SóProvas



Questões de IPS (Intrusion Prevention System)


ID
101941
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2007
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a segurança de hosts e redes, julgue os itens
seguintes.

Roteadores de borda, firewalls, IDSs, IPSs e VPNs são alguns dos principais elementos do perímetro de segurança da rede.

Alternativas
Comentários
  • Conceito:Uma rede adicionada entre a rede interna e a externa com o objetivo deprover uma camada adicional de segurança.Esta rede “perímetro” é chamada de DMZ, que significa De-Militarized Zone (nomeada assim por similaridade com a separação da Korea do Norte e do Sul, acreditem ou nao :)Pode ser implementada de maneiras diferentes de acordo com:- a Política de Segurança;- o que precisa ser protegido;- o nível de segurança necessário;- o orçamento de segurança;- outros fatores.Realizada com elementos de rede, que podem ser combinados de várias maneiras para proteger a rede interna.Um único roteador poderia ser usado.Implementada segundo uma topologia, na qual um roteador de perímetro é a primeira linha de defesa e um Firewall é a segunda linha de defesa.Roteadores de perímetro são usados para implementar a parte da política de segurança de rede que especifica como a rede interna será conectada à rede externa.Roteador de PerímetroProtege o Firewall.Funciona como alarme, se ele próprio ou um Host de Segurança for invadido.O Firewall é usado para criar uma DMZ protegida, colocando Hosts de Segurança em uma outra interface do Firewall.Pode utilizar regras de filtragem de pacotes para restringir o acesso a serviços TCP/IP e aplicativos.Listas de Controle de Acesso (ACL) são usadas para implementar as regras de filtragem.Ponto principal do controle de acesso a redes internas.Recursos de segurança:- autenticação de usuário,- autorização de usuário,- proteção contra endereços de origem/destino desconhecidos,- oculta endereços IP internos,- rastreiam atividade dentro e fora do roteador,- administradores podem implementar política de segurança no perímetro.
  • Gabarito CERTO mas a questão está ERRADA, reflexo de teorias em contradição encontradas na pobre literatura nacional, de pouco cunho prático e escasso rigor acadêmico. Há aqui uma confusão no conceito básico de perímetro. O que define perímetro de redes são firewalls, roteadores de borda e bridges (e os softwares e firmwares associados). Se a questão ficasse restrita a um ou mais destes elementos estaria correta. Perímetro tem a ver com endereçamento, não com funcionalidades de segurança. O problema é que alguns produtos comerciais expandem este conceito por razões de marketing, e pelo visto algum autor endossa isso, afinal a questão está CERTA e deve ter passado por recursos. Mas eu pergunto como a redação dessa questão pode estar correta, se sistemas tipo IDS/IPS operam DENTRO do perímetro, procurando ameaças em curso ou iminentes, e excepcionalmente comparam o fluxo de dados interno com uma cópia do fluxo externo (ou seja, ANTES e DEPOIS do firewall) verificando se uma ameaça passou pelo firewall, e muitas vezes alarmando um ataque muitos minutos após a tentativa? E o que dizer de VPN, que vai de um host numa rede para um host noutra rede por um túnel na "via pública", mas cujas extremidades estão no interior seguro da rede, ou então em sua DMZ, que está fora do perímetro de segurança mesmo quando definida com um firewall exclusivo? É só pesquisar pelos recentes exploits de VPN para certificar-se que estas não compõem o perímetro. Um mínimo de rigor invalida o CERTO imputado à questão. Na verdade, se considerada ERRADA, teria sido uma questão fácil, pois aplicações tipo IDS, IPS e VPN, não operam no perímetro, não o caracterizam e menos ainda o compõem, ao contrário do que uma pesquisa apressada no Google possa afirmar. Infelizmente tenho visto isso em questões do Cespe relacionadas à segurança de rede (todas CERTAS no gabarito), como uma questão que diz que "trojans abrem backdoors", ou uma que cita "IDS por uso incorreto" como sinônimo de "IDS por detecção de anomalia de tráfego", e outra - a pior - confundindo análise de tráfego com inspeção de assinatura em payload, por exemplo. Dica para quem é do ramo (não vale para os clicadores de mouse): se citar firewall, IPS, IDS, NBA, antivirus, proxy, proxy as firewall, NAT, IPSec, etc, a não ser que se tenha muita certeza é melhor deixar a questão em branco, pois a possibilidade de um gabarito absurdo é muito grande. Não adianta entrar com recursos, eles não são acatados, e a razão deve ser existirem literaturas nacionais justificando bobagens desse gênero, neste caso expandindo o conceito de perímetro até ele abarcar toda a rede, ou pelo menos abarcar qualquer host da rede que contenha um aplicativo de segurança.

  • A questão está correta.

    "É importante entender onde o perímetro da rede existe e quais tecnologias são usadas contra as ameaças. A segurança perimetral é tratada por várias tecnologias diferentes, incluindo roteador de borda, firewalls, sistemas de detecção de intrusão e sistemas de prevenção, VPNs."

    https://studyhelp.com.br/categories/ensaios/ciencia-da-computacao/o-sistema-de-seguranca-da-rede-de-perimetro-computer-science-essay

  • Cesp falou em VPN , usou o S (IDSs, IPSs) item certo . ok

  • Eu acho q o nosso coleguinha Luciano está redondamente enganado no seu conceito. Segundo[1], "Os firewalls podem ser utilizados na implementação do conceito de defesa em profundidade. Nesse conceito, são definidos perímetros de segurança em camadas. As camadas mais externas têm menores restrições de segurança, enquanto que as camadas mais internos têm maiores restrições".

    E em q consiste essas camadas? Justamente nesses itens q ele despreza no comentario(VPN, IDS, antivirus etc)

    Fonte:

    [1] Seguranca da Informacao Descomplicada, Socrates Filho

  • Um pouco do resumo que montei fazendo questões sobre o assunto:

    Todos os dados que trafegam através da VPN são encriptados, o que elimina o risco inerente à transmissão via internet. Com a VPN, o risco na transmissão é muito pequeno. Através da VPN, pode-se imprimir em impressoras da rede remota, da mesma forma que se faria com uma impressora local.

     

    Uma VPN, rede formada por circuitos virtuais, pode utilizar-se corretamente de infraestruturas de redes públicas com protocolos de segurança implementados como IPSEC e L2PT, por exemplo, com o uso de protocolos de segurança, criptografia e firewall.

     A utilização de VPN (virtual private network) entre o usuário e o ponto de acesso que difunde o sinal em uma rede wireless garante confidencialidade e integridade ao tráfego da rede;

    Remote Access VPN é o nome dado a uma  (VPN) que pode ser acessada remotamente através de um provedor. Esta tecnologia permite o acesso à  ou  de uma empresa, por funcionários localizados remotamente, através de uma infraestrutura compartilhada. Uma "Remote Access VPN" pode utilizar tecnologias analógicas, de discagem (), ,  (Digital Subscriber Line),  móvel e de cabo, para fazer a conexão segura dos usuários móveis, telecomutadores e filiais.

    As redes privadas virtuais podem ser configuradas também como um meio substituto ao acesso remoto tradicional.

    Outra forma de remote-access-VPN é quando o túnel VPN é iniciado no provedor de acesso, que faz o papel de provedor VPN.

    Por questões de segurança, quando um servidor de VPN está à frente de um firewall e conectado à Internet, filtros de pacotes devem ser configurados na interface Internet do servidor de VPN para permitir somente tráfego VPN de e para o endereço IP daquela interface. Esta configuração evita que recursos da Intranet sejam compartilhados com usuários de Internet não conectados ao servidor VPN;


ID
204808
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a dispositivos de segurança de redes, julgue os
próximos itens.

Os IDS e IPS embasados em detecção por assinatura podem apresentar ocorrência de falsos-positivos, sendo mais severos os efeitos nos IPS que nos IDS.

Alternativas
Comentários
  • As consequências podem ser mais graves para as redes que utilizam IPS, pois o IPS executará contramedidas baseado em alarmes falsos.

  • Lembrando que enquanto o IDS apenas detecta, o IPS além de detectar toma medidas.

  • IDS pode tomar medidas SIM!!! porém essas medidas são posteriores ao ataque e não preventivas como geração de alertas e até mesmo interrupção de fluxo



    várias questões corroboram pra isso


    Ano: 2014Banca: CESPEÓrgão: TJ-SE

    A detecção de intrusão compreende medidas proativas na proteção de sistemas computacionais.

    errada



    2014

    A detecção de intrusão abrange formas de resposta, tais como a geração de alertas e a interrupção dos fluxos de dados maliciosos.

    certa



    2011 - (CESPE – TJ-ES/2011 – Analista Judiciário – Análise de Suporte – 93)

    IDS (intrusion detection system) pode ser utilizado para incrementar o trabalho do firewall e permitir que o tráfego de dados de uma rede seja monitorado para correção imediata de problemas ou falhas

    certa





    e mais outras questões para ajudar



    http://www.itnerante.com.br/group/seguranadainformao/forum/topics/cnj-2013-ids-cespe

  • Essa relação/diferenciação entre IDS e IPS é bem polêmica.

    Já fiz várias questões sobre o assunto e, por fim, é visível que não há um consenso. Isso porque ora consideram o IDS totalmente passivo, ora é considerado com alguma capacidade de resposta.

    De qualquer forma, na maioria dos casos das questões, o IDS é visto, normalmente, como passivo, e o IPS como ativo, realizando contra-ataques e medidas de bloqueio.

    Vamos na fé.

  • Sávio,

     

    Entenda que há um hiato entre passivo e reativo. Falar que o IDS é passivo significa que ele cruza os braços mediante um evento. Em contrapartida, o que é característica mesmo do IDS é ser reativo, visto que ele emite um alerta ou solicita uma ação de outra ferramenta de segurança (ex.: firewall) ao receber um evento.

     

    Abraço!

  • Pq assinatura? Não seria baseada em comportamento não ? por anomalias

  • o falso-positivo ocorre quando um fluxo normal de dados é considerado como um ataque. No entanto, ambos

    podem apresentar falsos-positivos, sendo os efeitos mais severos no IPS que no IDS. Por que? Porque – diante de um falso- positivo - o IDS apenas gerará uma alerta na ocorrência normal, mas permitirá o tráfego de dados; já o IPS bloqueará uma ocorrência normal, impedindo o tráfego de dados (Correto).

  • GABARITO CORRETO!

    .

    .

    Um sistema de detecção de intrusão trabalha como uma câmera ou um alarme contra as intrusões, podendo realizar a detecção com base em algum tipo de conhecimento, como assinaturas de ataques, ou em desvios de comportamento.

    NAKAMURA, 2011.


ID
208975
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca dos dispositivos de segurança de redes de computadores,
julgue os itens subsequentes.

A ocorrência de falsos positivos normalmente acarreta consequências mais graves para as redes que utilizam IDS do que para aquelas que usam IPS.

Alternativas
Comentários
  • As consequências podem ser mais graves para as redes que utilizam IPS, pois o IPS executará contramedidas baseadas em alarmes falsos.

  • O falso positivo ocorre quando um tráfego normal é caracterizado pelo sistema como uma tentativa de intrusão. Nesse caso, o IDS - Intrusion Detection System, só irá identificar a intrusão. Ao passo que o IPS - Intrusion Prevention System - irá tomar medidas de prevenção como finalização de sessões TCP e alteração de uso de largura de banda, o que causará impacto no desempenho da rede. Portanto, o item está ERRADO, já que as consequências serão mais graves nas redes que usam IPS, do que nas redes que usam IDS.

  • Questão inteligente. aí sim.

  • Ano: 2010Banca: CESPEÓrgão: Banco da AmazôniaProva: Técnico Científico - Tecnologia da Informação

    Os IDS e IPS embasados em detecção por assinatura podem apresentar ocorrência de falsos-positivos, sendo mais severos os efeitos nos IPS que nos IDS.

    certa

  • Questão curta, mas que, apesar de não parecer à primeira vista, exige conhecimento e análise cuidadosa.

     

    Vamos na fé. 

  • IDS é como aqueles sensores em porta de loja, se você não colocar um segurança olhando, o meliante passa correndo o alarme dispara e nada acontece.

    IPS é como uma porta giratória de banco, se ele identificar algo suspeito ele trava.

    fonte : colega do QC Edluise Costa

    Deste modo, entendo que um falso positivo no IPS será mais danoso pois vai travar a rede toda (visto que ele é reativo a ataques), ao passo que um falso positivo no IDS apenas soará um alarme falso.

  • Falsos-positivos são eventos que normais que são identificados como anormais! O IDS apenas

    detectará, mas não reagirá contra esse evento normal, logo as consequências são mais brandas; já

    o IPS detectará e reagirá contra esse evento normal, logo as consequências são mais graves.

    Gabarito: Errado

  • Os IDS e IPS embasados em detecção por assinatura podem apresentar ocorrência de falsos-positivos, sendo mais severos os efeitos nos IPS que nos IDS.


ID
249544
Banca
CESPE / CEBRASPE
Órgão
DETRAN-ES
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere à segurança em redes de computadores, julgue os
itens a seguir.

As ferramentas de IDS (sistemas de detecção de intrusão) atuam de forma mais proativa que as ferramentas de IPS (sistemas de prevenção de intrusão).

Alternativas
Comentários
  • Detectar é reativo e não proativo. Errado.

     

  • Sem maiores delongas, a definição é exatamente o contrário do que diz a questão.
  • IDS é como aqueles sensores em porta de loja, se você não colocar um segurança olhando, o meliante passa correndo o alarme dispara e nada acontece.

    IPS é como uma porta giratória de banco, se ele identificar algo suspeito ele trava.

    Logo o IPS é mais proativo.

    GAB: ERRADO

  • Nunca! Vejamos:

    IPS efetuam bloqueios e outras atividades, enquanto IDS apenas emitem uma notificação.

  • Gabarito: ERRADO

    A diferença básica entre um Intrusion Detection System (IDS) para um Intrusion Prevention System (IPS) é que os sistemas de prevenção são ativos, enquanto os sistemas de detecção são passivos. Enquanto o IDS informa sobre um potencial ataque, o IPS promove tentativas de parar o ataque. Um outro grande avanço sobre o IDS é que o IPS tem a capacidade de prevenir invasões com “assinaturas” conhecidas, mas também pode impedir alguns ataques não conhecidos, devido a sua base de dados de “comportamentos” de ataques genéricos. Visto como uma combinação de IDS e de uma “camada de aplicação Firewall” para proteção, o IPS geralmente é considerado a geração seguinte do IDS.



    Fonte: ESTRATÉGIA CONCURSOS

  • Gabarito: E

    Aqui vai uma dica 'macete'.

    reativo e proativo --> o P é de IPS

    isso me ajudou bastante na memorização.

  • (E)

    Conceitos invertidos. Fazendo a reescritura:

    As ferramentas de  IPS (sistemas de prevenção de intrusão) atuam de forma mais proativa que as ferramentas IDS (sistemas de detecção de intrusão)(C)

    Outra questão sobre o mesmo tema que ajuda a responder:

    Os sistemas IDS (intrusion detection system) e IPS (intrusion prevention system) utilizam metodologias similares na identificação de ataques, visto que ambos analisam o tráfego de rede em busca de assinaturas ou de conjunto de regras que possibilitem a identificação dos ataques.(C)

  • IDS

    Em português, Sistema de Detecção de Intrusão – trata-se de um dispositivo

    passivo que monitora a rede, detecta e alerta quando observa tráfegos

    potencialmente mal-intencionados, mas não os bloqueia.

    IPS

    (INTRUSION PREVENTION SYTEM)

    Em português, Sistema de Prevenção de Intrusão – trata-se de um dispositivo

    reativo ou proativo que monitora a rede, detecta e bloqueia quando observa

    tráfegos potencialmente mal intencionados.


ID
252199
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação aos ataques e aos dispositivos de segurança,
julgue os itens subsequentes.

IDS e IPS detectam intrusões com alta precisão, porém diferem pelo fato de o segundo atuar bloqueando o tráfego, quando algum evento relevante é detectado.

Alternativas
Comentários
  • Questão esquisita, tanto IDS quanto IPS detectam intrusão, sendo o IPS ativo ao contrario do IDS, no meu conceito a questao deveria ser marcada como correta.
  • A questão afirma que a diferença do IPS para o IDS é que o IPS bloqueia tráfegos. Não é essa a única diferença. A ação tomada pelo IPS pode ser outra: alteração de regras de firewall, alteração de regras do QoS, mudança de rotas, etc...

    Por ser restritiva, a questão está ERRADA
  • Concordo com o Marques. Será que esse já é o gabarito definitivo?
  • Eu marquei essa questão como errada, pois para mim IDS e IPS não tem alta precisão (eles tem boa precisão). O que falar do problema do alto número de falso-postiivos qnd utilizado o método de behavior-detection. Essa foi minha linha de raciocínio. 

    Bons estudos a todos!!
  • Com certeza marcaria essa questão como certa, afinal o que define a precisão ou não (tanto de um IDS quanto IPS) é a configurção do  mesmo.
  • O IDS é uma ferramenta passiva, que somente monitora o tráfego e alerta o adm no caso de intrusão. Alguns IDS são reativos, ou seja, se algo de errado for detectado ele encerra a sessão (bloqueia o tráfego). Já o IPS é ativo e possui um conjunto de regras que serão usadas quando uma intrusão ocorrer.
  • O erro está ao afirmar que apenas o segundo é capaz de bloquear o tráfego.
    O IDS no modo passivo apenas gera logs. Mas no modo reativo, é capaz de finalizar sessões de usuário ou reconfigurar o firewall, bloqueando o tráfego também.

    Fonte: http://www.npd.ufes.br/node/87
  • O erro não seria que o IDS DETECTA e o IPS Previne? Assim os dois não detectam... já que um deles teroricamente nem deixa que a intrusão ocorra. Eu segui essa linha de raciocinio.
  • Os sistemas IDS e IPS não são altamente eficazes, tampouco altamente precisos, por causa da existência de falsos positivos e falsos negativos.
  • Na prática, basta ver a quantidade de falsos positivos geradas por esses dois tipos de sistema: se fossem de alta precisão não haveria tantos e  seriam muito mais automatizados. Obviamente, esses sistemas melhoram a cada dia, implementando funções como correlação de eventos mais confiáveis, mas ainda longe de serem altamente precisas. Exemplo disso é a evolução dos módulos de segurança e gerência de redes do IBM Tivoli. 
  • O erro realmente deve estar quando a acertiva afirmar que a diferença está no fato de o IPS bloquear o trafego e o IDS não. Essa não é a diferença, conforme já foi mencionado acima. O IDS em modo reativo pode/vai trabalhar em conjunto com um firewall, bloquando trafego. A questão é que o IDS REAJE ao ataque, enquanto que o IPS pode bloquear de imediato, sendo, portanto, ATIVO e não REATIVO.
  • acho que o erro está em dizer que o ips bloqueia quando detecta algum evento relevante. neste caso ele estaria sendo reativo, quando na verdade ele é proativo, age antes do ataque. e outro detalhe, eu notei que o cespe considera o IDS somente passivo, ou seja, capaz de notificar e agir pós ataque

  • IPS não detecta somente o que é relevante não, é uma das desvantagens dele o que resolve a questão, ele bloqueia qualquer coisa que aparecer no farol.


    Há tecnologias no mercado que trabalham com IPS de forma diferenciada do que a questão afirma.

  • GABARITO ERRADO!

    .

    .

    Um IDS (Sistema de Detecção de Intrusão) pode ser dividido em:

    - Baseado em assinatura: onde existe uma lista com assinaturas de alguns vírus e esta assinatura precisa estar pré-configurada no host para que seja detectada um ataque. (ESSE AQUI É UMA DESVANTAGEM EM RELAÇÃO AO BASEADO EM ANOMALIAS).

    - Baseado em anomalias: onde é feito um perfil de um host com um comportamento padrão para aquele host. Assim se no monitoramento for detectado um comportamento anormal será gerado um alerta.

  •  "Um dispositivo que gera alertas quando observa tráfegos potencialmente mal-intencionados é chamado de sistema de detecção de invasão (IDS, do inglês intrusion detection system). Um dispositivo que filtra o tráfego suspeito é chamado de sistema de prevenção de invasão (IPS, do inglês intrusion prevention system)." Kurose, Redes de computadores, ED6, p. 544.

    vai entender essa cespe... ¯\_(ツ)_/¯

  • Baita questão subjetiva.

  • O erro é que o IPS é PROATIVO, por tratar comportamento, acaba gerando muitos falsos positivos, logo ele não tem uma alta precisão.

  • Como a maioria dos IPS utilizam o método baseado em comportamento, isso implica em uma taxa mais elevada de falso positivos e negativos, o que contraria a afirmação de alta precisão.

    Fonte: Estratégia Concursos.


ID
314593
Banca
FCC
Órgão
TRT - 1ª REGIÃO (RJ)
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação a ferramentas e protocolos de segurança, é INCORRETO afirmar:

Alternativas
Comentários
  • Questão "E" é a resposta incorreta.

    IPSec é um protocolo que opera sob a camada de rede (ou camada 3) do modelo OSI.

    Outros protocolos de segurança da internet como SSL e TLS é que operam desde a camada de transporte (camada 4) até a camada de aplicação (camada 7).
  • O IPSEC é um protocolo que opera somente na camada de rede, diferentemente de outros protocolos como o SSL e TLS. Eles operam desde a camade de transporte até a de aplicação.

ID
320368
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a sistemas de proteção IDS, IPS e VLANs, assinale a opção correta.

Alternativas
Comentários
  • Os Intrusion Detection Systems (IDS) fazem o monitoramento de redes baseado em padrões previamente estabelecidos pelo administrador. Caso achem alguma anomalia, um aviso (trigger) é disparado para o administrador tomar alguma ação.

    Já os Intrusion Prevention Systems (IPS), estes são mais "inteligentes" que os IDS devido ao fato de tomarem ações baseado em análise heurísticas do tráfego de rede. Ou seja, eles não precisam de uma intervenção humana para que seja tomada uma ação efetiva.

    Gabarito: A

  • D) tu pode matar, mas não pode algemar.

  • ids - chihuahua

    ips - pitbull


ID
328669
Banca
FUNIVERSA
Órgão
SEPLAG-DF
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Um IPS (Intrusion Prevention System), de forma geral, é um equipamento auxiliar no gerenciamento e segurança da rede, instalado em determinado ponto de passagem de tráfego de uma rede de computadores. Assinale a alternativa que apresenta apenas funções que podem ser realizadas por um IPS.

Alternativas
Comentários
  • sistema de prevenção de intrusões, do inglês Intrusion prevention system (IPS), evoluíram no final dos anos 1990 para resolver as ambiguidades no monitoramento de rede passivo, ao colocar a detecção em linha. A princípio, o IPS era apenas um sistema de detecção de intrusos (IDS) que possibilitava alguma interação com o firewall para controlar o acesso. Em pouco tempo foi necessário desenvolver algo mais robusto, pois apenas comandar o firewall não bastava: ainda era possível que ao menos aquele pacote malicioso trafegasse na rede. A solução era implementar formas inteligentes de bloqueio dentro do IPS.

    Visto como uma extensão do firewall, o IPS possibilita decisões de acesso baseadas no conteúdo da aplicação - e não apenas no endereço IP ou em portas, como os firewalls tradicionais trabalham. Entretanto, nada impede que, para otimizar a performance, muitos IPS utilizem regras baseadas em portas e endereço IP.

    O IPS também pode servir secundariamente como um serviço de nível de host, prevenindo atividades potencialmente maliciosas. Existem vantagens e desvantagens, tanto no IPS baseado em host como no IPS baseado em rede. Em alguns casos, as tecnologias podem ser complementares. Porém, não se pode esquecer que grande parte da tecnologia de IPS de rede evoluiu e, hoje, pode tranquilamente exercer também as funções de host.

    A vantagem de um sistema de prevenção de intrusos está em ser um excelente detector de tráfego malicioso com uma média de falso positivo e falso negativa baixa.


ID
370723
Banca
FCC
Órgão
TCE-GO
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

A atuação integrada de equipamentos, tais como, firewalls, switches e roteadores aumentam a segurança da rede, diminuindo os riscos, por meio de utilização de po- líticas, regras, geração de logs, etc. Entretanto, esse nível pode ser melhor ainda quando ferramentas como IDS (Intrusion Detection System) e IPS (Intrusion Prevention System) são utilizadas. Nesse contexto, considere:

I. O IPS é um sistema de prevenção e proteção contra as intrusões e não apenas de reconhecimento e sinalização das intrusões, como a maior parte dos IDS.

II. O HIDS é um tipo de IDS instalado para alertar sobre ataques ocorridos aos ativos da rede, por meio do monitoramento das conexões de entrada para tentar determinar se alguma destas conexões pode ser uma ameaça.

III. Nas análises do tráfego da rede, o IDS tem como função verificar os padrões do sistema operacional e de rede, tais como, erros de logins, excesso de conexões e volume de dados trafegando no segmento de rede e ataques a serviços de rede.

Está correto o que se afirma APENAS em

Alternativas
Comentários
  • Acredito que a III esteja errada. Pois no meu entendimento o IDS pode ser HDIS (host) ou NIDS(Network)... um analisa uma maquina especifica e o outro verifica a rede. Assim, como diz no início da afirmativa III, "na análise da rede", logo seria um NIDS, e o NIDS não verifica os padrões de um sistema operacional. Alguém pode comentar isso!!!???

  • Thiago, acho que a análise é diferente. Na III, ele quer dizer: "no caso de analisar o tráfego da rede, o IDS...". Ou seja, a questão não está dizendo que o IDS analisa apenas a rede.


    Quanto ao item II, fiquei na dúvida. O HIDS analisa somente o host, mas não é isso mesmo que a II fala? Ou será que está dizendo como se uma aplicação na rede analisa host a host?

  • Tiago 

    Sua justificativa não invalida a questão ....

    O examinador falou do gênero (IDS), portanto abre o conceito para ser quaisquer uma das espécies (NIDS ou HIDS)

    []'s
  • Host-Based Intrusion Detection System (HIDS): Este tipo de IDS é instalado em um host que será alertado sobre ataques ocorridos contra a própria máquina.O IDS host-based monitora as conexões de entrada no host e tenta determinar se alguma destas conexões pode ser uma ameaça.

     

    II. O HIDS é um tipo de IDS instalado para alertar sobre ataques ocorridos aos ativos da MÁQUINA (host), por meio do monitoramento das conexões de entrada para tentar determinar se alguma destas conexões pode ser uma ameaça. 


ID
459328
Banca
FCC
Órgão
INFRAERO
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação aos sistemas de proteção de rede,

Alternativas
Comentários
  • http://www.linuxsecurity.com.br/sections.php?op=viewarticle&artid=5
  • Alguem saberia dizer o que esta errado na alternativa "A"?
    afinal este é um exemplo do que um HIDS faz, detecta tentativas de invasão em um Host.

    Já na letra "C" acredito que haja um erro. O stateful firewall não impede um ataque de replay de este for feito através de uma coneção TCP válida.
    Por exeplo:
    1- Atráves de um sniffer obtenho a autenticação de um usuário quando este conecta-se a aplicação. (admitindo que a aplicação possua um sistema de autenticação fraco como por exemplo trafegar o hash da mensagem)
    2- Conecto-me a aplicação
    3- Passo a autenticação que gravei com a utilização do Sniffer.

    Mesmo com um firewall de estado no meio desta coneção este nada poderia fazer.
    Qual o erro em meu raciocínio nesta questão??
  • stateful inspection firewalls é analisar o tráfego ao nível do IP e TCP/UDP, construindo tabelas de estado das ligações à Internet para prevenir os ataques do tipo spoofing, replaying, entre outros.
  • Bernardo, realmente um HIDS detecta tentativas de invasão em um Host. Mas um usuário lá na aplicação fazendo login? Sem chance né?
  • Creio que se a autenticação é de rede, então o log com o evento vai estar em um servidor da rede, não no Host. Assim, não será detectado pelo H-IDS.
  • Pesquisando sobre o item E, o único erro é trocar a palavra appliance por arcabouço.


    Os appliances NAC, que são divididos em in-line e out-of-band, são integrados de forma mais simples, porém provêem as principais funções da arquitetura NAC. Os arcabouços NAC compõem uma arquitetura mais elaborada, pois integram soluções de terceiros na infra-estrutura de rede envolvendo switches next generation com suporte à tecnologia NAC.

    Fonte: http://www.philipegaspar.com/2007/03/nac-perspectivas-para-uma-rede-mais_27.html


ID
630883
Banca
FCC
Órgão
TRE-PE
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação a firewall, IPS e IDS é correto afirmar:

Alternativas
Comentários
  •     a) NIDS HIDS são instalados em servidores para analisar o tráfego de forma individual em uma rede, tais como, logs de sistema operacional, logs de acesso e logs de aplicação. (NIDS - Network IDS - Analisa apenas tráfego de rede e não logs de aplicação)

        b) O IDS IPS usa sua capacidade de detecção e algumas funcionalidades de bloqueio, típicas de um firewall, para notificar e bloquear eficazmente qualquer tipo de ação suspeita ou indevida.

        c) O firewall do tipo Roteador de Barreira IPS/IDS não examina cada pacote, em vez disso, compara o padrão de bits do pacote com um padrão sabidamente confiável.

        d) Poder avaliar hipertextos criptografados, que, normalmente, não são analisados por firewalls tradicionais de rede, constitui uma vantagem do firewall de aplicação. (Correto)

        e) Um conjunto IDS/IPS instalado em um switch pode ser considerado do tipo HIDS/HIPS NIDS/NIPS, dada a sua atuação na detecção e prevenção de intrusões com base no comportamento e no histórico do tráfego de dados do dispositivo de rede. (HIDS/HIPS - Host IDS/IPS - Analisa os logs de máquinas)
  •  a implantação de um firewall não exclui a necessidade de um IDS/IPS e vice-versa. O firewall vai controlar a sua visibilidade na rede (e fazer o controle de acesso). Já o IDS vai monitorar as atividades suspeitas, que já passaram pelo firewall. O IPS vai um pouco além e atua pró-ativamente quando é detectada uma intrusão ou atividade maliciosa.
  • Firewall de aplicação é mais conhecido como Proxy de aplicação. Os Proxy de aplicação vão até a camada de aplicação e são especializados em protocolos de aplicaão, o que possibilita a descriptografia e análise de hipertextos.
  • Como exatamente um firewall de aplicação examina algo que está criptografado?

  • flashfs ', através da troca dos certificados, isto é bem comum em organizações maiores.

    A requisita a B um endereço C

    B percebe que C é um servidor seguro

    B requisita o conteúdo de C como se ele fosse o cliente.

    B inicia uma negociação de troca de chaves com A e apresenta o certificado para A como se ele fosse o servidor C

    C responde um conteudo criptografado a B.

    B sabe ler o conteúdo, pois foi ele quem fez o pedido para C.

    B devolve a resposta a A, porém essa resposta agora é criptografada com a chave privada de B.

    A sabe ler o conteúdo de B, pois foi em quem fez o pedido para B.

    A sabe o que o certificado foi trocado, eles são diferentes do certificado original de C, só que você adiciona à lista de certificados confiáveis o certificado de B, por isso a comunicação funciona normalmente.

  • a) FALSO, pois a descrição corresponde ao HIDS (host-based intrusion detection system);

    b) FALSO, pois a descrição corresponde ao IPS (Intrusion Prevention System);

    c) ficarei devendo o comentário dessa assertiva;

    d) CORRETO;

    e) FALSO, pois a descrição corresponde ao NIDS/NIPS (Network Intrusion Detection System/Network Intrusion Prevention System)

ID
645244
Banca
FCC
Órgão
TJ-PE
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Análise de comportamento de redes, ou NBA, da sigla, em inglês, Network Behavior Analysis, é uma técnica que examina o tráfego da rede em busca de ameaças que geram fluxos não usuais, como DdoS e violações de políticas da empresa ou um sistema cliente provendo serviços de rede para outros sistemas. Essa técnica de análise é uma característica

Alternativas
Comentários
  • IDS baseadas em rede, ou network-based, monitoram os cabeçalhos e o campo de dados dos pacotes a fim de detectar possíveis invasores no sistema, além de acessos que podem prejudicar a performance da rede. A implantação de criptografia (implementada via SSL,IPSec e outras) nas transmissões de dados como elemento de segurança prejudica esse processo.
  • IPS é a sigla para "Intrusion Prevention System" ou sistema de prevenção de invasão. IDS é a sigla para "Intrusion Detection System" ou sistema de detecção de invasão. Ambos são termos-chave, entre outros, no contexto de "invasão" de computadores, redes e sistemas de informação.
     
    Termo usado em segurança de computadores, a detecção de intrusão (ou invasão) se refere aos processos de monitoramento de atividades em computadores e redes e de análise dos eventos na busca por sinais de invasão nos sistemas relacionados.  Uma questão importante, um foco, na procura por invasões ou acessos não autorizados é alertar os profissionais de TI e os administradores de sistemas da organização para potenciais ameaças e falhas de segurança dos sistemas ou das redes.
     
    De modo geral, IDS é uma solução passiva de segurança ao passo que IPS é uma solução ativa de segurança. Porém, vale notar que há sistemas passivos e reativos. Em um sistema passivo, O IDS detecta uma potencial violação da segurança, registra a informação (log) e dispara um alerta. Em um sistema reativo, o IDS responde à atividade suspeita finalizando a sessão de usuário ou reprogramando o Firewall para bloquear o tráfego de rede da fonte maliciosa suspeitada.
     
    IPS é uma solução ativa de segurança. IPS ou sistema de prevenção de invasão é, definitivamente, o nível seguinte de tecnologia de segurança com sua capacidade para fornecer segurança em todos os níveis de sistemas, desde o núcleo do sistema operacional até os pacotes de dados da rede. O IPS provê políticas e regras para o tráfego de rede - juntamente com um IDS para emitir alertas para administradores de sistemas e redes em caso de tráfego suspeito - mas permite também que administradores executem ações relacionadas ao alerta dado. Enquanto o IDS informa sobre um potencial ataque, o IPS promove tentativas de parar o ataque. Um outro grande avanço sobre o IDS é que o IPS tem a capacidade de prevenir invasões com “assinaturas” conhecidas, mas também pode impedir alguns ataques não conhecidos, devido a sua base de dados de “comportamentos” de ataques genéricos. Visto como uma combinação de IDS e de uma “camada de aplicação Firewall” para proteção, o IPS geralmente é considerado a geração seguinte do IDS.
  • IDS (intrusion detection system) detecta intrusões e acessos que violam a política estabalecida, e de quebra envia um report to a Management Station.
  • Protocolos IPS e IDS podem ser de 4 tipos:

    NIPS (Netword Intrusion Prevention System): monitora toda a rede em busca do tráfego malicioso baseado nas atividades dos protocolos de rede

    WIPS (Wireless Intrusion Prevention System): monitora redes sem fio baseado em protocolos wireless

    NBA (Network Behavior Analisys): examina o comportamento geral da rede de forma a detectar padrões que possam ser caracterizados como ameaças (Dos, ets...)

    HIPS (Host Intrusion Prevention System): monitora um único host em busca de atividades suspeitas

ID
697297
Banca
FCC
Órgão
TRE-SP
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre os Sistemas de Prevenção de Intrusão (IPS) é correto afirmar:

Alternativas
Comentários
  • Intrusion prevention systems (IPS), also known as intrusion detection and prevention systems (IDPS), are network security appliances that monitor network and/or system activities for malicious activity. The main functions of intrusion prevention systems are to identify malicious activity, log information about said activity, attempt to block/stop activity, and report activity. [1]

    Intrusion prevention systems are considered extensions of intrusion detection systems because they both monitor network traffic and/or system activities for malicious activity. The main differences are, unlike intrusion detection systems, intrusion prevention systems are placed in-line and are able to actively prevent/block intrusions that are detected. [2][3]More specifically, IPS can take such actions as sending an alarm, dropping the malicious packets, resetting the connection and/or blocking the traffic from the offending IP address.[4] An IPS can also correct Cyclic Redundancy Check (CRC) errors, unfragment packet streams, prevent TCP sequencing issues, and clean up unwanted transport and network layer options.

  • Sistemas de Prevenção de Intrusão

    Como descrito no nome ajuada a prevenir a intrusão, seus métodos são proativos trabalhando na rede validando todo 
    tráfego 
  • Como vi em outro comentário aqui no QC. 

    IDS é como detector numa porta de loja, se não tiver um segurança, o meliante foge. 

    IPS é que nem porta giratório de banco, detectou alguma coisa diferente, bloqueia. 

  • Creio que o item D tentou fazer uma referência ao host vs network based IPS/IDS. 

     

  • IDS inline = IPS baseado em rede

     

    Fonte: Nakamura


ID
754033
Banca
FCC
Órgão
MPE-AP
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Para garantir a segurança de uma rede é recomendável adotar medidas de prevenção, detecção e reação aos ataques. São mecanismos de prevenção:

Alternativas
Comentários
  • IDS = Sistema de detector de intrusos.

    Scanning por antivírus não é mecanismo de prevenção, pois ocorre quando a máquina já está contaminada. 

    IPS = Sistema de prevenção de invasão.
  • Essa questão não está correta.
    Embora o nome IPS signifique Intrusion Prevention System, o fato é que, tecnicamente, o IPS é capaz não apenas de detectar invasões como também de tomar medidas apropriadas (fechar portas, desabilitar contas etc.), assim, no contexto do enunciado, seria uma medida de detecção e também de reação aos ataques.
    É considerado como uma extensão do IDS - Intrusion Detection System, que apenas monitora a rede para detectar invasões e, se for o caso, alertar o responsável, que seria uma medida de detecção.
    (Fonte: Guide to Intrusion Detection and Prevention Systems (IDPS) - Recommendations of the National Institute of Standards and Technology, disponível em: http://csrc.nist.gov/publications/nistpubs/800-94/SP800-94.pdf)
    Quanto às alternativas:
    a) IDS (detecção), auditoria (detecção) e controle de autorização (prevenção).
    b) IDS (detecção) e scanning por antivírus (detecção). 
    c) IPS (detecção e reação), Firewalls (prevenção) e encriptação (prevenção). 
    d) Auditoria (detecção), QoS (não é medida de segurança) e procedimentos de resposta automática (reação). 
    e) IPS (detecção e reação), IDS (detecção) e procedimentos de resposta automática (reação).
    A alternativa C seria correta se a opção apresentasse somente Firewalls e encriptação.
    O IPS deveria estar em alguma opção para tentar confundir o candidato que apenas soubesse o significado da sigla, mas não conhecesse seu funcionamento. Mas aparentemente, nem o examinador, ou a pessoa que criou a questão, sabem o que é um IPS.
    A questão deveria ser anulada, mas a verdade é que uma questão assim mostra a falta de capacidade e conhecimento daqueles que supostamente deveriam nos avaliar. 
    Infelizmente, em todas as bancas, somos obrigados a lidar com questões às vezes feitas por quem não têm de fato conhecimento técnico, que usam fontes informais para criar questões, e aparentemente não são revisadas por quem entende.
  • Meu caro colega, obviamente não há nada de errado com a questão. É uma questão simples de lógica.
    Ela está perguntando: "são mecanismos de prevenção?". Ora, se eu te perguntasse agora, para você me dar uma resposta SIM ou NÃO: O IPS é um mecanismo de prevenção? Sua resposta seria SIM. Portanto a questão está perfeita.

    Se ele também faz detecção, ou vira cambalhota, isso não vem ao caso nesta questão.
  • Também estava com o pensamento parecido com o Andressito, que um IPS seria principalmente detecção e reação, porém, depois de pensar um pouco, ler novamente a questão e traduzir IPS (sistema de prevenção de intrusão), concordo com o colega rpalladino, não importa as outras funções de um IPS, temos que focar simplesmente no que pede a questão, sendo assim, além de Firewalls e encriptação, o IPS também é de prevenção, inclusive está em seu nome!
  • Ids nao eh proativo. 

     

    Ele eh reativo

     

     

    emitindo alerta por exemplo

  • Encriptação é mecanismo de reação??? Questão meio estranha.

  • Estudar para essa banca além de competência do concurseiro tem que ter sorte em marcar questão, pois essa banca só pode tá de brincadeira em elaborar uma questão dessas!


ID
883189
Banca
CESPE / CEBRASPE
Órgão
TJ-AC
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere a redes de computadores e ferramentas para
Internet, julgue os itens subsequentes.

O IPS (Intrusion Prevention System) e o IDS (Intrusion Detection System) são ferramentas de rede que, respectivamente, protegem a rede interna de ataques externos e antivírus em cloud para Internet.

Alternativas
Comentários
  • Resposta: Errado

    O que significam as siglas IPS e IDS, no contexto de redes de computadores?

    IPS é a sigla para "Intrusion Prevention System" ou sistema de prevenção de invasão. IDS é a sigla para "Intrusion Detection System" ou sistema de detecção de invasão. Ambos são termos-chave, entre outros, no contexto de "invasão" de computadores, redes e sistemas de informação.

    Termo usado em segurança de computadores, a detecção de intrusão (ou invasão) se refere aos processos de monitoramento de atividades em computadores e redes e de análise dos eventos na busca por sinais de invasão nos sistemas relacionados.  Uma questão importante, um foco, na procura por invasões ou acessos não autorizados é alertar os profissionais de TI e os administradores de sistemas da organização para potenciais ameaças e falhas de segurança dos sistemas ou das redes.

    De modo geral, IDS é uma solução passiva de segurança ao passo que IPS é uma solução ativa de segurança. Porém, vale notar que há sistemas passivos e reativos. Em um sistema passivo, O IDS detecta uma potencial violação da segurança, registra a informação (log) e dispara um alerta. Em um sistema reativo, o IDS responde à atividade suspeita finalizando a sessão de usuário ou reprogramando o Firewall para bloquear o tráfego de rede da fonte maliciosa suspeitada.

    IPS é uma solução ativa de segurança. IPS ou sistema de prevenção de invasão é, definitivamente, o nível seguinte de tecnologia de segurança com sua capacidade para fornecer segurança em todos os níveis de sistemas, desde o núcleo do sistema operacional até os pacotes de dados da rede. O IPS provê políticas e regras para o tráfego de rede - juntamente com um IDS para emitir alertas para administradores de sistemas e redes em caso de tráfego suspeito - mas permite também que administradores executem ações relacionadas ao alerta dado. Enquanto o IDS informa sobre um potencial ataque, o IPS promove tentativas de parar o ataque. Um outro grande avanço sobre o IDS é que o IPS tem a capacidade de prevenir invasões com “assinaturas” conhecidas, mas também pode impedir alguns ataques não conhecidos, devido a sua base de dados de “comportamentos” de ataques genéricos. Visto como uma combinação de IDS e de uma “camada de aplicação Firewall” para proteção, o IPS geralmente é considerado a geração seguinte do IDS.

    Fonte: http://www.npd.ufes.br/node/87

  • IPS e IDS  são dois sistemas de detecção de intrusão. A diferença básica entre um e outro é que o primeiro (IPS) além de emitir alertas sobre uma possível intrusão é capaz de bloquear um ataque, já o IDS não tem essa capacidade, ele apenas emite alertas.
  • Intrusão -> em redes de computadores, equivale à entrada não autorizada de um computador na rede, com o objetivo de comprometer, danificar ou roubar informações.
    IDS (Intrusion Detection System) -> é um hardware ou software que monitora um sistema ou uma rede contra atividades não autorizadas. Um IDS é uma ferramenta que sabe ler e interpretar arquivos de log e tráfego de firewall, servidores e outros dispositivos de rede. Suas funções incluem monitorar, detectar a presença de atividade não autorizada e gerar de alertas.
    IPS (Intrusion Prevention System) -> é um hardware ou software que realiza alguma ação quando o IDS gera um alerta em decorrência da detecção de uma atividade não autorizada. Essas ações, têm como objetivo bloquear ataques antes que eles alcancem seu alvo. Por exemplo, bloquear o IP de origem do ataque.
  • Questão totalmente errada. IPS e IDS possuem a finalidade de detecção de tráfego malicioso com uma diferença: 

    IDS - tem comportamente passivo, ou seja, detecta e alarma apenas.
    IPS - faz o que o IDS faz, mas também pode bloquear, se necessário e configurado para isso. 
  • IPS = prevenção e ataque ! ''Pitbull''

    IDS = avisa , ''Poodle"

  • gab: E

    Os Sistemas de Detecção de Intrusão (IDS) analisam o tráfego da rede em busca de assinaturas que correspondam a ciberataques conhecidos. Os Sistemas de Prevenção de Intrusões (IPS) também analisam pacotes, mas podem impedir que esses pacotes sejam entregues com base nos tipos de ataques detectados – ajudando a interromper o ataque.

    O IDS não altera os pacotes de rede de nenhuma maneira, já o IPS impede que o pacote seja entregue com base em seu conteúdo, da mesma forma como um firewall impede o tráfego por endereço IP.

  • uma guerra de ego do car$#lho. 57 comentários sobre os "conceitos" de IPS/IDS, iguais, praticamente, e ninguém respondendo absolutamente NADA da questão.

  • Os IDS e IPS embasados em detecção por assinatura podem apresentar ocorrência de falsos-positivos, sendo mais severos os efeitos nos IPS que nos IDS.


ID
883291
Banca
CESPE / CEBRASPE
Órgão
TJ-AC
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens a seguir, a respeito de aplicativos usados no combate
a pragas virtuais.

Sistemas de prevenção à intrusão (IPS) e sistemas de detecção de intrusão (IDS) são sistemas concebidos com os mesmos propósitos. A diferença entre eles encontra-se no público-alvo. Enquanto os IPS são sistemas voltados para os usuários domésticos, os IDS focam as grandes redes corporativas.

Alternativas
Comentários
  • IDS

    Um Sistema de Detecção de Intrusão (Intrusion Detection System - IDS) é um software que automatiza o processo de detecção de intrusão.

    IPS

    Um Sistema de Prevenção de Intrusão (Intrusion Prevention System - IPS) é um software de prevenção de intrusão. Tem a capacidade de impedir possíveis incidentes.

    IDPS

    Um Sistema de Detecção e Prevenção de Intrusão (Intrusion Detection and Prevention System - IDPS) é um sistema híbrido, surgido a partir da junção dos sistemas IDS e IPS. Administradores tem a opção de desativar as funções de IPS, fazendo com que o sistema passe a funcionar apenas como IDS.

    Fonte: 
    http://www.gta.ufrj.br/grad/12_1/ids/ConceitodeIDS.html
  • QUESTÃO ERRADA

    IDS é como aqueles sensores em porta de loja, se você não colocar um segurança olhando, o meliante passa correndo o alarme dispara e nada acontece.

    IPS é como uma porta giratória de banco, se ele identificar algo suspeito ele trava.

  • O CESPE contou uma historinha para confundir. Seguem os conceitos:

    Os Intrusion Detection Systems (IDS) fazem o monitoramento de redes baseado em padrões previamente estabelecidos pelo administrador. Caso achem alguma anomalia, um aviso (trigger) é disparado para o administrador tomar alguma ação.

    Já os Intrusion Prevention Systems (IPS), estes são mais "inteligentes" que os IDS devido ao fato de tomarem ações baseado em análise heurísticas do tráfego de rede. Ou seja, eles não precisam de uma intervenção humana para que seja tomada uma ação efetiva.

    DICÃO
     
    IDS é como aqueles sensores em porta de loja, se você não colocar um segurança olhando, o meliante passa correndo o alarme dispara e nada acontece. Ao passo que, IPS é como uma porta giratória de banco, se ele identificar algo suspeito ele trava.

    Portanto, não existe essa restrição de usuário doméstico ou grandes redes corporativas. Isso é uma decisão que envolve a Política de Segurança da empresa.

    Alternativa: Errada
  • Errado! A diferença básica entre um Intrusion Detection System (IDS)

    para um Intrusion Prevention System (IPS) é que os sistemas de prevenção

    são ativos, enquanto os sistemas de detecção são passivos. Enquanto o IDS

    informa sobre um potencial ataque, o IPS promove tentativas de parar o ataque.

    Um outro grande avanço sobre o IDS é que o IPS tem a capacidade de prevenir

    invasões com “assinaturas” conhecidas, mas também pode impedir alguns

    ataques não conhecidos, devido a sua base de dados de “comportamentos” de

    ataques genéricos. Visto como uma combinação de IDS e de uma “camada de

    aplicação Firewall” para proteção, o IPS geralmente é considerado a geração

    seguinte do IDS.

  • Sim, substitua o IPS pela sua geladeira e seja feliz!

     

     

  • GABARITO: ERRADO

     

     

    Sistemas de Detecção de Intrusos (IDS) são sistemas que monitoram atividades em redes de computadores, capazes de detectar atividades suspeitas. Configura-se uma solução passiva.


    Sistemas de Prevenção de Intrusos (IPS), por sua vez, são sistemas que implementam regras e políticas para o tráfego de uma rede, capazes de prevenir e combater ataques. É uma solução ativa!

     

    ----------------------------------------------------------------------------------------------------------------------------------------------------------------------

    A diferença básica entre um Intrusion Detection System (IDS) para um Intrusion Prevention System (IPS) é que os sistemas de prevenção são ativos, enquanto os sistemas de detecção são passivos. Enquanto o IDS informa sobre um potencial ataque, o IPS promove tentativas de parar o ataque.

    Um outro grande avanço sobre o IDS é que o IPS tem a capacidade de prevenir invasões com “assinaturas” conhecidas, mas também pode impedir alguns ataques não conhecidos, devido a sua base de dados de “comportamentos” de ataques genéricos. Visto como uma combinação de IDS e de uma “camada de aplicação Firewall” para proteção, o IPS geralmente é considerado a geração seguinte do IDS.

     

     

    Prof. Victor Dalton -  Estratégia Concursos


     

  • A diferença básica entre um Intrusion Detection System (IDS) para um Intrusion Prevention System (IPS) é que os sistemas de prevenção são ativos, enquanto os sistemas de detecção são passivos. Enquanto o IDS informa sobre um potencial ataque, o IPS promove tentativas de parar o ataque. Um outro grande avanço sobre o IDS é que o IPS tem a capacidade de prevenir invasões com “assinaturas” conhecidas, mas também pode impedir alguns ataques não conhecidos, devido a sua base de dados de “comportamentos” de ataques genéricos. Visto como uma combinação de IDS e de uma “camada de aplicação Firewall” para proteção, o IPS geralmente é considerada a evolução do IDS.

    Errado!

  • Firewall (possui regras): 

    - Controle de acessos 

    - Filtro de pacotes 

    - Só ativa no cabeçalho (origem, destino) 

     

     

    IPS ou IDS – Complementam o Firewall.  

    Sistema de prevenção de intrusos e Sistema de Prevenção contra Intrusão 

    Analisam o corpo do pacote, o conteúdo. 

    Conforme regras do Firewall.   

    Analogia – Porteiro e cachorros (complementam o porteiro) vigiando a residência. Pinscher que só late e não morde.  

    IPS (ativo) – Pitbull – emite alerta e já protege. 

    IDS (passivo) – Pinscher – emite alertas (só late)

    Professor Léo Matos - Estúdio Aulas

  • IPS e IDS

    ** IDS: Sistemas de Detecção de Intrusos (IDS) são sistemas que monitoram atividades em redes de computadores, capazes de detectar atividades suspeitas. Configura-se uma solução passiva.

    ** IPS: Sistemas de Prevenção de Intrusos (IPS), por sua vez, são sistemas que implementam regras e políticas para o tráfego de uma rede, capazes de prevenir e combater ataques. É uma solução ativa!

    Os IDS podem ser classificados da seguinte forma:

    IDS baseado em host (HIDS): monitoram o sistema com base em informações de arquivos de logs ou de agentes de auditoria. Consegue detectar ataques mais simples, como os de força bruta, ou mesmo ataques criptografados, mas não identifica ataques mais sofisticados.

    IDS baseado em rede (NIDS): monitora a rede, capturando e analisando cabeçalhos e conteúdos dos pacotes, que são comparados com padrões ou assinaturas conhecidos. Como principal vantagem, está a detecção do ataque em tempo real. Por outro lado, não monitora tráfego cifrado.

    IDS híbrido: mescla a detecção baseada em rede com a detecção baseada em host, aproveitando os pontos fortes de cada abordagem e melhorando a capacidade de detecção de intrusões.

    Honeypot: o honeypot é uma ferramenta muito útil, pois pode ir além da detecção de intrusos. É uma máquina feita especialmente para sofrer ataques, passando-se por dispositivo legítimo da organização, com o objetivo de estudar o comportamento do hacker, levá-lo a uma armadilha, armar uma emboscada ou enviar informações falsas a ele.

    O comentário do(da) Colega Foco, Força e Fé completa...

    ** A diferença básica entre um Intrusion Detection System (IDS) para um Intrusion Prevention System (IPS) é que os sistemas de prevenção são ativos, enquanto os sistemas de detecção são passivos. Enquanto o IDS informa sobre um potencial ataque, o IPS promove tentativas de parar o ataque.

    ** Um outro grande avanço sobre o IDS é que o IPS tem a capacidade de prevenir invasões com “assinaturas” conhecidas, mas também pode impedir alguns ataques não conhecidos, devido a sua base de dados de “comportamentos” de ataques genéricos. Visto como uma combinação de IDS e de uma “camada de aplicação Firewall” para proteção, o IPS geralmente é considerado a geração seguinte do IDS.

    Fonte: Estratégia e outras.

    ERRO? Me avisem no CHAT!

  • (E)

    Outra que ajuda

    PF /CESPE / 2018

    Os sistemas IDS (intrusion detection system) e IPS (intrusion prevention system) utilizam metodologias similares na identificação de ataques, visto que ambos analisam o tráfego de rede em busca de assinaturas ou de conjunto de regras que possibilitem a identificação dos ataques.(C)


ID
917236
Banca
ESAF
Órgão
MF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Há diversos enfoques para um IPS – Intrusion Prevention System, um deles é baseado em

Alternativas
Comentários
  • O grande enfoque do IPS são as políticas de segurança estabelecidas, pois configurando de forma adequada, o IPS vai entender melhor quais as aplicações ou pacotes que devem ser aceitos ou quais são as ameaças possíveis.

    LETRA B

  • Temos 4 tipos de IPS:

    1. Assinatura

    2. Política

    3. Anomalia

    4. Reputação


ID
977734
Banca
FUNRIO
Órgão
MPOG
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Qual dispositivo usado na segurança de rede que investiga todo pacote que passa por ele, abrindo seu conteúdo e filtrando se necessário?

Alternativas
Comentários
  • De modo geral, IDS é uma solução passiva de segurança ao passo que IPS é uma solução ativa de segurança. Porém, vale notar que há sistemas passivos e reativos. Em um sistema passivo, O IDS detecta uma potencial violação da segurança, registra a informação (log) e dispara um alerta. Em um sistema reativo, o IDS responde à atividade suspeita finalizando a sessão de usuário ou reprogramando o Firewall para bloquear o tráfego de rede da fonte maliciosa suspeitada.

    IPS é uma solução ativa de segurança. IPS ou sistema de prevenção de invasão é, definitivamente, o nível seguinte de tecnologia de segurança com sua capacidade para fornecer segurança em todos os níveis de sistemas, desde o núcleo do sistema operacional até os pacotes de dados da rede. O IPS provê políticas e regras para o tráfego de rede - juntamente com um IDS para emitir alertas para administradores de sistemas e redes em caso de tráfego suspeito - mas permite também que administradores executem ações relacionadas ao alerta dado. Enquanto o IDS informa sobre um potencial ataque, o IPS promove tentativas de parar o ataque. Um outro grande avanço sobre o IDS é que o IPS tem a capacidade de prevenir invasões com “assinaturas” conhecidas, mas também pode impedir alguns ataques não conhecidos, devido a sua base de dados de “comportamentos” de ataques genéricos. Visto como uma combinação de IDS e de uma “camada de aplicação Firewall” para proteção, o IPS geralmente é considerado a geração seguinte do IDS.
    http://www.npd.ufes.br/node/87

  • Pode ser firewall também. Veja.Uma firewall  é um dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto da rede. O firewall pode ser do tipo filtros de pacotes.   Filtrar pacote significa  um conjunto de regras que analisam e filtram pacotes enviados por redes distintas de comunicação.
    O firewall statefull analisa todo o pacote(as 7 camadas, inclusive o conteúdo). fonte: http://pt.wikipedia.org/wiki/Firewall#Stateful_Firewall_.28ou_Firewall_de_Estado_de_Sess.C3.A3o.29
  • Gabarito E

     

    Sistema de Prevenção de Intrusão - tecnologia de segurança/prevenção de ameaças que examina os fluxos de tráfego de rede para detectar e prevenir exploits de vulnerabilidade. Os exploits de vulnerabilidade geralmente vêm na forma de entradas maliciosas em um aplicativo ou serviço alvo que os invasores usam para interromper e obter o controle sobre um aplicativo ou máquina.

     

    O IPS frequentemente se localiza diretamente atrás do firewall e proporciona uma camada complementar de análise que seleciona negativamente o conteúdo perigoso. Diferentemente de seu predecessor, o Sistema de Detecção de Intrusão (IDS) - que é um sistema passivo que examina o tráfego e informa sobre ameaças - o IPS é colocado em linha (no caminho de comunicação direto entre origem e destino), analisando ativamente e realizando ações automaticamente em relação a todo o fluxo de tráfego que entra na rede. Especificamente, essas ações incluem:

    https://www.paloaltonetworks.com.br/resources/learning-center/what-is-an-intrusion-prevention-system-ips.html


ID
985213
Banca
CESPE / CEBRASPE
Órgão
CPRM
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a ataques a redes de computadores, julgue os itens a seguir.


O correto posicionamento e configuração de um IDS/IPS representa uma medida eficaz na mitigação de ataques que exploram o payload de dados.

Alternativas
Comentários
  • Segundo Nakamura(2010,p.266),"Todos os tipos de detecção realizados pelo IDS dependem de alguns fatores:

    -Tipo de IDS.

    -Metodologia de Detecção.

    -Posicionamento dos sensores.

    -Localização do IDS na rede"

    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA- 2010

  • GABARITO CORRETO!

    .

    .

    A forma de implementar um IDS centralizado é usando um NIDS. As vantagens do NIDS encontram-se em analisar todo o fluxo de informações de uma rede de computadores, monitorando pacotes, serviços, portas, e requisições, bem como prover maior segurança, já que normalmente roda em uma máquina (física ou virtual) específica e configurada para aquela aplicação.

    .

    .

    https://www.gta.ufrj.br/grad/16_2/2016IDS/tipos.html

  • Payload refere-se à carga de uma transmissão de dados .

    É a parte principal dos dados transmitidos, da qual se excluem as informações utilizadas para facilitar a entrega, como cabeçalhos e metadados (conhecidos como "dados complementares") que podem conter, por exemplo, a identificação da fonte e do destino dos dados.


ID
1043776
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens que se seguem, relativos aos mecanismos de proteção de redes de comunicação.


Apesar de dispor de grande granularidade na identificação de datagramas com conteúdo malicioso, os sistemas de prevenção de intrusão necessitam de configuração adequada para evitar falsos- cpositivos.

Alternativas
Comentários
  • Correto.
    As exceções poderão ser adicionadas na lista de configuração do sistema de prevenção de intrusão, exatamente para evitar o bloqueio de falsos positivos.
  • Assertiva CORRETA. 


    Quer um exemplo de um falso positivo? Cole este texto em um arquivo e salve-o, seu antivírus o identificará como vírus apesar do conteúdo ser inofensivo:



    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*


    (Pode fazer isso à vontade, esse código é inofensivo).FONTE: http://pt.wikipedia.org/wiki/EICAR_(arquivo_de_teste)
  • Especialmente quando se tratar de IPS baseados em comportamento (anomalia). Nesses casos, um perfil de usuário pode ser configurado e para isso se exige a captação de muita informação sobre comportamentos e padrões. Caso contrário, requisições válidas serão tratadas como possíveis ataques ou vulnerabilidades, causando falsos-positivos.


ID
1047205
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens subsequentes, com relação a filtro de conteúdo web e prevenção à intrusão.

Os filtros de conteúdo web trabalham com base em listas de negação criadas por cada empresa a partir de estatísticas de uso da Internet pelos seus usuários internos.

Alternativas
Comentários
  • o erro da questão é em dizer que a base dos filtros de conteúdo web são listas de negação criadas por empresa. O certo seria combase em relatórios de acesso de usuários.
  • Basicamente esses filtros capturam as palavras dentro de pacotes de dados e comparam com palavras-chave de listas de negação (blacklists) e listas de liberação (whitelists) de acesso. Se há uma palavra-chave numa das listas ele permite ou nega acesso a informação. Existem listas intermediarias (greylists) que liberam acesso vindos de um determinado grupo de origem de requisição e nega para outrem.

  • Questões desse naipe ficam a critério do examinador, ele pode considerar certo, por ser a forma mais usual de se configurar um filtro de conteúdo, bem como, considerar errado, por haver configuração feitas pelo usuário, ocorre mais trabalho, mas é possível. O que faltou na questão para não deixa-la tão dúbia, foi termos como "somente, unicamente ou pode".

    Por fim, dizer que os filtros de conteúdo web trabalham com base em listas de negação criadas por cada empresa a partir de estatísticas de uso da Internet pelos seus usuários internos, não a torna errada, porque isso também é possível.  

  • edilson, errei a questão pensando que nem você. Ao analisar a questão com calma, de fato ela está errada por falar em negação. A assertiva estaria correta se estivesse escrita como: "Os filtros de conteúdo web trabalham com base em listas de classificação criadas por cada empresa a partir de estatísticas de uso da Internet pelos seus usuários internos."


    A autorização (ou negação) de acesso é feita pelo cliente de acordo com suas políticas internas. É o caso de liberar ou não acesso a streaming de vídeo (a.k.a. Youtube) ou mídias sociais. O filtro de conteúdo categoriza ambas, mas o bloqueio é feito a critério da organização.

  • Caracas, vendo vocês comentando vejo que viajei pra acertar a questão.

    Marquei errado por achar que seria mais fácil a empresa implementar uma lista branca, ou seja, apenas liberar o que é necessário ao serviço, em vez de precisar fazer pesquisas com funcionário, etc.

  • Gente, basta pensar em um proxy web, mas Acls. Elas sao criadas baseadas em políticas, e nao por estatísticas.

ID
1047208
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens subsequentes, com relação a filtro de conteúdo web e prevenção à intrusão.

Para a prevenção de ataques do tipo DDoS (negação de serviço distribuída), pode-se utilizar um IPS (sistema de prevenção de intrusão) do tipo NBA (análise de comportamento de rede)

Alternativas
Comentários
  • Sistemas de Prevenção de Intrusão - IPS: São aparelhos que monitoram o tráfego e atividades maliciosas na rede. As principais funções dos sistemas de prevenção de intrusão são identificar atividades maliciosas, registrar informações sobre as atividades, tentativas de invasões, entre outras. Sistemas de prevenção de intrusão são considerados extensões dos sistemas de detecção de intrusão, porque ajudam a monitorar e alertar toda e qualquer tentativa de ataque e/ou ações maliciosas numa rede. A diferença é que, um sistema de prevenção pode bloquear as invasões que são detectadas. Para deixar bem claro, um IPS pode tomar determinadas ações mais enérgicas, enviando alarmes, redefinindo as conexões e bloqueando o tráfego a partir de um endereço IP ofensivo e malicioso. Além disso, um IPS pode corrigir erros de CRC, fluxo de pacotes e evitar problemas de TCP e limpar opções indesejadas na camada de rede.


    Análise de Comportamento da Rede - NBA: Analisa o tráfego na rede com o objetivo de identificar ameaças que geram fluxos de tráfego incomum, como negação de serviço distribuída (DDoS), alguns tipos de malwares, e violações das políticas de segurança.

    *Fonte: http://serggom.blogspot.com.br/2012/01/intrusion-detection-system-ids.html

  • NBA youngboy

  • GABARITO CORRETO!

    .

    .

    ACRESCENTANDO:

    Os IPS e IDS são mecanismos que podem impedir ataque DDoS.

    CESPE: Apesar de dispor de grande granularidade na identificação de datagramas com conteúdo malicioso, os sistemas de prevenção de intrusão necessitam de configuração adequada para evitar falsos-positivos.

  • Gabarito: Certo ✔☠♠️⚖☕

    Intrusion Prevention System (IPS)

    Do Português - Sistema de Prevenção de Intrusos - é uma solução tecnológica que atua na precaução e no combate de ameaças em ambientes de redes, de forma mais consistente que seus antecessor: o Intrusion Detection System - IDS (Sistema de detecção de intrusos. Enquanto o IDS é considerada uma solução passiva, o IPS é uma solução ativa.

    (CESPE, 2018) O dispositivo de IPS (do inglês intrusion prevention system) utilizado em redes corporativas tem como objetivo bloquear ataques a partir da identificação de assinaturas e(ou) anomalias.(CERTO)

  • IPS NBA = Metaforando


ID
1226866
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de detecção de intrusão e de proteção contra softwares maliciosos, julgue os itens que se seguem.

A identificação de padrões por assinatura está associada à detecção de intrusão, ao passo que a identificação por anomalias comportamentais está associada aos antivírus.

Alternativas
Comentários
  • Estranho, normalmente quem usa assinatura são os antivirus e anomalias de comportamentos (rede) são detectadas pelos IPS e IDS.

  • Alguém explicar melhor essa questão? Alguém sabe de onde o examinador tirou essa questão?

  • Também achei que estava certa



    Ano: 2015
    Banca: CESPE
    Órgão: DEPEN
    Prova: Agente Penitenciário Federal - Área 7




    Com relação a segurança da informação, chaves assimétricas, sistemas de detecção de intrusão e software malicioso, julgue o item subsecutivo.


    Um sistema de detecção de intrusão de rede que se baseia em assinatura necessita que sejam carregados os padrões de assinatura de ataques, como, por exemplo, o padrão de comunicação de um determinado vírus de computador.



    certa

  • Essa questão não pode estar certa, absurdo. Os antivirus trabalham com assinaturas conhecidas, e não com anomalias, quando eles varrem o sistema em busca de virus eles estão procurando arquivos que possuam uma determinada assinatura conhecida de virus já identificados.

  • ERRADO ERRADO ERRADO ERRADO.

    Eu também discordo desta questão. AMBOS ELEMENTOS, PARA TOMAR DECISÕES, PODEM USAR TANTO ANÁLISES DE ANOMALIA QUANTO ASSINATURAS. MAS EM GERAL ANTIVÍRUS ADOTAM O USO DE ASSINATURAS. DA FORMA QUE VEIO ESCRITO NA QUESTÃO, NÃO HÁ OPORTUNIDADES PARA OUTRAS OPÇÕES PARA ENCONTRAR AÇÕES MALICIOSAS POR CADA FERRAMENTA DE SEGURANÇA, O QUE ESTÁ INCORRETO.

  • Conceitos invertidos. Gabarito errado. Faltou recurso.

  • Tem muita questão polêmica nesse assunto, complicado.

  • Achei que a questão inverteu os conceitos, embora os 2 sistemas são capazes de fazer análises comportamentais e por assinatura.

  • Conceitos invertidos

  • Questão tosca!!!

    Tanto o antivírus como dispositivos de detecção de intrusão trabalham com padrões de assinatura e busca por anomalias comportamentais. Affffffff

  • PQP !!!1

    Discordo do gabarito. A questão esta ERRADA pois os dois sistemas são capazes de fazer análises comportamentais e por assinatura.

  • Para compreender a assertiva, vamos destrinchar.

     

    A identificação de padrões por assinatura está associada à detecção de intrusão (o antivírus tem a assinatura do vírus, caso seja detectada a intrusão, o software irá realizar a varredura do vírus com as assinaturas que possuem). Certo.

     


    A identificação por anomalias comportamentais está associada aos antivírus (o antivírus possui a análise por comportamento do código, se tal comportamento for de forma anômala, o antivírus irá agir). Certo.

     

     

    Fonte: Comentários do Simulado V7 do Missão Papa Fox.

  • ERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADA

  • Não concordo de jeito nenhum com essa questão.

    Sem se aprofundar muito em conceitos, existem três tipos básicos de métodos de detecção de intrusão:

    - baseados em assinaturas ou regras;

    - baseado em anomalias;

    - baseado em adaptativos.

     

    O antivírus também pode utilizar outro métodos, em que pese a regra ser adotar o uso de assinaturas. Como o colega HTTP concurseiro faleu, da forma que a questão foi escrita não permite outras opções, logo deveria ter dado o gabarito como incorreta. 

     

    Fiz meu TCC da graduação sobre Detecção de Intrusão e agora a Cespe quer descontruir o que aprendi. 

    Cespe sendo Cespe.

     

  • Isso não é assinatura digital. É assinatura de vírus!

  • Não seria a detecção heurística? baseada no comportamento anômalo

  • Antivírus basicamente se dividem:

    1º Geração ( detecta a assinatura do vírus )

    2º Geração ( detecta o comportamento do vírus)e ambos estão embolados no conceito de antivírus.

    Questão sem sentido pra confundir e desmotivar. errada!

  • único explicação possível:

    www.youtube.com/watch?v=Qox27v4Qs9A&ab_channel

  • Não entendo como essa questão pode estar certa

    Outra questão da mesma banca

    Os sistemas de detecção de intrusão servem para fornecer avisos de invasão para que a área de segurança possa mitigar os danos ou, ainda, impedir o ataque. A esse respeito, julgue os itens a seguir.

    Honeypots são sistemas planejados para atrair um atacante para uma área diferente, longe dos sistemas críticos.

    II A detecção de intrusão permite a coleta de informações sobre as técnicas de intrusão e, portanto, pode contribuir para a melhoria da estrutura de prevenção de intrusão.

    III A detecção de intrusão é baseada na premissa de que o comportamento do intruso é diferente do comportamento de um usuário legítimo, podendo assim, ser quantificada.

    Gabarito - Letra E (Todos os itens estão certos)

    Questão de 2020

  • Típica questão: Se errou, acertou.

  • OLHA A PEDRAAAAAAAAAAAAAAAAAAAA. -CLEITON RASTAFARI

  • O gabarito dessa questão está EQUIVOCADO.

    GERAÇÕES DO ANTIVÍRUS

    ↳ 1 Geração: Assinatura (um pequeno TRECHO DO CÓDIGO do vírus)

    ↳ 2 Geração: Heurística (COMPORTAMENTO DO VÍRUS)

    • Detecta novos vírus sem a assinatura ser conhecida;
    • Analisa o arquivo sem precisar o antivírus está executando.

    ↳ 3 Geração: Interceptação de Atividade (AÇÕES DO VÍRUS)

    • Só funciona com o antivírus em execução.

    ↳ 4 Geração: Proteção Completa

    • Várias técnicas utilizadas em conjunto;
    • Usado hoje em dia.

  • Questão muuuito errada, quem acertou pode ir estudar mais.

  • Fonte: blogspot do marquinho

  • Fonte: Lan House do Tião.

  • Questão erradíssima. Concordo com o HTTP Concurseiro e posso fundamentar. Segundo Stallings (Segurança de Computadores - Princípios e Práticas, p. 200):

    "Como ocorre com um IDS, um IPS pode ser baseado em estação ou baseado em rede. Um IPS baseado em estação (hostbased IPS — HIPS) faz uso de técnicas de detecção de assinatura, bem como de detecção de anomalia para identificar ataques. No primeiro caso, o foco está no conteúdo específico de cargas úteis em pacotes de aplicação, em busca de padrões que já foram identificados como maliciosos. No caso de detecção de anomalia, o IPS está em busca de padrões de comportamento que indiquem malware".

    Recurso serve é pra isso!

  • Tirou do ** essa aí

  • O cespe pirou na batatinha.

  • Faltou foi recurso.

  • Fonte: Times New Roman

  • essa eles tiraram direto do famoso ÚC

  • Típica questão que faltou recurso. ERRADÍSSIMA


ID
1271239
Banca
MPE-RS
Órgão
MPE-RS
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação a ferramentas e sistemas destinados a prover segurança em redes de computadores, é correto afirmar que

Alternativas
Comentários
  • Nunca havia visto esta terminologia "computadores bastião", não creio que ela seja aceita internacionalmente, isso é regionalismo, inadmissível!

  • Também nunca tinha visto isso, tanto que eliminei essa alternativa de cara. Parei quando li "bastião".

    Alguém identifique, por favor, o erro da B. São as portas que estão erradas?

     

    Vamos na fé.

  • Sávio, o antivírus não faz monitoramento de ações em portas... quem faz esse papel é o Firewall.

    .

    Essa questão dava para matar por eliminação...

    Um pouquinho sobre hosts bastiões: https://technet.microsoft.com/pt-br/library/cc163137.aspx

  • É verdade, foi mole meu mesmo.

    Acredito que possa ter alguma relação com IDS/IPS também, mas aí nem vem ao caso.

    Valeu.

  • https://en.wikipedia.org/wiki/Bastion_host

    bastion host is a special-purpose computer on a network specifically designed and configured to withstand attacks. The computer generally hosts a single application, for example a , and all other services are removed or limited to reduce the threat to the computer. It is hardened in this manner primarily due to its location and purpose, which is either on the outside of a  or in a demilitarized zone () and usually involves access from untrusted networks or computers.


ID
1330009
Banca
FMP Concursos
Órgão
PROCEMPA
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Em um IDPS, Sistemas de Detecção e Prevenção de Intrusão, as técnicas que são baseadas em comparação de uma atividade (pacote ou entrada em um log de eventos) com uma lista previamente estabelecida, são classificadas como

Alternativas
Comentários
  • Eles podem funcionar baseado em assinaturas ou anomalias. Aquele que se baseia em uma comparação com listas estabelecidas são classificadas como Análise de Assinatura.

    Gabarito: Letra C

  • O IDPS é um sistema de proteção que necessita de uma lista prévia de assinaturas. Não é muito preciso justamente por isso, sendo comum identificar falsos-positivos. Se um ataque recente não contiver uma assinatura em sua lista, ele não será detectado ou será erroneamente detectado.

  • c-

    ataques por assinatura (signature-based) sao baseados em ataques conhecidos gravados em um db, fazeno a comparacao e identiticando sua existencia


ID
1347082
Banca
FGV
Órgão
TJ-GO
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Mesmo com a utilização de um firewall na rede, um dos servidores HTTP de uma empresa foi atacado. O ataque em questão pôde ser identificado e bloqueado automaticamente porque na mesma rede tinha sido instalado um:

Alternativas
Comentários
  • Os sistemas de prevenção de intrusões, do inglês Intrusion prevention systems (IPS), evoluíram no final dos anos 1990 para resolver as ambiguidades no monitoramento de rede passivo, ao colocar a detecção em linha. A princípio, o IPS era apenas um sistema de detecção de intrusos (IDS) que possibilitava alguma interação com o firewall para controlar o acesso. Em pouco tempo foi necessário desenvolver algo mais robusto, pois apenas comandar o firewall não bastava: ainda era possível que ao menos aquele pacote malicioso trafegasse na rede. A solução era implementar formas inteligentes de bloqueio dentro do IPS.

    Visto como uma extensão do firewall, o IPS possibilita decisões de acesso baseadas no conteúdo da aplicação - e não apenas no endereço IP ou em portas, como os firewalls tradicionais trabalham. Entretanto, nada impede que, para otimizar a performance, muitos IPS utilizem regras baseadas em portas e endereço IP.

    O IPS também pode servir secundariamente como um serviço de nível de host, prevenindo atividades potencialmente maliciosas. Existem vantagens e desvantagens, tanto no IPS baseado em host como no IPS baseado em rede. Em alguns casos, as tecnologias podem ser complementares. Porém, não se pode esquecer que grande parte da tecnologia de IPS de rede evoluiu e, hoje, pode tranquilamente exercer também as funções de host.

    A vantagem de um sistema de prevenção de intrusos está em ser um excelente detector de tráfego malicioso com uma média de falso positivo e falso negativa baixa.

    http://pt.wikipedia.org/wiki/Sistema_de_preven%C3%A7%C3%A3o_de_intrusos


  • Gabarito B

    O IPS – Intrusion Prevention System é uma ferramenta para detecção e prevenção de atividades suspeitas na rede. É a evolução do IDS e pode ser configurado para que ao perceber a “invasão” uma ação seja tomada (gerar uma alerta, bloquear o atacante, dropar o pacote…). Deve ficar inline na rede.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !


ID
1550083
Banca
FGV
Órgão
TCE-SE
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Um analista de segurança precisa detectar preventivamente ataques a uma determinada subrede, realizando contramedidas de forma automática. O instrumento mais adequado a realizar essa função é um:

Alternativas
Comentários
  • Sistema de detecção de intrusos ou também conhecido como Sistema de detecção de intrusão ( em inglês: Intrusion detection system - IDS) refere-se aos meios técnicos de descobrir em uma rede acessos não autorizados que podem indicar a ação de um cracker ou até mesmo de funcionários mal intencionados.


    Firewalls são aplicativos ou equipamentos que ficam entre um link de comunicação e um computador, checando e filtrando todo o fluxo de dados. Esse tipo de solução serve tanto para aplicações empresariais quanto para domiciliar, protegendo não só a integridade dos dados na rede mas também a confidencialidade deles.


    Os Sistemas de Prevenção de Intrusão ou IPS atuais possuem a habilidade de identificar e bloquear ameaças e softwares maliciosos antes que estes possam adentrar sua rede, protegendo-a das mais sofisticadas técnicas de invasão.


    Proxy é um servidor (um sistema de computador ou uma aplicação) que age como um intermediário para requisições de clientes solicitando recursos de outros servidores. Um cliente conecta-se ao servidor proxy, solicitando algum serviço, como um arquivo, conexão, página web ou outros recursos disponíveis de um servidor diferente e o proxy avalia a solicitação como um meio de simplificar e controlar sua complexidade. Os proxies foram inventados para adicionar estrutura e encapsulamento a sistemas distribuídos.


    Filtro de pacotes é um conjunto de regras que analisam e filtram pacotes enviados por redes distintas de comunicação.

  • Grosso modo:

    IDS: Detecção (passivo)

    IPS: Prevenção (ativo - uma evolução do IDS).

  • Gabarito C

    IPS- INTRUSION PREVENTION SYSTEM


    O IPS("Intrusion Prevention System"): é uma rede de segurança que monitora dispositivo de rede e / ou sistema de actividades maliciosas ou indesejado comportamento e pode reagir, em tempo real, para bloquear ou impedir essas actividades. Rede de base IPS, por exemplo, irá funcionar em linha para monitorar todo o tráfego de rede para um código malicioso ou ataques. Quando um ataque é detectado, ele pode cair a ofender pacotes permitindo assim o tráfego para todos os outros passam. 

    O IPS é normalmente concebido para funcionar completamente invisível em uma rede. IPS respostas comuns incluem largando pacotes, redefinição ligações, gerando alertas, e mesmo quarantining intrusos, enquanto alguns produtos têm a capacidade de implementar regras de firewall, este é muitas vezes uma mera conveniência e não uma função essencial do produto. Além disso, oferece uma visão mais detalhada da tecnologia em rede de prestação de informações sobre operações demasiado ativa, mal logons, conteúdo inadequado e muitas outras funções de rede e de aplicação camada.

    Um IPS tem a capacidade de bloquear o acesso para os usuários, anfitriões ou aplicações, fá-lo apenas quando o código malicioso foi descoberto. Como tal, o IPS não necessariamente servir como um controle de acesso dispositivo. Embora tenha algumas habilidades controle de acesso, firewall e controle de acesso à rede (NAC) essas tecnologias são mais adequadas para fornecer seus próprios recursos.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • IDS (Sistema de Detecção de Intrusos): monitora o comportamento de uma rede com o intuito de detectar e alertar ao usuário sobre intrusos. Honey pot é um tipo de IDS que cria uma armadilha pro invasor.

    IPS (Sistema de Prevenção de Intrusos): além de detectar e alertar sobre intrusos, também pode bloqueá-los. Ele usa a capacidade de detecção do IDS junto com a capacidade de bloqueio de um firewall, notificando e bloqueando de forma eficaz qualquer tipo de ação suspeita ou indevida.

  • O que o Firewall não faz ?

    1 - detectar preventivamente ataques ?

    2- realizar contramedidas de forma automática?

  • Gabarito C

    Detectar preventivamente ataques a uma determinada sub-rede é uma característica que pode ser do IDS ou IPS. No entanto, realizar contramedidas de forma automática é uma característica apenas do IPS.


ID
1567087
Banca
COSEAC
Órgão
UFF
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Algumas ferramentas de ataque e de defesa utilizados na segurança da informação estão disponibilizadas na coluna I. Estabeleça a correta correspondência com seus conceitos disponíveis na coluna II.


Coluna I

1. Phishing

2. DoS

3. IPS

4. IDS

5. PKI 



Coluna II

( ) Sistema baseado na encriptação para identificar e autenticar usuários.

( ) Ataque de negação de serviço.

( ) Artifício que induz o usuário a clicar em um link que o levará para uma página clonada.

( ) Sistema de detecção de invasão.

( ) Sistema de prevenção de invasão.


A sequência correta, de cima para baixo, é: 

Alternativas
Comentários
  • Phishing: é o tipo de fraude por meio da qual um golpista tenta obter dados pessoais e financeiros de um usuário, pela utilização combinada de meios técnicos e engenharia social. 

    Negação de serviço (DoS): é uma técnica pela qual um atacante utiliza um computador para tirar de operação um serviço, um computador ou uma rede conectada à Internet. É uma tentativa de impedir que usuários legítimos de um serviço usem esse serviço.

    IPS (Sistema de Prevenção a Intrusão): São capazes de detectar e prevenir os ataques, realizando contramedidas;

    IDS (Intrusion detection System): É um sistema de detecção de Intrusão na rede que geralmente trabalha no modo passivo. O IDS é um sistema de configurações e regras que tem como objetivo gerar alertas quando detectar pacotes que possam fazer parte de um possível ataque;

    PKI: Sistema baseado na encriptação para identificar e autenticar usuários.

    Alternativa: E


ID
1849000
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere aos ataques de negação de serviço, julgue o item que se segue. Nesse sentido, considere que a sigla DDoS, sempre que utilizada, se refere ao ataque Distributed Denial of Service.

Ataques de DDoS fundamentados em HTTP_GET e HTTP_POST estão cada vez mais complexos, devido à utilização de técnicas de randomização e encodificação. As ferramentas convencionais, como IPS (intrusion prevention systems), não são efetivos para mitigação desses ataques.

Alternativas
Comentários
  • Alguém ?
    CESPE - Para a prevenção de ataques do tipo DDoS (negação de serviço distribuída), pode-se utilizar um IPS (sistema de prevenção de intrusão) do tipo NBA (análise de comportamento de rede) - CORRETO

  • O problema é que a questão disse que esses ataques estão mais complexos, assim mesmo com o uso de IPS NBA CONVENCIONAIS, não será efetiva a prevenção desses tipos de DDOS

  • ???????????? essa do cespe foi triste

  • A questão dizer que eles estão mais complexos não é o problema. O problema é dizer que IPS pode parar esse tipo de ataque. Quando a CESPE fala DDoS sem especificar o tipo, está se referindo ao DDoS usado na camada de transporte, que é parado por IPS.

    Já o DDoS da camada de aplicação são mais complexos, e não são parados por IPS ou firewall. A única maneira de deter é detectando bots e desativando-os. Ademais, os DDoS de aplicação funcionam com relativa baixa banda e com poucos hosts.

  • Errei a questão, mas só consigo pensar que este ataque consegue usar meios para evadir-se do monitoramento do IPS, como por exemplo a fragmentação

  • O ataque proposto na questão realmente atravessa IPSs, porque eles não consegue interpretar as sintaxes a nível de aplicação. A ferramenta apropriada para tal mitigação é o firewall de aplicação web - WAF. A questão realmente está certa.

  • GABARITO: CERTO.

  • orra.. IPS não chega nem a mitigar????????? esperava mais de vc, IPS.

  • Em ataques DDoS, Firewall e IPS não são eficientes, têm suas capacidades reduzidas.

  • Legal, legal, mas e a fonte cadê?

  • fonte: vozes da cabeça do examinador


ID
1852492
Banca
FCC
Órgão
TRT - 23ª REGIÃO (MT)
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Um Analista do TRT23 especificou e planejou a instalação de um IPS na LAN do Tribunal. Diferentemente dos serviços de monitoração de segurança, o IPS, para atuar corretamente, deve ser instalado

Alternativas
Comentários
  • Gabarito E

     

    Entre a LAN (rede local) e a WAN (internet) permite saber onde o tráfego suspeito está vindo, se é da internet ou da rede local.

    http://www.friendsti.com.br/tutorial-instalando-e-configurando-idsips-snortids/

  • Ok Luana, mas esta não é exatamente a definição de DMZ...Uma área entre a LAN da empresa e a WAN (Internet, por exemplo)...Não é recomendado que os IDS's, IPS's, trabalhem em conjunto com o firewall...Então não sei por que b), e) não são equivalentes...

  • Achei que o IPS operasse no modo INLINE com o FW

  • A alternativa e) dá a entender que o IPS compõe o equipamento que faz fronteira com a internet (Como um UTM - Unified Threat Management, por exemplo), ou que está INLINE com esse equipamento, um roteador ou firewall, por exemplo, protegendo tudo que está do lado de dentro, incluindo uma possível DMZ.

     

    O UTM é teoricamente uma evolução do firewall tradicional, unindo a execução de várias funções de segurança em um único dispositivo: firewall, prevenção de intrusões de rede, antivírus, VPN, filtragem de conteúdo, balanceamento de carga e geração de relatórios informativos e gerenciais sobre a rede.

    https://pt.wikipedia.org/wiki/Unified_Threat_Management

     

    Olhar imagens das questões Q841322 e Q731155

  • Alternativa correta: E. 

     

    As boas práticas recomendam instalar o IPS inline, ou seja, fazendo com que o tráfego passe por ele para chegar no destino. A letra E é a única que traz essa opção. 

  • "Um IDS e IPS, acrônimos para Intrusion Detection System ou Sistema de Detecção de Intrusão e Intrusion Prevention System ou Sistema de Prevenção de Intrusão respectivamente, são sistemas que tem por função detectar e prevenir os acessos não autorizados às redes ou hosts de uma ou mais redes, sendo portanto grandes aliados dos(as) administradores(as) de redes na manutenção da segurança dos ambientes por eles(as) controlados."

    ....

    Fonte: https://caminhandolivre.wordpress.com


ID
1932211
Banca
FCC
Órgão
TRT - 14ª Região (RO e AC)
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Um Técnico precisa encontrar uma solução de segurança que seja capaz de realizar as ações:

− Enviar um alarme ao administrador;

− Derrubar pacotes maliciosos;

− Bloquear o tráfego a partir do endereço de origem;

− Redefinir a conexão.

A solução correta indicada pelo Técnico é utilizar um

Alternativas
Comentários
  • Pessoal, temos um sistema capaz de gerar alarmes e agir ativamente no tráfego. As ações elencadas que possuem um caráter ativo determina o papel de um IPS, diferentemente de um IDS que realizaria apenas a primeira ação de detecção e envio de alarmes.

    Analisando friamente, em firewalls robustos, também podemos ter essas ações, uma vez que é possível configurar logs e monitoramento específico com geração de alertas, bem como controlar o tráfego. Entretanto, firewall multidirecional é demais.

    O filtro de pacote, que é um tipo de firewall não atua na redefinição de conexão por não interpretar os estados de conexão como um firewall statefull.

    Assim, não enxergo a aplicação de recurso para a referida questão.

    Gabarito Preliminar: D

  • Alternativa correta: D. 

     

    IPS:

    - enviar alertas

    - descartar pacotes

    - redefinir a conexão

    - bloquear tráfego

    - corrigir erros de CRC

    - desfragmentar fluxos

    - evitar problemas de sequência de TCP

    - limpar as opções de transporte e camada de rede indesejadas

    - costumam gerar falsos positivos

     

    Fonte: meus resumos; arial; sou testemunha ocular; la fuente soy yo!


ID
1932331
Banca
FCC
Órgão
TRT - 14ª Região (RO e AC)
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Um Analista sugeriu corretamente instalar, como mecanismo de segurança da informação, um

Alternativas
Comentários
  • Tentando esclarecer um pouco

    A) Servidor firewall à frente do VPN. O servidor firewall seria conectado à intranet e o VPN seria posicionado entre o servidor firewall e a internet para bloquear totalmente os acessos indevidos. - Nenhum serviço é capaz de bloquear totalmente acessos indevidos.

    B) Filtro de conteúdo, para analisar todo o tráfego que circula entre a rede local e a internet, impedindo o acesso a sites utilizando bloqueio por palavra-chave, por URL ou por horário. Correto

    C) Sistema de Prevenção de Intrusão − IDS, um sistema passivo que examina o tráfego e informa sobre ameaças, após o firewall. - O erro da questão está em falar IDS quando o certo seria IPS.

     D) Sistema de Detecção de Intrusão − IPS antes do firewall, para analisar ativamente o fluxo de tráfego que entra na rede e realizar ações de bloqueio automaticamente. O erro da questão está em falar IPS quando o certo seria IDS.

    E) Roteador IP com recurso de NAT no ponto de conexão entre a VPN e a internet, para converter endereços IPv6 de computadores da VPN em endereços IPv4 da internet. - Se a questão falasse em converter endereços IPv4 da rede interna em IPv6 da internet eu marcaria essa questão. Eu entendo que o conceito está invertido.

     

    Pessoal, esse é o meu entendimento, se discordarem, por favor digam onde errei, afinal, estou aqui para aprender.

  • @Marcos Antonio, os erros em A são que, ao informar que o firewall está à frente do VPN:

     - o firewall NÃO é conectado à intranet;

     - o VPN não está entre o firewall e a internet.

    É o contrário. Sequência correta da LAN à internet: LAN (intranet), VPN, firewall, internet.

  • Não achei boa a definição de que o filtro de conteúdo analisa "todo o tráfego que circula entre a rede local e a internet", tendo em vista que normalmente ele é posicionado para fazer a inspeção dos protocolos HTTP e HTTPS em uma rede. A segunda parte da questão está correta, que seria o papel de um software como SQUID, por exemplo.

    Eu atribuiria a função de análise de TODO tráfego a um IPS posicionado em linha entre a rede local e a internet.

    Para mim, a questão deveria ser anulada.


ID
2286616
Banca
CETRO
Órgão
FUNDAÇÃO CASA
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Correlacione a coluna A, contendo as soluções de segurança de rede, com a coluna B, contendo suas respectivas funções e, em seguida, assinale a alternativa que apresenta a sequência correta.
Coluna A
1. Firewall
2. Proxy
3. IPS
Coluna B
( ) Age como um intermediário para requisições de clientes, solicitando recursos de outros servidores. Pode, opcionalmente, alterar a requisição do cliente ou a resposta do servidor e, algumas vezes, pode disponibilizar este recurso mesmo sem se conectar ao servidor especificado. Pode também atuar como um servidor que armazena dados em forma de cache em redes de computadores. São instalados em máquinas com ligações tipicamente superiores às dos clientes e com poder de armazenamento elevado. Esses servidores têm uma série de usos, como filtrar conteúdo, providenciar anonimato, entre outros.
( ) Regula o tráfego de dados entre uma rede local e a rede externa não confiável por meio da introdução de filtros para pacotes ou aplicações e impede a transmissão e/ou recepção de acessos nocivos ou não autorizados dentro de uma rede local.
( ) Tem como função a detecção e o impedimento de ataques contra certos recursos da rede, concentrase em automaticamente defender o alvo do ataque sem a intervenção de um administrador (funções automatizadas). Recomenda-se trabalhar em conjunto com outras soluções de segurança de rede.

Alternativas

ID
2334316
Banca
FCC
Órgão
TRE-SP
Ano
2017
Provas
Disciplina
Segurança da Informação
Assuntos

Sistemas de detecção de intrusão − IDS e sistemas de prevenção de intrusão − IPS devem ser utilizados para identificar e, se possível, prevenir ataques realizados em redes de computadores. Entretanto, é necessário configurar o sistema com a identificação de comportamentos dos vários tipos de ataques para o seu bom funcionamento. Um desses tipos de ataque tem como objetivo saturar a capacidade de comunicação de rede do servidor por meio de pacotes ICMP em Broadcast no qual o endereço de origem é alterado para a emissão de várias respostas para a vítima. Trata-se do ataque conhecido como

Alternativas
Comentários
  • SMURF:

    Podem ser resultantes de bugs na implementação ou no design de sistemas operacionais, serviços, aplicativos e protocolos.

    Protocolos como Internet Control Message Protocol (ICMP) podem ser explorados em ataques como o smurf e ping-of-dealth.

     

     

    Nakamura

     

     

  • Gabarito C

    Para se perceber este tipo de ataques é necessário entender como funciona o endereçamento ICMP broadcast. Um endereço de broadcast é um simples endereço IP que é enviado como um pacote e serve para comunicar com todos os hosts num segmento de rede. Por exemplo, o IP broadcast para a rede 12.0.0.0 é o 12.255.255.255. Este endereço envia então o pacote para todas as máquinas da rede 12. Se existir um número elevado de máquinas nesse segmento de rede, utilizando um endereço de broadcast leva a consumir uma elevada largura de banda da rede, pois o sistema irá gerar pacotes individuais para cada máquina no segmento de rede.

    Em um cenário padrão, o host A envia uma solicitação ICMP Echo (ping) para o host B, desencadeando uma resposta automática. O tempo que leva para uma resposta chegar é usado como uma medida da distância virtual entre os dois hosts.

    Um cenário para o Ataque Smurf pode ser dividido da seguinte forma:

    1. O malware Smurf é usado para gerar uma solicitação Echo falsa contendo um IP de origem falsificado, que é, na verdade, o endereço do servidor de destino. 2. A solicitação é enviada para uma rede de distribuição de IPs intermediária. 3. A solicitação é transmitida na rede para todos os hosts da mesma. Neste caso os IP's serão trocados (técnica spoofing) pelo endereço IP da vitima(Servidor) escolhida pelo *hacker; 4. Cada host envia uma resposta ICMP para o endereço de origem falsificado. 5. Com respostas ICMP suficientes encaminhadas, o servidor de destino é derrubado.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • O que antes se via apenas vírus e worm, agora as provas estão ficando um pouco mais diversificadas.

     

    Smurf e Ransomware são tendência para cair em concursos em 2017/2018.

  • A SYN-ACK flood is an attack method that involves sending a target server spoofed SYN-ACK packet at a high rate. Because a server requires significant processing power to understand why it is receiving such packets out-of-order (not in accordance with the normal SYN, SYN-ACK, ACK TCP three-way handshake mechanism), it can become so busy handling the attack traffic, that it cannot handle legitimate traffic and hence the attackers achieve a denial-of-service condition.

     

    Ping flood é um ataque de negação de serviço simples no qual o atacante sobrecarrega o sistema vítima com pacotes ICMP Echo Request (pacotes ping). Este ataque apenas é bem sucedido se o atacante possui mais largura de banda que a vitima.

     

     

  • O Ataque Smurf é um ataque distribuído de negação de serviço (DDoS) distribuído pela rede, com o nome do malware DDoS.Smurf que permite sua execução. Os ataques Smurf são um pouco semelhante a [[ping fllod|inundações por ping], já que ambos são realizados pelo envio de uma série de solicitação de pacotes ICMP (Internet Control Message Protocol) Echo para o IP de origem falsificado da vítima usando um endereço de broadcast IP.

     

     

    Fonte: https://pt.wikipedia.org/wiki/Ataque_Smurf

  • e eu que achava os smurfs tão bonitinhos....kkkk

  • GABARITO (C).

    Ataque de SMURF – É proveniente do IP Spoofing. Consiste no Excesso de respostas enviadas a vítima através da falsificação/adulteração do Campo FROM do pacote IP de uma mensagem Echo Request. DRDos ou DDos Refletor – Nesse caso, ultiza-se zombis para enviar IP’s Falsificados e não infectados.

  • Essa matéria não tem fim. Vontade de chorar.

  • Jesus


ID
2411188
Banca
FCM
Órgão
IFF-RS
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Analise as afirmativas abaixo sobre os sistemas de prevenção e de detecção de ataques a uma rede de dados:

I- O IPS (Intrusion Prevention System) tem como objetivo diminuir a quantidade de alarmes falsos e prevenir os ataques.

II- O IDS (Intrusion Detection System) é capaz de detectar e de alertar os administradores quanto a possíveis ataques ou comportamentos anormais na organização.

III- Sistemas IDS (Intrusion Detection System) já agregam funcionalidades como filtro de conteúdo e de controle de autenticação e autorização de acesso a determinadas redes.

IV- Existem, atualmente, dois tipos de IDS (Intrusion Detection System) que podem ser implementados: o baseado em host (Host-Based Intrusion Detection System - HIDS) e o baseado em rede (Network-Based Intrusion Detection System - NIDS).

São corretas apenas as afirmativas

Alternativas
Comentários
  • Tipos de IDS

    São definidos 2 tipos de IDS, os baseado em máquina e os baseado na rede.

    IDS baseado em máquina

    A maioria dos sistemas de coleta baseada em máquina capta dados de forma contínua, de acordo com o uso do sistema operacional. Porém coletas periódicas de estados do sistema também podem prover dados para revelar mudanças inesperadas.

    Esses sistemas de coleta, muitas vezes modulares dentro do IDS, não devem expor os dados coletados e os arquivos de logs a ameaças. A escolha de itens a serem auditados e o nível de detalhes a ser registrado nessa auditoria direcionam o processo de detecção de intrusão.

    IDS baseado na rede

    Tem como objetivo observar o tráfego de rede que chega e sai em sistemas, buscando sinais de intrusão nos dados deste. Este método é o mais utilizado pelos programas de detecção de intrusão.

    Esta abordagem tem como vantagem a utilização de um sensor no monitoramento de várias máquinas, trabalhando na detecção de ataques a elas. E, como desvantagens: a não detecção de ataques realizados a partir de um console (local); a dificuldade de detectar ataques a serviços que utilizam criptografia no canal de comunicação.

     

    http://www.diegomacedo.com.br/ids-sistema-de-deteccao-de-intrusos/

  • I- Não é um objetivo específico só do IPS, qualquer sistema de segurança tem esse objetivo. CORRETO

    II- Sim, é o que um IDS faz. CORRETO

    III- São funções do Firewall. INCORRETO

    IV- Faltou os sistemas híbridos. INCORRETO

  • Em nenhum momento ele restringiu

     

    questao tosca essa

  • Mario, na verdade a III são funções do proxy

  • Questão capciosa, quando ele diz: Existem, atualmente, dois tipos de IDS..... ao meu ver está restringindo a apenas dois tipo de IDS. Nakamura em seu livro na página 269, explica que existem três tipos de IDS: HIDS, NIDS e Híbrido.

  • São questões assim que me fazem restringir meus cadernos para conterem apenas questões de bancas consagradas.

  • Que questão é essa até desconsidero alguma coisa dessa questão para agregar em meu aprendizado!


ID
2534296
Banca
FCC
Órgão
ARTESP
Ano
2017
Provas
Disciplina
Segurança da Informação
Assuntos

IDS e IPS são recursos de segurança que podem ser posicionados estrategicamente dentro da rede para detectar tráfego malicioso que por ventura tenha passado pelas regras do firewall. O IDS, por exemplo, ao detectar tráfego malicioso,

Alternativas
Comentários
  • IDS - Intrusion Detection Systems

    - Detecta acesso não autorizado

    - Exemplo de IDS: Snort

    - Não bloqueiam

    - Cria alerta!

     

     

    Letra C

    Redes de computadores e a internet: uma abordagem top-down  6ª Ed. 2013 -  Kurose

     

     

    Qcom - Questão comentada

    https://www.youtube.com/channel/UCBY27FNGgRpPa-PgFubwjPQ

     

  • Vamos aos comentários:

    IDS: é um sistema de detecção de intrusão. Logo, em termos de analogia, devemos sempre lembrar de um alarme.

    #SóNinja

  • Um IDS é uma ferramenta utilizada para monitorar o tráfego da rede, detectar e alertar sobre ataques e tentativas de acessos indevidos. Na maioria das vezes, não bloqueia uma ação, mas verifica se esta ação é ou não uma ameaça para um segmento de rede.

    Algumas ações do IPS são:

    Enviar um alarme ao administrador;

    Derrubar pacotes maliciosos;

    Bloquear o tráfego a partir do endereço de origem;

    Redefinir a conexão.

  • IDS (Intrusion detection System)

    - É um sistema de detecção de Intrusão na rede que geralmente trabalha no modo passivo;

    - O IDS é um sistema de configurações e regras que tem como objetivo gerar alertas quando detectar pacotes que possam fazer parte de um possível ataque;

    Tipos de IDS:

    - IDS baseado em host (HIDS) – trabalha de forma descentralizado.

    - IDS baseado em rede (NIDS) – trabalha de forma centralizada.

    - IDS híbrido.

    Alternativa: C


ID
2536300
Banca
UPENET/IAUPE
Órgão
UPE
Ano
2017
Provas
Disciplina
Segurança da Informação
Assuntos

Um sistema de prevenção de intrusos ou IPS é uma implementação em hardware ou software (geralmente ambos), instalado de forma a monitorar as atividades de uma rede, encontrando atividades maliciosas e comportamentos indesejáveis e reagindo de forma a prevenir tais ataques.


No chamado IPS de Host, a aplicação de segurança é instalada em máquina

Alternativas
Comentários
  • O IPS(Intrusion Prevent System) age proativamente, enquanto o IDS (Intrusion Detection System) age reativamente.

    Resposta letra C.

  • Vanderli Junior, você trouxe o conceito de IPS, mas não abordou o que diz a letra C :(

  • IPS de Host é local, então não é dedicado, outras aplicações rodam nele.

  • Letra C

    Caso sejam detectadas requisições não confiáveis, o IPS agirá proativamente não as enviando ao destino.


ID
2538877
Banca
IBFC
Órgão
TJ-PE
Ano
2017
Provas
Disciplina
Segurança da Informação
Assuntos

Questionou-se entre a equipe, a diferença básica entre um IPS (Intrusion Prevention System) e um IDS (Intrusion Detection System). Assinale a alternativa que identifica corretamente essa diferença:

Alternativas
Comentários
  • IDS - Intrusion Detection System (Sistema de Detecção de Intrusão)

    É um sistema capaz de detectar a tentativa de exploração de vulnerabilidades, registrando tais eventos em um arquivo de log. É considerado apenas um sistema de monitoramento (PASSIVO), sendo capaz apenas de alertar ataques externos ou internos, baseando-se em comportamento ou assinatura (base de dados).

     

    IPS - Intrusion Prevention System (Sistema de Prevenção de Intrusão)

    O IPS é uma evolução do IDS, enquanto este apenas detecta, aquele é um sistema REATIVO, que age de maneira PROATIVA onde ao identificar uma tentativa de ataque irá gerar automaticamente uma reação para bloquear a tentativa de intrusão.

     

    (Fonte: Livro Informática para Concursos - Renato da Costa)

  • Gabarito A

    Diferenças entre IDS e IPS IDS (Sistema de Detecção de Intrusão), é uma solução passiva de segurança ao passo que IPS (Sistema de Prevenção de Intrusão), é uma solução ativa de segurança. Em um sistema passivo, O IDS detecta uma potencial violação da segurança, registra a informação (log) e dispara um alerta. Em um sistema reativo, o IDS responde à atividade suspeita finalizando a sessão de usuário ou reprogramando o Firewall para bloquear o tráfego de rede da fonte maliciosa suspeitada. Já o IPS é, definitivamente, o nível seguinte de tecnologia de segurança com sua capacidade para fornecer segurança em todos os níveis de sistemas, desde o núcleo do sistema operacional até os pacotes de dados da rede. Ele provê políticas e regras para o tráfego de rede - juntamente com o IDS para emitir alertas para administradores de sistemas e redes em caso de tráfego suspeito.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • CESPE

    A detecção de intrusão abrange formas de resposta, tais como a geração de alertas e a interrupção dos fluxos de dados maliciosos. (CERTO)

    E agora pessoal? IDS é sempre passivo, não faz nada, só olha, ou considero como nessa questão da CESPE?

    É dependente de banca isso?

    A emissão de alertas e interrupção de fluxos é uma ação, logo há uma contradição entre as duas bancas, certo?

  • Realmente, é uma situação um pouco complicada.

     

    Já fiz algumas questões de IDS/IPS e, dependendo da banca, o IDS, por exemplo, já foi considerado tanto como apenas passivo, como também ativo em outras oportunidades.

     

    Não sei se isso é concepção de autores diferentes. Se for, é importante ver como está nas referências do edital, para se ter um norte.

  • Complicada essa vida de concurseiro.

     

    Veja essa questão da FCC TRE-PR 2017 Técnico Judiciário - Operação de Computadores (Q839493):

     

    Os N-IDS ou Sistemas de Detecção de Intrusão baseados em Redes utilizam métodos para informar e bloquear as intrusões. Considere os métodos abaixo.

    I. Reconfiguração de dispositivos externos: um comando é enviado pelo N-IDS a um dispositivo externo (com um filtro de pacotes ou umfirewall) para que se reconfigure imediatamente e possa bloquear uma intrusão. Esta reconfiguração é possível através do envio de dados que expliquem o alerta (no cabeçalho do pacote). [ CERTO ]

    III. Registro (log) do ataque: cria um backup dos detalhes do alerta em um repositório, incluindo informações como o registro da data, o endereço IP do intruso, o endereço IP do destino, o protocolo utilizado e a carga útil. [ CERTO ]

    IV. Armazenamento de pacotes suspeitos: os pacotes originais capturados e/ou os pacotes que desencadearam o alerta são guardados. [ CERTO ]

    Fonte: http://br.ccm.net/contents/164-ids-sistemas-de-deteccao-de-intrusao

    A fonte traz também a seguinte técnica usada por IDS para bloquear intrusão: Envio de um ResetKill: é a construção de um pacote de alerta TCP para forçar o fim de uma conexão (válido apenas para técnicas de intrusão que utilizam o protocolo TCP).

     

    Portanto, a FCC usou uma fonte segundo a qual IDS pode enviar comandos para bloquear uma intrusão. Como comentado pelo Leandro a CESPE também considera que o IDS pode interromper fluxo de dados maliciosos. Aí vem a IBFC e diz que o IDS é "estritamente passivo".

  • O IDS toma ações ao detectar um ataque. Um IDS reativo pode informar ao Firewall, por exemplo, para alterar a política de segurança. O IDS não impede o ataque, mas isso não quer dizer que não tome qualquer tipo de ação.

    Então pode-se afirmar que os IDS tomam algum tipo de ação em caso de detecção de algum intruso.

     

    Não concordo, mas de toda forma a alternativa considerada correta é a menos errada.

  • Discordo do gabarito proposto pela banca, para mim a alternativa mais próxima é a C , pois tanto o Ids quanto o IPs podem ser considerados ativos. Pois enviar um mail que seja já é uma ação.
  • 'Em branco',

     

    No contexto dos IDS/IPS, os termos "passivo" e "ativo" estão relacionados à capacidade ou não de tomada de ação a partir de algum evento.

     

    Porém, um simples alerta, por exemplo, informando uma tentativa de ataque, nesse caso, não é considerado ativo. Esses alertas são características intrínsecas ao IDS.

     

    De qualquer forma, já vi questões considerando o IDS apenas passivo, e outras considerando ativo e passivo.

  • Estritamente passivo é uma afirmação complexa. Se ele detecta algo e dispara alertas, e-mails etc. isso não o torna ESTRITAMENTE PASSIVO.

    Enfim, cada banca com sua jurisprudência.

  • Segundo[1], Um dispositivo que gera alertas quando observa tráfegos potencialmente mal-intencionados é chamado de IDS. Um dispositivo que filtra o tráfego suspeito é chamado de IPS. Entretanto, [1] não faz diferença além disso e se refere aos sistemas IDS e IPS como sistema IDS.

    Até alguns autores fazem confusão. Imagine as bancas.

    Fonte:

    [1] Kurose, Redes.

  • A alternativa C (tanto o IPS como o IDS possuem o papel ativo sempre tomando algum tipo de ação em caso de detecção de algum intruso), no meu ponto de vista, poderia ser considerada correta também, uma vez que ambos irão tomar determinadas ações, mesmo que diferentes, mas vão. Um gerará alertas/logs, outro, realizará contramedidas de forma automática, ação mais repressiva. Contudo, ambos agindo ativamente. Se um fosse estritamente passivo, para que serviria? Enfim, respeitar o gabarito da banca.


ID
2555731
Banca
PUC-PR
Órgão
TJ-MS
Ano
2017
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação ao sistema de detecção de intrusão (SDI/IDS) e sistema de prevenção de intrusão (SPI/IPS), avalie as asserções a seguir.


I. Um incidente de segurança, resultante de um ou mais eventos, em que o atacante obtém ou tenta obter acesso indevido ao sistema ou a seus recursos, caracteriza uma intrusão de segurança.

II. Ataque de agentes internos são muito difíceis de detectar, pois o intruso é um agente legítimo que opera de maneira não autorizada, dificultando a sua identificação.

III. Os potes de mel (honeypots) são importantes na detecção de intrusão, provendo um mecanismos seguro de captura de atividades não autorizadas.

IV. Uma característica intrínseca dos IPSs é a capacidade de bloquear ataques, diferindo do IDS, cuja principal função é detectar ataques e gerar alertas.

V. Um sistema de detecção de intrusão baseado em estação (HIDS) examina atividades do usuário e de software numa estação, enquanto que o sistema de detecção de intrusão baseado em rede (NIDS) faz isto em nível de rede.


É CORRETO apenas o que se afirma em:

Alternativas
Comentários
  • Gabarito B

    I - Certa

    II - Certa

    III - Errada - HoneyPot (tradução livre para o português, Pote de Mel) é uma ferramenta que tem a função de propositalmente simular falhas de segurança de um sistema e colher informações sobre o invasor. É um espécie de armadilha para invasores. O HoneyPot não oferece nenhum tipo de proteção.

    IV - Certa

    V - Errada - Enquanto sistemas NIDS monitoram redes inteiras, os sistemas HIDS monitoram apenas um único host na rede.

    Porém, ao invés de monitorar pacotes de rede, o software também irá monitorar que processo acessa qual recurso, quais arquivos são alterados,

    verificar as informações da RAM e logs, garantir que as informações destes não foram alterados.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  •  

    Os potes de mel (honeypots) são importantes na detecção de intrusão, provendo um mecanismos seguro de captura de atividades não autorizadas.

    uai, não tem erro nenhum nesta definição, único erro que pode ter é que a pergunta inicial fala sobre ids/ips. Mas se for por isso que ta errado essa banca ta de brincadeira

  • Qual o erro da V?

  • Sávio, 

    DEVE ter sido levado em conta que nem todas as atividades do usuário vão para "rede", ou algo do tipo

  • nesse concurso foram canceladas 5 questões só na área de TI para o cargo de Segurança. Não consegui identificar o problema no item V.

     

    =/

  • Hids examina logs


ID
2570065
Banca
FCC
Órgão
TRF - 5ª REGIÃO
Ano
2017
Provas
Disciplina
Segurança da Informação
Assuntos

O Intrusion Prevention System − IPS é uma ferramenta que adiciona funcionalidade reativa ao Intrusion Detection System − IDS. O IPS

Alternativas
Comentários
  •  

    O IPS pode tomar ações como:

    - Enviar um alarme,

    - Descartar os pacotes maliciosos

    - redefinir a conexão e / ou bloquear o tráfego do endereço IP ofensivo.

     - Corrigir erros de verificação de redundância cíclica (CRC) ou Cyclic Redundancy Check − CRC

    - Desfragmentar fluxos de pacotes,

    - Evitar problemas de seqüência de TCP

    - Limpar as opções de transporte e camada de rede indesejadas.

     

     

    Letra E

     

    Fonte:

    A First Course In Ethical Hacking - Herman van Heerden

  • nada de rede consegue detectar pacotes criptografados, gente

    nada de host consegue detectar ataques DoS, por possuir um escopo local, por isso são derrubáveis por DoS.

    quando há um bloqueio de uma comunicação legitima (falso positivo) significa que o desempenho é reduzido

    quando não há um bloqueiro de uma conexão maliciosa (falso negativo), o bloqueito a ataques se torna menos feiciente.

    IPS corrige erros de CRC, siiim! item correto

  • Letra E.

     

    Apenas para complementar...

    Falso positivo: ocorre qdo a ferramenta classifica uma ação como possível intrusão, embora, na verdade, trate-se de uma ação legítima;
    Falso negativo: ocorre quando uma intrusão real acontece, mas a ferramenta permite que ela passe como se fosse uma ação legítima;

     

  • Um IPS de host não conseguiria identificar e bloquear um ataque de DoS à máquina local onde está instalado? Pra que serviria então?

    A questão não diz nada sobre proteger a REDE de um DoS. Fala em proteger de DoS.

  • Pode sim detectar pacotes criptografados e descartar sem examinar conteudo. Baseando-se apenas quanto a regras quanto a portas e é de recostado de origem e destino.

    Análise de entropia do payload pode detectar um pacote criptografado.

    . O conteúdo de uma conexão tls ssl pode ser lido quando o IPs possui a sua chave privada.

  • "application-level encryption protection is a HIPS feature, whereas DoS prevention is a network IPS feature."

    https://www.ciscopress.com/articles/article.asp?p=1336425&seqNum=3


ID
2583931
Banca
COPEVE-UFAL
Órgão
MPE-AL
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

É uma ferramenta de IPS – Intrusion Prevention System – que tem sido usada de forma standalone ou mesmo embutida em sistemas de Antivírus. O mecanismo deste IPS atua através do isolamento de aplicações individuais do Sistema Operacional hospedeiro, criando um ambiente fictício onde a aplicação pode comportar-se de maneira maliciosa, mas, por estar isolada, não consegue chegar ao sistema de arquivos do SO hospedeiro. Esta descrição denomina

Alternativas
Comentários
  • Ninguém nem teve coragem de comentar essa.

    Fui de cara na letra A

  • A Sandbox (ou Caixa de Areia, em tradução livre) permite isolar a execução de programas do disco rígido de seu PC enquanto eles realizam seus processos. Se você deseja testar as operações de um aplicativo em um ambiente seguro, com certeza essa ferramenta garante maior proteção contra vírus, uma vez que as atividades são executadas normalmente, porém em uma área mais “neutra”, com operações que não poderão interferir em nenhum outro programa do computador. É ideal utilizá-la para testar aplicativos cuja segurança ainda não foi completamente garantida pelo desenvolvedor.

    https://canaltech.com.br/utilitarios/saiba-o-que-e-sandbox-e-como-usar-a-ferramenta-para-pc/

  • salve quebrada.. pega a visão de azul.. qc autoexplicativa nao da para inventar comentário.

    O mecanismo deste IPS (Sandbox) atua através do isolamento de aplicações individuais do Sistema Operacional hospedeiro, criando um ambiente fictício onde a aplicação pode comportar-se de maneira maliciosa, mas, por estar isolada, não consegue chegar ao sistema de arquivos do SO hospedeiro.

  • GAB. B

    UMA DAS CARACTERÍSTICAS DA APLICAÇÃO DA MÁQUINA VITUAL É O ISOLAMENTO DE SISTEMAS CHAMADO DE SANDBOX QUE SIGNIFICA UMA ÁREA DE TESTE.


ID
2626813
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de sistemas de aplicação web, julgue o item a seguir.


O WAF (web application firewall) avalia o tráfego comparando assinaturas e comportamentos anômalos, enquanto o IPS (intrusion prevention system) avalia o comportamento e a lógica do que é solicitado e devolvido.

Alternativas
Comentários
  • Gabarito Errado

    O IPS tudo bem, mas o WAF não tem esse conceito vejam...

    Web Applicaiton Firewall ou simplesmente WAF como é conhecido, é um software que trabalha entre o servidor HTTP/S e cliente, filtrando entradas do cliente e saídas do servidor WEB,  seguindo sempre regras de segurança e graças a esse conjunto de regras é possível registrar ataques e bloquear.

     

    É possível encontrar diversas funcionalidades em WAFs, como blacklist, onde temos uma lista de endereços IP a serem bloqueados, funções para controle de banda e até mesmo bloqueio de ataques Denial of Service (DoS).

     

    No mundo Open Source podemos encontrar alguns como FreeWAF e Naxsi, todos com a mesma característica, que é ser um módulo para o  servidor web como NGINX. Embora seja prático e ganhe um desempenho considerável por estar dentro do servidor HTTP, nem sempre  é uma solução portável.  Dependendo da aplicação podemos encontrar um servidor HTTP próprio, algo por exemplo com LibMongose, ou libmicrohttpd nestes  casos o WAF não funcionaria, já que é feito para ser módulo de apenas alguns servidores específicos.

    Embora maioria dos WAFs Open Source tenham poder para minimizar algum problema de Cross-site scripting e SQL injection,  não são uma solução  definitiva de proteção, isso decorrente a evolução dos ataques. Regras necessitam de uma otimização constante, muitas vezes,  mesmo otimizando as regras ainda temos uma falha, o que pode comprometer a aplicação protegida.

    Problemas de carga: Quando o WAF roda como um módulo do servidor de aplicação, ainda temos outro problema que é a negação de serviço causada por excesso de processamento. Isso pode acontecer por um volume grande de regras sendo processadas ou por ataques específicos que exploram o funcionamento do módulo de WAF.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Definição de WAF e IPS está invertida!

  • O que é um Intrusion Prevention System(IPS)?

    O Sistema de Prevenção de Intrusão (também chamado de Intrusion Prevention System ou conhecido pela sigla IPS) é uma ferramenta desenvolvida para identificar pacotes de dados que têm código malicioso em sua estrutura interna. Ele atua analisando todo o tráfego que entra e sai de uma rede ou aplicação web, verificando a assinatura e outros fatores que possam indicar anomalias relacionadas a ataques digitais.

     

    O que é um Web Application Firewall(WAF)?

    O Web Application Firewall é um tipo de firewall voltado à análise de tráfego em aplicações e páginas web. Também conhecido pela sigla WAF, é projetado para eliminar ataques de forma dinâmica, em tempo real, a partir da detecção de requisições e de pacotes que apresentam indícios de anomalia, ou do rastreamento de contas com comportamento suspeito.

     

    CONCLUSÃO

    Os Firewalls de Aplicação Web (WAF) são um tipo especial de produto, utilizados para detectar ataques contra aplicações web com mais profundidade e critério do que os Sistemas de Prevenção a Intrusão (IPS). O WAF pode ser usado no ambiente para fornecer proteção aprimorada a aplicações/servidores Web. Usar um WAF é uma boa maneira de complementar o IPS e fornecer uma camada adicional de proteção para uma arquitetura de defesa em profundidade mais completa.

     

    Fonte: https://www.gocache.com.br/seguranca/web-application-firewall-ou-ips/

  • Errado

    A banca trocou os conceitos.

    Qual a diferença entre um WAF e um IPS?

    O WAF é projetado para proteger aplicações web/servidores de ataques baseados na web que um IPS não pode impedir. Assim como um IPS, o WAF pode ser baseado em rede ou host

     

  • ERRADO

    O QUE É?

    IPF: é projetado para bloquear certos tipos de tráfego, identificados como potencialmente perigosos.

    WAF: não apenas detecta ataques que são conhecidos na Web, mas também detecta (e pode prevenir) ataques desconhecidos

    RESUMO

    Enquanto o IPS avalia o tráfego comparando assinaturas e comportamentos anômalos, o WAF avalia o comportamento e a lógica do que é solicitado e devolvido.

    O QUE A QUESTÃO DIZ?

    O WAF (web application firewall) avalia o tráfego comparando assinaturas e comportamentos anômalos, enquanto o IPS (intrusion prevention system) avalia o comportamento e a lógica do que é solicitado e devolvido.

    Os conceitos estão invertidos

  • [1] "É exatamente o q ele disse, só q tudo ao contrário."

    Fonte:

    [1] Kiko

  • O IPS (intrusion prevention system) avalia o tráfego comparando assinaturas e comportamentos anômalos,

    enquanto o  WAF (web application firewall) avalia o comportamento e a lógica do que é solicitado e devolvido.

  • Errado

    O IPS (intrusion prevention systemavalia o tráfego comparando assinaturas e comportamentos anômalos,

    enquanto o WAF (web application firewall) avalia o comportamento e a lógica do que é solicitado e devolvido.

    Fonte: Confia no Pai

  • O IPS avalia o tráfego comparando assinaturas e comportamentos anômalos, enquanto o WAF avalia o comportamento e a lógica do que é solicitado e devolvido.

    • WAF (web application firewallfirewall de aplicação, ou também firewall de proxy: funciona como um intermediário entre a internet e as maquinas, fazendo uma especie de filtro, está diretamente relacionado com o uso de protocolos de aplicação na Web, mas também em todos protocolos do modelo TCP/IP.

  • ERRADO

    O IPS (intrusion prevention system) avalia o tráfego comparando assinaturas e comportamentos anômalos,

    enquanto o

    WAF (web application firewall) avalia o comportamento e a lógica do que é solicitado e devolvido.

  • Conceitos invertidos.

  • Pessoal, criei um canal no Youtube para comentar de forma rápida e objetiva as respostas e também os pontos importantes envolvidos em cada questão, se tiverem interesse, esse é o link desta questão: https://www.youtube.com/watch?v=dp34wZLCoE4


ID
2684194
Banca
SUGEP - UFRPE
Órgão
UFRPE
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre segurança, analise as seguintes afirmações:

1) Alguns tipos de ataque, como, por exemplo, escaneamentos de portas e ataques de vulnerabilidade de aplicações, não podem ser detectados por um IDS. Mesmo que os sistemas IDS com base em assinaturas sejam eficientes ao analisar cada pacote que passa, comparando-o com as assinaturas no banco de dados, eles possuem limitações.
2) Um IDS pode notificar o administrador do site acerca de um ataque mesmo quando o firewall já o tenha impedido.
3) O Intrusion Prevention System (IPS) é uma ferramenta que adiciona funcionalidade reativa ao Intrusion Detection System (IDS).

Está(ão) correta(s), apenas:

Alternativas
Comentários
  • Um IDS pode notificar o administrador do site acerca de um ataque mesmo quando o firewall já o tenha impedido.

    Correto. O IDS não depende, necessariamente, do firewall pra trabalhar

     

    O Intrusion Prevention System (IPS) é uma ferramenta que adiciona funcionalidade reativa ao Intrusion Detection System (IDS).

    CorretoAlgumas ações do IPS são:

    Enviar um alarme ao administrador;

    Derrubar pacotes maliciosos;

    Bloquear o tráfego a partir do endereço de origem;

    Redefinir a conexão.


     

  • Letra D

    Ressalta-se que para que um IDS possa notificar o administrador do site acerca de um ataque, mesmo que este tenha sido impedido pelo firewall, faz-se necessário que o IDS esteja na frente do FW. Do contrário, ao ser impedido pelo FW, o IDS nem terá conhecimento do problema.

  • IDS somente detecta uma anomalia, não toma ação , apenas avisa ao usuário que há uma possível ameaça.

    IPS observa o fluxo de dados , possibilita o bloqueio de dados suspeitos observando ataques ao próprio sistema.


ID
2699680
Banca
FGV
Órgão
Banestes
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Um ataque de negação de serviço a uma instituição foi detectado pelo sistema de proteção instalado, que colocou automaticamente regras de proteção para evitá-lo.


Pode-se concluir que o sistema de proteção usado é do tipo:

Alternativas
Comentários
  • Resposta - B.

    O Sistema de Prevenção de Intrusões (IPS) do Cisco IOS é um recurso de inspeção de pacote profundo em linha que efetivamente reduz uma grande variedade de ataques à rede. Um componente da estrutura do Controle Integrado de Ameaças do Cisco IOS e complementado pelo recurso Cisco IOS Flexible Packet Matching, o Cisco IOS IPS fornece à sua rede inteligência para identificar, classificar e bloquear com precisão ou bloquear tráfego malicioso em tempo real.

    Benefícios.

    Maior disponibilidade da rede - Oferece proteção distribuída em toda a rede contra muitos ataques, explorações, worms e vírus

    Remediação mais rápida - Identifica a origem dos ataques de rede mais rapidamente e executa ações corretivas mais próximas ao ataque

    Flexibilidade de implantação - Oferece inspeção inline de tráfego por meio de qualquer combinação das interfaces LAN e WAN do roteador com conjuntos de assinaturas de ataque e worm personalizáveis ​​em campo e ações de evento que se ajustam automaticamente com base no nível de risco

    Proteção abrangente contra ameaças - Funciona com o Cisco IOS Firewall, o policiamento do plano de controle e outros recursos de segurança do Cisco IOS

    Fonte - https://www.cisco.com/c/en/us/products/security/ios-intrusion-prevention-system-ips/index.html

  • IPS é para Previsão, enquando IDS para detecção

  • GABARITO B

     

    IPS é uma solução ativa, enquanto que IDS é uma solução passiva. Como houve atuação do sistema, temos IPS.

  • IPS pode mitigar ataques DoS e DDoS.


ID
2734093
Banca
CESPE / CEBRASPE
Órgão
EMAP
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca das boas práticas de segurança da informação, julgue o item subsequente.


O dispositivo de IPS (do inglês intrusion prevention system) utilizado em redes corporativas tem como objetivo bloquear ataques a partir da identificação de assinaturas e(ou) anomalias.

Alternativas
Comentários
  • Gabarito: Correto.

    De modo geral, IDS é uma solução passiva de segurança ao passo que IPS é uma solução ativa de segurança. Em um sistema passivo, O IDS detecta uma potencial violação da segurança, registra a informação (log) e dispara um alerta. Em um sistema reativo, o IPS responde à atividade suspeita finalizando a sessão de usuário ou reprogramando o Firewall para bloquear o tráfego de rede da fonte maliciosa suspeitada.

  • Gabarito Certo

     

    o IPS possibilita decisões de acesso baseadas no conteúdo da aplicação - e não apenas no endereço IP ou em portas, como os firewallstradicionais trabalham. Entretanto, nada impede que, para otimizar a performance, muitos IPS utilizem regras baseadas em portas e endereço IP.Também pode servir secundariamente como um serviço de nível de host, prevenindo atividades potencialmente maliciosas.

     

     

    https://pt.wikipedia.org/wiki/Sistema_de_preven%C3%A7%C3%A3o_de_intrusos

  • Gabarito Certo

    Intrusion Prevention System - IPS (Sistema de Prevenção de Intrusos) é uma solução tecnológica que atua na precaução e no combate de ameaças em ambientes de redes, de forma mais consistente que seus antecessor: o Intrusion Detection System - IDS (Sistema de detecção de intrusos. Enquanto o IDS é considerada uma solução passiva, o IPS é uma solução ativa.

    INTRUSOS

    São denominados de intrusos os invasores de um ambiente de redes / sistemas. Existem três classificações básicas de intrusos:

    Mascarado (invasor de fora da rede ou sistema): alguém que não é autorizado a entrar

    Infrator (invasor de dentro da rede): é um usuário legítimo que não está autorizado a usar determinados recursos, mas os utiliza, ou então, que está autorizado, mas não os utiliza de forma lícita;

    Usuário clandestino (invasor de dentro ou de fora da rede): invasor que toma posse de privilégios de administrador de um sistema para que se esquive de auditorias e controles para acesso ou até mesmo para ludibriar provas auditórias contra este.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Enquanto o IDS informa
    sobre um potencial ataque, o IPS promove tentativas de parar o ataque.

  • fiquei na  dúvida quando ao fato de ler assinaturas, em razão do IPS usar firewall, alguém?

  • Sobre IDS e IPS

     

    Sistema de Detecção de Intrusos (do inglês Intrusion Detection System) é um tipo de solução em Segurança da Informação para automatizar a detecção acessos não autorizados em #redes de computadores / sistemas em redes. A solução é também conhecida como Sistema de Detecção de Intrusão. 

     

    Já o Sistema de Prevenção de Intrusão (do inglês intrusion Prevent System)como o nome sugere trabalha com a prevenção de ameaças através da análise dos fluxos de tráfego de rede.

    Estes sistemas podem ser implementados com a utilização de hardwares dedicados à estas funções, ou através da instalação de softwares com esta função em hardwares já existentes na rede, como um switch, um roteador, ou mesmo em um ou vários servidores ou desktops.

  • Gab: certo

    Eu fiz esse MM para lembrar as funções de cada.

    IDS: I (eu) Descubro Suspeitos

    IPS: I (eu) Prendo Suspeitos

    Mas o vídeo abaixo é muito didático para entender melhor o funcionamento deles em uma rede.

  • cuidado para não cairem na exceção do IDS

  • Gabarito: CERTO

    IDS = restringe-se a detectar tentativas de intrusão, registrá-las e enviá-las ao administrador da rede. 

    IPS = opera “online”na rede, adotando medidas adicionais para bloquear as intrusões em tempo real.

    Lembrando que o IPS é um complemento do IDS, ele acrescenta à detecção de ataques a possibilidade de prevenção.

  • GABARITO CERTO

    Esta analogia ajuda em muita coisa:

    IPS - Pitbull - Se alguém tentar invadir sua casa a solução será ativa.

    IDS - Lassie - Solução passiva

    Bons estudos!

  • GAB C

    Bizu do Colega do QC

    IPS: PROTEGE(BLOQUEIA). ATIVO

    IDS: DEFENDE(REGISTRA). PASSIVO

  • O sistema de prevenção de intrusão (em inglês, Intrusion Prevention System - IPS) representa o comportamento de um IDS ativo, ou seja, é projetado com o objetivo de bloquear automaticamente a atividade maliciosa, seja por configuração de firewalls e comutadores ou outras técnicas, como encerramento de conexão via envio de pacotes reset.

    OBS: É possível reparar que o IPS bloqueia a conexão ao passo que o IDS apenas emite um alerta para o administrador da rede. É importante ressaltar que um IPS, quando mal parametrizado e configurado, pode bloquear conexões legítimas, causando prejuízo ao dono da rede.

    GAB C

  • O IDS e o IPS se baseiam em assinaturas e/ou anomalias, só com esse entendimento poderia matar a questão.

    Conteúdo abaixo não é necessário para responder a questão!!!!!

    IDS (Sistema de Detecção de Intrusão):

    • Essa ferramenta necessita de intervenção para que aja contra o invasor.
    • Apenas monitora o tráfego da rede, equipara-se a um sniffer.
    • Gera relatórios e alertas para o computador referente ao invasor.

    Exemplo para deixar claro: O Corona vírus tornou-se uma pandemia, a OMS DETECTOU-O como pandemia, nesse caso ela se baseou no comportamento do vírus e não fez nada a respeito, pois os países que são o sistema de prevenção.

    IPS (Sistema de Prevenção de Intrusão):

    • Ferramenta autossuficiente, detecta e age contra invasores.
    • Capaz de identificar e exterminar sniffers, diferentemente do firewall.
    • Sua melhor posição é após o firewall.

    Exemplo para deixar claro: Como falei no exemplo acima, em um contexto de pandemia, quem tem a responsabilidade de se PREVNIR contra o vírus são os países, que tentam criar vacinas (Assinaturas) para exterminar o vírus.

  • IPS: Um Sistema de Prevenção de Intrusão é uma abordagem preventiva da segurança de rede, usada para identificar ameaças em potencial e responder rapidamente aos ataques.

  • GAB: CERTO

    • IPS: Previne(BLOQUEIA);
    • IDS: Detecta(REGISTRA).

ID
2734114
Banca
CESPE / CEBRASPE
Órgão
EMAP
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

A equipe de segurança da informação de determinado órgão identificou uma tentativa de ataque com as seguintes características:

• IP de origem: identificado no roteador de Internet e no firewall (200.20.30.45)
• IP de origem: identificado na aplicação web (200.20.30.45)
• payload de HTTP: GET http:/servidor.com.br/admin/index.php?username=1'%20or%20'1'%20=%20'1&password =1'%20or%20'1'%20=%20'1  
Os analistas de segurança levantaram hipótese de existência de regras no firewall que permitiam o acesso de todos os segmentos, internos e externos, ao servidor web na porta 80 com o protocolo TCP. Identificaram também que a aplicação web atacada possuía controle de acesso ao ambiente de administração baseado nos perfis das credenciais e do range de IPs internos da rede corporativa.


Considerando essa situação hipotética e as boas práticas de segurança da informação, julgue o item a seguir.

O ataque em apreço foi identificado por um firewall do tipo statefull pela característica de inspeção em profundidade, recurso de IPS embarcado, mediante a aplicação do conceito de segurança em camadas.

Alternativas
Comentários
  • Não menciona nada sobre estado de conexão. E também um firewall filtro de pacotes apenas não enxergaria o payload HTTP.

  • Nesta questão o que foi identificado pela equipe, não consta nada sobre o BLOQUEIO do possível ataque(o que faz um IPS) e sim apenas alertas (o que faz um IDS).

  • Erro da questão: quando informa que há IPS embarcado, o IPS (Intrusion Prevention System) é um sistema de prevenção à intrusão. Em nenhum momento a questão informou que automaticamente foi negado algum acesso ou rejeitada alguma conexão/pacote. Isso é caso de extrapolação ao texto.


    Ademais, com máxima vênia, não é possível determinar que o firewall é stateless, stateful ou proxy, pois o firewall com filtro de estado e o firewall proxy também fazem filtro de pacotes.


    Além disso a questão trata de payload de HTTP, assim dá uma aparência que o firewall seria de aplicação/proxy, ou havia um IDS identificando tráfego suspeito e informando, ou ainda que o servidor de aplicação gerou o log.


    Dessa forma o firewall pode não ser stateful e não havia IPS bem configurado.



    = = = Alguns conceitos importantes = = =

    Filtros de Pacotes [1]

    A filtragem, em geral, é limitada a duas camadas: a de rede, que é onde ocorrem, por exemplo, o endereçamento dos equipamentos da rede e os processos de roteamento; e a camada de transporte, onde estão protocolos, como o TCP e o UDP, que permitem o tráfego de dados. 


    Firewall de Estados (Stateful Firewall) [1]

    Com o tempo, foram surgindo aperfeiçoamentos ao Stateful Inspection, como o Deep Packet Inspection, ou SMLI (Stateful Multi-Layer Inspection), que consiste na inspeção de todas as 7 camadas do modelo ISO. 


    Firewall de aplicação ou Proxy [1]

    o Firewall de Aplicação é normalmente instalado junto à plataforma da aplicação, atuando como uma espécie de Proxy. Esta tecnologia é capaz de mapear todas as transações que acontecem na camada de aplicação web, além de poder avaliar HTTPS criptografadas que não seriam analisadas por firewalls tradicionais.


    IDS [2]

    Um Sistema de Detecção de Intrusão (Intrusion Detection System - IDS) é um software que automatiza o processo de detecção de intrusão.


    IPS [2]

    Um Sistema de Prevenção de Intrusão (Intrusion Prevention System - IPS) é um software de prevenção de intrusão. Tem a capacidade de impedir possíveis incidentes.


    Fontes de pesquisa:

    [1] https://www.gta.ufrj.br/grad/13_1/firewall/classificacao.html


    [2] https://www.gta.ufrj.br/grad/12_1/ids/ConceitodeIDS.html

  • MÉTODO NISHIMURA:

    1) Quando a questão explica sobre determinado assunto, geralmente, a assertiva é verdadeira;

    2) Quando a questão impõe algo, geralmente, a assertiva é falsa;

    3) Quando a questão compara duas tecnologias, geralmente, a assertiva é falsa;

    4) Quando a questão "fala mal" "menospreza" determinada tecnologia, geralmente a assertiva é falsa;

    5) Quando a questão enumera itens, se todos os itens pertencem ao mesmo grupo/programa, a assertiva é verdadeira;

    6) Se um dos itens, geralmente o último, não faz parte do grupo/programa, a assertiva é falsa;

    7) Estas palavras indicam uma questão certa: pode(m), permite(m), é possível, pode ser...

    8) Estas palavras indicam uma questão errada: automaticamente, deve. deve-se, só, somente, não permite, não sendo possível, sempre, é necessário, necessariamente.

  • IDS é o responsável pela detecção.

    IPS é o responsável pela prevenção.

    Gabarito Errado.

  • Vamos lá tentar responder essa bagaça:

    • IP de origem: identificado no roteador de Internet e no firewall (200.20.30.45) -- perceba q aqui temos um firewall na camada de rede.

    • IP de origem: identificado na aplicação web (200.20.30.45) -- não se pode concluir q há um firewall na camada de aplicação. Ele fala q o IP foi identificado na aplicação...uma aplicação decente sempre tem um log de registro de acesso e o IP e diversas outras informações ficam registradas nela, sem a necessidade de precisar consultar firewall para saber o IP de acesso.

    • payload de HTTP: GET http:/servidor.com.br/admin/index.php?username=1'%20or%20'1'%20=%20'1&password =1'%20or%20'1'%20=%20'1  -- reparem q quem faz esse tipo de análise é um firewall de aplicação(na verdade, um proxy). Aqui, sim, temos a confirmacao de q se trata de um firewall no nivel de aplicacao.

    Complementando, cito o colega Raphael, q respondeu acertadamente q "Como o sistema não agiu e somente identificou, leva-se a crer ser um sistema de detecção e não intrusão, o IDS". Esse eh o erro.

    E como , na visão de [1], "nos Firewalls stateful, a verificagéo dos pacotes engloba as camadas de enlace, rede (camadas 1 e 2), e pode englobar a camada de transporte (camada 3) do TCP/IP". presume-se ainda, q há na rede, tanto firewall statefull, como stateless.

    Fonte:

    [1] Segurança Da Informação Descomplicada, Sócrates Arantes Teixeira Filho

  • Web/Porta 80=HTTP ->Camada de Aplicação

    Analise de Payload -> Análise conteúdo

    Tem todas as características de um Firewall de Aplicação (Proxy)

    Como o sistema não agiu e somente identificou, leva-se a crer ser um sistema de detecção e não intrusão, o IDS

  • GABARITO: ERRADO.

  • Falou em existência de regras no firewall, é stateless.

  • Quem sabe o conceito do IPS acerta a questão. Em nenhum momento o enunciado deu que houve reação ativa da máquina impedindo o ataque e realizando contramedidas.

  • Nada na questão indica que é um firewall do tipo stateful nem que é um IPS

  • Erro da questão: colocaram IPS ao invés de IDS, isso?

    IPS: ação ativa -> Sistema de Prevenção de Instrusos

    IDS: ação passiva -> Sistema de Detecção de Instrusos

    Qqr erro, chama no privado.

  • COMO É O CESPE, E OS ÓRGÃOS POLICIAIS FAZEM PARTE DAS POSSÍVEIS INSTITUIÇÕES BENEFICIADAS, ESSE ÚLTIMO DETALHE NÃO TORNA A QUESTÃO ERRADA.

    O PRIMEIRO TÓPICO CITADO POR VOCÊ, SIM

  • COMO É O CESPE, E OS ÓRGÃOS POLICIAIS FAZEM PARTE DAS POSSÍVEIS INSTITUIÇÕES BENEFICIADAS, ESSE ÚLTIMO DETALHE NÃO TORNA A QUESTÃO ERRADA.

    O PRIMEIRO TÓPICO CITADO POR VOCÊ, SIM

  • Lembrando que, nos firewalls, só é permitida a implementação de IDS.

  • Stateless x Stateful

    Stateless 

    Uma aplicação ou processo stateless são recursos isolados. Nenhuma referência ou informação sobre transações antigas são armazenadas, e cada uma delas é feita do zero.Por exemplo, uma transação stateless pode ser uma pesquisa online que você faz para tirar alguma dúvida.

    Stateful

    As aplicações e os processos stateful são aqueles que podem ser usados mais de uma vez, como e-mails e serviços bancários online. Eles são executados com base no contexto das transações anteriores. 

    Se você precisa de informações temporárias com rapidez, stateless é a opção, no entanto, se a aplicação exige o armazenamento das informações de todas as sessões, escolha o modelo stateful.

  • O erro está em dizer que foi um IPS, pois se trata de um WAF

    OWAF (web application firewall) é um novo tipo de firewall criado para combater as ameaças que estãoalémdas capacidades dos firewalls tradicionais. Ele cria uma barreira entre o seu serviço baseado na web e todo o resto da Internet,

    PARTE DA QUESTÃO "IP de origem: identificado na aplicação web"

  • Amigo Yuri, esse último "detalhe" torna sim a questão errada. Não entendi o "como é o Cespe...", mas enfim.

    Quando o enunciado restringiu-se ao Sinarm (obrigatoriamente ao Sinarm), descartou o Sigma tornando a questão errada.

    Bons papiros.

  • Acredito que, além de outros erros da assertiva, o firewall mais apropriado seria o Stateless

  • • Obs: IP de origem: identificado na aplicação web (200.20.30.45)

    • Esse firewall statefull é o de segunda geração, ele também é conhecido como filtro de sessão, serve para prever se irá ter prolemas em uma rede; ele basicamente analisa os pacotes em tempo real.

    Essa característica é de um firewall de aplicação, ou também firewall de proxy: Que funciona como um intermediário entre a internet e as maquinas, fazendo uma especie de filtro, está diretamente relacionado com o uso de protocolos de aplicação na Web, mas também em todos protocolos do modelo TCP/IP.

    Errado, em aplicação WEB é utilizado o firewall de proxy ou de aplicação.

  • Concordo ctg!

  • Amigo,

    Esse método já foi muito eficiente. Infelizmente hoje não mais.

  • Errado, em aplicação WEB é utilizado o firewall de proxy ou de aplicação.

  • MÉTODO NISHIMURA É MEUS ZOVOS!
  • Matei a questão só pelo enunciado, afinal o conceito de segurança em camadas está ligado a Stateless (filtro de pacotes). Enquanto Statefull (Filtro de estados) analisa as conexões.

    Dica cespe: Comece pelo enunciado sempre, geralmente é possível responder a questão sem ler o texto


ID
2756581
Banca
FAURGS
Órgão
BANRISUL
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Um técnico em redes esboçou os elementos da rede no projeto a ser implementado da empresa XPTO conforme segue:

(Internet) – (Router) – (IDS/IPS) – (Firewall) – (DMZ)

Considerando a posição de cada um dos elementos da rede projetada, assinale a alternativa correta.

Alternativas
Comentários
  • {B} - A arquitetura ficaria mais bem atendida se IPS/IDS estivessem posicionados entre o firewall e a DMZ. IDS/IPS analisam ataques de forma mais detalhada do que o firewall.

  • As barreiras de segurança devem ser aplicadas em ordem crescente de acordo com as suas capacidades. O firewall filtra o "grosso" e o IPS/IDS faz um trabalho mais detalhado no tráfego restante. O cenário inverso sobrecarregaria mais o IPS/IDS, o qual necessita de mais processamento para fazer análises mais detalhadas do tráfego.

  • Com um pouco de raciocínio, entende-se por que o IDS/IPS deve ficar após o firewall. O firewall (de filtro de pacotes) implementa a política de segurança da organização e impede a entrada/saída de pacotes com determinados endereços e portas. Porém, nada garante que os pacotes permitidos não contenham algum tipo de ação maliciosa. Assim, o IDS/IPS deve analisar o tráfego. Se a ordem inversa fosse adotada, até mesmo os pacotes que devem ser necessariamente descartados (pelo firewall) seriam avaliados pelo IDS/IPS, o que produziria uma sobrecarga no sistema e não teria nenhum benefício. GABARITO: B

ID
2793991
Banca
IDIB
Órgão
Prefeitura de Planaltina - GO
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Assinale o dispositivo capaz de prevenir ataques a rede de computador.

Alternativas
Comentários
  • ERREI ESSA!!

    Origem: Wikipédia, a enciclopédia livre.


    sistema de prevenção de intrusões, do inglês Intrusion prevention system (IPS), evoluíram no final dos anos 1990 para resolver as ambiguidades no monitoramento de rede passivo, ao colocar a detecção em linha. A princípio, o IPS era apenas um sistema de detecção de intrusos (IDS) que possibilitava alguma interação com o firewall para controlar o acesso. Em pouco tempo foi necessário desenvolver algo mais robusto, pois apenas comandar o firewall não bastava: ainda era possível que ao menos aquele pacote malicioso trafegasse na rede. A solução era implementar formas inteligentes de bloqueio dentro do IPS.

    Visto como uma extensão do firewall, o IPS possibilita decisões de acesso baseadas no conteúdo da aplicação - e não apenas no endereço IP ou em portas, como os firewallstradicionais trabalham. Entretanto, nada impede que, para otimizar a performance, muitos IPS utilizem regras baseadas em portas e endereço IP.

    O IPS também pode servir secundariamente como um serviço de nível de host, prevenindo atividades potencialmente maliciosas. Existem vantagens e desvantagens, tanto no IPS baseado em host como no IPS baseado em rede. Em alguns casos, as tecnologias podem ser complementares. Porém, não se pode esquecer que grande parte da tecnologia de IPS de rede evoluiu e, hoje, pode tranquilamente exercer também as funções de host.

    A vantagem de um sistema de prevenção de intrusos está em ser um excelente detector de tráfego malicioso com uma média de falso positivo e falso negativa baixa.




  • IDS-> este detecta, já esta dentro SISTEMA DE DETECÇÃO DE INTRUSÃO
    IPS -> este aqui previne SISTEMA DE PREVENÇÃO DE INTRUSÃO


  • Considerando que o IDS :

    NÃO BLOQUEIA

    CRIA ALERTA 

    GERA LOG

     

    Só nos resta mesmo a letra B

     

     

    Fonte:Kurose

  • IDS (Intrusion detection System)

    - É um sistema de detecção de Intrusão na rede que geralmente trabalha no modo passivo;

    - O IDS é um sistema de configurações e regras que tem como objetivo gerar alertas quando detectar pacotes que possam fazer parte de um possível ataque;

    Tipos de IDS:

    - IDS baseado em host (HIDS) – trabalha de forma descentralizado.

    - IDS baseado em rede (NIDS) – trabalha de forma centralizada.

    - IDS híbrido.

    IPS (Sistema de Prevenção a Intrusão)

    - Trabalham inline ou integrados ao kernel dos hosts;

    - São capazes de detectar e prevenir os ataques, realizando contramedidas;

     Tipos de IPS:

    - IPS Baseado em host (HIPS);

    - IPS Baseado em rede (NIDS);

    Alternativa: B

  • De acordo com julgamento do STF (ADO 26 e MI 4733), deve-se estender à discriminação por orientação sexual e identidade de gênero a tipificação para crimes de discriminação ou preconceito de raça, cor, etnia, religião e procedência nacional, até que sobrevenha lei específica do Poder Legislativo.

  • Questão lixo, de uma prefeitura do fim do mundo, elaborada por uma banca de beira de esquina, tanto o IDS quanto o IPS podem ajudar a previnir, só que o IDS contribui apenas alertando, mas tá lá pra prevenir do mesmo jeito, né? Ou então só serve pra introduzir dentro do cool do examinador?

  • IPS (intrusion prevention system) analisa tráfegos na rede de computadores, em busca de assinaturas de ataques, e notifica os administradores;

    IDS(Intrusion Detection System) Detectin é quem detecta. A câmera de segurança detecta. Ela vai atrás? não, só alerta.

    fonte: colegas qc


ID
2851969
Banca
UFRR
Órgão
UFRR
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre Redes de computadores, analise as proposições a seguir:


I. No ataque de negação de serviços o atacante busca tornar indisponível os serviços e a rede da vítima, são coordenados e realizados por um conjunto de máquinas, conhecido como DDoS;

II. No ataque de SYN Flood, dentro do Three Way Handshake do TCP/IP, o hacker envia pacotes SYN à vítima, mas nunca envia o ACK de confirmação do SYNACK

III. O IPS (intrusion prevention system) permite, além de alertar uma tentativa de ataque, realizar o seu bloqueio;

IV. Os worms e vírus podem ser detectados por um sistema de IDS (intrusion detection system) usando a técnica de análise de comportamento de tráfego.


Está(ão) correta(s) a(s) proposição(ões):

Alternativas
Comentários
  • Questão boa, todas as afirmativas estão corretas. Vou comentar só algumas já que elas estão auto-explicativas.


    III. O IPS (intrusion prevention system) permite, além de alertar uma tentativa de ataque, realizar o seu bloqueio;

    Realmente o IPS pode trabalhar de forma ATIVA fazendo o bloqueio. OBS: Nâo confundir com o IDS, que trabalha de forma PASSIVA.

    IV. Os worms e vírus podem ser detectados por um sistema de IDS (intrusion detection system) usando a técnica de análise de comportamento de tráfego.

    Correto. O IDS, trabalhando na forma de detecção por anomalias, examina o trafego de rede em busca de ameaças que gerem padrões incomuns de fluxo de dados como ataques DDos, alguns tipos de malware, violações de privacidade

  • I. No ataque de negação de serviços o atacante busca tornar indisponível os serviços e a rede da vítima, são coordenados e realizados por um conjunto de máquinas, conhecido como DDoS;

    DDoS não seria ataque distribuído de negação de serviços? Acredito que essa questão deveria ser anulada.

  • II - O objetivo do SYNFLOOD é estourar a tabela de Estados da Vítima. Tabela que mantém os estado de todas as conexões, logo o objetivo do ataque é enviar o máximo de aberturas de conexões (pkt SYNs para o Server (vítima)) até estourar sua tabela, que de tal forma não conseguirá atender as outras requisições legítimas, ocasionando Negação de Serviço.


    OBS1 - Pela lógica, não há necessidade do atacante responder (com ACK) a vítima depois que ela respondeu sua solicitação de abertura de conexão.


    Obs2: pode-se utilizar Synflood pra sobrecarregar a largura de banda da vítima, mas neste ataque, o atacante tem que ter uma largura de banda maior. Ou usar múltiplos computadores em conjunto onde cada um tem largura de banda independente.


ID
2863594
Banca
CESPE / CEBRASPE
Órgão
FUB
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o próximo item, a respeito de segurança de redes.


Em uma comunicação de rede, um IPS instalado em linha (no caminho de comunicação entre a origem e o destino) analisa ativamente o tráfego e pode disparar ações automatizadas em tempo real, como, por exemplo, bloquear o tráfego de uma origem identificada como maliciosa.

Alternativas
Comentários
  • Exatamente (certo)


    Outra questão que ajuda a reforçar o entendimento:


    Ano: 2018 Banca: CESPE Órgão: EMAP Prova: CESPE - 2018 - EMAP - Analista Portuário - Tecnologia da Informação

    O dispositivo de IPS (do inglês intrusion prevention system) utilizado em redes corporativas tem como objetivo bloquear ataques a partir da identificação de assinaturas e(ou) anomalias.


    Gab: Certo

  • Exatamente (certo)


    Outra questão que ajuda a reforçar o entendimento:


    Ano: 2018 Banca: CESPE Órgão: EMAP Prova: CESPE - 2018 - EMAP - Analista Portuário - Tecnologia da Informação

    O dispositivo de IPS (do inglês intrusion prevention system) utilizado em redes corporativas tem como objetivo bloquear ataques a partir da identificação de assinaturas e(ou) anomalias.


    Gab: Certo

  • (C)

    Um Sistema de Detecção de Intrusão (Intrusion Detection System - IDS) é um software que automatiza o processo de detecção de intrusão.

  • Gabarito Certo


    Um Sistema de Prevenção de Intrusão é uma abordagem preventiva da segurança de rede, usada para identificar ameaças em potencial e responder rapidamente aos ataques.

    O IDS e o IPS são projetados para diferentes propósitos, mas suas tecnologias são semelhantes. A aplicabilidade do IDS se justifica em situações em que é necessário explicar o que aconteceu em um ataque, enquanto o IPS interrompe os ataques. Em resumo, um sistema IDS coleta informações que não são prioridades ​​do ponto de vista do IPS, como varreduras de portas e outros reconhecimentos.


    Conceito de IDS, IPS e IDPS


    IDS: Um Sistema de Detecção de Intrusão (Intrusion Detection System - IDS) é um software que automatiza o processo de detecção de intrusão.


    IPS: Um Sistema de Prevenção de Intrusão (Intrusion Prevention System - IPS) é um software de Prevenção de intrusão. Tem a capacidade de impedir possíveis incidentes.


    IDPS: Um Sistema de Detecção e Prevenção de Intrusão (Intrusion Detection and Prevention System - IDPS) é um sistema híbrido, surgido a partir da junção dos sistemas IDS e IPS. Administradores tem a opção de desativar as funções de IPS, fazendo com que o sistema passe a funcionar apenas como IDS.


    https://www.gta.ufrj.br/grad/12_1/ids/ConceitodeIDS.html

    https://www.aker.com.br/novidades/noticias/o-que-e-um-sistema-de-prevencao-de-intrusao-ips/


  • Certo

    O que é um Sistema de Detecção de Intrusos 

    Intrusion Prevention System - IPS (Sistema de Prevenção de Intrusos) é uma solução tecnológica que atua na precaução e no combate de ameaças em ambientes de redes, de forma mais consistente que seus antecessor: o Intrusion Detection System - IDS (Sistema de detecção de intrusos. Enquanto o IDS é considerada uma solução passiva, o IPS é uma solução ativa.

    Fonte: https://www.portalgsti.com.br/sistema-prevencao-intrusos/sobre/

  • 2013

    Considere que, quando operando em determinada rede, um sistema de prevenção de intrusão identifique tráfego anormal, possivelmente um ataque de negação. Nesse caso, o referido sistema é capaz de executar ações que sinalizem para o firewall efetuar o bloqueio do tráfego identificado.

    Certa

    e o IDS, bloqueia tráfego? ==> https://www.qconcursos.com/questoes-de-concursos/questoes/5498f9f9-c4

    olha o CESPE

    2015

    No caso da identificação indevida de tráfego como intrusão por um sistema IDS, ou identificação de falsos positivos, a adoção de contramedidas rígidas, como o bloqueio do tráfego, poderá contribuir para a quebra da disponibilidade da informação que deveria fluir pela rede.

    certa

    2014

    A detecção de intrusão abrange formas de resposta, tais como a geração de alertas e a interrupção dos fluxos de dados maliciosos.

    certa

    2011

    IDS (intrusion detection system) pode ser utilizado para incrementar o trabalho do firewall e permitir que o tráfego de dados de uma rede seja monitorado para correção imediata de problemas ou falhas

    certa

  • O IPS se diferencia do IDS pelo fato de ser ativo, ou seja, interfere diretamente nos eventos que passam por ele. Os IPSs mais comuns são os de rede, que atuam em cima do tráfego de rede. Uma característica importante é sua ação no caso de falha: ele pode bloquear ou liberar todas as conexões que passam por ele; a decisão é capciosa e complexa, pois pode permitir acesso a um atacante ou causar um problema de disponibilidade.

    Vantagem: possibilidade de bloquear um ataque a partir de seu primeiro pacote, o que pode ser fundamental para mitiga-lo.

    Desvantagem: sua desvantagem é a necessidade de capacidade de processamento suficiente para analisar todos os pacotes que passam por ele, o que pode causar atrasos em casos de redes muito sobrecarregadas.

    Resposta: Certo

  • IPS Ativo, IDS Passivo;

  • Sem se aprofundar muito, o IPS é ativo, ou seja, aplicará contra-medidas.

  • IDS = se restringe a detectar tentativas de intrusão, registrá-las e enviá-las ao administrador da rede. 

    IPS = opera “online”na rede, adotando medidas adicionais para bloquear as intrusões em tempo real.

    Lembrando que o IPS é um complemento do IDS, ele acrescenta à detecção de ataques a possibilidade de prevenção.

  • IPS: PROTEGE(BLOQUEIA). ATIVO

    IDS: DEFENDE(REGISTRA). PASSIVO

  • SEGURANÇA DA INFORMAÇÃO

    IPS ( Prevenção de Intrusos/usuários não autorizados):

    Identifica a intrusão;

    bloqueia o evento;

    inteligente (diretórios de loggins);

    solução ativa.

    Ações do IPS: envia alarme aos administradores, derruba pacotes maliciosos, bloqueia o tráfego a partir do endereço de origem e redefine conexões.

  • Gabarito: Certo.

    Um IDS inline é capaz não apenas de detectar os ataques, mas também os prevenir, não deixando que os pacotes cheguem aos servidores. Esses IDSs em modo inline são chamados de Sistemas de Prevenção de Intrusão (IPS - Intrusion Prevention System). Na realidade, os IDS em modo inline são os IPS baseados em rede.

  • Dever de casa...hj, exatamente antes de dormir(ao por a sua cabeça no travesseiro), pense na seguinte questao: se a questão afirmasse que "um IDS pode agir ativamente, bloqueando tráfego nocivo à rede", vc seria capaz de marcar errado??

    Se vcs colocarem meus comentários no topo, eu prometo responde-lo trazendo toda sorte de fonte possível!!! E acabar com essa duvida de vez!!!

    Se não quiser curtir, problema seu...e se me der na telha, respondo da msm forma(afinal, meus dedos, minhas regras)!!!

    Mas vá fazendo esse exercício por ora!!!

  • É dizer que você chegou em algum órgão qualquer e é parado na recepção, assim questionada do real propósito de sua visita, onde vai, quem é, quem está procurando, onde vai ... Se a recepção não se convencer do seu real motivo de estar ali ela barra sua entrada e avisa o responsável do ocorrido ou o contrário libera seu acesso automaticamente.

    CERTA

  • IDS(sistema de detecção de invasão) Monitora, mas não faz nada.

    IPS(sistema de prevenção de invasão) Detecta e previne, ele atua como um firewall.

  • CERTO

    IPS (sistema de prevenção de invasão)

    • analisa as movimentações na rede e, se detectar um evento suspeito, bloqueia a atividade.
  •  

    IDS (INTRUSION DETECTION SYSTEM)  e IPS (INTRUSION PREVENTION SYTEM))

    - Ambos analisam o tráfego de rede em busca de assinaturas ou de um conjunto de regras.

    IDS - MONITORA, DETECTA, ALERTA à Não bloqueia

    IPS - MONITORA, DETECTA e BLOQUEIA  (IPS = PLOQUEIA)

  • Intrusion Prevention System (IPS)

    Do Português - Sistema de Prevenção de Intrusos - é uma solução tecnológica que atua na precaução e no combate de ameaças em ambientes de redes, de forma mais consistente que seus antecessor: o Intrusion Detection System - IDS (Sistema de detecção de intrusos. Enquanto o IDS é considerada uma solução passiva, o IPS é uma solução ativa.

    (CESPE, 2018) O dispositivo de IPS (do inglês intrusion prevention system) utilizado em redes corporativas tem como objetivo bloquear ataques a partir da identificação de assinaturas e(ou) anomalias.(CERTO)

  • Baita Revisão!

  • IPS: o policial. Age, bloqueia, faz tudo.

    IDS: o detetive. Só investiga e reporta.

  • IPS X IDS

    São duas ferramentas que complementam a segurança em uma rede de computadores, são ótimos complementos ao Firewall. Eles detectam a presença de um invasor na rede e tomam decisões para o bloqueio do mesmo. A diferença entre eles é exatamente a decisão tomada. Veja abaixo:

     IDS (Sistema de Detecção contra Intrusão) Ele é passivo, pois só detecta o invasor e emite alertas para o administrador de rede ou para o Firewall efetuar o bloqueio.

     IPS (Sistema de Prevenção contra Intrusão) Ele é ativo, pois detecta o invasor e ao mesmo tempo já faz o bloqueio. O IPS é uma evolução do IDS.

    O IDS é o Dálmata. Late (Avisa) mais não morde (bloqueia).

    O IPS é o PitBull. Late (Avisa) e morde (bloqueia).

    Perseverança!

  • Gab: CERTO

    William Stallings afirma que o IPS pode ser considerado um IDS baseado em rede (NIDS) inline que tem a capacidade de bloquear tráfego por meio do descarte de pacotes, bem como simplesmente por meio da detecção de tráfego suspeito.

  • No mundo LGBT: O IPS é o ativo; o IDS é o passivo.
  • GAB: CERTO

    IDS(sistema de detecção de invasão) Monitora, mas não faz nada.

    IPS(sistema de prevenção de invasão) Detecta e previne, ele atua como um firewall.


ID
2916019
Banca
COPESE - UFT
Órgão
Câmara de Palmas - TO
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Os Sistemas de Prevenção de Intrusão (IPS) baseados em estação fazem uso de técnicas de verificação de assinaturas, bem como detecção de anomalias para identificar ataques. Assinale a alternativa que NÃO indica um padrão de comportamento realizado por uma aplicação maliciosa.

Alternativas
Comentários
  •  c)

    Aplicação de patches e atualização de todos os softwares críticos do sistema.

     

    É uma ação geralmente realizada por administradores de redes para deixar os sistemas mais seguros


ID
2929351
Banca
UFGD
Órgão
UFGD
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

É corriqueiro em segurança da informação lidar com as inúmeras ameaças digitais. Dentre as diversas técnicas para conter essas ameaças existem sistemas que permitem a prevenção e a detecção de intrusos em uma rede por meio de análise de tráfego, oferecendo registros detalhados de eventos, baseando-se em regras definidas pelo administrador buscando rejeitar determinados pacotes maliciosos. Assinale a alternativa que identifica esses sistemas.

Alternativas
Comentários
  • e)

    IPS e IDS.

    IPS - Sistema de prevenção de intrusos do inglês Intrusion Prevention System

    IDS (Intrusion detection System) é um sistema de detecção de Intrusão

  • Só complementando a resposta corretíssima do colega Rodrigo, o IPS aplicará contra-medidas ao detectar uma atividade suspeita na rede, ou seja, ele trabalha de maneira proativa. Já o IDS ao detectar algum problema, ele irá relatar ao administrador, que deverá então cuidar manualmente do caso.

    É importante saber sobre esses dois mecanismos de defesa, pois são bastante recorrentes em provas.


ID
3108946
Banca
FCC
Órgão
SANASA Campinas
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

Os Sistemas de Prevenção de Intrusões – IPS são classificados de diversas formas, dentre elas aquela que é baseada em proteger as redes contra ataques DoS (Denial of Service), em aplicativos e ataques de força bruta. Podem ser configurados para que os administradores usem diversos IPs (Internet Protocol) e sintonize-os às suas necessidades.


O IPS descrito é conhecido como

Alternativas
Comentários
  • Baseada em Atividades (Rate Based): Estes IPS´s olham para a atividade que está fora do alcance dos níveis normais, como a atividade que parece estar relacionada com a quebra de senha e penetração de força bruta por exemplo.

  • Esse não conhecia

  • Essa questão é passível de Recurso. Rate-Based IPS - não existe e até hoje eu não encontrei em nenhuma literatura que fala sobre isso.

    O Correto seria LETRA (B) -"NIDS" IDS baseado em Redes como a questão afirma Endereço IP.

    Podem ser configurados para que os administradores usem diversos IPs (Internet Protocol) e sintonize-os às suas necessidades

  • Estranho esse gabarito...

  • A primeira geração de IPS foi baseada na detecção por assinatura, Os fabricantes utilizavam honeyspots para reunir o código malicioso. Elas analisavam e criavam assinatura para cada virus, worm ou outro tipo de malware. Entretanto, o IPS baseado na assinatura funcionava bem se o ataque ja tivesse sido identificado, e se a assinatura ja tivesse sido criada, e o IPS tivesse sido atualizado. Entretanto, o IPS baseado na assinatura nao era capaz de parar o ataque DDoS (distributede denail-of-service attacks), no qual o atacante inunda os servidores Web com trafego legitimo, causando a indisponibilidade do servidor.

    Os Fornecedores responderam acrescentando uma taxa limite ao IPS. Com o rate-base IPS, os clientes podem impor limite à quantidade de trafego que a rede pode aceitar. Em caso de um ataque DDoS, o IPS simplesmente desacelera a quantidade de trafego e frusta o ataque.

    Fonte:

  • Não deixa de ser um nids

  • cadêeeee o recurso candidatooooos

  • no curso não ensinou esse kkkkk

  • A banca provavelmente pegou daqui, mas errou na tradução.

    "Ratebased IPS signatures protect networks against application based DoS and brute force attacks.Administrators can configure 20 rate-based IPS signatures and tune them to their needs."

    https://fortinetweb.s3.amazonaws.com/docs.fortinet.com/v2/attachments/ae0496b8-ce8d-11e9-8977-00505692583a/fortiadc-v5.3.0-ips-deployment-guide.pdf


ID
3185278
Banca
FCC
Órgão
TJ-MA
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

Um sistema que monitora pacotes de rede em busca de tráfego potencialmente prejudicial, respondendo a esse tipo de tráfego com a rejeição dos pacotes potencialmente mal-intencionados, corresponde a

Alternativas
Comentários
  • Intrusion Prevention System - IPS (Sistema de Prevenção de Intrusos) é uma solução tecnológica que atua na precaução e no combate de ameaças em ambientes de redes, de forma mais consistente que seus antecessor: o Intrusion Detection System - IDS (Sistema de detecção de intrusos. Enquanto o IDS é considerada uma solução passiva, o IPS é uma solução ativa. Ferramentas de prevenção de intrusos utilizam recursos que reduzem as ameaças a vulnerabilidades conhecidas e desconhecidas em redes. Alguns mecanismos podem incluir: Monitoramento do tráfego de rede Identificação de atividades maliciosas Bloqueio de ações susupeitas A análise de protocolo baseada em decodificador A proteção de protocolo baseada em anomalias A correspondência de padrões com manutenção do status Monitoramento passivo de DNS
  • Gab: C

    Além do IPS, tem também o IDS (Sistemas de Detecção de Intrusão)

  • Gabarito C.

    Quanto as demais:

    a) DMZ: Em segurança de computadores, uma DMZ ou zona desmilitarizada, também conhecida como rede de perímetro, é uma sub-rede física ou lógica que contém e expõe serviços de fronteira externa de uma organização a uma rede maior e não confiável, normalmente a Internet.

    b) Switch: switch (comutador) é um importante equipamento que possibilita a conexão de computadores em redes. Bem, a melhor maneira de entender o funcionamento do Switch é considerá-lo como uma evolução do HUB.

    c) IPS : sistema que monitora pacotes de rede em busca de tráfego potencialmente prejudicial, respondendo a esse tipo de tráfego com a rejeição dos pacotes potencialmente mal-intencionados.

    Macete que criei:

    IPS => Investigador Pacotes Sistema: é um sistema que investiga(monitora) os pacotes de rede.

    d) Honeypot: É uma ferramenta que tem a função de propositalmente simular falhas de segurança de um sistema e colher informações sobre o invasor. É uma espécie de armadilha para invasores. O honeypot não oferece nenhum tipo de proteção.

    Outra questão que ajuda:

    CESPE/CEBRASPE 2018 ABIN

    Os honeypots (potes de mel), enquanto tecnologia de detecção de intrusão, podem ser utilizados para atingir os objetivos de atrair um atacante potencial e afastá-lo de sistemas críticos e de incentivar o atacante a ficar no sistema por período de tempo suficiente para que haja resposta dos administradores, mas não para coletar informações sobre a atividade do atacante, uma vez que não foram projetados para esse fim.

    (ERRADA, pois Honeypot é uma ferramenta que tem a função de propositalmente simular falhas(armadilha) de segurança de um sistema e colher informações sobre o invasor). {Comentário de Cristiano M.}

    e) Proxy SPS: Em redes de computadores, um proxy é um servidor que age como um intermediário para requisições de clientes solicitando recursos de outros servidores. 

    Fonte: Wikipédia.

  • Se ele faz algo para evitar o ataque -> IPS

    Se ele apenas detecta -> IDS

  • IPS : sistema que monitora pacotes de rede em busca de tráfego potencialmente prejudicial, respondendo a esse tipo de tráfego com a rejeição dos pacotes potencialmente mal intencionados. 


ID
3402277
Banca
IBFC
Órgão
TRE-PA
Ano
2020
Provas
Disciplina
Segurança da Informação
Assuntos

Leia as duas definições abaixo referente aos Sistemas de Detecção e Prevenção de Intrusão:

1ª) são ferramentas de detecção e monitoramento que não agem por conta própria.
2ª) são sistemas de controle que aceitam ou rejeitam um pacote baseado em um conjunto de regras.

Sobre as definições acima, assinale a alternativa correta.

Alternativas
Comentários
  • IDS/IPS são recursos que tem por intuito examinar o tráfego na rede, a fim de detectar e prevenir os acessos não autorizados, protegendo-a da exploração de vulnerabilidades. A principal diferença entre eles é que o IDS é um sistema de monitoramento, enquanto o IPS é um sistema de controle de intrusão. 

    IDS (Instruction detection System): Detecta potencial violação da segurança, registra a informação (log) e dispara um alerta. Atuam de forma PASSIVA.

    IPS (Instruction prevenction System): Além de detectar a potencial violação da segurança, responde à atividade suspeita, finalizando a sessão do usuário ou reprogramando o Firewall para bloquear o tráfego da fonte. Atuam de forma ATIVA.

  • Outro conceito legal: IDS---> Solução PASSIVA

    IPS---> Solução ATIVA (IMPLEMENTAM REGRAS E POLÍTICAS)

  • IDS -> Passivo

    Funções: Detecta e alerta administradores sobre atividades suspeitas.

    IPS -> Ativo

    Aplicará contra-medidas.

  • "são sistemas de controle que aceitam ou rejeitam um pacote baseado em um conjunto de regras"

    Ainda bem que não tinha a opção Firewall

  • Em 01/06/20 às 23:19, você respondeu a opção C. Você errou!

    Em 21/05/20 às 20:48, você respondeu a opção D. Você errou!

    10 dias depois, ainda nao me lembrava, kkkk

  • Errei. Mas, uma tentativa de aumentar as chances de acerto poderia ser o "D", de detecção no IDS, citado na definição - na questão.

  • pra nunca mais esquecer.

    ids= "intão" deixa sirene, algo passivo.

    ips= "intão" posso socar, algo ativo


ID
3532195
Banca
INSTITUTO AOCP
Órgão
IBGE
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre os Sistemas de Prevenção de Intrusão (IPS), analise as assertivas e assinale a alternativa que aponta as corretas.

I. Os IPS podem operar com bases de assinaturas que permitem que o sistema identifique comportamentos típicos de ameaças conhecidas.
II. Sistemas de detecção de intrusão baseados em anomalias utilizam técnicas de aprendizagem de máquina para a detecção de tráfegos anômalos na rede.
III. Trabalham exclusivamente monitorando o funcionamento dos computadores e geram alertas quando identificam algum padrão de comportamento suspeito.
IV. São mais eficientes que os antimalwares para detectar softwares maliciosos nos computadores.

Alternativas
Comentários
  • I. Os IPS podem operar com bases de assinaturas que permitem que o sistema identifique comportamentos típicos de ameaças conhecidas. --> Verdade, os sistemas IPS podem trabalhar de forma hibrida.

    II. Sistemas de detecção de intrusão baseados em anomalias utilizam técnicas de aprendizagem de máquina para a detecção de tráfegos anômalos na rede. --> Verdade, sistemas IDS baseados em anomalias usam machine learning para detectar tráfegos diferentes nas rede, assim como também utilizam assinaturas prévias.

    III. Trabalham exclusivamente monitorando o funcionamento dos computadores e geram alertas quando identificam algum padrão de comportamento suspeito. --> Falso, embora não esteja explicitando a quem se refere, está direcionado ao IPS, a banca pode ter jogado assim para confundir os candidatos.

    IV. São mais eficientes que os antimalwares para detectar softwares maliciosos nos computadores. --> Falso, IPS tem um propósito diferente dos antimalwares.

  • Enquanto os antimalwares monitoram o computador, os IPSs monitoram toda a rede. No entanto, ambos são eficientes, cada um no seu quadrado.

  • Apenas I e II.

  • ✔️ PARA AJUDAR A FIXAR

    FORMAS DE DETECÇÃO

    > POR ASSINATURA: SÓ DETECTA ATAQUES CONHECIDOS

    > POR ANOMALIAS: IDENTIFICA NOVOS ATAQUES (ACABA GERANDO FALSOS POSITIVOS)

    ✍ GABARITO: D


ID
3715126
Banca
IADES
Órgão
TRE-PA
Ano
2013
Disciplina
Segurança da Informação
Assuntos

Os Sistemas de Detecção de Intrusão (IDS) e os Sistemas de Prevenção de Intrusão (IPS) são mecanismos de segurança usados em redes de computadores para evitar acessos suspeitos e não autorizados. A respeito de IDS e IPS, assinale a alternativa correta. 

Alternativas
Comentários
  • IDS (Intrusion detection System)

    -É um sistema de detecção de Intrusão na rede que geralmente trabalha no modo passivo;

    -O IDS é um sistema de configurações e regras que tem como objetivo gerar alertas quando detectar pacotes que possam fazer parte de um possível ataque;

    Tipos de IDS:

    -IDS baseado em host (HIDS);

    -IDS baseado em rede (NIDS).

    -IDS híbrido.

    IPS (Sistema de Prevenção a Intrusão)

    · Trabalham inline ou integrados ao kernel dos hosts;

    · São capazes de detectar e prevenir os ataques, realizando contramedidas;

    ·Tipos de IPS:

    IPS Baseado em host (HIPS);

    IPS Baseado em rede (NIDS);

    Alternativa: E

  • IDS APENAS detecta

  • A = IPS

    B = Estão invertidos

    C = Não dependem trabalham concomitantemente

    D = Refere-se ao NIDS e não ao HIDS como afirma a assertiva

    Gabarito E

  • Questão: E

    IDS x IPS

    • IDS: Apenas detecta a ação maliciosa e avisa ao administrador da rede.
    • IPS: Detecta e combate a ação maliciosa.
  • o HIDS --> baseado em host vai monitorar a máquina no qual esta instalado e não toda a rede.

    IDS é passivo, apenas monitora

    IPS é ativo --> toma ações


ID
4145509
Banca
COVEST-COPSET
Órgão
UFPE
Ano
2019
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre IDS (Intrusion Detection System ou Sistema de Detecção de Intrusão) e IPS (Intrusion Prevention System ou Sistema de Prevenção de Intrusão), é correto afirmar que:

Alternativas
Comentários
  • GABARITO -C

    Resumo para facilitar..

    IDS:

    Ele é baseado na hipótese de que a base de comportamento de um intruso não é o mesmo de um usuário legítimo. Por isso, o modelo tenta criar um padrão de comportamento de usuários em relação a programas, arquivos e dispositivos, tanto em longo quanto em curto prazo. Depois do IDES, muitos outros sistemas foram desenvolvidos, baseados numa abordagem que combinava estatística e sistemas especialistas.

    Conceitualmente, o IDS refere-se a um mecanismo capaz de identificar ou detectar a presença de atividades intrusivas. Em um conceito mais amplo, isto engloba todos os processos utilizados na descoberta de utilizações não autorizadas de dispositivos de rede ou de computadores. Isto é feito através de um software projetado especificamente para tal propósito.

    IPS:

    Esse sistema funciona de modo semelhante ao HIDS. As verificações são em cima da máquina na qual se encontra instalado, porém, além de detectar o ataque, ele toma decisões a respeito das análises efetuadas.

    Ele tem acesso direto ao sistema operacional da máquina e ao próprio kernel, podendo dessa forma controlar os acessos ao sistema de arquivos, configuração e registros do sistema.

    NIDS

    o Sistema de Rede de Detecção de Intrusão (em inglês, Network Intrusion Detection System - NIDS) é uma classe de IDS que foca em analisar o fluxo de informações que transitam pela rede, buscando encontrar padrões comportamentais suspeitos. Um sistema NIDS geralmente é implementado em locais estratégicos da rede, como antes ou logo após o firewall, em sub-redes importantes dentro de uma mesma rede, em áreas DMZ para evitar que usuários dentro dessa área tentem acessar a rede corporativa.

    fonte: https://www.gta.ufrj.br/grad/16_2/2016IDS/tipos.html

  • Assertiva C

    o NIDS (Network IDS ou IDS de Rede) monitora o tráfego da rede, a fim de identificar possíveis atividades maliciosas.

  • ===Letra A===

    o IPS é uma solução passiva de segurança. (ERRADO)

    o IPS é uma solução ativa de segurança

    ===Letra B===

    o IDS é uma solução ativa de segurança(ERRADO)

    o IDS é uma solução passiva de segurança

    ===Letra C===

    o NIDS (Network IDS ou IDS de Rede) monitora o tráfego da rede, a fim de identificar possíveis atividades maliciosas.(CERTO)

    ===Letra D===

    o IPS exige que um ser humano, ou outro sistema, analise os resultados e determine quais ações tomar em seguida. (ERRADO)

    O IPS trabalha inline ou integrados ao kernel dos hosts. São capazes de detectar e prevenir os ataques, realizando contramedidas;

    ===Letra E===

    o UTM (Unified Threat Management ou Gerenciamento Unificado de Ameaças) é uma solução inovadora que não é baseada em IDS e IPS.(ERRADO)

    UTM é uma solução inovadora que é baseada em IDS e IPS.

  • GAB [C] AOS NÃO ASSINANTES.

    #ESTABILIDADESIM.

    #NÃOÀREFORMAADMINISTRATIVA.

    ''O serviço público continua depois que você morrer. Trabalhe para que ele seja cada vez melhor.''

  • NIDS -< Centralizado -> Monitora tráfego na rede.

  • TIPOS DE IDS:

    HIDS: É baseado em Hosts (Dispositivos)

    > Monitoram e analisam informações coletadas em um único Host (Dispositivo).

    NIDS: Baseado em Redes (Network)

    > Monitoram e analisam todo o tráfego no segmento de rede.

    IDS Hibrido: Ele é baseado tanto em Host, quanto em redes

    > É a utilização dos dois segmentos (Host e Network) para controlar e monitorar a segurança computacional de um ambiente.

    CONCEITOS DO MESTRE João Paulo

  • Questão: C

    IDS x IPS

    • IDS: somente detectar e avisar ao administrador da rede.
    • IPS: possui a função de barrar e controlar a entrada de intrusos.

ID
5036590
Banca
CESPE / CEBRASPE
Órgão
CODEVASF
Ano
2021
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere a procedimentos de segurança de redes de comunicação, julgue o próximo item.


Um dispositivo configurado como IPS (intrusion prevention system) analisa tráfegos na rede de computadores, em busca de assinaturas de ataques, e notifica os administradores, porém não possui autonomia para bloquear o tráfego de rede.

Alternativas
Comentários
  • Um Sistema de Detecção de Intrusão (em inglês, Intrusion Detection System - IDS) é um sistema que monitora uma rede em busca de eventos que possam violar as regras de segurança dessa rede. Dentre esses eventos, destacam-se programas realizando atividades que fogem ao seu comportamento comum, malwares, e invasões de nós.

    O IDS funciona coletando os dados dos usuários e armazenando-os, analisando padrões comportamentais, fluxo de dados, horários, dentre outros. Com essas informações, aliado ao conhecimento prévio de padrões de ataque, é possível discernir se o evento em questão é um evento malicioso ou não.

    Até aqui já podemos perceber que a questão fala do IDS e não IPS. Continua:

    Um IDS passivo é projetado para detectar ameaças e informar ao administrador da rede sobre a atividade maliciosa detectada. O sistema de prevenção de intrusão (em inglês, Intrusion Prevention System - IPS), por outro lado, representa o comportamento de um IDS ativo, ou seja, é projetado com o objetivo de bloquear automaticamente a atividade maliciosa, seja por configuração de firewalls e comutadores ou outras técnicas, como encerramento de conexão via envio de pacotes reset.

    Logo, a questão fala do IDS e não IPS.

    Macete:

    IDS -> Notifica -> NÃO COMBATE (passivo)

    IPS -> Combate (Ativo)

    Outras questões CESPE que ajudam a entender bem:

    (CESPE) Ferramentas IDS podem trabalhar simplesmente emitindo alertas de tentativa de invasão ou aplicando ações com a finalidade de contra-atacar a tentativa de invasão. (C)

    (CESPE) IDS e IPS são sistemas que protegem a rede de intrusões, diferindo no tratamento dado quando uma intrusão é detectada. Especificamente, o IPS limita-se a gerar alertas e ativar alarmes, e o IDS executa contramedidas, como interromper o fluxo de dados referente à intrusão detectada. (E) -> Nessa questão, os conceitos estão invertidos.

    (CESPE) As ferramentas de IDS (sistemas de detecção de intrusão) atuam de forma mais proativa que as ferramentas de IPS (sistemas de prevenção de intrusão). (E) Aqui também está invertido, pois é justamente ao contrário.

    GAB E

    Bons Estudos!

  • Gabarito: Errado

    Firewall IPS (Intrusion Prevention System)

    O IPS, sistema de prevenção de intruso, tem a capacidade de identificar uma intrusão, analisar a relevância do evento ou risco e bloquear determinados eventos, fortalecendo assim a tradicional técnica de detecção de intrusos. Trabalha inline ou integrados ao kernel dos hosts. São capazes de detectar e prevenir os ataques, realizando contramedidas, como interromper o fluxo de dados referente à intrusão detectada.

    Em outras palavras, o IPS é uma ferramenta com inteligência na maneira de trabalhar, pois, reúne componentes que fazem com que ele se torne um repositório de logs e técnicas avançadas de alertas e respostas, voltadas exclusivamente a tornar o ambiente computacional cada vez mais seguro sem perde o grau de disponibilidade que uma rede deve ter.

    Firewall IDS (Intrusion Detection System)

    O IDS, sistema de detecção de intruso, é uma ferramenta utilizada para monitorar o tráfego da rede, detectar e alertar sobre ataques e tentativas de acesso indevidos. Na grande maioria das vezes não bloqueia uma ação, mas verifica se esta ação é ou não uma ameaça para um segmento de rede. A vantagem de se utilizar um IDS é que ele não interfere no fluxo de tráfego da rede, ou seja, age passivamente.

    Em outros termos, o IDS é capaz de detectar e alertar os administradores sobre atividades suspeitas, impróprias, incorretas ou anômalas na rede interna. Funcionam como sniffer. Exemplo, ataques através de portas permitidas, não identificados pelo firewall, uso de modem sem autorização por usuário interno.

    Algumas questões do CESPE sobre o assunto:

    (CESPE - 2017 - SEDF) Relativamente a segurança da informação, julgue o item subsequente.

    Uma das abordagens comuns dos sistemas IDS na realização de suas funções é aprender a reconhecer padrões de intrusões usando métodos como redes neurais.

    Gabarito: Certo

    (CESPE - 2015 - TCE-RN) A respeito de segurança em redes de computadores, julgue o item seguinte.

    Situação hipotética: Uma ferramenta, ao monitorar o tráfego de uma rede, detectou uma anomalia considerada como um possível ataque. Após essa detecção, a ferramenta enviou ao firewall um pedido de bloqueio do endereço de origem que enviou o tráfego de rede considerado um ataque. Assertiva: Nessa situação, a referida ferramenta é considerada um IPS (intrusion prevention system).

    Gabarito: Certo

    (CESPE - 2010 - TCU) Com relação à segurança em redes de computadores, julgue os itens subsequentes.

    Firewalls, IDS e IPS são dispositivos que têm finalidades idênticas, porém tipicamente operam de formas distintas: o primeiro inspeciona integralmente os datagramas e reage bloqueando o tráfego indesejado; o segundo também inspeciona integralmente os datagramas, mas não bloqueia o tráfego indesejado, apenas emite alertas; e o terceiro inspeciona apenas os cabeçalhos dos datagramas e, como o primeiro, reage bloqueando o tráfego indesejado.

    Gabarito: Errado

  • A questão trata do IDS!

    Um dispositivo configurado como IPS (intrusion prevention system) analisa tráfegos na rede de computadores, em busca de assinaturas de ataques, e notifica os administradores, porém não possui autonomia para bloquear o tráfego de rede. X

    [...]

    Intrusion Detection System (IDS)

    ➥ Do Português - Sistema de Detecção de Intrusão - é um sistema que possibilita a coleta e o uso de informações dos diversos tipos de ataques em prol da defesa de toda uma infraestrutura de rede.

    • IDS -> Intruso Detectado no Sistema > alerta o usuário, somente!

    ➥ Em outras palavras, é um software que automatiza o processo de detecção de intrusão.

    [...]

    ► Pra que ele serve?

    É usado para monitorar e proteger redes detectando atividades mal-intencionadas e relatando-as a um grupo ou contato, como um administrador de rede. Uma vez que as atividades desse tipo são detectadas, um administrador é alertado.

    [...]

    ► Como ele funciona?

    O sistema analisa o tráfego da rede em busca de assinaturas que correspondam a ciberataques conhecidos.

    ➥ Além disso, compara flags definidas em um cabeçalho TCP com boas e más combinações conhecidas de flags.

    [...]

    ► Onde ele deve ser instalado?

    IDS é o primeiro sistema de detecção de intrusão que deve ser instalado no perímetro da rede de computadores de uma organização, ou seja, entre a rede local e a Internet.

    [...]

    ____________

    Fontes: Universidade Federal do RJ; Questões da CESPE; Colegas do QC.

  • IDS - DETECTA, ALERTA

    Só dá o papo

    IPS - PREVINE, ALERTA E BLOQUEIA

    Desce o sarrafo

  • IDS - DETECTA, ALERTA

    Só dá o papo

    IPS - PREVINE, ALERTA E BLOQUEIA

    (CESPE - 2017 - SEDF) Relativamente a segurança da informação, julgue o item subsequente.

    Uma das abordagens comuns dos sistemas IDS na realização de suas funções é aprender a reconhecer padrões de intrusões usando métodos como redes neurais.

    Gabarito: Certo

    (CESPE - 2015 - TCE-RN) A respeito de segurança em redes de computadores, julgue o item seguinte.

    Situação hipotética: Uma ferramenta, ao monitorar o tráfego de uma rede, detectou uma anomalia considerada como um possível ataque. Após essa detecção, a ferramenta enviou ao firewall um pedido de bloqueio do endereço de origem que enviou o tráfego de rede considerado um ataque. Assertiva: Nessa situação, a referida ferramenta é considerada um IPS (intrusion prevention system).

    Gabarito: Certo

    (CESPE - 2010 - TCU) Com relação à segurança em redes de computadores, julgue os itens subsequentes.

    Firewalls, IDS e IPS são dispositivos que têm finalidades idênticas, porém tipicamente operam de formas distintas: o primeiro inspeciona integralmente os datagramas e reage bloqueando o tráfego indesejado; o segundo também inspeciona integralmente os datagramas, mas não bloqueia o tráfego indesejado, apenas emite alertas; e o terceiro inspeciona apenas os cabeçalhos dos datagramas e, como o primeiro, reage bloqueando o tráfego indesejado.

    Gabarito: Errado

  • Galera é so ver o próprio nome

    IPS (Intrusion Prevention System) prevention é quem previne. A polícia previne os delitos porque ela vai atrás. Quem previne vai atrás ou faz algo.

    IDS (Intrusion Detection System) Detection é quem detecta. A câmera de segurança detecta. Ela vai atrás? não só alerta.

  • esse IPS faz quase tudo que o IDS faz e mais alguma coisa, ele é o cara....

    quando uma questão elogiar ele... ja fique ligado!

    abraços.

  • "Um dispositivo configurado como IPS (intrusion prevention system) analisa tráfegos na rede de computadores, em busca de assinaturas de ataques, e notifica os administradores, porém não possui autonomia para bloquear o tráfego de rede."

    Na verdade, ele conceituou o IDS (intrusion detection system).

    Observação:

    O IDS, apesar de não ser ativo, pode ser reativo. Ou seja, ele não bloqueia tráfego na rede, não ataca a ameaça, mas pode contra-atacar a ameaça.

    Fonte: CESPE.

  • Moleza, moleza

  • Autor: Igor Caceres

    26 de Fevereiro de 2021 às 11:29

    Galera é so ver o próprio nome

    IPS (Intrusion Prevention System) prevention é quem previne. A polícia previne os delitos porque ela vai atrás. Quem previne vai atrás ou faz algo.

    IDS (Intrusion Detection System) Detection é quem detecta. A câmera de segurança detecta. Ela vai atrás? não só alerta.

  • IPS = PUTO, bloqueia.

    IDS = DE BOA, só avisa da possível mutretagem.

  • Aí é detecção, não prevenção

  • ERRADO

    IPS (sistema de prevenção de invasão)

    • analisa as movimentações na rede e, se detectar um evento suspeito, bloqueia a atividade.

  • IDS: em casa a gente conversa.

    IPS: a conversa.

    Na minha época não existia a Lei menino Bernardo kkkk

  • Só tem bizu top kkkkkkkk

  • Errado.

    O IPS: Pega rex, entrou no quintal, ele previne que avance.

    O IDS: Só late, detecta e avisa.

  • O IPS possui autonomia para bloquear tráfegos indesejados. Se fosse IDS, a questão estaria certa. Gabarito: Errado.

    Perseverança!

  • GAB:E

    • Lembre-se:
    1. IDS - pinscher só faz "barulho"
    2. IPS - Pitbull

    Complementando com questões,

    (CESPE 2012) Os sistemas IDS (intrusion detection system) e IPS (intrusion prevention system) utilizam metodologias similares na identificação de ataques, visto que ambos analisam o tráfego de rede em busca de assinaturas ou de conjunto de regras que possibilitem a identificação dos ataques. (CERTO)

    (CESPE 2018) Um sistema de detecção de intrusão (intrusion detection system – IDS) consegue detectar comportamentos maliciosos tanto em computadores individuais quanto em redes de computadores. (CERTO)

    (CESPE 2018) O dispositivo de IPS (do inglês intrusion prevention system) utilizado em redes corporativas tem como objetivo bloquear ataques a partir da identificação de assinaturas e(ou) anomalias. (CERTO)

  • IDS - intrusion detection system - monitora o tráfego na rede e verifica se é ameaça -> não interfere no fluxo.

    IPS- intrusion prevention system - identifica, analisa e bloqueia o intruso.

  • Eu tenho dois irmãos que se chamam Didi e Paivei, o Didi é "passivo", uma calma monstra (IDS) e o Paivei é "ativo" mais bruto (IPS). Ao fazer essas questões é só lembrar do Didier (IDS) e do Paivei (IPS)
  • IPS> PROATIVO> PRIMEIRO> PREVINE

    IDS> DEPOIS> DETECTA> REATIVO

  • Sistemas de Detecção de Intrusos (IDS):

    • são sistemas que monitoram atividades em redes de computadores, capazes de detectar atividades suspeitas. Configura-se uma solução passiva.

    Sistemas de Prevenção de Intrusos (IPS):

    • por sua vez, são sistemas que implementam regras e políticas para o tráfego de uma rede, capazes de prevenir e combater ataques. É uma solução ativa!
  • IPS -> É O BITBULL (bloquea que o v@gabundo entre na sua casa)

    IDS -> É O PINSCHER (só avisa (late), mas não bloqueia)

  • O IDS Dá um toque

    O IPS dá a PAULADA

  • IDS - DETECTA, ALERTA

    intão deixa sirene

    IPS - PREVINE, ALERTA E BLOQUEIA

    intão posso socar

  • IDS = late, mas se você não for lá fazer alguma coisa o problema é seu:(Dalmatas)

    IPS = Late, e toma uma atitude: (Pitbull).

    • IDS: DETECTA, MAS FICA PASSIVO.

    • IPS: DETECTA E BLOQUEIA, É ATIVO.
  • IPS - previne, é ativo

    IDS - só detecta, é passivo

  • IDS (Sistema de Detecção)

    Detecta um problema e avisa ao usuário

    IPS (Sistema de Prevenção)

    Ex.: antispyware , antivírus, ...

    Detecta um problema e corrigi.


ID
5164342
Banca
VUNESP
Órgão
TJM-SP
Ano
2021
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação ao Sistema de Detecção de Intrusão (IDS – Intrusion Detection System) e ao Sistema de Prevenção de Intrusão (IPS – Intrusion Prevention System) tem-se que

Alternativas
Comentários
  • Assertiva D

    um dos métodos que o IPS utiliza é a detecção baseada em assinaturas.

    IDS = geralmente não toma uma ação para parar o ataque. Ele pode emitir alertas para o administrador.

    IPS = tem função ativa na proteção contra tentativas de ataque. Ele analisa as movimentações na rede e, se detectar um evento suspeito, bloqueia a atividade.

  • A) o IDS é uma versão mais recente, englobando as funções do IPS, que se tornou obsoleto. (ERRADO)

    • Afirmativa completamente errada, o IDS não é mais recente e muito menos o IPS se tornou obsoleto
    • (CESPE 2012) Os sistemas IDS (intrusion detection system) e IPS (intrusion prevention system) utilizam metodologias similares na identificação de ataques, visto que ambos analisam o tráfego de rede em busca de assinaturas ou de conjunto de regras que possibilitem a identificação dos ataques. (CERTO)
    • Lembre-se:
    1. IDS - pinscher só faz "barulho"
    2. IPS - Pitbull

    B) o IDS foi projetado para bloquear ataques, não possuindo a função de monitorar a rede. (ERRADO)

    • o IDS detecta e não bloqueia
    • (CESPE 2018) Um sistema de detecção de intrusão (intrusion detection system – IDS) consegue detectar comportamentos maliciosos tanto em computadores individuais quanto em redes de computadores. (CERTO)

    C) o IPS não protege uma rede de ataques, mas monitora essa rede e envia alertas aos administradores no caso de uma ameaça ser detectada. (ERRADO)

    • o IDS
    • (CESPE 2018) O dispositivo de IPS (do inglês intrusion prevention system) utilizado em redes corporativas tem como objetivo bloquear ataques a partir da identificação de assinaturas e(ou) anomalias. (CERTO)

    D) um dos métodos que o IPS utiliza é a detecção baseada em assinaturas.

    • Gabarito
    • (CESPE 2021) Um dispositivo configurado como IPS (intrusion prevention system) analisa tráfegos na rede de computadores, em busca de assinaturas de ataques, e notifica os administradores, porém não possui autonomia para bloquear o tráfego de rede. (ERRADO, quem não possui autonomia para bloquear é o IDS)

    E) um dos métodos que o IDS utiliza é a detecção estatística de anomalias, que se baseia em um dicionário de padrões de identificação exclusiva no código de cada exploração de um invasor.

    •  O IDS pode funcionar de 2 formas:
    1. na detecção por assinaturas - o IDS busca por padrões específicos de tráfego externo que seja embasado em assinatura.
    2. na detecção por comportamento- é estabelecido um padrão normal de comportamento para o tráfego de rede e quando for detectado uma atividade diferente deste padrão, um alarme é disparado.
  • IPS - Sistema de Prevenção de Instrução

    Inspeção até a camada 7 (modelo OSI)

    Detecta preventivamente ataques a uma determinada subrede

    Realiza contramedidas de forma automática

    Pode ir além dos cabeçalhos IP, TCP, UDP e ICMP

    Rede

    Host

    Ações

    Enviar um alarme

    Descartar os pacotes maliciosos

    redefinir a conexão e / ou bloquear o tráfego do endereço IP ofensivo.

    - Corrigir erros de verificação de redundância cíclica (CRC) ou Cyclic Redundancy Check − CRC

    Desfragmentar fluxos de pacotes,

    Evitar problemas de seqüência de TCP

    - Limpar as opções de transporte e camada de rede indesejadas.

    Identificam um padrão de ataque

    Impede um ataque automaticamente

    Métodos

    Detecção baseada em assinatura

    Exploração individual

    Visibilidade de vulnerabilidade

    Detecção baseada em anomalias

    Detecção baseada em diretivas

  • GABARITO: D

    IDS > é um dispositivo passivo que monitora a rede, detecta e alerta o administrador quando observa tráfegos mal-intencionados, mas não os bloqueia.

    IPS > é um dispositivo reativo ou proativo que monitora a rede, detecta e bloqueia os tráfegos maliciosos (melhor que o IDS, portanto).

    Não pare até que tenha terminado aquilo que começou. - Baltasar Gracián.

    -Tu não podes desistir.

  • GAB:D

    Complementando,

    1. IDS DETECTA, ALERTA - Só dá o papo
    2. IPS PREVINE, ALERTA E BLOQUEIA

    Questões que ajudam na resposta:

    (CESPE - 2017 - SEDF) Relativamente a segurança da informação, julgue o item subsequente.

    Uma das abordagens comuns dos sistemas IDS na realização de suas funções é aprender a reconhecer padrões de intrusões usando métodos como redes neurais.Certo

    (CESPE - 2015 - TCE-RN) A respeito de segurança em redes de computadores, julgue o item seguinte.

    Situação hipotética: Uma ferramenta, ao monitorar o tráfego de uma rede, detectou uma anomalia considerada como um possível ataque. Após essa detecção, a ferramenta enviou ao firewall um pedido de bloqueio do endereço de origem que enviou o tráfego de rede considerado um ataque. Assertiva: Nessa situação, a referida ferramenta é considerada um IPS (intrusion prevention system). Certo

    (CESPE - 2010 - TCU) Com relação à segurança em redes de computadores, julgue os itens subsequentes.

    Firewalls, IDS e IPS são dispositivos que têm finalidades idênticas, porém tipicamente operam de formas distintas: o primeiro inspeciona integralmente os datagramas e reage bloqueando o tráfego indesejado; o segundo também inspeciona integralmente os datagramas, mas não bloqueia o tráfego indesejado, apenas emite alertas; e o terceiro inspeciona apenas os cabeçalhos dos datagramas e, como o primeiro, reage bloqueando o tráfego indesejado.Errado

    (CESPE-2021-CODEVASF) Um dispositivo configurado como IPS (intrusion prevention system) analisa tráfegos na rede de computadores, em busca de assinaturas de ataques, e notifica os administradores, porém não possui autonomia para bloquear o tráfego de rede. Errado

    (CESPE-2016-FUB)Ferramentas IDS podem trabalhar simplesmente emitindo alertas de tentativa de invasão ou aplicando ações com a finalidade de contra-atacar a tentativa de invasão. Certa

  • Acho que o ERRO na LETRA E é pq a

    Detecção de anomalia = coleta de dados relacionados ao comportamento de usuários legítimos durante um período de tempo.

    Stallings

    Letra D.

     

  • Questão: D

    • IPS (ativo): Detecta e barra os intrusos.
    • IDS (passivo): Detecta e avisa o que está acontecendo.

ID
5413327
Banca
FGV
Órgão
TCE-AM
Ano
2021
Provas
Disciplina
Segurança da Informação
Assuntos

Em termos de prevenção e tratamento de incidentes de segurança, analise as afirmativas a seguir.


I. A política de segurança da organização deve conter os procedimentos necessários para recuperação de um incidente que paralise um processo crítico.

II. Controle de spam pode ser realizado através de listas brancas ou listas negras.

III. Honeypots servem para atrair atacantes e afastá-los de sistemas críticos, mas não permitem que as atividades desses atacantes sejam analisadas.


Está correto somente o que se afirma em:

Alternativas
Comentários
  • I A Política de Segurança da Informação (PSI) pode ser definida como um documento que reúne um conjunto de ações, técnicas e boas práticas para o uso seguro de dados empresariais. Em outras palavras, é um manual que determina as medidas mais importantes para certificar a segurança de dados da organização.

    II Listas brancas podem ser definidas para toda a organização normalmente. Os administradores podem definir domínios inteiros ou endereços de e-mail específicos como um domínio/endereço de e-mail em lista branca para garantir que os e-mails do domínio não sejam marcados como spam. No entanto, caso haja uma falha de SPF e não há uma ação definida para a falha de SPF, o domínio/e-mail na lista branca não será marcado como "Not Spam".

    Listas negras também podem ser definidas para toda a organização normalmente. Os administradores podem marcar domínios inteiros, TLDs ou endereços de e-mail específicos como domínio/endereço de e-mail em lista negra. Nesses casos, mesmo se o domínio passa no teste de SPF, o e-mail desse domínio será marcado como spam.

    III Um honeypot é um recurso de rede cuja função é de ser atacado e compremetido (invadido).

    Os honeypots não fazem nenhum tipo deprevenção contra invasores, só é um modo mais eficas de IDS(intrusion detection system = Sistema de detecçao de intrusos). ao contrário do que se afirma um honeypot serve justamente, além de ludibriar o atacante, para analisar seus passos durante uma invasão fake.

  • Acredito que a primeira afirmativa esteja referindo-se ao Plano de Continuidade de Negócio (PCN) e não a Política de segurança da organização.

  • Há diferenças nos procedimentos de segurança quando falamos em Tecnologia da Informação. No Entanto, a questão visa saber um procedimento que se encaixe corretamente à sua função.

    O item II (CORRETO) - trata de uma ferramenta de proteção a SPAM. Realmente existem as black lists e withe list, e portanto, encaixa-se perfeitamente há resposta correta, pois, trata de uma questão dentro do Política de Segurança da Informação - PSI que são normas de prevenção e tratamento de incidentes (vazamento de dados com informações contidas em um e-mail por exemplo).

    O Item III - (ERRADO) e uma ferramenta de "enganar o atacante", contudo, não se encaixa em nenhuma das normas de segurança mais "Eficazes" para TI.

    O item I - (ERRADO) trata-se de um plano de resposta a incidentes (IRP) e não um (PSI).

    Portanto, a resposta correta, que atinge o objetivo dentro das normas do PSI é o item II.

    Letra B

    Não se preocupe, também errei ao selecionar a opção. No entanto fiz uma "pausa", justamente para procurar meu erro e entender essa questão que pode fazer a diferença na minha prova.

    Um abraço a todos!