comportamento comum da rede. Portanto, na prática a maioria dos sistemas de detecção de intrusão incorpora métodos baseados em regras (baseado em assinaturas) e estatísticos."

    Livro: Introdução à Segurança de Computadores Por Michael T. Goodrich,Roberto Tamassia

  • é IPS flw

  • Detecção por comportamento/anomalia tende a ser mais suscetível a falsos positivos que por assinatura

  • se eu tenho uma lista de convidados a seguir, minha chance de errar na identificação dos nomes da lista é menor.

  • GABARITO: ERRADO

    O IDS pode atuar de duas formas, ou por assinatura, ou por anomalia no tráfego de rede.

    IDS por assinatura: Monitora o tráfego de rede buscando ataques ou dados maliciosos conhecidos, logo, apenas emitirá um alerta caso algum código malicioso já esteja no banco de assinaturas conhecidas do sistema de detecção de intrusão, porém códigos desconhecidos passará despercebido pelo IDS.

    IDS por anomalia:  Monitora o tráfego de rede a procura de ações anômalas, portanto quaisquer ações fora do comum que ocorrerem, será emitido alerta, aumentando, por sua vez, as ocorrências de falsos positivos, pois ações atípicas, as quais o usuário cometer, serão detectadas e sinalizadas ao administrador da rede.

  • Pensa comigo: Você está lá com um mandado de prisão de um indivíduo e o encontra na rua, confere a sua documentação e, assim, vai ter convicção de que é ele. Os dados dele conferem com os dados do mandado. Já na detecção por comportamento, é ver um mala andando na rua, mas não ter plena convicção de que ele é criminoso. Portanto, a chance de vc se confundir com o comportamento de um individuo é bem maior.

  • Vou só explicar de uma forma mais didática, mas não deixem de ler os comentários dos colegas Joao Francisco e Bruno Rebello.

    Teoria

    • O IDS visa identificar a intrusão baseado em um histórico. Como ele faz isso? De duas formas: (1) Baseado nas ameaças já conhecidas, ou seja, seu banco de assinaturas e (2) baseado em comportamentos;
    • Como assim comportamento? Ele vai analisando o tráfego da rede e vê se não tem nada de anormal (por meio de técnicas de inteligência computacional (como, por exemplo, redes neurais e classificadores estatísticos)). Mas qual é a desvantagem desse tipo de situação? É que, às vezes, ele tem um "preconceito" e não detecta um problema (falso negativo) ou tem paranoia detectando um problema que não existe (falso positivo).

    Aplicando na questão

    •  Ela está perguntando se o IDS baseado em comportamento é menos suscetível a bugs's do que a assinatura. Conforme vimos, está errado, pois, apenas para reforçar, a assinatura detecta erros já conhecidos e o baseado em comportamento tenta se basear em um "pré-conceito" que tal tráfego vai fazer e isso pode levar a erros.
ID
1839115
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a tecnologias de IDS, julgue o item que se segue.

Sistemas IDS baseados em redes monitoram o tráfego de rede dos servidores e são usados para garantir que arquivos de sistema desses servidores não serão removidos intencionalmente ou acidentalmente, nem reconfigurados indevidamente, ou, ainda, que seus sistemas não serão colocados, de alguma maneira, em risco.

Alternativas
Comentários

  • " são usados para garantir que arquivos de sistema desses servidores não serão removidos intencionalmente ou acidentalmente, nem reconfigurados indevidamente, ou, ainda, que seus sistemas não serão colocados, de alguma maneira, em risco. " -> IDS baseado em Host (HIDS)

  • O IDS é utilizado após que a merda acontece, O IPS que atua detectando anomalias.

  • Gabarito Errado

    Nesse caso seria o IPS para se previnir e detectar anomalias no sistema.

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • O IDS não realiza contra medida

  • IDS apenas monitora, detecta, informa, analisa. Ele NÃO toma nenhuma medida direta contra a invasão nem deve garantir integridade de nada.

  • GABARITO: ERRADO.

  • IDS é o X9, só fica dedurando.

  • Para gravar:

    O IDS é como se fosse o pinscher. Late, late, mas não morde. Apenas avisa que tem alguém entrando.

    O IPS, por sua vez, é como se fosse um Pit Bull, late, avisa, mas também morde.

  • IDS - Intruso Detectado no Sistema. Alerta o usuário!

    IPS- Impede, Previne ataque no Sistema.

  • O IDS baseado em redes é o NIDS (Sistemas de Detecção de Intrusão Baseado em Rede). Na verdade, a questão colocou funções do HIDS (Sistemas de Detecção de Intrusão Baseado em Host) dizendo ser funções do NIDS, o que é inverídico.

    ~ quem quiser aprofundar:

    • HIDS - o IDS encontra-se instalado em cada máquina monitorada, para analisar os eventos gravados nos arquivos de log, ou pelos agentes de auditoria. Funciona como última linha de defesa, no caso do ataque ter sido bem-sucedido e ter conseguido atravessar o firewall e o NIDS. O HIDS monitora o comportamento do sistema, tráfego de rede, estado do sistema operacional, informações armazenadas, e controle do hardware. Através dessas informações, o HIDS consegue identificar casos em que um software esteja realizando uma atividade que foge ao seu funcionamento, como alterar um arquivo. Uma vez detectado essa ação maliciosa, o sistema HIDS pode alterar as permissões, mover o arquivo para um local seguro ou pô-lo em quarentena
    • NIDS - Ao invés de monitorar um único computador, o NIDS monitora a rede como um todo. Ele monitora o tráfego do segmento de rede no qual está inserido, com sua interface de rede atuando em modo indecoroso. A detecção é feita através da captura e análise dos cabeçalhos e conteúdos dos pacotes, os quais são comparados com padrões ou assinaturas estabelecidas, sendo um mecanismo eficaz contra ataques como port scanning, IP spoofing, SYN flooding. Foca em analisar o fluxo de informações que transitam pela rede, buscando encontrar padrões comportamentais suspeitos. Um sistema NIDS geralmente é implementado em locais estratégicos da rede, como antes ou logo após o firewall, em sub-redes importantes dentro de uma mesma rede, em áreas DMZ para evitar que usuários dentro dessa área tentem acessar a rede corporativa.

    Fonte GTA UFRJ

  • O Sistema Hospedeiro de Detecção de Intrusão (em inglês, Host Intrusion Detection System - HIDS) é uma classe de IDS cujo foco encontra-se em examinar ações específicas com base nos hospedeiros, como por exemplo os arquivos que são acessados, aplicativos utilizados, ou informações de logs.

    Já o Sistema de Rede de Detecção de Intrusão (em inglês, Network Intrusion Detection System - NIDS) é uma classe de IDS que foca em analisar o fluxo de informações que transitam pela rede, buscando encontrar padrões comportamentais suspeitos. Um sistema NIDS geralmente é implementado em locais estratégicos da rede, como antes ou logo após o firewall, em sub-redes importantes dentro de uma mesma rede, em áreas DMZ para evitar que usuários dentro dessa área tentem acessar a rede corporativa.

    Fonte: https://www.gta.ufrj.br/grad/16_2/2016IDS/tipos.html

  • IDS 

    • IDS baseado em host (HIDS) – coloca em um equipamento, no próprio host.

    • IDS baseado em rede (NIDS)

    • Baseados em Host e Rede

    Host 

    • Monitoram acessos e alterações:

     – Arquivos de sistema;

     – Privilégios dos usuários; 

    – Processos do sistema; 

    – Programas em execução

    Rede 

    • Monitoram o tráfego do segmento de rede.

    • Interface de rede em modo promíscuo

ID
1842523
Banca
FCC
Órgão
MPE-MA
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Nos sistemas de detecção de intrusão (IDS), um dos possíveis erros que podem acontecer é o de subversão que ocorre quando

Alternativas
Comentários

  • Gabarito: A.

     

    Subversão - força falso negativo.

     

    Como complemento:

     

    Falso positivo - ação legítima considerada como ataque.

    Falso negativo - ataque considerado como ação legítima.

     

  • Letra A

     

    Erros possíveis da ferramenta IDS:

    1. Falso positivo: ocorre qdo a ferramenta classifica uma ação como possível intrusão, embora, na verdade, trate-se de uma ação legítima;

    2. Falso negativo: ocorre quando uma intrusão real acontece, mas a ferramenta permite que ela passe como se fosse uma ação legítima;

    3. Subversão: ocorre quando o intruso modifica a operação da ferramenta de IDS para forçar a ocorrência de falso negativo.

     

    http://www.diegomacedo.com.br/ids-sistema-de-deteccao-de-intrusos/

  • Subversão: ocorre quando o intruso modifica a operação da ferramenta de IDS para forçar a ocorrência de falso negativo.

ID
1848961
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o item subsequente a respeito das tecnologias de firewalls, IDS (intrusion detection system) e virtualização.

Por meio de análise de protocolos e aplicações de redes, os sistemas de IDS, cuja função é a de identificar e bloquear ataques avançados, podem mitigar, por exemplo, ataques do tipo SQL injetion.

Alternativas
Comentários

  • Errado.

    Função "padrão":
    IDS: atua preventivamente

    IPS: atua proativamente / mitigando.

    Apesar de que modernamente esse conceito vem sendo flexibilizado, na questão é cobrado o conhecimento standard.

    Além disso, ataques de SQL injection via de regra serão tratados no back-ending da aplicação: Prepared Statements (with Parameterized Queries), Stored Procedures, Escaping All User Supplied Input.

    Fonte: http://www.cert.br/docs/palestras/certbr-ctirgov2015.pdf
    Fonte: https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet

  • IDS apenas detecta e dispara o alarme. Não age sobre o problema. 

    Gabarito: E

  • Gabarito Errado

    O IDS apenas identifica a tentativa de ataque, quem previni é o IPS.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Gabarito: ERRADO

     

    Por meio de análise de protocolos e aplicações de redes, os sistemas de IDS, cuja função é a de identificar e bloquear ataques avançados, podem mitigar, por exemplo, ataques do tipo SQL injetion.

     

    O IDS não é capaz de bloquear ataques, apenas detecta e alerta os administradores da rede.

     

    O IPS é capaz de detectar e bloquear ataques, realizando contramedidas.

  • IDS - DETECTA ( NÃO BLOQUEIA)

     

    IPS - PREVINE (BLOQUEIA)

  • (IDS) Sistemas de Detecção de Intrusos:

    Refere-se a meios técnicos de descobrir em uma rede quando esta está tendo acessos não autorizados ou comportamento anômalo no tráfego da rede que podem indicar a ação de um hacker ou até mesmo funcionários mal intencionados. Registra a informação (log)ou pelos agentes de auditoria, e dispara um alerta, é um sistema passivo e reativo.

    Trabalha com sist. assinaturas conhecidas

  • Errado. IDS identifica, mas não bloqueia!

  • IDS - Late mas não morde.

    IPS - Late e vai pra cima.

  • Intrusion Detection System (IDS)

     Do Português - Sistema de Detecção de Intrusão - é um sistema que possibilita a coleta e o uso de informações dos diversos tipos de ataques em prol da defesa de toda uma infraestrutura de rede.

    • IDS -> Intruso Detectado no Sistema > alerta o usuário, somente!

     Em outras palavras, é um software que automatiza o processo de detecção de intrusão.

    [...]

    Pra que ele serve?

    É usado para monitorar e proteger redes detectando atividades mal-intencionadas e relatando-as a um grupo ou contato, como um administrador de rede. Uma vez que as atividades desse tipo são detectadas, um administrador é alertado.

    [...]

    Como ele funciona?

    O sistema analisa o tráfego da rede em busca de assinaturas que correspondam a ciberataques conhecidos.

     Além disso, compara flags definidas em um cabeçalho TCP com boas e más combinações conhecidas de flags.

    [...]

    Onde ele deve ser instalado?

    IDS é o primeiro sistema de detecção de intrusão que deve ser instalado no perímetro da rede de computadores de uma organização, ou seja, entre a rede local e a Internet.

    [...]

    Questão:

    Um IDS permite criar regras com o objetivo de monitorar aumentos anormais de tráfego de rede; além dessa funcionalidade, ele ainda pode alertar o responsável pela segurança, caso ocorram tais anomalias. CERTO ☑

    [...]

    ____________

    Fontes: Universidade Federal do RJ; Questões da CESPE; Colegas do QC.

  • ALÉM DISSO, SQL INJECTION SE DÁ NA CAMADA DE APLICAÇÃO, ENTÃO O CORRETO SERIA O UM NIPS.

  • IDS - Identifica, detecta e informa o usuário.

  • IPS - Pitbull que ataca e te pega antes

    IDS - Doguinho fofo que só late

  • dois irmãos: O IDS faz o fuxico e o IPS protege
ID
1848964
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o item subsequente a respeito das tecnologias de firewalls, IDS (intrusion detection system) e virtualização.

Em sistemas virtualizados, escape to host ou guest-to-host virtual machine escape são ataques em que o atacante explora vulnerabilidades normalmente associadas ao virtualizador, rompendo o isolamento das máquinas virtuais e acessando o host.

Alternativas
Comentários

  • 1.6 - Vulnerabilidades da Virtualização

    Falhas e erros de segurança são comuns em qualquer sistema, porém, existem certas falhas que ocorrem apenas nas máquinas virtuais, algumas destas falhas ocorrem devido a configurações, outras devido à arquitetura. A seguir, a definição de algumas falhas encontradas nas VMs:

     
    1.6.1 - VM Escape

    Este erro está relacionado ao isolamento existente entre as VMs e entre as VMs e a máquina host. No VM Escape esse isolamento é totalmente comprometido, uma aplicação que está sendo executada em uma máquina virtual pode ignorar a camada virtual e ter acesso diretamente à máquina host, tendo acesso a maquina host ele foge das restrições às máquinas virtuais, resultando em uma quebra de segurança. Para solucionar esse problema e evitar esse problema de segurança, é necessário realizar uma configuração detalhada dos privilégios e restrições das máquinas virtuais.

     

    1.6.2 - Monitoramento de VM por outra VM

    Este erro também está relacionado ao isolamento entre as VMS. Ele ocorre quando uma VM consegue ter acesso às informações de recursos de outra VM e monitorá-los. Um exemplo é quando uma VM consegue rastrear e redirecionar os pacotes de rede de outra máquina guest utilizando um ataque ARP-Poisoning. Esse tipo de ataque envia uma resposta falsa ARP a uma solicitação ARP original, com essa resposta falsa o aparelho responsável pela transmissão dos pacotes de rede pode enviar os dados que estariam direcionados ao guest 1 para o guest 2, tendo assim o guest 2 acesso às informações particulares do guest 1 (VIEIRA, 2008). Autenticar o tráfego de rede, inclusive entre as VMs, é uma solução para evitar este tipo de erro.

  • 1.6.3 - Negação de Serviço

    Erro relacionado ao compartilhamento de recursos entre as máquinas virtuais e a máquina física. Quando uma máquina guest está consumindo a maioria ou todos os recursos do sistema em que está hospedado, e outra máquina guest solicita a utilização de recursos, ocorre então à negação de serviço, isso porque não há recursos disponíveis para serem utilizados. Para evitar a negação de serviço é necessária uma correta configuração das máquinas virtuais, para evitar que uma VM consuma todos os recursos disponíveis.

     

    1.6.4 - Ataque guest para guest

    É um ataque que consegue possuir o privilégio de administrador do hardware, com isso, ele consegue se transferir de uma VM para outra após quebrar o framework de segurança.

     

    1.6.5 - Modificações externas do hypervisor

    O funcionamento correto do hypervisor garante o isolamento e a segurança necessária para a execução de aplicações nas máquinas virtuais. Uma alteração realizada de maneira incorreta ou o mau funcionamento dele faz com que haja uma quebra na segurança do sistema e possa afetar o funcionamento de algumas aplicações. A utilização de hypervisors seguros, não permitir alterações do hypervisor não autorizadas e solicitar uma validação do hypervisor pelas máquinas virtuais são algumas das soluções para evitar este erro (SAHOO; MOHAPATRA; LATH, 2010).

    Fonte: http://aberto.univem.edu.br/bitstream/handle/11077/981/tcc%20corrigido.doc

  • Falhas de segurança em maquinas virtuais

     

    Virtual machine escape is the process of breaking out of a virtual machine and interacting with the host operating system.

     

    Ataque guest para guest É um ataque que consegue possuir o privilégio de administrador do hardware, com isso, ele consegue se transferir de uma VM para outra após quebrar o framework de segurança.

     

    Modificações externas do hypervisor  O funcionamento correto do hypervisor garante o isolamento e a segurança necessária para a execução de aplicações nas máquinas virtuais. Uma alteração realizada de maneira incorreta ou o mau funcionamento dele faz com que haja uma quebra na segurança do sistema e possa afetar o funcionamento de algumas aplicações.

     

    Negação de Serviço Um guest solicita recursos que estão sendo utilizados por outro guest.

     

    Monitoramento de VM por outra VM Este erro também está relacionado ao isolamento entre as VMS. Ele ocorre quando uma VM consegue ter acesso às informações de recursos de outra VM e monitorá-los. Um exemplo é quando uma VM consegue rastrear e redirecionar os pacotes de rede de outra máquina guest utilizando um ataque ARP-Poisoning. Esse tipo de ataque envia uma resposta falsa ARP a uma solicitação ARP original, com essa resposta falsa o aparelho responsável pela transmissão dos pacotes de rede pode enviar os dados que estariam direcionados ao guest 1 para o guest 2, tendo assim o guest 2 acesso às informações particulares do guest 1 (VIEIRA, 2008). Autenticar o tráfego de rede, inclusive entre as VMs, é uma solução para evitar este tipo de erro.

  • Gabarito CERTO p/ não assinantes.

  • GABARITO: CERTO.

  • Intrusion Detection System (IDS)

     Do Português - Sistema de Detecção de Intrusão - é um sistema que possibilita a coleta e o uso de informações dos diversos tipos de ataques em prol da defesa de toda uma infraestrutura de rede.

    • IDS -> Intruso Detectado no Sistema > alerta o usuário, somente!
    • (Late, porém não morde! rsrs)

     Em outras palavras, é um software que automatiza o processo de detecção de intrusão.

    [...]

    Pra que ele serve?

    É usado para monitorar e proteger redes detectando atividades mal-intencionadas e relatando-as a um grupo ou contato, como um administrador de rede. Uma vez que as atividades desse tipo são detectadas, um administrador é alertado.

    [...]

    Como ele funciona?

    O sistema analisa o tráfego da rede em busca de assinaturas que correspondam a ciberataques conhecidos.

     Além disso, compara flags definidas em um cabeçalho TCP com boas e más combinações conhecidas de flags.

    [...]

    Onde ele deve ser instalado?

    IDS é o primeiro sistema de detecção de intrusão que deve ser instalado no perímetro da rede de computadores de uma organização, ou seja, entre a rede local e a Internet.

    [...]

    Questões Cespianas:

    1} Um IDS permite criar regras com o objetivo de monitorar aumentos anormais de tráfego de rede; além dessa funcionalidade, ele ainda pode alertar o responsável pela segurança, caso ocorram tais anomalias. (CERTO)

    2} Os sistemas de detecção de intrusos consistem em ferramentas auxiliares, utilizadas para evitar que determinados programas verifiquem a existência de portas TCP abertas em um computador e venham a invadi-lo por intermédio delas. (CERTO)

    3} Um IDS (Intrusion Detection System) pode ser usado para detectar varreduras de porta e de pilha TCP, além de ataques de DoS, de inundação de largura de banda, de worms e de vírus. (CERTO)

    4} Um sistema de detecção de intrusão (intrusion detection system – IDS) consegue detectar comportamentos maliciosos tanto em computadores individuais quanto em redes de computadores. (CERTO)

    [...]

    ____________

    Fontes: Universidade Federal do RJ; Questões da CESPE; Colegas do QC.

  • GAB. CERTO

    Em sistemas virtualizados, escape to host ou guest-to-host virtual machine escape são ataques em que o atacante explora vulnerabilidades normalmente associadas ao virtualizador, rompendo o isolamento das máquinas virtuais e acessando o host.

  • Sei nem errar.

  • Pois eu errei.

  • O melhor comentário é a própria questão.

ID
1848967
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o item subsequente a respeito das tecnologias de firewalls, IDS (intrusion detection system) e virtualização.

Os NFGW (next generation firewalls) se diferenciam dos firewalls UTM (unified threat management), entre outras características, pelo uso da tecnologia DPI (deep packet inspection), que analisa pacotes de dados até a camada de aplicação, e por trazer inteligência externa aos firewalls.

Alternativas
Comentários

  • Gabarito: Certo

    A sigla está errada - é NGFW - mas a definição bate:

     

    A Next-Generation Firewall (NGFW) is an integrated network platform that combines a traditional firewall with other network device filtering functionalities such as an application firewall using in-line deep packet inspection (DPI), an intrusion prevention system (IPS) and/or other techniques such as SSL and SSH interception, website filtering, QoS/bandwidth management, antivirus inspection and third-party integration (i.e. Active Directory).

     

    https://en.wikipedia.org/wiki/Next-Generation_Firewall

     

  • O gabarito da questáo deveria ter sido mudado pois ela está ERRADA. O erro nao reside na descricao das características dos NGFW, que está correta, mas sim na comparacao com UTM. DPI não é privilégio dos NGFWs, também podendo ocorrer em solucões UTM. A questão estaria correta se a redacao fosse: Os NFGW (next generation firewalls) se diferenciam dos firewalls tradicionais....

  • Certo.

    Para enriquecer...

     

    Next-Generation Firewall vs. Firewall Tradicional

     

    Nesse momento vem a pergunta, quais são as diferenças na prática?

     

    Diferentemente de um modelo tradicional de firewall que faz controle de IP de origem, IP de destino, porta de origem, porta de destino e flags somente, um Next Generation Firewall vai além, com análises mais profundas no pacote que é trafegado por ele. Vamos a alguns exemplos práticos:

    Em um NGFW[3][4], é possível analisar se um download que está sendo feito contém algum tipo de ameaça, tipo um ransomware ou outro malware qualquer, conhecido (que já tenha uma assinatura) ou desconhecido (zero day), esse último a análise é feita através de uma sandbox local ou na nuvem, sendo extremamente importante possuir técnicas anti-evasivas.

     

    Em uma outra situação o NGFW agrega função de IPS, ou seja, agrega funções que enxergam dentro dos pacotes de rede se existe alguém mal intencionado tentando explorar vulnerabilidades em algum serviço que rode na sua infraestrutura, por exemplo, apache, RDP, Oracle, Tomcat, JBoss, SSH, Nginx, SQL Server e muitos outros.

     

    Outra funcionalidade extremamente importante é a de URL Filtering, onde é possível controlar o acesso a milhares de sites não desejados, com base nas políticas da empresa, e evitar incidentes de segurança, uso indevido dos recursos de rede da empresa (uso de torrents e Streaming, por exemplo) e outras situações não desejadas.

     

    Prevenção contra vazamento de dados (DLP) sensíveis para o negócio. 

    Em resumo as features básicas são essas:

    VPN and mobile device connectivity

    Identity and computer awareness

    URL filtering

    Application control

    Intrusion and threat prevention

    Data Loss Prevention

    SSL Inspection

     

    Indo um pouco mais além na parte técnica, esse tipo de firewall consegue chegar com sua inspeção na camada 7 do modelo OSI.

  • A diferença é entre NGFW e FW UTM... Todo Mundo comentou comparando o NGFW à Firewall Comum...

    FALA SÉRIO !



  • Os dois são uma evolução do firewall tradicional, o qual se baseia unicamente nos parâmetros TCP/IP - IP e Porta. De acordo com Gartner, 2015:

    UTM - Unified Threat Management: Sistema de Prevenção de Firewall - Intrusão (IPS) - Rede Virtual Privada - VPN, Segurança de Gateway Web (filtragem de URL, antivírus Web) e segurança de mensagens (anti-spam, e-mail). Adequado para pequenas e médias empresas e tem um menor custo em relação ao NGFW.

    NGFWs, firewalls de próxima geração, são Deep Inspection Firewall (DPI): Identifica aplicativos  independentemente da porta ou protocolo - Identifica usuários utilizando serviço de diretório (ex. integração com Active Directory) e não apenas o endereço IP - Usa informações de outras fontes fora (externa) do firewall para tomar decisões de bloqueio. Sendo assim, são indicados para ambientes de grande intensidade de tráfego, especialmente empresas complexas, telecomunicações e outras que centralizam uma quantidade grande de trânsito de dados (data centers). 

    Gabarito: Certo.

  • firewall UTM analisa a camada de aplicação? se sim (e eu sei que sim), então essa não é uma diferença.

  • E o que seria essa inteligencia externa?

  • DPI

    https://pt.wikipedia.org/wiki/Deep_packet_inspection

    Tive que pesquisar, nunca tinha visto isso.

    Matéria infinita

  • Estamos aqui após o concurso da PRF 2021. hahaha

  • Na prova da PRF, eu pensei que era um firewall novo, que nem existia ainda ...

    PRF/21: O firewall da próxima geração (NGFW) dispõe, em um mesmo equipamento, de recursos como IDS (intrusion detection system), IPS (intrusion prevention system) e antivírus. (Gab preliminar: CERTO / Atualização: Questão anulada)

  • CERTO

    O Next Generation Firewall (ou FIREWALL DA PRÓXIMA GERAÇÃO) é um novo conceito de firewall de alto nível em segurança da informação, repleto de recursos e integrando a dezenas de funcionalidades, assim como nas ferramentas UTM. No entanto, o NGFW é capaz de realizar análises mais profundas. Além disso, ele é mais simples e elimina a necessidade de processos complexos.

    De acordo com o Gartner “Os firewalls de última geração (NGFWs) são firewalls de inspeção profunda de pacotes que vão além da inspeção e bloqueio de portas / protocolos para adicionar inspeção no nível do aplicativo, prevenção de intrusões e trazer inteligência de fora do firewall.

    De modo geral um Next-Generation Firewall reúne ao menos estas funcionalidades integradas, conforme artigo da itflex Tecnologia (disponível em: https://www.itflex.com.br/o-que-e-um-next-generation-firewall-e-quais-os-beneficios/#:~:text=Um%20Next%2DGeneration%20Firewall%2C%20ou,redes%20%C3%A0s%20quais%20ele%20gerencia):

    – DPI (Deep Packet Inspection)

    – AVC (Application Visibility and Control)

    – Webfilter (Filtragem de URL)

    – Inspeção SSL / HTTPS

    – Antivírus embutido

    – Relatórios de navegação

    – SD-WAN e controle dinâmico de banda.

    – IDS / IPS (Intrusion Detection System – IDS) (Intrusion Prevention System – IPS)

    – Controle integrado de autenticação (Single sign-on)

    – VPN SSL – OpenVPN e IPSEC

    – Controle de permissões e auditoria de administração do FW

  • E a galera chorando no concurso da PRF... kkkk Questão desse tipo cobrada la em 2015, e parece que em 2021 esse firewall ainda é do futuro

  • Afinal, o NFGW possui antivírus ou não?

  • Será que ele é mesmo do futuro? kkkk

  • vi essa questão depois da PRF21 é f#$@

  • Esse artigo aqui explica bem sobre o NGFW

    https://digitalguardian.com/blog/what-next-generation-firewall-learn-about-differences-between-ngfw-and-traditional-firewalls

ID
1850566
Banca
Marinha
Órgão
CAP
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Qual o dispositivo que gera alerta quando observa tráfegos potencialmente mal intencionados?

Alternativas
Comentários

  • Intrusion Detection System - IDS: refere-se aos meios técnicos de descobrir em uma rede acessos não autorizados que podem indicar a ação de um cracker ou até mesmo de funcionários mal intencionados.

     

    @papirobizurado

  • Gabarito E

    IDS (Intrusion detection System) é um sistema de detecção de Intrusão na rede que geralmente trabalha no modo passivo. O seu modo Inline é conhecido como IPS (Intrusion Prevention System) que é capaz de fazer a detecção em tempo real.

    Em outras palavras o IDS é um sistema de configurações e regras que tem como objetivo gerar alertas quando detectar pacotes que possam fazer parte de um possível ataque.

    Existem diversos tipos de ferramentas IDS para diferentes plataformas, mas basicamente trabalham analisando os pacotes que trafegam na rede e comparando-os com assinaturas de ataques ou anomalias conhecidas, evitando que possa ocorrer danos em sua rede/computador.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • IDS - Sistema de identificação de usuário.

    Passivo -> Sniffer -> Coletar dados em tempo real

    Detecta e alerta administradores sobre atividades suspeitas.

    Ex: Uso de modens sem autorização.

ID
1892512
Banca
IF-SE
Órgão
IF-SE
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre os dispositivos de segurança da informação, é CORRETO afirmar que:

Alternativas
Comentários

  • (C)

    IDS

    Do inglês Intrusion Detection System. Programa, ou um conjunto de programas, cuja função é detectar atividades maliciosas ou anômalas.

    cartilha.cert.br

ID
1892533
Banca
IF-SE
Órgão
IF-SE
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Um IDS é:

Alternativas
Comentários

  • Conceitualmente, o IDS é passivo, não impede a invasão, apenas informa o ocorrido, e o IPS é ativo, podendo realizar contra ataques.

    Vamos na fé.

  • Marquei por eleminação, mas achei a definição fraca.

  • A) Um sistema que monitora o tráfego e detecta se a rede está tendo acessos não autorizados.

  • @Sávio Luiz: não é correto falar que o IPS faz "contra-ataques". O que ele faz é ajustes nas configurações da rede de modo a tornar o ataque inócuo, ou pelo menos reduzir sua eficácia. Se a rede sofrer um DoS ele não vai responder com outro DoS, e sim alterando configurações dos equipamentos para preservar a disponibilidade dos serviços. 

ID
1932331
Banca
FCC
Órgão
TRT - 14ª Região (RO e AC)
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Um Analista sugeriu corretamente instalar, como mecanismo de segurança da informação, um

Alternativas
Comentários

  • Tentando esclarecer um pouco

    A) Servidor firewall à frente do VPN. O servidor firewall seria conectado à intranet e o VPN seria posicionado entre o servidor firewall e a internet para bloquear totalmente os acessos indevidos. - Nenhum serviço é capaz de bloquear totalmente acessos indevidos.

    B) Filtro de conteúdo, para analisar todo o tráfego que circula entre a rede local e a internet, impedindo o acesso a sites utilizando bloqueio por palavra-chave, por URL ou por horário. Correto

    C) Sistema de Prevenção de Intrusão − IDS, um sistema passivo que examina o tráfego e informa sobre ameaças, após o firewall. - O erro da questão está em falar IDS quando o certo seria IPS.

     D) Sistema de Detecção de Intrusão − IPS antes do firewall, para analisar ativamente o fluxo de tráfego que entra na rede e realizar ações de bloqueio automaticamente. O erro da questão está em falar IPS quando o certo seria IDS.

    E) Roteador IP com recurso de NAT no ponto de conexão entre a VPN e a internet, para converter endereços IPv6 de computadores da VPN em endereços IPv4 da internet. - Se a questão falasse em converter endereços IPv4 da rede interna em IPv6 da internet eu marcaria essa questão. Eu entendo que o conceito está invertido.

     

    Pessoal, esse é o meu entendimento, se discordarem, por favor digam onde errei, afinal, estou aqui para aprender.

  • @Marcos Antonio, os erros em A são que, ao informar que o firewall está à frente do VPN:

     - o firewall NÃO é conectado à intranet;

     - o VPN não está entre o firewall e a internet.

    É o contrário. Sequência correta da LAN à internet: LAN (intranet), VPN, firewall, internet.

  • Não achei boa a definição de que o filtro de conteúdo analisa "todo o tráfego que circula entre a rede local e a internet", tendo em vista que normalmente ele é posicionado para fazer a inspeção dos protocolos HTTP e HTTPS em uma rede. A segunda parte da questão está correta, que seria o papel de um software como SQUID, por exemplo.

    Eu atribuiria a função de análise de TODO tráfego a um IPS posicionado em linha entre a rede local e a internet.

    Para mim, a questão deveria ser anulada.

ID
1949743
Banca
FUNCAB
Órgão
PC-AC
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Um tipo de ameaça que é detectável de forma direta por sistemas de detecção de intrusão (IDS em inglês) éa(o):

Alternativas
Comentários

  • O sistema de deteção de instruções (IDS) -  é um elemento importante na defesa de uma rede de computadores porque permite detectar - Varreduras de portas na camada de transporte

     

    Fonte: Prova Analista Judiciário - Análise de Sistemas banca : IESES

  • IDS também pode detectar keylogger. Através da assinatura do software

ID
1965787
Banca
IDECAN
Órgão
UFPB
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Na segurança de redes, principalmente em redes corporativas, o sistema de detecção de intrusão, ou IDS (Intrusion Detection System) é um componente com importância vital. Ele tem a capacidade de detectar diversos tipos de ataque e intrusões, auxiliando na proteção do ambiente, sendo que sua localização deve ser definida com bastante cuidado. Existem dois tipos primários de IDS: HDIS (Host-Based Intrusion Detection System), baseado em host, e o NDIS (Network-Based Intrusion Detection System), baseado em rede. São alguns pontos fortes do HDIS, EXCETO:

Alternativas
Comentários

  • O HIDS é instalado diretamente no ativo a ser monitorado, onde ocorrerão as análises de logs, messages, syslogs, wtmp, etc. Portanto, o monitoramento ocorre única e exclusivamente na plataforma em que ele está configurado e não há essa visão de monitoramento distribuído.

  • "O monitoramento pode ser fornecido por múltiplas plataformas" É uma característica do NIDS:

    https://books.google.com.br/books?id=AamSIJuLc34C&pg=PA271&lpg=PA271&dq=HIDS+keyboard+attack&source=bl&ots=Y0AjifdtR_&sig=AOVBq37aNyETBu-J93QzSn9Sl4U&hl=pt-BR&sa=X&ved=0ahUKEwjNtdqPr8HXAhVDkJAKHSngCpQ4ChDoAQgvMAE#v=onepage&q=HIDS%20keyboard%20attack&f=true

  • Alternativa correta: B. 

     

    Portabilidade de plataforma não é uma característica de um HIDS. Isso é característica do NIDS. 

ID
2105059
Banca
FCC
Órgão
Prefeitura de Teresina - PI
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

IDSs são recursos para identificar adequadamente as invasões de ataques em uma rede. O IDS de Estação (Host) se caracteriza por

Alternativas
Comentários

  • Vantagens dos IDS baseados em estação:

                - Como podem monitorar eventos localmente, os IDS de estação conseguem detectar ataques que não conseguem ser detectados por IDS de rede;
                - Trabalham em ambientes onde o trafego seja criptografado, desde que os dados sejem encriptados na estação antes do envio ou decriptados nos host após o recebimento;
                - Não são afetados por switches;

    Desvantagens dos IDS baseados em estação:

                - São de difícil monitoramento, já que em cada estação deve ser instalado e configurado um IDS;
                - Podem ser desativados por DoS;
                - Recursos computacionais são consumidos nas estações monitoradas, com diminuição do desempenho;
                - O IDS pode ser atacado e desativado, escondendo um ataque, se as fontes de informações residirem na estação monitorada;


    FONTE: http://www.gta.ufrj.br/grad/07_2/rodrigo_leobons/hids.html

  • A letra B também responde, visto que o ides não leva em conta pacotes criptografados.

ID
2136835
Banca
FCM
Órgão
IF Sudeste - MG
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

O sistema de detecção de intrusão é um componente essencial em um ambiente cooperativo. Sua capacidade de detectar diversos ataques e intrusões auxilia na proteção do ambiente (Nakamura, 2001).

Dentre os sistemas de detecção e de prevenção de intrusão, o sistema que trabalha, capturando pacotes da rede e realizando a análise de acordo com padrões ou assinaturas conhecidos, além de ser capaz de detectar intrusões com base em registros e em eventos do sistema, é o

Alternativas
Comentários

  • Gabarito: C.

     

    HIDS (Host IDS) - tráfego em um computador. "[...]  além de ser capaz de detectar intrusões com base em registros e em eventos do sistema."

     

    NIDS (Network IDS) - tráfego do segmento da rede. "[...] capturando pacotes da rede."

     

    As características do sistema de detecção mencionadas no enunciado são de ambos HIDS e NIDS. Quando isso ocorre, trata-se de um sistema híbrido:

     

    Híbrido (Hybrid IDS) - HIDS e NIDS combinados.