SóProvas



Questões de Sistemas de Prevenção-Detecção de Intrusão


ID
7375
Banca
ESAF
Órgão
CGU
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

Intrusões costumam ser conseqüência de mal uso do sistema ou de mudança de padrão. O objetivo de um IDS é identificar intrusões. Alguns erros podem ocorrer com um IDS, colocando-se em risco a segurança da informação. Com relação aos erros característicos do mal funcionamento ou configuração de um IDS, é correto afirmar que

Alternativas
Comentários
  • "falso positivo" esse termo é usado para referir a uma situação em que um firewall ou IDS mostra uma atividade como sendo um ataque, mas na verdade esta atividade não é um ataque.
  • SUBVERSÃO - ocorre quando o intruso modifica a operação da ferramenta de IDS para forçar a ocorrência de fato negativo;

    FALSO NEGATIVO - ocorre quando uma intrusão real acontece mas a ferramenta permite que la passe como se fosse uma ação legítima.

    FALSO POSITIVO - ocorre quando a ferramenta classifica uma ação como uma possível intrusão, quando na verdade trata-se de uma ação legítima.

  • De forma simplificada, vamos classificar:

    Falso negativo: uma intrusão que deveria ser detectada.
    Falso positivo: um alarme falso - uma detecção de algo que não é uma intrusão.
    Comportamento normal/verdadeiro positivo: intrusão detectada.
    Verdadeiro negativo: não ter detectado algo que, de fato, não é uma intrusão.
    Subversão: intruso modificando IDS para forçar ocorrência de falso negativo, ou seja, de um ataque que ele faça no futuro e não seja detectado.

    Dito isto, percebemos que as alternativas a) e b) referem-se a um falso positivo; as alternativas c) e d) referem-se a um comportamento normal de verdadeiros positivos; e, por fim, a alternativa e) refere-se a uma subversão. Com isto, nota-se que a única alternativa com a correta associação é a alternativa b).
  • LETRA B

    Segundo Nakamura(2010,p.281),

    "-Tráfego suspeito detectado(comportamento normal);

    -Tráfego suspeito não detectado(falso negativo);

    -Tráfego legítimo que o IDS analisa como sendo suspeito(falso positivo);

    -Tráfego legítimo que o IDS analisa como sendo legítimo(comportamento normal)."

    **Para ajudar a fazer questões de falso positivo e falso negativo, eu sempre uso a ideia de uma doença quando vc vai realizar um exame de sangue. Ex: Exame para verificar se o cidadão está com AIDS. 

     -Falso positivo: O resultado do exame de HIV deu que vc está doente, mas na verdade não está. (Sortudo o cara né.)

    -Falso negativo: O resultado do exame de HIV deu que vc NÃO está doente, MAS na verdade está.(Aí o cara fica feliz e continua a "fazer" desprotegido.)

    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVO-2010-NAKAMURA


  • Somente ajustando o erro do conceito de subversão (acredito que de digitação) do excelente comentário do colega Fábio Carvalho. Somente troquei o termo fato por falso (em caixa-alta e negrito):

    "SUBVERSÃO - ocorre quando o intruso modifica a operação da ferramenta de IDS para forçar a ocorrência de fato (FALSO) negativo;
    FALSO NEGATIVO - ocorre quando uma intrusão real acontece mas a ferramenta permite que la passe como se fosse uma ação legítima.
    FALSO POSITIVO - ocorre quando a ferramenta classifica uma ação como uma possível intrusão, quando na verdade trata-se de uma ação legítima."
  • Letra B

     

    Erros possíveis da ferramenta IDS:

    1. Falso positivo: ocorre qdo a ferramenta classifica uma ação como possível intrusão, embora, na verdade, trate-se de uma ação legítima;

    2. Falso negativo: ocorre quando uma intrusão real acontece, mas a ferramenta permite que ela passe como se fosse uma ação legítima;

    3. Subversão: ocorre quando o intruso modifica a operação da ferramenta de IDS para forçar a ocorrência de falso negativo.

     

    http://www.diegomacedo.com.br/ids-sistema-de-deteccao-de-intrusos/


ID
7423
Banca
ESAF
Órgão
CGU
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

As tecnologias de detecção de intrusos são divididas em classes. Na classe do tipo Host Based

Alternativas
Comentários
  • Segundo a Wikipedia:

    Sistema de detecção de intrusos ou simplesmente IDS ( em inglês: Intrusion detection system) refere-se a meios técnicos de descobrir em uma rede quando esta está tendo acessos não autorizados que podem indicar a acção hacker ou até mesmo funcionários mal intencionados.

    Com o acentuado crescimento das tecnologias de infra-estrutura tanto nos serviços quanto nos protocolos de rede torna-se cada vez mais difícil a implantação de sistema de detecção de intrusos. Esse fato está intimamente ligado não somente a velocidade com que as tecnologias avançam, mas principalmente com a complexidade dos meios que são utilizados para aumentar a segurança nas transmissões de dados.
    Uma solução bastante discutida é a utilização de host-based IDS que analisam o tráfego de forma individual em uma rede. No host-based o IDS é instalado em um servidor para alertar e identificar ataques e tentativas de acessos indevidos à própria máquina.
  • Existem dois tipos de implementação de ferramentas IDS:

    Host Based: são instalados em servidores para alertar e identificar ataques etentativas de acesso indevido à própria máquina, sendo mais empregados nos casos em que a segurança está focada em informações contidas em um servidor eos usuários não precisam ser monitorados. Também é aplicada em redes onde avelocidade de transmissão é muito alta como em redes "Gigabit Ethernet" ouquando não se confia na segurança corporativa da rede em que o servidor estáinstalado.
    Network Based: são instalados em máquinas responsáveis por identificar ataques direcionados a toda a rede, monitorando o conteúdo dos pacotes ou do tráfego e seus detalhes como informações de cabeçalhos e protocolos. O IDS tem como umdos objetivos principais detectar se alguém está tentando entrar no seu sistema ouse algum usuário legítimo está fazendo mau uso do mesmo.
  • Instalado em um servidor foi ridículo hehe


ID
10567
Banca
ESAF
Órgão
CGU
Ano
2006
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito da detecção de intrusão é incorreto afirmar que

Alternativas
Comentários
  • Host-based IDS gets info from OS and logs, not Network-based IDS like stated on item (C). The pitfall is this little word "rede", that leads to a different kind of IDS.
  • Detecção de intrusão é uma tentativa de monitorar estações ou fluxos de rede com o intuito de descobrir ações de intrusos. Mais especificamente, um SDI tenta detectar ataques ou usos impróprios e alerta o responsável pela rede do acontecimento. O funcionamento é análogo ao de um sistema de detecção de ladrões, usado em casas para se proteger de eventuais incidentes. O sistema domiciliar inicialmente precisa ser configurado e ter especificado o que monitorar (janelas, portas, movimento) e para quem alertar ou chamar em caso de uma invasão (polícia, donos da casa). No sistema computacional, também precisamos determinar se queremos monitorar fluxos de rede, processos internos de uma estação ou servidor, ou ainda um sistema de arquivos, por exemplo. E devemos deixar claro para quem enviar os alarmes ou relatórios e como estes devem ser enviados, tendo como alternativas o e-mail, pager, ou ainda um pacote SNMP.

     


    fonte: http://www.gta.ufrj.br/grad/03_1/sdi/index.htm

  • O erro da alternativa "c" está em afirmar que um SDI de rede (ou NIDS) utiliza fontes de informação de auditoria do sistema operacional e logs do sistema. Isso seria verdade para o SDI de hosts (ou HIDS), que utiliza informações do host para detectar intrusão.

ID
12097
Banca
CESPE / CEBRASPE
Órgão
Polícia Federal
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

Os sistemas de informação possuem diversas vulnerabilidades que podem ser exploradas para se comprometer a segurança da informação. Para reduzir os riscos de segurança, empregam-se diversos mecanismos de controle e de proteção física e lógica desses sistemas. Acerca das vulnerabilidades e proteções dos sistemas de informação, julgue os itens a seguir.

Um sistema de detecção de intrusão (IDS) por uso incorreto utiliza descrições de ataques previamente conhecidos (assinaturas) para identificar a ocorrência de ataques. Esse tipo de IDS tem como inconveniente a geração de um número elevado de falsos positivos quando ataques novos, para os quais ainda não foram especificadas assinaturas de ataque convenientes, são lançados contra o sistema monitorado pelo IDS.

Alternativas
Comentários
  • A afirmação está toda correta. Com excessão do termo "por uso incorreto".
  • Na minha opinião o erro está em afirmar que serão gerados falsos positivos para novos ataques, quando neste caso os ataques não serão detectados.
  • Quando o ataque é novo ainda não existe uma assinatura correspondente a ele, dessa forma, o ataque não é detectado.
  • O erro da questão está no fato em dizer "geração de um número ELEVADO de falsos positivos", sendo que IDS por assinatura (chamado também de preemptivo ou detecção por abuso) faz é detectar um número menor de falso positivo, quando comparado com o IDS por anomalia (chamado também de comportamento ou reacionário)
  • A questão está toda errada. Esse trecho, por exemplo, "...falsos positivos quando ataques novos, para os quais ainda não foram especificadas assinaturas de ataque convenientes, são lançados contra o sistema monitorado pelo IDS."

    Quando acontecem novos ataques, para os quais ainda não foram especificadas assinaturas, na realidade, acontecem FALSOS NEGATIVOS. Ou seja, o sistema monitorado pelo IDS não detecta um ataque, quando, na verdade, está acontecendo um ataque.
  • QUestão muito bem feita do CESPE. Vamos "quebrar" a questão para facilitar:

    "Um sistema de detecção de intrusão (IDS) por uso incorreto utiliza descrições de ataques previamente conhecidos (assinaturas) para identificar a ocorrência de ataques."

    "IDS por uso incorreto" podemos interpretar como "IDS baseado em anomalias" ou "IDS baseado em comportamento". De fato, se adotarmos esta linha estaria ERRADO, pois o IDS baseado em comportamento adota a análise heurística e estatística.

    Nos dizeres de Nakamura, pag 286...Se o comportamento é diferente do que é listado (do padrão), então é perigoso. Aqui voce cadastra os comportamentos "normais" de uma rede. Veja que o CESPE "inverte" a logica, dizendo que "apenas o que esta na minha lista é considerado perigoso". Neste caso, estaríamos falando de um IPS... (estou "prevenindo" os comportamentos que considero suspeito em minha rede).

    Esse tipo de IDS tem como inconveniente a geração de um número elevado de falsos positivos quando ataques novos, para os quais ainda não foram especificadas assinaturas de ataque convenientes, são lançados contra o sistema monitorado pelo IDS. "

    Cuidado com a Confusão dos FALSOS...

    Falso Positivo, para lembrar, é algo que "tem cara de positivo + na verdade é negativo" (seria o "Lobo em pele de cordeiro"). Na questão ele fala que, para ataques novos, são gerados um numero elevado de falsos positivos.

    ERRADO, pois como estamos tratando de um IDS baseado em comportamento. Um novo tipo de ataque "se passaria" por algum fluxo novo não conhecido na tabela de estados de comportamento. Como não esta listado na tabela, então seria considerado um ataque. Lembrando que "Se o comportamento é diferente do que é listado (do padrão), então é perigoso.".

    Enfim.. interpretando "IDS por uso incorreto" como "IDS baseado em anomalias" ou "IDS baseado em comportamento". seria isto.

    OU o erro pode ser simplismente por que "IDS por uso incorreto" não seria um termo muito usual (ou mesmo ERRADO).

    Resumo da ópera: Cabeça de examinador e bumbum de nenêm nunca se sabem o que e quando vem pela frente...
  • Em suma, o IDS pode detectar ataques com base nas ASSINATURAS (ataques conhecidos) e ANOMALIAS (comportamento do tráfego). Os bloqueios feitos com base nas assinaturas geram pouquíssimos falsos-positivos, afinal se ele não "conhece" determinado ataque ele não será detectado.
  • O Lucas acima tem razão....IDS por uso incorreto é o mesmo que IDS por assinatura:

    http://repositorio.bce.unb.br/bitstream/10482/2672/1/2007_FabioMiziaraSilveira.pdf

    Apesar dos comentários dos colegas, ainda não consegui me convencer do erro desse item. Ele diz "assinaturas convenientes". O que eu entendi disso é que ataques novos podem ainda não ter uma assinatura confiável produzida e uma primeira versão dessa assinatura pode acabar gerando muitos falsos positivos. A medida que vai se estudando melhor o ataque, uma assinatura mais refinada pode ser disponibilizada e não são disparados tantos alarmes falsos (ou falso positivo, é a mesma coisa).
  • Concordo com quem fala sobre falsos negativos. Vejam bem: em um IDS baseado por assinaturas, para que ele detecte uma ameaça, ele precisa de ter, em seu banco de dados, uma assinatura sobre essa ameaça. Uma assinatura é um padrão de ataque, que será responsável pelo reconhecimento efetivo do ataque. Se o ataque é novo, então evidentemente não existe assinatura para ele em seu banco de dados. Ocorre que, portanto, este ataque não será detectado. Ou seja, trata-se de um falso negativo: um ataque que deveria ter sido detectado, mas que não foi. A questão erra ao inferir que trata-se de um falso positivo.

    Conceitos:
    Falso negativo: uma intrusão que deveria ser detectada.
    Falso positivo: um alarme falso - uma detecção de algo que não é uma intrusão.
    Comportamento normal/verdadeiro positivo: intrusão detectada.
    Verdadeiro negativo: não ter detectado algo que, de fato, não é uma intrusão.
  • RETIRADO DA CESPE

     ITEM 102 – mantido. Um IDS por uso incorreto não gera necessariamente um elevado número de falsos positivos. Ao contrário, são esperados falsos negativos associados aos ataques para os quais ainda não foram definidas as respectivas assinaturas.
  • quem gera falso positivo é a detecção por anomalia
  • Em vez de "..geram falsos positivos", deveria ser geram falsos positivos pois os ataques iam passar imunes, despercebidos.
  • Um sistema de detecção de intrusão (IDS) por uso incorreto (Que viagem! Que imaginação! Se isso quer dizer “anomaly based”, aqui já está o erro) utiliza descrições de ataques previamente conhecidos (assinaturas) para identificar a ocorrência de ataques. Esse tipo de IDS tem como inconveniente a geração de um número elevado de falsos positivos quando ataques novos, para os quais ainda não foram especificadas assinaturas de ataque convenientes, são lançados contra o sistema monitorado pelo IDS.

    Esta "interessante" questão (IDS por uso incorreto!) pelo menos é fácil, pois contém 2 erros, quando um já basta.

    IDS por “uso incorreto” (se isso quer dizer por "anomalias") não usa assinaturas, ele analisa o tráfego (erro 1); IDS por "assinatura" não gera falso positivo, pelo contrário, ele não percebe o malware que não esteja registrado em seu banco, dá falso negativo por não reconhecer um verdadeiro ataque (erro 2).

    Eu tenho visto alguns colegas relacionarem sensoriamento "signature based" com sensoriamento por "detecção por regras", mas o que detecta por regras é o sensoriamento "policy detection". 


  • Ano: 2009

    Banca: CESPE

    Órgão: INMETRO

    Prova: Analista Executivo em Metrologia e Qualidade - Redes

    Os sistemas de detecção de intrusão normalmente apresentam baixa incidência de falsos-positivos.

    ERRADA

  • Gabarito Errado

    Copiando a resposta para melhor visualização:

    Questão muito bem feita do CESPE. Vamos "quebrar" a questão para facilitar:

    "Um sistema de detecção de intrusão (IDS) por uso incorreto utiliza descrições de ataques previamente conhecidos (assinaturas) para identificar a ocorrência de ataques."

    "IDS por uso incorreto" podemos interpretar como "IDS baseado em anomalias" ou "IDS baseado em comportamento". De fato, se adotarmos esta linha estaria ERRADO, pois o IDS baseado em comportamento adota a análise heurística e estatística.

    Nos dizeres de Nakamura, pag 286...Se o comportamento é diferente do que é listado (do padrão), então é perigoso. Aqui voce cadastra os comportamentos "normais" de uma rede. Veja que o CESPE "inverte" a logica, dizendo que "apenas o que esta na minha lista é considerado perigoso". Neste caso, estaríamos falando de um IPS... (estou "prevenindo" os comportamentos que considero suspeito em minha rede).

    Esse tipo de IDS tem como inconveniente a geração de um número elevado de falsos positivos quando ataques novos, para os quais ainda não foram especificadas assinaturas de ataque convenientes, são lançados contra o sistema monitorado pelo IDS. "

    Cuidado com a Confusão dos FALSOS...

    Falso Positivo, para lembrar, é algo que "tem cara de positivo + na verdade é negativo" (seria o "Lobo em pele de cordeiro"). Na questão ele fala que, para ataques novos, são gerados um numero elevado de falsos positivos.

    ERRADO, pois como estamos tratando de um IDS baseado em comportamento. Um novo tipo de ataque "se passaria" por algum fluxo novo não conhecido na tabela de estados de comportamento. Como não esta listado na tabela, então seria considerado um ataque. Lembrando que "Se o comportamento é diferente do que é listado (do padrão), então é perigoso.".

    Enfim.. interpretando "IDS por uso incorreto" como "IDS baseado em anomalias" ou "IDS baseado em comportamento". seria isto.

    OU o erro pode ser simplismente por que "IDS por uso incorreto" não seria um termo muito usual (ou mesmo ERRADO).

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Resumindo:

     

    FALSO POSITIVO é algo comum detectado como algo malicioso.

     

    A questão está falando que o IDS usa assinatura, neste caso, a detecção por assinatura é aquela que só vai detectar o que está "assinado", ou seja, o que já foi detectado como algo malicioso e está lá na listinha do IDS/"antivirus" avisando exatamente quais são os códigos maliciosos.

     

    Portanto podemos perceber que IDS por assinatura NÃO detecta falsos positivos. 

     

    MAS PORQUE MESMO?

    Porque o SISTEMA DE ASSINATURA do IDS já tem definido o que é ou não malicioso e falso positivo é algo que NÃO É MALICIOSO.

  • Se o IDS está trabalhando com assinaturas em seu banco de dados, e há um ataque que ainda não foi especificado como tal, então o que acontecerá é uma maior incidência de falsos negativos (intrusão não detectada).

    É isso?

  • Os sistemas de detecção de intrusão normalmente apresentam alta incidência de falsos-positivos.IDS por assinatura NÃO detecta falsos positivos. O erro está na parte final.

  • GABARITO: ERRADO.

  • Baseado em anomalias - Gera um grande numero de falso Negativo.

    Falso negativo - Legal - Que bloqueou

    Falso Positivo - Ruim - Que deixou passar.

  • Errado.

    Falso negativo.

  • O IPS que é conhecido por gerar falso Negativo.

  • ERRADO

    Trata-se de Falso Negativo (IDS)

    Falso Positivo = indica que um arquivo é malicioso, mas na verdade ele é seguro. 

    Falso Negativo = indica que um arquivo é seguro, mas na verdade ele é malicioso.

  • ACERTEI POR PENSAR QUE SE TRATAVA DE UMA DESCRIÇÃO DE ANTIVIRUS HAHA

  • Por acaso, teria alguma correlação que o IDS gera falso negativo e o IPS gera falso positivo?

    Alguém tem um informação que possa me ajuda a diferenciar quando o IDS e o IPS vão gerar um ou o outro?


ID
16765
Banca
CESPE / CEBRASPE
Órgão
TRE-AL
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de ferramentas e métodos relacionados à segurança da
informação, julgue os itens seguintes.

Um dos mecanismos utilizados pelos sistemas detectores de
intrusão (IDS - intrusion detection system) é a detecção por
assinatura, em que a assinatura típica de um tráfego
malicioso permite identificá-lo como um ataque a
computador.

Alternativas
Comentários
  • Falar em assinatura de malware é meio forçoso. O que se constata é que alguns malware têm sequências já conhecidas pelo mercado de segurança da informação, o que possibilita sua detecção.
  • Os dois mecanismos existentes são:
    • Assinatura: compara o tráfego com uma base de tráfegos relativos a ataques conhecidos
    • Anomalias: aprende-se por um tempo qual é o tráfego esperado. Após estes aprendizado, qualquer anomalia é reportado como possível ataque.
  • Certa para o Cespe, mas está MUITO ERRADA. Por mais que se force a barra, não se pode dizer que “em que a assinatura típica de um tráfego malicioso permite identificá-lo como um ataque” é o mesmo que analisar pacote a pacote procurando em seu payload a “assinatura” (um trecho distinto do código) de um malware registrado no "banco de dados de assinaturas de malwares" do IDS. O que torna esta questão errada é a palavra "tráfego", que é analisado no IDS "por anomalia". IDS por assinatura não trabalha com tráfego, mas procura nos pacotes por trechos conhecidos de "código criminoso". Exatamente como nos antivírus de PC. É incrível um gabarito desses.


ID
17968
Banca
CESGRANRIO
Órgão
BNDES
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Um usuário externo, mal-intencionado, está promovendo um ataque do tipo SYN FLOOD contra um determinado servidor de e-mail E na Internet. Para isso, o atacante está utilizando uma única máquina e forjando os endereços IP de origem com valores aleatórios. Supondo que não existe firewall e nem configurações para proteção no roteador e servidor, assinale a afirmativa correta.

Alternativas
Comentários
  • SYN flood ou ataque SYN é uma forma de ataque de negação de serviço (também conhecido como Denial of Service - DoS) em sistemas computadorizados, na qual o atacante envia uma seqüência de requisições SYN para um sistema-alvo.

    Quando um cliente tenta começar uma conexão TCP com um servidor, o cliente e o servidor trocam um série de mensagens, que normalmente são assim:

    O cliente requisita uma conexão enviando um SYN (synchronize) ao servidor.
    O servidor confirma esta requisição mandando um SYN-ACK de volta ao cliente.
    O cliente por sua vez responde com um ACK, e a conexão está estabelecida.
    Isto é o chamado aperto de mão em três etapas (Three-Way Handshake).

    Um cliente malicioso pode não mandar esta última mensagem ACK. O servidor irá esperar por isso por um tempo, já que um simples congestionamento de rede pode ser a causa do ACK faltante.

    Esta chamada conexão semi-aberta pode ocupar recursos no servidor ou causar prejuízos para empresas usando softwares licenciados por conexão. Pode ser possível ocupar todos os recursos da máquina, com pacotes SYN. Uma vez que todos os recursos estejam ocupados, nenhuma nova conexão (legítima ou não) pode ser feita, resultando em negação de serviço. Alguns podem funcionar mal ou até mesmo travar se ficarem sem recursos desta maneira.

    Algumas contra-medidas para este ataque são os SYN cookies. Apenas máquinas Sun e Linux usam SYN cookies.

    Ao contrário do que muitos pensam, não se resolve negação de serviço por Syn flood limitando conexões por minuto (como usar o módulo limit ou recent do iptables), pois as conexões excedentes seriam descartadas pelo firewall, sendo que desta forma o próprio firewall tiraria o serviço do ar. Se eu, por exemplo, limito as conecões SYN a 10/seg, um atacante precisa apenas manter uma taxa de SYNs superior a 10/s para que conexões legítimas sejam descartadas pelo firewall. O firewall tornou a tarefa do atacante ainda mais fácil. Em "Iptables protege contra SYN Flood?" tem uma boa descrição dos motivos pelos quais uma configuração de firewall não resolve.

    Um ataque de Syn Flood é feito com os ips forjados (spoof), para que o atacante não receba os ACKs de suas falsas solicitações.

  • a) O tempo de resposta depende do tempo de processamento e alocacao de recursos por E.
    b) Uma configuração correta de filtro de pacotes pode evitar que máquinas na mesma rede possam se conectar entre si, o que evita o SYN flood.
    c) A velocidade do flood independe da velocidade da rede. Depende mais da velocidade de processamento por E.
    d) O hacker é esperto. Ele usa IP spoofing.
    e) Um bom IDS detecta.
  • a) False. Se levar em consideração que o examinador tratou SYN_ACK como somente ACK, o erro é que quem irá receber este "ACK" serão os IP de origem. Se o examinador foi técnico, o ACK só seria recebido se o IP de origem de fato fosse o do atacante.LEMBRETEA conexão TCP é formada por três mensagem: * SYN (origem p/ destino) - "Posso me conectar à vc?";* SYN-ACK (destino p/ origem) - "Pode sim!" - Vulgarmente também chamado de ACK;* ACK (origem p/ destino) - "Fechado então!"b) True. Pois ROTEADOR não repassa pacotes oriundos da rede EXTERNA, com endereço de origem internos, para a rede INTERNA.c) False. Não amplificaria, seria na mesma velocidade. Entretanto, pro se tratar de um ip de origem interno, o roteador novamente não deixaria passar.d) False. Solução inútil, pois o servidor irá responder sempre SYN-ACK para os pacotes que chegarem pra ele.e) False. Este ataque é típico dos ataques detectados pelo IDS.
  • Acertei pois ignorei o comando da questão que dizia que não existia proteção no roteador.


ID
27604
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

Assinale a afirmação INCORRETA sobre os firewalls e sistemas de detecção de intrusão (IDS - Intrusion Detection Systems).

Alternativas
Comentários
  • Recomendação: Bloqueio de incoming echo request (ping e Windows traceroute), bloqueio de outgoing echo replies, time exceeded, e mensagens unreachable.
    O ICMP é utilizado para ajudar na assistência com mapeamento de ambientes de rede. Com o propósito primário de transmitir mensagens de status e erros (ex: host unreachable, redirect, e time exceeded). Ao invés da concepção de transportar dados, o protocolo pode ser utilizado por invasores para levantar informações do ambiente.
    A mais conhecida aplicação ICMP com certeza trata-se do echo request e echo reply. O ICMP echo request é um dos métodos mais utilizados para mapeamento de redes. É de extrema importância restringir o echo request quando o mesmo é solicitado a partir da Internet com destino ao perímetro da rede.
    O famoso ataque de fragmentação "Ping of Death", utiliza pacotes icmp fragmentados para causar ataque do tipo Denial Of Service através da técnica de criar pacotes IP que excedem a especificação de 65,535 bytes de dados. Este ataque resulta, muitas vezes, em crash ou congelamento do host. Além do Ping of Death, um invasor pode obter informações preciosas através da análise das mensagens ICMP e utilizar o protocolo para a técnica de ataques do tipo Smurf ou Loki.
  • Concordo com o Deivison, mas é importante ressaltar que a letra A também está incorreta, pois afirma que o IDS "detecta e bloqueia" tentativas de invasão. Vejamos os conceitos abaixo:O IDS tem por finalidade detectar uma ameaça ou intrusão na rede. Pode se dizer por analogia que o IDS é como se fosse um alarme de um carro que soa quando alguém abre sua porta.O IPS complementa um IDS bloqueando a intrusão e impedindo um dano maior para a rede. É uma ferramenta que detecta e bloqueia o invasor. Como foi dito o IDS é como se fosse um alarme de um carro que somente soa quando alguém abre sua porta. Já o IPS dispara o alarme e também trava as rodas para que o invasor não leve o carro.
  • A letra "A" está correta pois o IPS é um tipo específico de IDS.

    IPS = IDS do tipo reativo.

  • O IDS pode ser configurado de modo passivo ou ativo. No modo ativo, em conjunto com o firewall ele poderá bloquear ataques, da mesma forma que um IPS.
  • Um ids funcionado na forma ativa, na verdade nada mais é que um IPS. Acredito que a letra a esteja sim incorreta.
  • Odeio essas bagunças de conceito.
    Ora, por todos os lugares que li, livros, internet e outras questões. IDS, somente detectam invasão e não bloqueiam. E IPS, serve para detectar e bloquear.
    Podem pesquisar existem inúmeras questões que definem exatamente isso, se eu for considerar agora que um IDS pode também bloquear ataques, teremos milhares de questões anuláveis por ai.
  • Eugênio,
    [ 1 ] considera que:

    "Os IDS geralmente são apenas passivos(observando e gerando alertas). Porém, em alguns casos, o sistema pode reagir em caso de uma intrusão ser detectada, como por exemplo fechar a conexão, bloquear a partir do firewall ou até mesmo desabilitar uma conta."

    [ 2 ] considera que:

    O sistema de detecção de intrusão ou IDS, tem como um dos objetivos principais detectar se alguém está tentando entrar no seu sistema ou se algum usuário legitimo está fazendo mau uso do mesmo. Esta ferramenta roda constantemente em background e somente gera uma notificação quando detecta alguma coisa que seja suspeita ou ilegal.

    Desta forma, quando algum ataque (antígeno) for detectado pelos sensores, torna-se possível ações de conta-ataque (anticorpos) que podem ser: envio de e-mail para o administrador, envio de mensagem via pager, ativação de alertas nas estações de gerência via SNMP, reconfiguração de elementos de rede como firewall e roteadores, e até mesmo o encerramento da conexão através do envio de pacotes de reset (flag RST do TCP ) para a máquina atacante e para a máquina atacada, com o objetivo de descarregar a pilha TCP.

    Ou seja, a questão A está correta.





    [ 1 ]: http://www.gta.ufrj.br/grad/07_2/rodrigo_leobons/deteccao.html
    [ 2 ]: http://www.rnp.br/newsgen/9909/ids.html












    [ 1 ]






  • Então temos que nos atentar para o que cada banca considera mesmo, porque nessa questão aqui por exemplo, a FCC tem outro entendimento como pode ser visto na letra b

    http://www.questoesdeconcursos.com.br/questoes/074adcba-80

    Ou eu deveria mandar essa literatura para eles, para anularem a questão?
  • Boa noite galera! Não é a 1ª questão que vejo vários comentários sobre este assunto. Também acho que não existe um padrão bem claro (infelizmente) no que as bancas consideram, então gostaria de avisar que o CESPE tbm age assim, igual a CESGRANRIO agiu. Da mesma forma que postei em outras questões sobre o assunto, acho que a palavra que pega aqui é o PODE.
    Resumidamente, IPS pode ser considerada uma classe especializada de IDS. Então um IDS PODE reagir sim, o problema é que um IDS reativo é classificado como IPS.
    Pelo menos neste caso aqui, tem item que está completamente errado, enquanto outro item gera dúvida, então dá pra acertar. Questões do CESPE são ainda mais cruéis, pois vc erra algo que sabe e ainda perde outro ponto.
    Sobre a FCC, depois que vi questões retiradas de blogs e wiki, não dá nem pra dizer mais nada. Pior não é nem retirar a ideia, é copiar literalmente. Muitas vezes é o mesmo texto que aparece na questão. Tanto que já vi muita gente chamando de Fundação Ctrl + C. Apesar disso tudo, neste caso, concordo mais com o entendimento da FCC do que do CESPE ou CESGRANRIO.

    Espero ter ajudado.
  • sobre a letra C, quando ele diz s IDS podem ser utilizados para detectar falhas de segurança em uma rede ou computadores antes mesmo que um ataque ou falha ocorra.

    Isso não seria definição de IPS não, sistema de prevenção?
  • Cuidado, galera!
    A Letra A está correta já que o IDS pode atuar em modo Passivo ou em modo Reativo também faz o bloqueio do  tráfego do IP suspeito ou do usuário mal-intencionado.
    IDS Reativo: Se recupera da invasão, atuando "pós"

    Modo Passivo
        Um IDS passivo quando detecta um tráfego suspeito ou malicioso gera um alerta e envia para o administrador.
        Não toma nenhum atitude em relação ao ataque em si.

    Não confundir com o IPS:
        IPS: Previne a invasão, atuando "pré".

    Fonte: https://seginfo.com.br/2010/06/21/sistemas-de-deteccao-de-intrusoes-ids-intrusion-detection-systems-usando-unicamente-softwares-open-source/#modo-reativo

  • minha dica: não estude por essa questão

     

    passe para a próxima

     

    estuda por estas:

     

    2013 - CNJ

    Ferramentas de IDS (intrusion detect system) são capazes de detectar anomalias no tráfego de rede, gerar logs e reações, como regras de bloqueio do tráfego considerado anormal.

    errada


     

    Ano: 2014Banca: CESPEÓrgão: TJ-SE

    A detecção de intrusão compreende medidas proativas na proteção de sistemas computacionais.

    errada

     

    2014

    A detecção de intrusão abrange formas de resposta, tais como a geração de alertas e a interrupção dos fluxos de dados maliciosos.

    certa

  • Pessoal vamos devagar...

    Primeiro, o IDS é que é um tipo de IPS, e não o contrário. Só vocês pensarem em qual surgiu primeiro, históricamente.

    Outra coisa, sobre a letra C: é muito comum no mundo das Redes fazer-se ataques à frio, simulando tráfego...neste sentido, pode sim o IDS ajudar à evitar falhas!

    Claro que devemos evitar sim essa respostinha do echo reply rs. Tb errei kkk!

  • IPS é uma especialidade de IDS. O primeiro age ativamente ao Bloquear ataques. O segundo agr passivamente detectando, ou reativamente quando envia comandos ao Firewall para melhorar regras de bloqueio.
  • O fato é que o IDS REATIVO não bloqueia nada, apenas envia comandos ao Firewall, mas o ataque/estrago já é uma realidade. O IDS ATIVO, sinônimo de IPS, é quem bloqueia...

ID
28999
Banca
CESGRANRIO
Órgão
CAPES
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

São exemplos, respectivamente, de um Firewall e de um sistema de detecção de intrusão:

Alternativas
Comentários
  • Firewall é o nome dado ao dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede. Sua função consiste em regular o tráfego de dados entre redes distintas e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados de uma rede para outra. Este conceito inclui os equipamentos de filtros de pacotes e de proxy de aplicações, comumente associados a redes TCP/IP.
    http://pt.wikipedia.org

    Nmap: é um software livre que realiza port scan desenvolvido pelo auto-proclamado hacker Fyodor. É muito utilizado para avaliar a segurança dos computadores, e para descobrir serviços ou servidores em uma rede de computadores. [Sistema de detecção de instrusão]
    http://pt.wikipedia.org

    Snort: é um software livre de detecção de intrusão para rede (NIDS) desenvolvido inicialmente por Martin Roesch, capaz de desenvolver análise de tráfego em tempo real e registro de pacote em redes IP. Executa análise de protocolo, busca/associa padrões de conteúdo e pode ser usado para detectar uma variedade de ataques.
    [Sistema de detecção de instrusão]
    http://pt.wikipedia.org

    Kerberos: é o nome de um Protocolo de transporte de rede, que permite comunicações individuais seguras e identificadas, em uma rede insegura.
    http://pt.wikipedia.org
    [protocolo de rede]

    iptables: é o nome da ferramenta do espaço do usuário que permite a criação de regras de firewall e NATs.
    http://pt.wikipedia.org
    [firewall]

    PortKnocking: knockd é uma implementação de port-knocking. Resumidamente falando, com ele podemos deixar todas as portas do servidor fechadas e tê-lo configurado para ouvir “batidas” em algumas portas específicas, sendo que as batidas (corretas) podem gerar a execução de uma regra de firewall para abrir uma porta ou executar qualquer outro comando.
    http://br-linux.org/2008/port-knocking-com-o-knockd/
    [firewall]
  •    Vale lembrar que estamos falando de soluções open source.
  • Ser Opensource é o que menos importa nesta questão. O importante é a sequência que a banca pediu: "Respectivamente, firewall e IDS".


    No firewall já dava pra eliminar 3 opções. Basta saber o que o Kerberos ou o Snort são. ;)


ID
47059
Banca
ESAF
Órgão
ANA
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

No contexto de detecção de intrusos, a ausência de alerta quanto à ocorrência de um evento real representa

Alternativas
Comentários
  • Como o texto está se referindo a alerta (no contexto de intrusão), já é possível descartar as duas últimas alternativas.O texto diz que há AUSÊNCIA de alertas, assim podemos descartar também a letra C (pois não há inundação de alertas, não há NENHUM ALERTA), e ainda a letra A (pois um falso positivo é o mesmo que um alerta falso, e o enunciado diz AUSÊNCIA).Logo, sobrou apenas a letra B.
  • Possíveis resultados de um IDS:

    1) Comportamento Normal: Tráfego suspeito detectado ou tráfego legítimo que o IDS analisa como sendo legítimo.

    2) Falso Negativo: Tráfego suspeito não detectado.

    3) Falso Positivo: Tráfego legítimo que o IDS analisa como sendo suspeito.
     

    Resposta:B

  • FALSO POSITIVO E FALSO NEGATIVO: é 8 ou 80
    FALSO POSITIVO -> Aqui o sistema tá pegando "tudo"(inclusive o que não é ataque), tá vendo chifre em cabeça de cavalo, até um miado de um gato ele diz que é ataque, é o 80
    FALSO NEGATIVO - > Aqui o sistema tá dormindo no ponto, deixa passar "tudo"(inclusive o que é ataque), um leão pode rosnar que o sistema diz que tá trânquilo, é o 8.
    Abraços, vamo que vamo.
  • **Em IDS, um falso negativo é uma situação que caracteriza que um sistema está sob ataque,porém este ataque não está sendo detectado.

    Segundo Nakamura(2010,p.281),

    "-Tráfego suspeito detectado(comportamento normal);

    -Tráfego suspeito não detectado(falso negativo);

    -Tráfego legítimo que o IDS analisa como sendo suspeito(falso positivo);

    -Tráfego legítimo que o IDS analisa como sendo legítimo(comportamento normal)."


    **Para ajudar a fazer questões de falso positivo e falso negativo, eu sempre uso a ideia de uma doença quando uma pessoa vai realizar um exame de sangue. Ex: Exame para verificar se o cidadão está com AIDS. 

     -Falso positivo: O resultado do exame de HIV deu que vc está doente, mas na verdade não está. (Sortudo o cara né.)

    -Falso negativo: O resultado do exame de HIV deu que vc NÃO está doente, MAS na verdade está.(Aí o cara fica feliz e continua a "fazer" desprotegido.)

    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVO-2010-NAKAMURA



ID
101941
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2007
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a segurança de hosts e redes, julgue os itens
seguintes.

Roteadores de borda, firewalls, IDSs, IPSs e VPNs são alguns dos principais elementos do perímetro de segurança da rede.

Alternativas
Comentários
  • Conceito:Uma rede adicionada entre a rede interna e a externa com o objetivo deprover uma camada adicional de segurança.Esta rede “perímetro” é chamada de DMZ, que significa De-Militarized Zone (nomeada assim por similaridade com a separação da Korea do Norte e do Sul, acreditem ou nao :)Pode ser implementada de maneiras diferentes de acordo com:- a Política de Segurança;- o que precisa ser protegido;- o nível de segurança necessário;- o orçamento de segurança;- outros fatores.Realizada com elementos de rede, que podem ser combinados de várias maneiras para proteger a rede interna.Um único roteador poderia ser usado.Implementada segundo uma topologia, na qual um roteador de perímetro é a primeira linha de defesa e um Firewall é a segunda linha de defesa.Roteadores de perímetro são usados para implementar a parte da política de segurança de rede que especifica como a rede interna será conectada à rede externa.Roteador de PerímetroProtege o Firewall.Funciona como alarme, se ele próprio ou um Host de Segurança for invadido.O Firewall é usado para criar uma DMZ protegida, colocando Hosts de Segurança em uma outra interface do Firewall.Pode utilizar regras de filtragem de pacotes para restringir o acesso a serviços TCP/IP e aplicativos.Listas de Controle de Acesso (ACL) são usadas para implementar as regras de filtragem.Ponto principal do controle de acesso a redes internas.Recursos de segurança:- autenticação de usuário,- autorização de usuário,- proteção contra endereços de origem/destino desconhecidos,- oculta endereços IP internos,- rastreiam atividade dentro e fora do roteador,- administradores podem implementar política de segurança no perímetro.
  • Gabarito CERTO mas a questão está ERRADA, reflexo de teorias em contradição encontradas na pobre literatura nacional, de pouco cunho prático e escasso rigor acadêmico. Há aqui uma confusão no conceito básico de perímetro. O que define perímetro de redes são firewalls, roteadores de borda e bridges (e os softwares e firmwares associados). Se a questão ficasse restrita a um ou mais destes elementos estaria correta. Perímetro tem a ver com endereçamento, não com funcionalidades de segurança. O problema é que alguns produtos comerciais expandem este conceito por razões de marketing, e pelo visto algum autor endossa isso, afinal a questão está CERTA e deve ter passado por recursos. Mas eu pergunto como a redação dessa questão pode estar correta, se sistemas tipo IDS/IPS operam DENTRO do perímetro, procurando ameaças em curso ou iminentes, e excepcionalmente comparam o fluxo de dados interno com uma cópia do fluxo externo (ou seja, ANTES e DEPOIS do firewall) verificando se uma ameaça passou pelo firewall, e muitas vezes alarmando um ataque muitos minutos após a tentativa? E o que dizer de VPN, que vai de um host numa rede para um host noutra rede por um túnel na "via pública", mas cujas extremidades estão no interior seguro da rede, ou então em sua DMZ, que está fora do perímetro de segurança mesmo quando definida com um firewall exclusivo? É só pesquisar pelos recentes exploits de VPN para certificar-se que estas não compõem o perímetro. Um mínimo de rigor invalida o CERTO imputado à questão. Na verdade, se considerada ERRADA, teria sido uma questão fácil, pois aplicações tipo IDS, IPS e VPN, não operam no perímetro, não o caracterizam e menos ainda o compõem, ao contrário do que uma pesquisa apressada no Google possa afirmar. Infelizmente tenho visto isso em questões do Cespe relacionadas à segurança de rede (todas CERTAS no gabarito), como uma questão que diz que "trojans abrem backdoors", ou uma que cita "IDS por uso incorreto" como sinônimo de "IDS por detecção de anomalia de tráfego", e outra - a pior - confundindo análise de tráfego com inspeção de assinatura em payload, por exemplo. Dica para quem é do ramo (não vale para os clicadores de mouse): se citar firewall, IPS, IDS, NBA, antivirus, proxy, proxy as firewall, NAT, IPSec, etc, a não ser que se tenha muita certeza é melhor deixar a questão em branco, pois a possibilidade de um gabarito absurdo é muito grande. Não adianta entrar com recursos, eles não são acatados, e a razão deve ser existirem literaturas nacionais justificando bobagens desse gênero, neste caso expandindo o conceito de perímetro até ele abarcar toda a rede, ou pelo menos abarcar qualquer host da rede que contenha um aplicativo de segurança.

  • A questão está correta.

    "É importante entender onde o perímetro da rede existe e quais tecnologias são usadas contra as ameaças. A segurança perimetral é tratada por várias tecnologias diferentes, incluindo roteador de borda, firewalls, sistemas de detecção de intrusão e sistemas de prevenção, VPNs."

    https://studyhelp.com.br/categories/ensaios/ciencia-da-computacao/o-sistema-de-seguranca-da-rede-de-perimetro-computer-science-essay

  • Cesp falou em VPN , usou o S (IDSs, IPSs) item certo . ok

  • Eu acho q o nosso coleguinha Luciano está redondamente enganado no seu conceito. Segundo[1], "Os firewalls podem ser utilizados na implementação do conceito de defesa em profundidade. Nesse conceito, são definidos perímetros de segurança em camadas. As camadas mais externas têm menores restrições de segurança, enquanto que as camadas mais internos têm maiores restrições".

    E em q consiste essas camadas? Justamente nesses itens q ele despreza no comentario(VPN, IDS, antivirus etc)

    Fonte:

    [1] Seguranca da Informacao Descomplicada, Socrates Filho

  • Um pouco do resumo que montei fazendo questões sobre o assunto:

    Todos os dados que trafegam através da VPN são encriptados, o que elimina o risco inerente à transmissão via internet. Com a VPN, o risco na transmissão é muito pequeno. Através da VPN, pode-se imprimir em impressoras da rede remota, da mesma forma que se faria com uma impressora local.

     

    Uma VPN, rede formada por circuitos virtuais, pode utilizar-se corretamente de infraestruturas de redes públicas com protocolos de segurança implementados como IPSEC e L2PT, por exemplo, com o uso de protocolos de segurança, criptografia e firewall.

     A utilização de VPN (virtual private network) entre o usuário e o ponto de acesso que difunde o sinal em uma rede wireless garante confidencialidade e integridade ao tráfego da rede;

    Remote Access VPN é o nome dado a uma  (VPN) que pode ser acessada remotamente através de um provedor. Esta tecnologia permite o acesso à  ou  de uma empresa, por funcionários localizados remotamente, através de uma infraestrutura compartilhada. Uma "Remote Access VPN" pode utilizar tecnologias analógicas, de discagem (), ,  (Digital Subscriber Line),  móvel e de cabo, para fazer a conexão segura dos usuários móveis, telecomutadores e filiais.

    As redes privadas virtuais podem ser configuradas também como um meio substituto ao acesso remoto tradicional.

    Outra forma de remote-access-VPN é quando o túnel VPN é iniciado no provedor de acesso, que faz o papel de provedor VPN.

    Por questões de segurança, quando um servidor de VPN está à frente de um firewall e conectado à Internet, filtros de pacotes devem ser configurados na interface Internet do servidor de VPN para permitir somente tráfego VPN de e para o endereço IP daquela interface. Esta configuração evita que recursos da Intranet sejam compartilhados com usuários de Internet não conectados ao servidor VPN;


ID
101950
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2007
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a segurança de hosts e redes, julgue os itens
seguintes.

Em geral, os firewalls inspecionam todo o pacote, enquanto os IDSs inspecionam apenas os cabeçalhos.

Alternativas
Comentários
  • É justamente o contrário. Apesar de alguns modelos de firewall inspecionarem todo o pacote, em geral inspecionam apenas o cabeçalho, principalmente campos de origem e destino. Já os IDSs analisam o conteúdo do pacote.
  • Quando uma questão do CESPE não mencionar o tipo de firewall, considere que ele está falando de FILTRO DE PACOTES.

    Assim, um filtro de pacotes atua somente nas camadas 3 e 4 (rede e transporte) do modelo OSI, ou seja, inspecionam somente os cabeçalhos destas camadas e não do pacote todo.

  • CESPE - 2009 - INMETRO
    Tipicamente, firewalls realizam a inspeção dos cabeçalhos, enquanto os sistemas de detecção de intrusão
    verificam todo o conteúdo dos pacotes. CERTO

  • Errado. Firewall de pacote que analisa os cabeçalhos

    Firewall de Pacote: analisa e filtra o pacote de acordo com as regras específicas contidas em seus cabeçalhos, atua na camada 3 (rede)

    Firewall de Estado: são mais elaborados e trabalham na camada transporte, capazes de detectar falhas não só no nível de pacotes, mas no de conexões também.

    IDS: Programas que auxiliam os firewalls em uma análise mais macro, ampliando a visão sobre as comunicações e alertando o firewall sobre possiveis problemas que ele não tenha visto. 

    Créditos: Livro João Antonio 6 edição.

  • Corrigindo a questão:

    ''Em geral, o IDS inspeciona todo o pacote, enquanto o firewall (filtro de pacotes) inspeciona apenas os cabeçalhos (campos de origem e destino).''

  • GABARITO: ERRADO

    Em geral, os IDS inspecionam todo o pacote, enquanto os FIREWALL inspecionam apenas os cabeçalhos.

  • errado Em geral, os firewalls inspecionam todo o pacote, enquanto os IDSs inspecionam apenas os cabeçalhos.

    certo Em geral, os IDSs inspecionam todo o pacote, enquanto os firewalls inspecionam apenas os cabeçalhos.

  • GABARITO ERRADO!

    .

    .

    CONCEITOS INVERTIDOS!!!

    CONFORME LECIONA NAKAMURA, 2011, PÁGINA 111:

    Os filtros realizam o roteamento de pacotes de maneira seletiva, ou seja, aceitam ou descartam pacotes por meio da análise das informações de seus cabeçalhos. Essa decisão é tomada de acordo com as regras de filtragem definidas na política de segurança da organização. Os filtros podem, além de analisar os pacotes comparando um conjunto de regras de filtragem estáticas com as informações dos cabeçalhos dos mesmos, tomar decisões com base nos estados das conexões.

    .

    .

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS.

  • Corrigindo: Em geral,os IDS inspecionam todo o pacote, enquanto os firewalls inspecionam apenas os cabeçalhos.

  • [1][2] É EXATAMENTE O QUE ELE DISSE, SÓ QUE TUDO AO CONTRÁRIO.

    FONTE:

    [1] CONCURSEIRO QUASE NADA

    [2] KIKO


ID
110728
Banca
CESGRANRIO
Órgão
IBGE
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Um analista de segurança, durante uma apresentação abordando aspectos relacionados à segurança da informação, fez os seguintes comentários:

I - IDS (Intrusion Detection System) baseados em rede monitoram os cabeçalhos e o campo de dados dos pacotes a fim de detectar possíveis invasores no sistema, além de acessos que possam prejudicar a performance da rede. A implantação de criptografia (implementada via SSL, IPSec e outras) nas transmissões de dados como elemento de segurança prejudica esse processo de detecção. O SSL é executado entre a camada de transporte e de aplicação do TCP/IP, criptografando assim a área de dados dos pacotes e, desta forma, sistemas IDS não terão como identificar, através do conteúdo dos pacotes, tentativas de ataque;
II - nos sistemas de segurança da informação existem métodos que avaliam se uma mensagem em trânsito foi alterada. Esses métodos visam garantir o não- repúdio. O DES é um algoritmo de chave simétrica baseado na cifragem de blocos de 64 bits, que pode ser utilizado para garantir o não-repúdio;
III - os procedimentos de segurança aplicados na empresa devem ser complexos e sigilosos para que um possível invasor tenha dificuldade em entender os procedimentos, tornando assim o ambiente mais seguro. Além disso, a política de segurança das empresas deve sofrer o mínimo possível de alterações ao longo do tempo, não sendo sensível a mudanças na infraestrutura organizacional.

Está(ão) correta(s) o(s) comentário(s)

Alternativas
Comentários
  • II - erradaDES (Data Encryption Standard) é um algoritmo de chave simétrica de 56 bits, criado em 1977 pela IBM. Já ultrapassado nos dias atuais;III - erradaOs procedimentos de segurança não devem ser, necessariamente, complexos. A política de segurança DEVE SER ATUALIZADA periodicamente, e DEVEM estar alinhadas às mudanças na infraestrutura organizacional.
  • Os NIDs podem ter dificuldade em processar todos os pacotes em uma rede que possua um grande tráfego de dados.

    Eles não podem analisar o tráfego de informações criptografadas. Esse problema vem aumentando em função da utilização de VPNs pelas organizações (e pelos atacantes também).

    Já os HIDS podem operar em um ambiente onde o tráfego de rede é criptografado, a informação é analisada antes de ser criptografada na origem, ou depois de ser decriptada no destino.

  • No DES a chave é de 56 bits, mas a mensagem é de 64 bits(56 da mensagem + 8 bits de paridade)
  • I - CORRETO. A implantação de criptografia na comunicação prejudica o processo de detecção do IDS pois ele analisa precisa analisar o campo de dados do pacote para identificar alguma anomalia, e os dados estando criptografados ele não consegue fazer essa análise.

    II - INCORRETO. Há dois erros nessa alternativa, o primeiro é que se o sistema de segurança está avaliando se a mensagem em trânsito foi alterada, então esse método visa garantir a integridade da mensagem, e não o não-repúdio. O outro erro é que no DES a chave é de 56 bits.

    III - INCORRETO. Os procedimentos de segurança devem ser simples e não complexos como informado nessa questão, e a política de segurança da informação deve ser sempre revisada e alterada sempre que necessário, e mudanças na infraestrutura organizacional refletem na política de segurança da informação.
  • CORRETO
    I - IDS (Intrusion Detection System) baseados em rede monitoram os cabeçalhos e o campo de dados dos pacotes a fim de detectar possíveis invasores no sistema, além de acessos que possam prejudicar a performance da rede. A implantação de criptografia (implementada via SSL, IPSec e outras) nas transmissões de dados como elemento de segurança prejudica esse processo de detecção. O SSL é executado entre a camada de transporte e de aplicação do TCP/IP, criptografando assim a área de dados dos pacotes e, desta forma, sistemas IDS não terão como identificar, através do conteúdo dos pacotes, tentativas de ataque; 

    ERRADO
    II - nos sistemas de segurança da informação existem métodos que avaliam se uma mensagem em trânsito foi alterada. Esses métodos visam garantir o não-repúdio (integridade). O DES é um algoritmo de chave simétrica baseado na cifragem de blocos de 64 bits (64 bits de bloco, 56 bits de chave efetiva + 8 bits paridade), que pode ser utilizado para garantir o não-repúdio 
     
    III - os procedimentos de segurança aplicados na empresa devem ser complexos (simples) e sigilosos para que um possível invasor tenha dificuldade em entender os procedimentos, tornando assim o ambiente mais seguro. Além disso, a política de segurança das empresas deve sofrer o mínimo possível de alterações ao longo do tempo, não sendo sensível a mudanças na infraestrutura organizacional

ID
126559
Banca
ESAF
Órgão
Prefeitura de Natal - RN
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Analise as seguintes afi rmações relacionadas à Segurança da Informação e os objetivos do controle de acesso:

I. A disponibilidade é uma forma de controle de acesso que permite identifi car os usuários legítimos da informação para que lhes possa ser liberado o acesso, quando solicitado.
II. A confi dencialidade é uma forma de controle de acesso que evita que pessoas não autorizadas tenham acesso à informação para criá-la, destruí-la ou alterá-la indevidamente.
III. O IDS (Intrusion Detection System) é um dispositivo complementar à proteção contra invasão de redes, que inspeciona uma rede de dentro para fora, identifi ca e avalia padrões suspeitos que podem identifi car um ataque à rede e emite um alarme quando existe a suspeita de uma invasão.
IV. A integridade é uma forma de controle de acesso que evita o acesso de pessoas não autorizadas a informações confi denciais, salvaguardando segredos de negócios e protegendo a privacidade de dados pessoais.

Indique a opção que contenha todas as afi rmações verdadeiras.

Alternativas
Comentários
  • Resposta: B
    Entendo que as assertivas II e III estão corretas. As erradas são: I e IV.

    Vejamos os conceitos:
    DISPONILIDADE é o atributo ligado à segurança da informação que garante que ela esteja sempre disponível para o uso legítimo dos usuários, ou seja, por aqueles usuários autorizados pelo proprietário da informação a ter acesso ao conhecimento da informação;

    INTEGRIDADE é o atributo ligado à segurança da informação que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida. A informação não pode ser alterada.

    Discordo do gabarito

  • Concordo com o colega, eu também entendo que seja B a resposta correta, mas não encontrei o gabarito da prova para comprovar isso. Mais uma vez ficamos na mão da banca...
  • Achei estranho constar que "inspeciona uma rede de DENTRO para FORA". A análise não é de tráfego invasor, que vem de FORA para DENTRO? O que acham?
  • A banca é a ESAF.. tem que se atentar a todos os detalhes.
    Errei mas concordo que a certa seja a letra D, senão vejamos:

    I - A Disponibilidade aqui deve ser interpretada como o Controle de Acesso. Disponível apenas para o dono da informação. Controlando a sua disponibilidade é possível controlar o seu acesso, ou seja, quem não é dono da informação não vai tê-la disponível!!
    II - Para algo Confidencial, utiliza-se a criptografia. Um arquivo criptografado é Confidencial, no entanto pessoas não autorizadas podem sim ter acesso ao arquivo. Embora não entendam o que há nesse arquivo, podem alterá-lo, deletá-lo etc, já que podem ter acesso ao mesmo.
  • Livro do Stallings - pg 09 e 10

    Controle de acesso = capacidade de limitar e controlar o acesso aos sistemas e aplicações hospedeiras por meio de enlaces de comunicação. Cada entidade precisa ser identificada antes de obter acesso, ou autenticada, de modo que os direitos de acesso possam ser ajustados ao individuo.

    Disponibilidade = propriedade de um sistema ou de um recurso do sistema ser acessível e utilizável sob demanda por uma entidade autorizada do sistema. É associada a vários serviços de segurança. Depende do gerenciamento e controle apropriado dos recursos do sistema, do serviço de controle de acesso e outros serviços de segurança.

    Integridade = mensagens são recebidas conforme enviadas, sem duplicação, inserção, modificação, reordenação ou repetição.


    Livro da Claudia Dias

    Confidencialidade = proteger as informações contra acesso de qualquer pessoa não explicitamente autorizada pelo dono da informação.


    Logo:

    (C) I. A disponibilidade é uma forma de controle de acesso que permite identifi car os usuários legítimos da informação para que lhes possa ser liberado o acesso, quando solicitado

    (E) II. A confidencialidade é uma forma de controle de acesso que evita que pessoas não autorizadas tenham acesso à informação para criá-la, destruí-la ou alterá-la indevidamente

    (C) III. O IDS (Intrusion Detection System) é um dispositivo complementar à proteção contra invasão de redes, que inspeciona uma rede de dentro para fora, identifi ca e avalia padrões suspeitos que podem identifi car um ataque à rede e emite um alarme quando existe a suspeita de uma invasão. 

    (E) IV. A integridade é uma forma de controle de acesso que evita o acesso de pessoas não autorizadas a informações confi denciais, salvaguardando segredos de negócios e protegendo a privacidade de dados pessoais.

  • O gabarito realmente está correto, letra D
    Item I - Disponibilidade é o acesso à informação de pessoas autorizadas para esse fim, tratrou-se de autorização, então controla o acesso;
    O erro do item II é que confidencialidade não protege que a informação seja destruída, protege quanto ao sigilo dessa informação;
    Item III - correto
    Item IV - Integridade não se trata de controle de acesso, está relacionada quanto a auteração ou não da informação, dar garantia de que a informação não foi auterada.
    Abraços.
    vamo que vamo.
  • I - Disponibilidade = Pessoas autorizadas + acesso a informação + QUANDO SOLICITADO.
    II - Confidencialidade = Pessoas autorizadas + acesso a informação. Quando se fala em modificação da informação trata-se de integridade e não confidencialidade.
    III - IDS apenas emite alertas, ele não responde aos ataques diretamente, é como um cachorro pequenez (só dá escândalo). Já o IPS responde aos ataques, é um pitbull.
    IV - Integridade = Completude + Não modificação. Quando de fala em acesso a informação de pessoas autorizadas fala-se de confidencialidade, mas se a esses dois itens for acrescentado "quando solicitado" aí será disponibilidade. Perceba que disponibilidade e confidencialidade são bem parecidos o que os difere é somente o fato de a informação estar disponível, acessivel, quando for solicitado.

ID
144694
Banca
CESPE / CEBRASPE
Órgão
SECONT-ES
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Um órgão público, visando identificar o atual nível de proteção
da rede de computadores das organizações públicas para as quais
presta serviços, desenvolveu um conjunto de processos de
avaliação de segurança da informação em redes de computadores.
Empregando métodos analíticos e práticos, os auditores coletaram
várias informações acerca da rede e produziram diversas
declarações, sendo algumas delas consistentes com o estado da
prática e outras incorretas. A esse respeito, julgue os itens de 101
a 105.

Considere que os auditores identifiquem, entre a rede de uma organização e a Internet, um sistema em funcionamento que realiza a filtragem e correção automática do fluxo de pacotes e datagramas estabelecidos entre os hosts da organização e aqueles da Internet. Considere também que o referido sistema realiza inspeção e eventuais ajustes nos pedidos e respostas http que trafegam em ambos sentidos. Nesse caso, diante das informações mencionadas, é correto afirmar que tal sistema pode ser classificado como de prevenção de intrusão em rede NIPS (network intrusion prevention system) e não apenas como de detecção de intrusão IDS (intrusion detection system).

Alternativas
Comentários
  • Como o referido sistema realiza eventuais ajustes, ou seja toma alguma ação em resposta a um evento, é consistente afirmar que tal sistema pode ser classificado como um IPS de rede.

  • Acredito que também possa ser classificado como um proxie de nível de aplicação!

  • Questão tratou de '' eventuais ajustes e correção automática'' são atividades de execução. Logo, se encaixa na definição de Sistemas de Prevenção

  • FAMOSO NETWORK IPS.


ID
145309
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a firewalls e a sistemas de detecção de intrusão, julgue os itens a seguir.

Listas de acesso atuam analogamente a firewalls com base em filtragem de pacotes.

Alternativas
Comentários
  • CORRETO. As listas de acesso, ou access list (ACLs) implementadas em roteadores impecionam o cabeçalho dos pacotes bloqueando com base em IPs, portas ou outras informações de cabeçalho. Um bloqueio via ACL não armazena uma tabela de estado, portanto, equivale-se a um firewall de pacote.

  • CERTO.

    Segue um trecho do livro do autor Nakamura para afirmar a questão.

    Segundo Nakamura(2010,p.375),Além dos métodos de controle de acesso com base em autenticação, mostrados nas seções anteriores, outros podem ser utilizados:

    - Listas de controle de acesso(Access Control Lists-ACLs), muito utilizadas em firewalls baseados em pacotes.

    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA


ID
145312
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a firewalls e a sistemas de detecção de intrusão, julgue os itens a seguir.

Um sistema de detecção de intrusão poderia usar uma assinatura genérica de ataques de buffer overflow formada por sequências do byte 0x90 (hexadecimal).

Alternativas
Comentários
  • O item está correto

    Resumidamente, uma das técnicas de detecção de intrusão é a utilização de assinaturas conhecidas. No caso do buffer overflow, pode ser usada a detecção de sequências do byte 0x90 como assinatura.

    A explicação completa segue abaixo:

    Podem-se destacar três tipos de metodologias de detecção (que podem ser utilizadas separadamente ou em conjunto):

    Detecção baseada em assinatura: compara assinaturas conhecidas com eventos observados. Novos tipos de ataques que não possuem uma assinatura não podem ser detectados; Detecção baseada em comportamento anômalo: compara definições e perfis de qual atividade de rede é considerada normal contra eventos observados para determinar desvios de padrão. Utilizado para detectar novos tipos de ataques. Contudo, existem o problema da inclusão de atividade normal como atividade maliciosa; Análise de protocolo statefull: compara perfis pré determinados de definições geralmente aceitas de atividade de protocolos com desvios de eventos analisados. Ao contrário da metodologia 2, esta baseia-se em perfis universais.

    Fonte:http://svn.assembla.com/svn/odinIDS/Egio/artigos/IDS/deteccao-hibrida.pdf

    Buffer Overflow é uma técnica que é usada para descrever o ato de encher um pedaço de memória com mais dados do que ela suporta, permitindo muitas vezes a um atacante alterar o fluxo de execução de um programa.
    Muitos ataques de Buffer Overflows utilizam um payload (códigos que serão executados na máquina destino) denominado shellcodes. Shellcodes são pequenas instruções assembly que são usados para executar uma shell ou comandos shell, tipicamente como um resultado de um ataque de buffer overflow.
    Vejamos alguns exemplos de ataques de Buffer Overflows que visam se evadir da detecção de um NIDS com base em assinaturas.
    - Regras Contra NOPs (inclui NIDSFindShellcode);
    É muito comum um NIDS possuir regras para detecção de instruções vazias (NOPS)
    A instrução vazia (NOP) e seu representante em hexa na arquitetura Intel x86 é 0x90 (90H).
    Logo, uma base de dados de assinaturas de um NIDS pode conter regras para detectar tal instrução vazia.

    Read more: http://pc-hacker.blogspot.com/2010/10/como-funcionam-os-exploits.html#ixzz137SwEw00

     

  • Segundo Nakamura (2010, p. 272),"O sistema de detecção de intrusão baseado em rede (NIDS) é eficiente principalmente contra ataques como port scanning, IP spoofing ou Syn flooding e é também capaz de detectar ataques de buffer overflow [...]."


    Bibliografia:

    Segurança de redes em ambientes cooperativos
    Autor: Nakamura
    Editora: Novatec


ID
145315
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a firewalls e a sistemas de detecção de intrusão, julgue os itens a seguir.

Tipicamente, firewalls realizam a inspeção dos cabeçalhos, enquanto os sistemas de detecção de intrusão verificam todo o conteúdo dos pacotes.

Alternativas
Comentários
  • Uma análise por assinaturas é uma simples comparação do conteúdo dos pacotes com o conteúdo das assinaturas. Caso o pacote não apresente nenhuma compatibilidade com as assinaturas, ele é considerado como inofensivo.

  • Não entendi, quer dizer que IDS, pode também verificar a parte de dados de um pacote?
  • Um IDS, compara o conteúdo dos pacotes com um conjunto de regras, e caso o conteúdo de um pacote corresponda à alguma regra, um alerta possa ser emitido para que o administrador possa tomar a providências.
  • 1) Tipicamente, firewalls realizam a inspeção dos cabeçalhos,  (CORRETO CONFORME KUROSE)

    Segundo Kurose (2010,p.540),
    "[...] um filtro de pacotes (tradicional e de estado) inspeciona campos de cabeçalho IP, TCP, UDP e ICMP quando está decidindo quais pacotes deixará passar através do firewall."

    2)enquanto os sistemas de detecção de intrusão verificam todo o conteúdo dos pacotes. (CORRETO CONFORME KUROSE)

    Segundo Kurose (2010,p.540), "Um Sistema de Detecção de Intrusão é um dispositivo que não só examina os cabeçalhos de todos os pacotes ao passar por eles (como em um filtro de pacotes), mas também executa uma inspeção profunda de pacote (diferentemente do filtro de pacote)."

    Conclusão: os firewalls são capazes de realizar a filtragem com base em informações dos cabeçalhos dos pacotes, e os sistemas de detecção de intrusão são capazes de verificar o conteúdo dos pacotes. 
    O.B.S: Lembrando que gateways de aplicação também fazem inspeção profunda do pacote, mas cada gateway de aplicação só faz isso para cada aplicação específica.


    KUROSE, J. F.; ROSS, K. W. Redes de Computadores e a Internet: Uma Abordagem Top-Down. 5. ed. São Paulo: Pearson, 2010.
  • Questão na verdade está errada. O IDS pode ser de rede (NIDS) ou de host (HIDS). O de host realmente analisa a parte de dados, enquanto o de rede analisa APENAS O HEADER! A questão não informa qual o tipo de IDS usado, logo não podemos afirmar que obrigatoriamente será analisado dados. Pricipalmente pela palavra usada "tipicamente", nunca vi nenhuma fonte dizendo que é típico o uso de HIDS e atípico o uso de NIDS.

  • Tipicamente...na sua empresa ou na minha? hehe

    Gateway de nível de aplicação verifica toda a porra do payload seu animal.

    Enquanto o NIDS verifica ataques de rede, mudanças de funcionamento de protocolos, mascaramento de cabeçalhos...não precisa analisar o payload todo! 

  • GABARITO CORRETO!

    .

    .

    QUANTO À SEGUNDA PARTE DA QUESTÃO:

    O sistema de detecção de intrusão baseado em rede (NIDS) monitora o tráfego do segmento da rede, geralmente com a interface de rede atuando em modo ‘promíscuo’. A detecção é realizada com a captura e análise dos cabeçalhos e conteúdos dos pacotes, que são comparados com padrões ou assinaturas conhecidos.

    .

    NAKAMURA, 2011, PÁGINA 136. 


ID
145318
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a firewalls e a sistemas de detecção de intrusão, julgue os itens a seguir.

Os sistemas de detecção de intrusão normalmente apresentam baixa incidência de falsos-positivos.

Alternativas
Comentários

  • Falso positivo ocorre quando a ferramenta classifica uma ação como uma possível intrusão, quando na verdade trata-se de uma ação legítima;
    Falso negativo ocorre quando uma intrusão real acontece mas a ferramenta permite que ela passe como se fosse uma ação legítima;

    A incidência tanto do falso positivo como o falso negativo dependem do grau de ajuste do firewall. Se o firewall estiver muito ajustado ele pode ter alta taxa de falso positivos se estiver muito "solto" pode ter alto grau de falso negativos.
  •   É exatamente o contrário. Essa é uma grande caracteristicas do IDS .
  • IDS apresentam GRANDE incidência de FALSOS POSITIVOS, acho que o colega Amândio se enganou.
    Abraços, vamo que vamo.

  • Alguém pode explicar melhor o porquê?
  • A incidencia de falsos positivos são grandes, pois normalmente quando se instala um IDS, são feitas confirações iniciais (entenda-se por regras) que vão dizer o que é considerado um ataque ou não. Porém essas regras podem estar mal ajustadas, fazendo com que eventos cotidianos que não sejam ataques, sejam classificados como ataques pelo IDS, ou seja, um falso positivo.

    Ou seja, o IDS classifica muitos eventos como sendo ataque, porém esses enventos não são ataques, a classificação FALSA foi gerada por um ajuste errado na regra de classificação do ataque.
  • Os sistemas de detecção de intrusão, baseados em assinaturas, normalmente apresentam baixa incidência de falsos-positivos, visto que precisam estar constantemente atualizados para detectar as intrusões. Já os baseados em comportamento podem gerar mais falsos positivos.

  • pois é.. depende do método de detecção. Se for por assinatura ou comportamento


    Prova: CESPE - 2004 - Polícia Federal - Perito Criminal Federal - Informática

    Disciplina: Segurança da Informação | Assuntos: Sistemas de Prevenção-Detecção de Intrusão; 

     Ver texto associado à questão

    Um sistema de detecção de intrusão (IDS) por uso incorreto utiliza descrições de ataques previamente conhecidos (assinaturas) para identificar a ocorrência de ataques. Esse tipo de IDS tem como inconveniente a geração de um número elevado de falsos positivos quando ataques novos, para os quais ainda não foram especificadas assinaturas de ataque convenientes, são lançados contra o sistema monitorado pelo IDS.

              Certo       Errado

               

    errada


  • GABARITO ERRADO!

    .

    .

    SÓ PARA ACRESCENTAR:

    As metodologias utilizadas pelos IDS para a detecção de um ataque são o Knowledge-Based Intrusion Detection, também conhecido como Misuse Detection System, e o Behavior-Based Intrusion Detection, também conhecido como Anomaly Detection System. Após a análise feita pelo sistema de detecção, os resultados possíveis em um IDS, por exemplo, são:

    * Tráfego suspeito detectado (comportamento normal).

    * Tráfego suspeito não detectado (falso negativo).

    * Tráfego legítimo que o IDS analisa como sendo suspeito (falso positivo).

    * Tráfego legítimo que o IDS analisa como sendo legítimo (comportamento normal).

    .

    .

    NAKAMURA, 2011, PÁGINA 141.

  • se baseado em comportamentos, apresenta ainda mais falso positivo


ID
148051
Banca
FCC
Órgão
TRT - 16ª REGIÃO (MA)
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Um sistema de detecção de intrusão (IDS) baseado em host, comparativamente aos baseados em rede, apresenta

Alternativas
Comentários
  • Questão meio que pegadinha, concordam? Mas a alternativa escolhida seria a mais correta.
  • Acredito que a alternativa D é a única que se enquadra. 

    a) HIDS ou Host-based IDS é mais difícil de gerenciar pois, ao contrário do NIDS (Network IDS), não temos um gerenciamento centralizado. Cada estação possui um IDS configurado que deve ser gerenciado, o que aumenta consideravelmente esse trabalho.
    b) Um HIDS consome recursos da máquina, como memória, processamento, espaço em disco e registros, etc. Alguns consomem recursos em pequenas quantidades, mas ainda assim reduzem o desempenho do Host.
    c) O HIDS é altamente dependente do sistema operacional. Como ele trabalha analisando dados de logs e registros do S.O. cada software possui seu funcionamento baseado na arquitetura de cada S.O. em específico.
    d) CORRETO - HIDS independe da topologia da rede, visto que analisa os eventos do host e não da rede.
    e) Conforme comentário na letra A, a instalação e manutenção é mais complicada.
  • realmente, prepararam uma pegadinha mesmo. quem foi de "melhor desempenho do host" se atente que isso não é fator de comparação, uma vez que IDS baseado em rede não atua em hosts
  • letra D. Segundo Nakamura(2010,p.271),

    "Os pontos fortes do HIDS(Sistema de detecção de intrusão baseado em host) são:

    É independente da topologia da rede, podendo ser utilizado em redes separadas por switches."


    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-2010-NAKAMURA


ID
150283
Banca
FCC
Órgão
TJ-PA
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Os sistemas de detecção de intrusos que monitoram os cabeçalhos e o campo de dados dos pacotes a fim de detectar possíveis invasores no sistema, além de acessos que podem prejudicar a performance da rede, são denominados IDS baseado em

Alternativas
Comentários
  • Segundo Willian Stallings, em Cryptography and Network Security, os sistemas de IDS podem ser classificados quando à localidade em "baseado em host" e "baseados em rede". O último item tenta nos induzir ao erro porque no enunciado se fala em analisar os pacotes que trafegam na rede. Ocorre, porém, que esta é uma descrição mais adequada aos IDS baseados em assinaturas. Ademais, destaca-se que não há classificação para IDS baseado em siwtching, splitting ou protocolos.

  • Colega, existem sistemas de detecção de intrusão baseados em protocolos, são os PIDS:

    http://en.wikipedia.org/wiki/Protocol-based_intrusion_detection_system (referência em inglês)
    http://www.gta.ufrj.br/grad/03_1/sdi/sdi-3.htm (referência em português)

    Acho que a última alternativa seria a mais correta de todas

  • Network Based Intrusion Detection System (NIDS)

    O NIDS é instalado em um segmento de rede ondeatravés de uma base de dados faz comparações necessárias com os pacotes de redeou então faz a decodificação e verifica os protocolos de rede. O NIDS verificaos usuários externos não autorizados a entrar na rede, DoS ou roubo de basedados.

    O IDS baseado em rede opera sobre as camadas de rede do modelo(OSI/RM). Esse tipo aplicativo baseado em rede é bem interessante quando sequer analisar o tráfego da rede.

    Um IDS baseado em rede se torna muito mais eficiente e de fácilcontrole pelo administrador quando se utiliza vários servidores para aplicaçãodo IDS. Um servidor para captura de dados, outro para monitoração earmazenamento e um para análise atenderia à necessidade de processamento e armazenagemdos dados. O servidor sensor detecta os dados que passam pela rede e os enviapara o servidor de armazenagem, este envia para o servidor de análise o arquivoque contém os pacotes enviados pelo sensor. O servidor de análise pode entãoler os pacotes onde estão armazenados ou selecionar os eventos da estação dearmazenagem.

    O dispositivo de armazenagem pode deixar todos os eventos prontos paraserem enviados através de um servidor Web. O servidor para análise pode ser umservidor Linux com um navegador de Web. O administrador poderá utilizar onavegador Web para acessar o servidor Web do dispositivo de armazenamento. Oadministrador pode ainda utilizar um Secure Shell (SSH) para acessardiretamente os eventos, ou seja, à base de dados.

    Vale salientar que um IDS precisa de muito processamento para seufuncionamento e os arquivos de registros precisam de grande quantidade deespaço no disco rígido. Assim deve se levar em consideração, a ideia de dividiro trabalho realizado por um IDS em servidores diferentes. 

    Gabarito: D

  • Os IDS baseados em rede analisam pacotes de dados que trafegam pela rede. Esses pacotes são examinados e algumas vezes comparados com dados empíricos para verificar a sua natureza: maliciosa ou benigna. Pelo fato de serem responsáveis pelo monitoramento da rede, ao invés de uma simples estação, os IDS de rede tem a tendência de serem mais distribuídos do que os IDS baseados em estação. Softwares, ou em alguns casos aparelhos de hardware, residem em um ou mais sistemas conectados numa rede, e são usados para analisar dados, como pacotes de rede. Ao invés de analisar informação que reside e é originada em um computador, IDS de rede usa técnicas como “packet-sniffing”, para pegar dados do TCP/IP ou pacotes de outros protocolos passando sozinhos pela rede. Essa vigilância das conexões entre computadores faz com que IDS de rede sejam ótimos em detectar tentativas de acesso por fora da rede confiável. 
    http://www.gta.ufrj.br/grad/07_2/rodrigo_leobons/nids.html


ID
173281
Banca
FGV
Órgão
MEC
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

O Sistema de Detecção de Intrusão - IDS é um componente essencial em um ambiente cooperativo. Sua capacidade de detectar diversos ataques e intrusões auxilia na proteção do ambiente, e sua localização é um dos pontos a serem definidos com cuidado.
Dentre os tipos primários de IDS, um faz o monitoramento do sistema, com base em informações de arquivos de logs ou de agentes de auditoria, inclusive realizando detecção de port scanning. Outro tipo monitora o tráfego do segmento de rede, geralmente com a interface de rede atuando em modo promíscuo. A detecção é realizada com a captura e análise dos cabeçalhos e conteúdos dos pacotes.
Esses tipos são conhecidos como:

Alternativas
Comentários
  •  Um Sistema de detecção de intrusão é um dispositivo ou software que monitora a rede à procura de softwares maliciosos ou violação de políticas, além de gerar relatórios para o gerente da rede. Destacam-se dois tipos de sistemas de detecção de intrusão:

    NIDS - Network Intrusion Detection System (Sistema de detecção de intrusão baseado em rede): é uma plataforma independente que identifica intrusos por meio da análise do tráfego da rede e monitora múltiplos hosts.

    HIDS - Host Intrusion Detection System (Sistema de detecção de intrusão baseado em host): é um agente instalado no host que identifica intrusos pela análise de chamadas do sistema, logs, modificações de arquivos do sistema, e outras atividades do host.

    Fonte: http://en.wikipedia.org/wiki/Intrusion_detection_system

  • Questão retirada integralmente do livro Segurança de Redes em Ambientes Cooperativos - Emilio Tissato Nakamura e Paulo Lício de Geus. Bibliografia super recomendada para o assunto em concurso.Nesse caso o examinador sem pudoR nenhum REPRODUZIU as assertivas do livro.

    "O sistema de detecção de intrusão baseado em host(HIDS) faz o monitoramento do sistema, com base em informações de arquivos de logs ou de agentes de auditoria (...), entre outros aspectos como a detecção de port scanning." cap 8 pag 270

    "O sistema de detecção de intrusão baseado em rede (NIDS) monitora o trafego do segmento da rede, geralmente com a interface de rede atuando em modo promiscuo. A detecção é realizada com a captura e análise de cabeçalhos e conteúdos dos pacotes..." cap 8 pag 272.

    Fica a dica, ja vi questões integrais desse livro nas bancas CESPE e FCC, FGV é a primeira vez. LEITURA OBRIGATÓRIA.
  • Questão muito mal feita. Bastava saber que:

    Dentre os tipos primários de IDS, um faz o monitoramento do sistema (HOST-HIDS), com base em informações de arquivos de logs ou de agentes de auditoria, inclusive realizando detecção de port scanning. Outro tipo monitora o tráfego do segmento de rede (NETWORK-NIDS), geralmente com a interface de rede atuando em modo promíscuo. A detecção é realizada com a captura e análise dos cabeçalhos e conteúdos dos pacotes.

    Os outros tipos nem sequer existem (IID, SIDS, AIDS...rs)

    • a) SIDS - Sistema de Detecção de Intrusão baseado no software e IIDS - Sistema de Detecção de Intrusão baseado na informação.
    • b) IIDS - Sistema de Detecção de Intrusão baseado na informação e AIDS - Sistema de Detecção de Intrusão baseado no agente
    • c) NIDS - Sistema de Detecção de Intrusão baseado em rede e SIDS - Sistema de Detecção de Intrusão baseado no software
    • d) AIDS - Sistema de Detecção de Intrusão baseado no agente e HIDS - Sistema de Detecção de Intrusão baseado em host
    • e) HIDS - Sistema de Detecção de Intrusão baseado em host e NIDS - Sistema de Detecção de Intrusão baseado em rede
  • Rindo do "AIDS".

    IDS pode ser dividido em: 

    • H IDS : baseado em host.

    •N IDS : baseado em network(rede)

     

    Gabarito: E

  • Gabarito E

    Sistemas de Detecção de Intrusão baseados em Host (HIDS)

    Sistemas de Detecção de Intrusão baseados em Host monitora e analisa informações coletadas de um único Host (Máquina). Não observa o tráfego que passa pela rede, seu uso volta-se a verificação de informações relativas aos eventos e registros de logs e sistema de arquivos (permissão, alteração, etc.). São instalados em servidores para alertar e identificar ataques e tentativas de acesso indevido à própria máquina, sendo mais empregados nos casos em que a segurança está focada em informações contidas em um servidor e os usuários não precisam ser monitorados. Também é aplicada em redes onde a velocidade de transmissão é muito alta como em redes “Gigabit Ethernet” ou quando não se confia na segurança corporativa da rede em que o servidor está instalado.

     

    Sistemas de Detecção de Intrusão baseados em Rede (NIDS)

    Sistemas de Detecção de Intrusão baseados em Rede monitora e analisa todo o tráfego no segmento da rede. Consiste em um conjunto de sensores que trabalha detectando atividades maliciosas na rede, como ataques baseados em serviço, portscans, etc… São instalados em máquinas responsáveis por identificar ataques direcionados a toda a rede, monitorando o conteúdo dos pacotes ou do tráfego e seus detalhes como informações de cabeçalhos e protocolos. Os NIDS tem como um dos objetivos principais detectar se alguém está tentando entrar no seu sistema ou se algum usuário legítimo está fazendo mau uso do mesmo.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • E. HIDS - Sistema de Detecção de Intrusão baseado em host e NIDS - Sistema de Detecção de Intrusão baseado em rede - correta

  • TIPOS DE IDS :

    HIDS > Sistemas de Detecção de Intrusão Baseado em Host

    NIDS > Sistemas de Detecção de Intrusão Baseado em Rede

    TIPOS DE IPS:

    HIPS > Sistema de prevenção de intrusão baseado em host

    NIPS > Sistema de prevenção de intrusão baseado em rede


ID
201469
Banca
FCC
Órgão
BAHIAGÁS
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Os sistemas de detecção de intrusão (IDS) em redes de computadores podem ser classificados em

I. Network Intrusion Detection System.

II. Protocol-Based Intrusion Detection System.

III. Host-Based Intrusion Detection System.

Está correto o que se afirma em

Alternativas
Comentários
  • Na bibliografia de referência sobre o assunto (Segurança de Redes em Ambientes Cooperativos - Nakamura) só existem três tipos de IDS levando em consideração o alvo em que eles atuam:

       - Host-Based Intrusion Detection System - HIDS (IDS baseado em host)

       - Network-Based Intrusion Detection System – NIDS (IDS baseado em rede)

       - Hybrid IDS (IDS híbrido) 

    Mas na Wikipedia, fonte bastante utilizada pela FCC como referência, existem mais outros tipos:

       - Protocol-Based Intrusion Detection System – PIDS (IDS baseado em protocolo)

       - Application protocol-based intrusion detection system - APIDS (IDS baseado em protocolo de aplicação)

    Resposta: E

    Fonte: http://en.wikipedia.org/wiki/Protocol-based_intrusion_detection_system

  • A FCC às vezes complica de graça. Por que não usar a palavra "based" também para o tipo Network?

ID
204808
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a dispositivos de segurança de redes, julgue os
próximos itens.

Os IDS e IPS embasados em detecção por assinatura podem apresentar ocorrência de falsos-positivos, sendo mais severos os efeitos nos IPS que nos IDS.

Alternativas
Comentários
  • As consequências podem ser mais graves para as redes que utilizam IPS, pois o IPS executará contramedidas baseado em alarmes falsos.

  • Lembrando que enquanto o IDS apenas detecta, o IPS além de detectar toma medidas.

  • IDS pode tomar medidas SIM!!! porém essas medidas são posteriores ao ataque e não preventivas como geração de alertas e até mesmo interrupção de fluxo



    várias questões corroboram pra isso


    Ano: 2014Banca: CESPEÓrgão: TJ-SE

    A detecção de intrusão compreende medidas proativas na proteção de sistemas computacionais.

    errada



    2014

    A detecção de intrusão abrange formas de resposta, tais como a geração de alertas e a interrupção dos fluxos de dados maliciosos.

    certa



    2011 - (CESPE – TJ-ES/2011 – Analista Judiciário – Análise de Suporte – 93)

    IDS (intrusion detection system) pode ser utilizado para incrementar o trabalho do firewall e permitir que o tráfego de dados de uma rede seja monitorado para correção imediata de problemas ou falhas

    certa





    e mais outras questões para ajudar



    http://www.itnerante.com.br/group/seguranadainformao/forum/topics/cnj-2013-ids-cespe

  • Essa relação/diferenciação entre IDS e IPS é bem polêmica.

    Já fiz várias questões sobre o assunto e, por fim, é visível que não há um consenso. Isso porque ora consideram o IDS totalmente passivo, ora é considerado com alguma capacidade de resposta.

    De qualquer forma, na maioria dos casos das questões, o IDS é visto, normalmente, como passivo, e o IPS como ativo, realizando contra-ataques e medidas de bloqueio.

    Vamos na fé.

  • Sávio,

     

    Entenda que há um hiato entre passivo e reativo. Falar que o IDS é passivo significa que ele cruza os braços mediante um evento. Em contrapartida, o que é característica mesmo do IDS é ser reativo, visto que ele emite um alerta ou solicita uma ação de outra ferramenta de segurança (ex.: firewall) ao receber um evento.

     

    Abraço!

  • Pq assinatura? Não seria baseada em comportamento não ? por anomalias

  • o falso-positivo ocorre quando um fluxo normal de dados é considerado como um ataque. No entanto, ambos

    podem apresentar falsos-positivos, sendo os efeitos mais severos no IPS que no IDS. Por que? Porque – diante de um falso- positivo - o IDS apenas gerará uma alerta na ocorrência normal, mas permitirá o tráfego de dados; já o IPS bloqueará uma ocorrência normal, impedindo o tráfego de dados (Correto).

  • GABARITO CORRETO!

    .

    .

    Um sistema de detecção de intrusão trabalha como uma câmera ou um alarme contra as intrusões, podendo realizar a detecção com base em algum tipo de conhecimento, como assinaturas de ataques, ou em desvios de comportamento.

    NAKAMURA, 2011.


ID
208924
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de ataques a redes de computadores e de incidentes de
segurança, julgue os itens de 81 a 85.

O incidente denominado DDoS deve ser tratado de maneira diferente de outros tipos de incidente de segurança, pois dificilmente um firewall ou IDS gerará log. Sua notificação de incidente deve informar o cabeçalho e o conteúdo completos da mensagem recebida pelo usuário.

Alternativas
Comentários
  • Em um ataque distribuído de negação de serviço (também conhecido como DDoS, um acrônimo em inglês para Distributed Denial of Service), um computador mestre (denominado 'Master') pode ter sob seu comando até milhares de computadores ("Zombies" - zumbis). Repare que nestes casos, as tarefas de ataque de negação de serviço são distribuídas a um 'exército' de máquinas escravizadas.
    O ataque consiste em fazer com que os Zumbis (máquinas infectadas e sob comando do Mestre) se preparem para acessar um determinado recurso em um determinado servidor em uma mesma hora de uma mesma data. Passada essa fase, na determinada hora, todos os zumbis (ligados e conectados à rede) acessarão ao mesmo recurso do mesmo servidor. Como servidores web possuem um número limitado de usuários que pode atender simultaneamente ("slots"), o grande e repentino número de requisições de acesso esgota esse número de slot, fazendo com que o servidor não seja capaz de atender a mais nenhum pedido. Dependendo do recurso atacado, o servidor pode chegar a reiniciar ou até mesmo ficar travado.
    Vírus conhecidos criados para a distribuição de rotinas de ataque de negação de serviço incluem "Codered", "Slammer", "MyDoom" e "MyPenis", "MyBalls" , que escravizam o infectado. Ferramentas conhecidas de ataques DDos incluem 'Fabi' (1998), 'Blitznet', 'Trin00' (jun/1999), 'TFN' (ago/1999), 'Stacheldraht' (set/1999), 'Shaft', 'TFN2K' (dez/1999), 'Trank'.
    Sistemas de detecção de intrusão mais modernos incluem assinaturas que permitem detectar ataques DDoS e comunicação entre o atacante, o master DDoS e o agente DDoS. É possível também aplicar filtros anti-spoofing tanto no firewall quando nos roteadores para gerar log desse tipo de ataque.

  • Como informar na notificação o cabeçalho e o conteúdo completos da mensagem recebida pelo usuário, se o IDS não foi capaz de gerar o log ?
  • A questão trata do incidente causado por phishing/scam.

    Um caso de phishing/scam deve ser tratado de forma diferente de outros tipos de incidente, pois não necessariamente haverá logs gerados por um firewall ou IDS, por exemplo.
    O phishing/scam é uma mensagem de e-mail que procura induzir o usuário a fornecer dados pessoais e financeiros. Desta forma, uma notificação de incidente deste tipo deve conter o cabeçalho e conteúdo completos da mensagem recebida pelo usuário.

    Fonte: Cartilha CERT, versão 3.1, 2006
  • Prezados,

    Primeiramente, o DDoS ( distributed denial of service ) é um tipo de ataque, e não um incidente, dai o uso do DDoS irá provocar um ou mais incidentes. Segundo, seria inviável para um ataque de DDoS, onde o ambiente é inundado por inúmeras mensagens, que a notificação seja dada com o cabeçalho e o conteúdo completo da mensagem recebida pelo usuário, portanto , questão falsa.

    Para reforçar o aprendizado, o DDoS é uma atividade maliciosa, coordenada e distribuída pela qual um conjunto de computadores e/ou dispositivos móveis é utilizado para tirar de operação um serviço, um computador ou rede conectada à internet. 


    A alternativa correta é : ERRADO.

  • Para quem já sofreu sabe que é muito pelo contrário. Em ataques de negação de serviços as ferramentas na borda são inundadas de eventos de requisição (caso de DoS em camada 4, com o mesmo valendo para o servidor de aplicação ou OS em camada 7)

  • GABARITO: ERRADO.


ID
208972
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca dos dispositivos de segurança de redes de computadores,
julgue os itens subsequentes.

IDS e IPS são sistemas que protegem a rede de intrusões, diferindo no tratamento dado quando uma intrusão é detectada. Especificamente, o IPS limita-se a gerar alertas e ativar alarmes, e o IDS executa contramedidas, como interromper o fluxo de dados referente à intrusão detectada.

Alternativas
Comentários
  • O erro está nos conceitos que estão invertidos: IDS limita-se a gerar alertas e ativar alarmes, e o IPS executa contramedidas, como interromper o fluxo de dados referente à intrusão detectada.

  • Como o colega disse, o erro do item está na inversão dos conceitos. 

     IDS - é o sistema de DETECÇÃO de intrusão, limitando-se a gerar alertas e ativar alarmes;

    IPS - é o sistema de PREVENÇÃO de intrusão, executa contramedidas.

     

  • QUESTÃO ERRADA

    IDS é como aqueles sensores em porta de loja, se você não colocar um segurança olhando, o meliante passa correndo o alarme dispara e nada acontece.

    IPS é como uma porta giratória de banco, se ele identificar algo suspeito ele trava.

  • Esses peguinhas de inverter as descrições são bem típicos do Cespe.
  • Corrigindo a questão:

    ''IDS e IPS são sistemas que protegem a rede de intrusões, diferindo no tratamento dado quando uma intrusão é detectada. Especificamente, o IDS (''detection'') limita-se a gerar alertas e ativar alarmes (emitir alertas é característica do IDS, que é reativo), e o IPS (''prevention'') executa contramedidas, como interromper o fluxo de dados referente à intrusão detectada.''

    Como comentado pelo colega, em questões de informática, redes ou segurança da informação, se o examinador trouxer conceitos em paralelo, substitua os termos e analise se as características fazem sentido. Isto porque nestas questões o mais óbvio seria a inversão dos conceitos como justificativa de gabarito.

    Erros, avisem.

  • Os conceitos de IDS e IPS foram trocados na questão tornando-a ERRADA

  • IDS e IPS são sistemas que protegem a rede de intrusões, diferindo no tratamento dado quando uma intrusão é detectada. Especificamente, o IPS limita-se a gerar alertas e ativar alarmes, e o IDS executa contramedidas, como interromper o fluxo de dados referente à intrusão detectada.

    Os conceitos foram trocados... tornando a assertiva ERRADA

  • IDS e IPS são sistemas que protegem a rede de intrusões, diferindo no tratamento dado quando uma intrusão é detectada. Especificamente, o IPS limita-se a gerar alertas e ativar alarmes, e o IDS executa contramedidas, como interromper o fluxo de dados referente à intrusão detectada.

    Os conceitos foram trocados... tornando a assertiva ERRADA

  • [1] [2] É EXATAMENTE O QUE ELE DISSE, SÓ QUE TUDO AO CONTRÁRIO.

    FONTE:

    [1] CONCURSEIRO QUASE NADA

    [2] KIKO

  • ERRADO

    Conceitos invertidos

    IDS = apenas informa os tráfegos mal intencionados (Não bloqueia)

    IPS = bloqueia os tráfegos mal intencionados

  • IDS - Intruso Detectato no Sistema. Alerta o usuário! Late mas não morde

    IPSImpede , Previne ataque no Sistema. Late e morde

    ERROUU..TROCOU OS CONCEITOSS

  • IDS e IPS são sistemas que protegem a rede de intrusões, diferindo no tratamento dado quando uma intrusão é detectada (CERTO) Especificamente, o IPS limita-se a gerar alertas e ativar alarmes, e o IDS executa contramedidas, como interromper o fluxo de dados referente à intrusão detectada. (ERRADO)

    LEIA-SE

    Especificamente, o IDS limita-se a gerar alertas e ativar alarmes, e o IPS executa contramedidas, como interromper o fluxo de dados referente à intrusão detectada.

    IPS -- PIT BULL -- ATACA/REAGE

    IDS -- DALMATA -- MANSO/NÃO REAGE

    JESUS O FILHO DO DEUS VIVO


ID
208975
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca dos dispositivos de segurança de redes de computadores,
julgue os itens subsequentes.

A ocorrência de falsos positivos normalmente acarreta consequências mais graves para as redes que utilizam IDS do que para aquelas que usam IPS.

Alternativas
Comentários
  • As consequências podem ser mais graves para as redes que utilizam IPS, pois o IPS executará contramedidas baseadas em alarmes falsos.

  • O falso positivo ocorre quando um tráfego normal é caracterizado pelo sistema como uma tentativa de intrusão. Nesse caso, o IDS - Intrusion Detection System, só irá identificar a intrusão. Ao passo que o IPS - Intrusion Prevention System - irá tomar medidas de prevenção como finalização de sessões TCP e alteração de uso de largura de banda, o que causará impacto no desempenho da rede. Portanto, o item está ERRADO, já que as consequências serão mais graves nas redes que usam IPS, do que nas redes que usam IDS.

  • Questão inteligente. aí sim.

  • Ano: 2010Banca: CESPEÓrgão: Banco da AmazôniaProva: Técnico Científico - Tecnologia da Informação

    Os IDS e IPS embasados em detecção por assinatura podem apresentar ocorrência de falsos-positivos, sendo mais severos os efeitos nos IPS que nos IDS.

    certa

  • Questão curta, mas que, apesar de não parecer à primeira vista, exige conhecimento e análise cuidadosa.

     

    Vamos na fé. 

  • IDS é como aqueles sensores em porta de loja, se você não colocar um segurança olhando, o meliante passa correndo o alarme dispara e nada acontece.

    IPS é como uma porta giratória de banco, se ele identificar algo suspeito ele trava.

    fonte : colega do QC Edluise Costa

    Deste modo, entendo que um falso positivo no IPS será mais danoso pois vai travar a rede toda (visto que ele é reativo a ataques), ao passo que um falso positivo no IDS apenas soará um alarme falso.

  • Falsos-positivos são eventos que normais que são identificados como anormais! O IDS apenas

    detectará, mas não reagirá contra esse evento normal, logo as consequências são mais brandas; já

    o IPS detectará e reagirá contra esse evento normal, logo as consequências são mais graves.

    Gabarito: Errado

  • Os IDS e IPS embasados em detecção por assinatura podem apresentar ocorrência de falsos-positivos, sendo mais severos os efeitos nos IPS que nos IDS.


ID
236044
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito da instalação de sistemas de monitoramento e detecção de intrusos, é correto dizer que:

Alternativas
Comentários
  •     os itens a) e b)  são pegadinhas ! rsrs
  • Um IDS pode ter, Falsos Positivos:
    É quando o IDS detecta intrusão (POSITIVO), porém não existia a intrusão, muitos falsos positivos desacreditam um IDS.
    Nesse caso ele emite alarmes falsos.

    Correta B
  • Gabarito B

    O IDS pode emitir alarmes falsos.

     

    Vamos na fé !

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !


ID
237004
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à prevenção de intrusão, julgue os itens subsequentes.

Em um sistema de detecção de intrusão de rede, a assinatura consiste em um padrão que é verificado no tráfego, com o objetivo de detectar certo tipo de ataque.

Alternativas
Comentários
  • Alguns ataques são reconhecidos por padrões nos bits trafegados. Estes padrões são chamados assinaturas que poderão ser comparadas ao tráfego da rede em busca de possíveis ataques.

  • uma outra chatinha sobre ids


    Ano: 2014

    Banca: CESPE

    Órgão: TJ-SE

    Prova: Analista Judiciário - Suporte Técnico em Infraestrutura

    Acerca de detecção de intrusão e de proteção contra softwares maliciosos, julgue os itens que se seguem.

    A identificação de padrões por assinatura está associada à detecção de intrusão, ao passo que a identificação por anomalias comportamentais está associada aos antivírus.

    errada


    Prova: CESPE - 2011 - MEC - Gerente de Segurança

    Disciplina: Segurança da Informação | Assuntos: Sistemas de Prevenção-Detecção de Intrusão; 

     Ver texto associado à questão

    Um IDS (intrusion detection system) é capaz de procurar e detectar padrões de ataques em pacotes trafegados em uma rede local por meio de assinaturas de ataques conhecidos.

                    Certo       Errado

             

    CERTO


  • Prezados,

    Segundo Narakura, página 281, O IDS procura por um padrão ou uma assinatura de ataque que esteja nessa base de dados. Um conjunto de assinaturas representa tipos de conexão e tráfegos, que podem indicar um ataquem em particular em progresso.

    Portanto a questão está correta.

  • Gabarito Certo

    Vantagens do IDS baseado em rede:
                - Com um bom posicionamento, pode haver apenas poucos IDS instalados para monitorar uma rede grande;
                - Um pequeno impacto é provocado na rede com a instalação desses IDS, pois são passivos, e não interferem no funcionamento da rede;
                - Difíceis de serem percebidos por atacantes e com grande segurança contra ataques; ·

    Desvantagens do IDS baseado em rede:
                - Podem falhar em reconhecer um ataque em um momento de trafego intenso;
                - Em redes mais modernas baseadas em switches, algumas das vantagens desse tipo de IDS não se aplicam;
                - Não conseguem analisar informações criptografadas, sendo um grande problema, visto que muitos atacantes utilizam criptografia em suas invasões;
                - Grande parte não pode informar se o ataque foi ou não bem sucedido, podendo apenas alertar quando o ataque foi iniciado.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Um IDS baseado em assinaturas utiliza um banco de dados com os ataques já conhecidos e compara-os com as ações, utilizando algoritmos estatísticos para reconhecer algum desses ataques. Nesse caso, é de extrema importância que o banco de dados com as assinaturas esteja sempre atualizado para garantir a segurança do ambiente. Uma assinatura é um padrão do que buscar no fluxo de dados

    GAB C


ID
237010
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à prevenção de intrusão, julgue os itens subsequentes.

Os sistemas de prevenção de intrusão embasados em rede são incompatíveis com aqueles que têm base em estação, o que impossibilita a existência de sistemas híbridos.

Alternativas
Comentários
  • A existência de um não exclui a existência de outro. Podemos ter, por exemplo, um SNORT (Programa de IPS) rodando em um servidor e, em cada estação, um Zone Alarm

  • Prezados,

    Os sistemas de prevenção à intrusão baseados em rede, HIPS ( host intrusion detection system ) são compatíveis com os baseados em rede, NIPS ( netword intrusion detection system ), as duas tecnologias são projetadas para atuar de forma complementar, e não de forma incompatível.

    http://www.ciscopress.com/articles/article.asp?p=1336425&...

    Portanto a questão está errada.
  • Errado! Existe a atuação dos dois juntos, além de existir a versão híbrida.

  • (IDS: Sistema de detecção de intrusão - IPS: Sistema de Prevenção de Instrução - IDPS: Hibrido)

    BASEADO EM MÁQUINA E REDE:

    NETWORK BASED: Monitora tráfego de rede em um segmento ou dispositivo, e analisa a rede e a atividade dos protocolos para identificar comportamentos suspeitos.

    HOST BASED: Monitora características do dispositivo/maquina/estação e os eventos que acontecem com ele.

    BASEADO EM CONHECIMENTO E COMPORTAMENTO:

    ASSINATURA (CONHECIMENTO): Se baseia em um banco de dados que reconhece a assinatura de vulnerabilidades já identificadas anteriormente.

    ANOMALIAS (COMPORTAMENTO): Analisa o comportamento do tráfego e segue uma linha padrão de atividade normal do sistema, em caso de mudanças nesse padrão, tem possibilidade de ser uma intrusão.


ID
238447
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens seguintes, no que se refere à segurança na
comunicação de dados em redes de computadores.

A detecção de intrusão pode ser realizada por meio do uso de honeypots, técnica que atrai o atacante para um ambiente não crítico, onde há informações falsas e aparentemente valiosas, encorajando-o a permanecer nesse ambiente o tempo suficiente para que os administradores possam registrar e rastrear seu comportamento.

Alternativas
Comentários
  • Foi assim que Tsutomu Shimomura pegou o Kevin Mitinick.

  • Vídeo sobre honeypots, em inglês: http://www.youtube.com/watch?v=76iHn5MH2IY
  • Além da questão estar correta, a afirmação é uma ótima definição para honeypots e suas aplicações - conveniente para que está estudando sobre o assunto.


    Bons estudos.
  • Engraçado o vídeo do indiano com a narração robotizada =)
    Mas vale a penas assistir!
  • Errei pq achei que fosse prevenção no lugar da detecção, já que estarei me prevenindo (e ao mesmo tempo detectando) um possível ataque.
  • Gabarito Certo

    HoneyPot (tradução livre para o português, Pote de Mel) é uma ferramenta que tem a função de propositalmente simular falhas de segurança de um sistema e colher informações sobre o invasor. É um espécie de armadilha para invasores. O HoneyPot não oferece nenhum tipo de proteção.

     

    Tipos:

    Honeypots de pesquisa: acumular o máximo de informações dos Invasores e suas ferramentas – Grau alto de comprometimento – Redes externas ou sem ligação com rede principal.

    Honeypots de produção: diminuir risco – Elemento de distração ou dispersão.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Prezados,

    O Honeypot é uma técnica aplicada cuja principal finalidade é conhecer o perfil do atacante. Uma máquina é deixada exposta e observada, dessa forma, o atacante e suas ações são detectadas e isso ajuda a proteger os servidores de verdade quando um deles for realmente alvo de um ataque.

    Portanto a questão está correta.
  • CERTO

    O honeypots (pote de mel) são uma forma de armadilha para invasores de redes, que os distraem por um tempo. Além de proteger o ambiente real, um honeypot permite induzir o invasor a baixar dados imaginando estar roubando dados impotantes, mas é levado a baixar vírus ou aplicativos ou facilitem o seu rastreamento.


ID
239710
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de segurança da informação, julgue os próximos itens.

O modo de análise de tráfego realizada por um sistema de detecção de intrusão (IDS) do tipo detecção de comportamento (behaviour detection) fundamenta-se na busca por padrões específicos de tráfego externo que seja embasado em assinatura.

Alternativas
Comentários
  • Existem duas técnicas de detecção de intrusão:

     - baseado em assinatura: o tráfego da rede é analisado de acordo com padrões de ataques, conhecidos como assinaturas;

     - baseado em anomalias ou detecção de comportamento: é estabelecido um padrão normal de comportamento para o tráfego de rede e quando for detectado uma atividade diferente deste padrão, um alarme é disparado.

  • Consoante Nakamura(Segurança de Redes em ambientes coorporativos) existem duas metodologias de detecção, a saber: 

    -Knowledge based instruction detection - detecções realizadas com fundamentos em base de dados c informações sobre ataques conhecidos.Procura por padrão ou assinatura;

    -Behavior-based instrusion detection - identifica desvios de comportamento dos user ou dos sistemas,independente de S.O. ou plataforma.Faz análise de protocolos ,suscetível a técnicas de inserção e evasão.

    O item está errado, pois se refere a metodologia Knowledge based instruction detection.

  • Os IDS's podem ser classificados segundo inúmeras características:
    No caso da questão se refere pelo Método de Detecção, que no caso temos:
    -Pelo Método de Detecção

    *Detecção por assinaturas (Signature Detection)
    Analisa a atividade do sistema à procura de padrões de ataques conhecidos, chamado assinaturas. 

    *Detecção por comportamento (Behavior Detection)
    Também conhecido como IDS baseado em anomalias, sua intenção é definir o comportamento normal de um sistema e desvios abrutos a essa normalidade. Sistemas desse tipo normalmente requer que passe por um tempo um período de aprendizagem em que o comportamento normal é aprendido atra'ves de IA(inteligência artificial) ou modelação estatística. A grande vantagem desse método é que permite, teoricamente, detectar ataques desconhecidos. A grande desvatagem é a dificuldade de definir modelos robustos de bom comportamento e acuidade ao ajustar o grau de sensibilidade do sistema.

    -Pela Fonte de Eventos
    -Pela rapidez de detecção
    -Pela reatividade
    -Pela distributividade

    .: Portanto a questão é ERRADO, pois esta se referindo a detecção por assinaturas (Signature Based)
  • assinatura - baixo falso positivo , mas pode torna-se obsoleto, detectando apenas ataques conhecidos

    anomalias / comportamento - alto numero de falsos positivos, detecta ataques desconhecidos

  • Ano: 2014

    Banca: FCC

    Órgão: TJ-AP

    Prova: Analista Judiciário - Área Apoio Especializado - Tecnologia da Informação

    Resolvi errado

    Suponha que área de TI do Tribunal de Justiça do Amapá tenha identificado uma série de ocorrências indesejadas de redução de desempenho da rede de computadores e servidores de dados e aplicação, em razão de ações maliciosas de software ou de pessoas. Essas aparentes ações maliciosas não são destinadas a nenhum servidor ou sistema de software específico. A equipe de TI quer capturar os infratores durante a ação, antes de realmente danificarem seus recursos. Para isso precisa implantar um

    a

    Proxy

    b

    Antivírus.

    c

    Firewall.

    d

    IDS - Intrusion Detection System.

    letra D



    1 [66] Em IDS baseado em assinaturas, é necessário ajuste destas visando à redução de falsos-positivos.

    certo



    Prova: CESPE - 2010 - ABIN - AGENTE TÉCNICO DE INTELIGÊNCIA - ÁREA DE TECNOLOGIA DA INFORMAÇÃO

    Disciplina: Redes de Computadores | Assuntos: Segurança de Redes; 

     Ver texto associado à questão

    Em um sistema de detecção de intrusão de rede, a assinatura consiste em um padrão que é verificado no tráfego, com o objetivo de detectar certo tipo de ataque.

                  Certo       Errado

               

    CERTO


    Prova: CESPE - 2011 - MEC - Gerente de Segurança

    Disciplina: Segurança da Informação | Assuntos: Sistemas de Prevenção-Detecção de Intrusão; 

     Ver texto associado à questão

    Um IDS (intrusion detection system) é capaz de procurar e detectar padrões de ataques em pacotes trafegados em uma rede local por meio de assinaturas de ataques conhecidos.

                    Certo       Errado

             

    CERTO



    Prova: CESPE - 2010 - MPU - Técnico de Informática

    Disciplina: Segurança da Informação | Assuntos: Sistemas de Prevenção-Detecção de Intrusão; 

     Ver texto associado à questão

    Considere que essa empresa tenha adotado um sistema de detecção de intrusos embasado em anomalias. Nessa situação, o sistema adotado cria um perfil de tráfego a partir da operação normal do sistema sem depender de conhecimentos prévios de ataques já registrados.

                  Certo       Errado

    CORRETO


  • Um sistema de detecção de intrusão (IDS) baseado em assinatura, também chamado IDS por uso incorreto, utiliza descrições de ataques previamente conhecidos (assinaturas) para identificar a ocorrência de ataques.

  • AssiNatura =CoNhecimento

    AnoMalia = CoMportamento

    Errado.

    A questão misturou um com o outro.

  • Prezados,

    Um IDS pode funcionar de 2 formas , ou na detecção por assinaturas ou na detecção por comportamento. Na detecção por assinaturas é que o IDS busca por padrões específicos de tráfego exerno que seja embasado em assinatura.

    Portanto a questão está errada.

  • Corrigindo a questão:

    ''O modo de análise de tráfego realizada por um sistema de detecção de intrusão (IDS) do tipo detecção por assinatura fundamenta-se na busca por padrões específicos de tráfego externo que seja embasado em assinatura.''

    IDS trabalha sob duas técnicas distintas:

    a) detecção por assinatura - utiliza assinaturas de ataques previamente conhecidos (padrões) para identificar a ocorrência de novos ataques.

    b) detecção por anomalia - um padrão normal de comportamento é definido para uma rede; qualquer desvio gerará um alerta.

    Erros, avisem no privado.

  • COMPORTAMENTO != ASSINATURA


ID
242887
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Considere que a equipe de suporte técnico de determinada empresa
necessite fazer escolhas, configurações e procedimentos
concernentes a segurança da informação da rede de computadores
dessa empresa. Nessa situação, julgue os itens seguintes.

Considere que essa empresa tenha adotado um sistema de detecção de intrusos embasado em anomalias. Nessa situação, o sistema adotado cria um perfil de tráfego a partir da operação normal do sistema sem depender de conhecimentos prévios de ataques já registrados.

Alternativas
Comentários
  • CORRETO. Um IDS pode operar baseado em comportamento ou baseado em assinatura. No primeiro caso, já foi explicado na questão. No segundo caso o IDS compara os dados trafegados com as suas assinaturas internas (padrões de tráfego) que indicam possíveis ataques. Caso aja um casamento entre os padrões observados e os padrões conhecidos, o IDS entra em ação.

  • CORRETO
    Os IDS's podem ser classificados segundo inúmeras características:
    No caso da questão se refere pelo Método de Detecção, que no caso temos:
    -Pelo Método de Detecção

    *Detecção por assinaturas (Signature Detection)
     Analisa a atividade do sistema à procura de padrões de ataques conhecidos, chamado assinaturas. 

    *Detecção por comportamento (Behavior Detection)
     Também conhecido como IDS baseado em anomalias, sua intenção é definir ocomportamento normal de um sistema e desvios abrutos a essa normalidade. Sistemas desse tipo normalmente requer que passe por um tempo um período de aprendizagem em que o comportamento normal é aprendido atra'ves de IA(inteligência artificial) ou modelação estatística. A grande vantagem desse método é que permite, teoricamente, detectar ataques desconhecidos. A grande desvatagem é a dificuldade de definir modelos robustos de bom comportamento e acuidade ao ajustar o grau de sensibilidade do sistema.


    -Pela Fonte de Eventos
    -Pela rapidez de detecção
    -Pela reatividade
    -Pela distributividade
  • Correto

    dae o fato de gerar um excessivo número de falsos positivos


  • CERTO CONFORME KUROSE.

    Segundo Kurose(2010, p.543, 5° parágrafo), "Um IDS baseado em anomalias cria um perfil de tráfego enquanto observa o tráfego em operação normal."
    Segundo Kurose(2010, p.543, 5° parágrafo), 
    "O mais interessante sobre sistemas IDS baseados em anomalias é que eles não recorrem a conhecimentos prévios de outros ataques."


    KUROSE, J. F.; ROSS, K. W. Redes de Computadores e a Internet: Uma Abordagem Top-Down. 5. ed. São Paulo: Pearson, 2010

  • Meu Deus, as vezes eu vejo cada explicação complicada,  ajudem a vida dos que não entendem linguagem pesada, por exemplo.

    "Para fazer a detecção através de anomalias, o sistema reúne informações da atividade da rede e forma uma base de dados. A partir daí o sistema faz comparações das ocorrências da rede com essa base de dados e alerta sobre atividades que estão fora do que de costume, ou de normal acontece na rede."

     

  • "sem depender de conhecimentos prévios de ataques já registrados"

    para mim, a chave da questão foi essa frase! justamente pq ela transmite a ideia de Knowledge-Based Intrusion Detection (baseada em uma base de dados de assinaturas). este, possui funcionamento semelhante ao de um antivírus, no qual o IDS procura por um padrão ou uma assinatura de ataque que esteja nessa base de dados.

    portanto, questão correta!

  • Gabarito: CORRETO

    Para resolver a questão vamos definir o que é um IDS e explicar seu funcionamento.

    IDS (Intrusion Detection System - Sistema de detecção de intrusos) é um recurso de segurança da informação utilizado para identificar eventos maliciosos que podem prejudicar a rede ou os seus computadores e assim tomar ações no sentido de inibir tais ameaças. Podem ser de dois tipos:

    1) Baseados em estação: chamado de Host-based Intrusion Detection Systems. É focado na atividade do próprio computador onde é instalado.

    2) Baseados em rede: chamado de Network-based Intrusion Detection System. Se concentra na análise de trafego de dados pela rede protegida (é o mais utilizado).

    -------------------------------------------------------------------------

    E como o IDS sabe o que/quem é um intruso? Para isso ele trabalha com dois métodos de detecção.

    1) Por assinatura (não foi cobrado nesta questão): Assinaturas são padrões pré-definidos de ataques ou atividades maliciosas. Assim o IDS procura por eventos que se encaixam nestes padrões e, os identificando, toma a devida providência para proteger a rede ou computador. Sua maior desvantagem é que só protege de eventos previamente conhecidos (por isto existe o método abaixo que supre esse ponto fraco) e assim precisa de constante atualização contra novos tipos de ataques (similar a um antivirús).

    2) Por anomalias (que foi cobrado nesta questão): aqui o principio básico é: ameaças e ataques são atividades fora da rotina normal (incomuns) dos sistemas. Assim, é definido um padrão de comportamento do usuário e qualquer atividade fora desse padrão é considerada uma anomalia e, portanto, uma ameaça. Logicamente que essa sistemática é um pouco mais complexa do que o explicado acima (há algoritmos, métricas, etc.) mas já é suficiente para resolvermos a questão. A maior desvantagem deste tipo de método de detecção são os falsos-positivos (alarmes sobre eventos que não são ameaças verdadeiras) devido a imprevisibilidade do comportamento dos usuários e sistemas.

    Agora ficou fácil resolver a questão, não é mesmo? Quando o IDS usa o método de detecção por anomalia não há a necessidade de conhecer os ataques que a rede ou computador pode sofrer já que define-se o que é não considerado ameaça (uso normal dos sistemas) e o restante (que está fora do padrão estabelecido) é tratado como ataque/ameaça. Ter conhecimentos prévios de ataques já registrados está ligado ao método de detecção por assinatura.

    Fonte: TecConcursos

  • Detecção por anomalia> NÃO procura padrões a partir de ataques prévios

    Detecção por assinatura>> Procura padrões a partir de ataques prévios (por isso não garante a detecção de novos vírus.)


ID
249544
Banca
CESPE / CEBRASPE
Órgão
DETRAN-ES
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere à segurança em redes de computadores, julgue os
itens a seguir.

As ferramentas de IDS (sistemas de detecção de intrusão) atuam de forma mais proativa que as ferramentas de IPS (sistemas de prevenção de intrusão).

Alternativas
Comentários
  • Detectar é reativo e não proativo. Errado.

     

  • Sem maiores delongas, a definição é exatamente o contrário do que diz a questão.
  • IDS é como aqueles sensores em porta de loja, se você não colocar um segurança olhando, o meliante passa correndo o alarme dispara e nada acontece.

    IPS é como uma porta giratória de banco, se ele identificar algo suspeito ele trava.

    Logo o IPS é mais proativo.

    GAB: ERRADO

  • Nunca! Vejamos:

    IPS efetuam bloqueios e outras atividades, enquanto IDS apenas emitem uma notificação.

  • Gabarito: ERRADO

    A diferença básica entre um Intrusion Detection System (IDS) para um Intrusion Prevention System (IPS) é que os sistemas de prevenção são ativos, enquanto os sistemas de detecção são passivos. Enquanto o IDS informa sobre um potencial ataque, o IPS promove tentativas de parar o ataque. Um outro grande avanço sobre o IDS é que o IPS tem a capacidade de prevenir invasões com “assinaturas” conhecidas, mas também pode impedir alguns ataques não conhecidos, devido a sua base de dados de “comportamentos” de ataques genéricos. Visto como uma combinação de IDS e de uma “camada de aplicação Firewall” para proteção, o IPS geralmente é considerado a geração seguinte do IDS.



    Fonte: ESTRATÉGIA CONCURSOS

  • Gabarito: E

    Aqui vai uma dica 'macete'.

    reativo e proativo --> o P é de IPS

    isso me ajudou bastante na memorização.

  • (E)

    Conceitos invertidos. Fazendo a reescritura:

    As ferramentas de  IPS (sistemas de prevenção de intrusão) atuam de forma mais proativa que as ferramentas IDS (sistemas de detecção de intrusão)(C)

    Outra questão sobre o mesmo tema que ajuda a responder:

    Os sistemas IDS (intrusion detection system) e IPS (intrusion prevention system) utilizam metodologias similares na identificação de ataques, visto que ambos analisam o tráfego de rede em busca de assinaturas ou de conjunto de regras que possibilitem a identificação dos ataques.(C)

  • IDS

    Em português, Sistema de Detecção de Intrusão – trata-se de um dispositivo

    passivo que monitora a rede, detecta e alerta quando observa tráfegos

    potencialmente mal-intencionados, mas não os bloqueia.

    IPS

    (INTRUSION PREVENTION SYTEM)

    Em português, Sistema de Prevenção de Intrusão – trata-se de um dispositivo

    reativo ou proativo que monitora a rede, detecta e bloqueia quando observa

    tráfegos potencialmente mal intencionados.


ID
252199
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação aos ataques e aos dispositivos de segurança,
julgue os itens subsequentes.

IDS e IPS detectam intrusões com alta precisão, porém diferem pelo fato de o segundo atuar bloqueando o tráfego, quando algum evento relevante é detectado.

Alternativas
Comentários
  • Questão esquisita, tanto IDS quanto IPS detectam intrusão, sendo o IPS ativo ao contrario do IDS, no meu conceito a questao deveria ser marcada como correta.
  • A questão afirma que a diferença do IPS para o IDS é que o IPS bloqueia tráfegos. Não é essa a única diferença. A ação tomada pelo IPS pode ser outra: alteração de regras de firewall, alteração de regras do QoS, mudança de rotas, etc...

    Por ser restritiva, a questão está ERRADA
  • Concordo com o Marques. Será que esse já é o gabarito definitivo?
  • Eu marquei essa questão como errada, pois para mim IDS e IPS não tem alta precisão (eles tem boa precisão). O que falar do problema do alto número de falso-postiivos qnd utilizado o método de behavior-detection. Essa foi minha linha de raciocínio. 

    Bons estudos a todos!!
  • Com certeza marcaria essa questão como certa, afinal o que define a precisão ou não (tanto de um IDS quanto IPS) é a configurção do  mesmo.
  • O IDS é uma ferramenta passiva, que somente monitora o tráfego e alerta o adm no caso de intrusão. Alguns IDS são reativos, ou seja, se algo de errado for detectado ele encerra a sessão (bloqueia o tráfego). Já o IPS é ativo e possui um conjunto de regras que serão usadas quando uma intrusão ocorrer.
  • O erro está ao afirmar que apenas o segundo é capaz de bloquear o tráfego.
    O IDS no modo passivo apenas gera logs. Mas no modo reativo, é capaz de finalizar sessões de usuário ou reconfigurar o firewall, bloqueando o tráfego também.

    Fonte: http://www.npd.ufes.br/node/87
  • O erro não seria que o IDS DETECTA e o IPS Previne? Assim os dois não detectam... já que um deles teroricamente nem deixa que a intrusão ocorra. Eu segui essa linha de raciocinio.
  • Os sistemas IDS e IPS não são altamente eficazes, tampouco altamente precisos, por causa da existência de falsos positivos e falsos negativos.
  • Na prática, basta ver a quantidade de falsos positivos geradas por esses dois tipos de sistema: se fossem de alta precisão não haveria tantos e  seriam muito mais automatizados. Obviamente, esses sistemas melhoram a cada dia, implementando funções como correlação de eventos mais confiáveis, mas ainda longe de serem altamente precisas. Exemplo disso é a evolução dos módulos de segurança e gerência de redes do IBM Tivoli. 
  • O erro realmente deve estar quando a acertiva afirmar que a diferença está no fato de o IPS bloquear o trafego e o IDS não. Essa não é a diferença, conforme já foi mencionado acima. O IDS em modo reativo pode/vai trabalhar em conjunto com um firewall, bloquando trafego. A questão é que o IDS REAJE ao ataque, enquanto que o IPS pode bloquear de imediato, sendo, portanto, ATIVO e não REATIVO.
  • acho que o erro está em dizer que o ips bloqueia quando detecta algum evento relevante. neste caso ele estaria sendo reativo, quando na verdade ele é proativo, age antes do ataque. e outro detalhe, eu notei que o cespe considera o IDS somente passivo, ou seja, capaz de notificar e agir pós ataque

  • IPS não detecta somente o que é relevante não, é uma das desvantagens dele o que resolve a questão, ele bloqueia qualquer coisa que aparecer no farol.


    Há tecnologias no mercado que trabalham com IPS de forma diferenciada do que a questão afirma.

  • GABARITO ERRADO!

    .

    .

    Um IDS (Sistema de Detecção de Intrusão) pode ser dividido em:

    - Baseado em assinatura: onde existe uma lista com assinaturas de alguns vírus e esta assinatura precisa estar pré-configurada no host para que seja detectada um ataque. (ESSE AQUI É UMA DESVANTAGEM EM RELAÇÃO AO BASEADO EM ANOMALIAS).

    - Baseado em anomalias: onde é feito um perfil de um host com um comportamento padrão para aquele host. Assim se no monitoramento for detectado um comportamento anormal será gerado um alerta.

  •  "Um dispositivo que gera alertas quando observa tráfegos potencialmente mal-intencionados é chamado de sistema de detecção de invasão (IDS, do inglês intrusion detection system). Um dispositivo que filtra o tráfego suspeito é chamado de sistema de prevenção de invasão (IPS, do inglês intrusion prevention system)." Kurose, Redes de computadores, ED6, p. 544.

    vai entender essa cespe... ¯\_(ツ)_/¯

  • Baita questão subjetiva.

  • O erro é que o IPS é PROATIVO, por tratar comportamento, acaba gerando muitos falsos positivos, logo ele não tem uma alta precisão.

  • Como a maioria dos IPS utilizam o método baseado em comportamento, isso implica em uma taxa mais elevada de falso positivos e negativos, o que contraria a afirmação de alta precisão.

    Fonte: Estratégia Concursos.


ID
311974
Banca
CESPE / CEBRASPE
Órgão
TJ-ES
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a procedimentos de segurança da informação, julgue
os itens subsequentes.

IDS (intrusion detection system) pode ser utilizado para incrementar o trabalho do firewall e permitir que o tráfego de dados de uma rede seja monitorado para correção imediata de problemas ou falhas.

Alternativas
Comentários
  • Concordo com o colega: quando se fala em correção imediata está se referindo ao conceito de IPS.
  • Absurdo isso!! Correção imediata? Isso é característica do IPS, o IDS emite alertas.
  • Eu entendi essa questão de maneira diferente dos colegas:

    IPS - Sistema de Prevenção de Intrusos - tem o objetivo de PREVENÇÃO (evitar), não de CORRIGIR os problemas causados por um ataque.
    IDS - Sistema de Detecção de Intrusos - tem o objetivo de DETECTAR se um ataque está ocorrendo ou já ocorreu. Dependendo da rapidez com que os administradores de rede tomam conhecimento do ataque (em andamento ou já finalizado), a correção poderá ocorrer (imediata ou não) .

    Portanto, a alternativa está CORRETA.

    Bons estudos!
  • Não concordo com gabarito dessa questão, pois se o tráfego de rede é analisado então teríamos um NIDS (Network Intrusion Detection System).

    O termo IDS é mais abrangente.
  • No meu entender, esta assertiva tem dois erros:

    IDS (intrusion detection system) pode ser utilizado para incrementar o trabalho do firewall e permitir que o tráfego de dados de uma rede seja monitorado para correção imediata de problemas ou falhas.

    O IDS não faz aumentar o trabalho do Firewall. O Firewall tem seu próprio trabalho, grande ou pequeno, de acordo com suas regras.
    O papel do IDS é ser uma ferramenta para analisar o tráfego justamente nas conexões que o Firewall deixa passar. Se o sentido do verbo incrementar for melhorar ou desenvolver, penso que a sentença está mau redigida e ambígua.

    E como já foi dito acima, em outras questões similares, os CESPE considera que é o IPS quem provê monitoramento ATIVO, que providencia ações preemptivas e corretivas assim que um problema é detectado.

    O gabarito da questão aqui está errado.
  • Galera,

    o que muita gente não vê é que IPS é uma classe de IDS. Então podemos dizer que os IDS (não todos) podem fazer inspeção ativa.

    att,
  • Está certo quem diz que o IDS faz o monitoramento, identificando ataques e intrusão, sendo o IPS aquele que pode bloquear ataques ou como diz a questão "faz correção imediata de problemas ou falhas." Lembrando que o IPS também pode operar passivamente, não bloqueando pacotes mas o IDS não pode interromper um ataque. Entretanto A CESPE considera que ambos podem atuar ativamente em resposta a um ataque.
  • Ok Fernando. Entendi o seu argumento, mas se ela classifica assim está errado. Pelo menos em todas as fontes que li, IPS e IDS realizam funções diferentes. E mesmo que outro colega tenha dito que IPS é um sub-classe de IDS, e a meu ver é, a afirmação dele tbm está errada.
    Todo IPS é um IDS, mas nem todo IDS é um IPS, logo nem todo IDS é capaz de atuar ativamente, reprogramando o FW por exemplo, e é justamente isso que torna a questão falsa. Se fosse dito colocado um IPS no lugar do IDS estaria verdadeiro.
    .......
    ...

    Galera, antes de enviar a questão resolvi refletir mais um pouco sobre o assunto, e acho que a "pegadinha" esta na palavra PODE. Realmente um IDS pode fazer tudo isso, mas na minha opinião é muita sacagem formular algo assim.
    Resolvi deixar minha justificativa anterior pq acho que ainda vale como argumento, mas esse PODE aí é uma baita sacanagem. Típico de CESPE.
  • Uma grande polêmica é gerada com relação a este assunto: se o IDS pode ou não ser ativo.
    A resposta, depois de ler o Stallings, é SIM.

    O IDS pode ser passivo (apenas detectar possíveis desvios/intrusões na rede ou no host) ou ativo (além de detectar tomar atitudes que foram pré-configuradas pela adm de segurança).

    O IPS tem a característica principal de ser ATIVO (tomar atitudes sobre possíveis intrusões).

    Rodrigo Gomes
  • "IDS (intrusion detection system) pode ser utilizado para incrementar o trabalho do firewall e permitir que o tráfego de dados de uma rede seja monitorado para correção imediata de problemas ou falhas."

    Essa correção é feita usando o firewall e não o IDS, cuidado com a interpretação.

    CERTO
  • Segue a relação entre firewall e IDS só para complementar. A imagem não é do autor Nakamura, contudo coloquei ela pois é semelhante à imagem do livro deste autor. 

    Segundo Nakamura (2010, p. 266), "A relação entre o IDS e o firewall pode ser vista na figura 8.2" (figura abaixo)
    Segundo Nakamura (2010, p.267),"O firewall libera conexões e o IDS detecta, notifica e responde a tráfegos suspeitos"




    Bibliografia:
    1)Segurança de redes em ambientes cooperativos
    Autor: Nakamura
    2) http://www.metropoledigital.ufrn.br/aulas_avancado/web/disciplinas/seg_redes/aula_09.html     (Fonte da figura)
  • Os IDS podem ser definidos como sistemas de software/hardware que automatizam o processo de monitoramento de eventos os quais ocorrem em sistemas computacionais, analisando-os com base em assinaturas criadas a partir de problemas de segurança (intrusões). Esse mecanismo de segurança serve basicamente para trazer informações sobre a rede, como, por exemplo, quantas tentativas de ataques (intrusão) foram recebidas por dia e qual tipo de ataque foi usado. É um complemento do firewall, pois analisa os serviços permitidos. Ferramenta passiva.
     
    IDS Passivo: Apenas gera alarmes
    IDS Ativos: Tomam contramedidas DEPOIS que a invasão acontece

    Conclusão
    O IDS pode ser um complemento ao Firewall e pode tomar contramendidas DEPOIS de uma invasão (IDS ativo).
    Alternativa: Certa
  • Esta questão está grotescamente ERRADA. O Cespe pisou feio. A Cisco que criou estes conceitos, e para eles um IDS opera em "promiscuos mode", ou seja, numa cópia do fluxo de dados. Isto permite que ele não atrapalhe o desempenho da rede, mas o impede de emitir um alarme a tempo de bloquear um ataque em tempo real. É o IPS que opera no "inline mode", ou seja, no fluxo de dados real, podendo "alarmar" a tempo do firewall ou roteador bloquear o ataque. Se alguém disser que tem um determinado tipo de IDS, citado por "tal autor nacional", que IDS bloqueia mesmo, ele (o autor) caiu no marketing de algum vendedor, pois é mau uso do termo IDS. Azar nosso não haver uma bibliografia consolidada.

    Será que ninguém entrou com recurso?

    referência: http://www.ciscopress.com/articles/article.asp?p=1336425

  • Um professor uma vez me disse que essa questão estaria CERTA pois IMEDIATA == SEGUINTE

     

    e de fato, o IDS toma ações posteriores ao ataque.

     

     

    de qualquer forma, marcar certo nessa questão tem que ter BALLS

     

     

     

     

    2014

    A detecção de intrusão abrange formas de resposta, tais como a geração de alertas e a interrupção dos fluxos de dados maliciosos.

    certa

     

    Ano: 2014Banca: CESPEÓrgão: TJ-SE

    A detecção de intrusão compreende medidas proativas na proteção de sistemas computacionais.

    errada

     

    2013 - CNJ

    Ferramentas de IDS (intrusion detect system) são capazes de detectar anomalias no tráfego de rede, gerar logs e reações, como regras de bloqueio do tráfego considerado anormal.

    errada

  • Minha interpretação foi a que não é o IDS que age para correção imediata, ele só monitora o tráfego, permitindo uma eventual correção imediata

  • "E permitir que o tráfego de dados de uma rede seja monitorado para correção imediata de problemas ou falhas."

    Quem vai permitir?

    O Firewall

    A pegadinha da questão é interpretar que o complemento acima se refere ao firewall e não ao IDS!

    Observe agora:

    IDS (intrusion detection system) pode ser utilizado para incrementar o trabalho do firewall e permitir que o tráfego de dados de uma rede seja monitorado para correção imediata de problemas ou falhas.


ID
314593
Banca
FCC
Órgão
TRT - 1ª REGIÃO (RJ)
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação a ferramentas e protocolos de segurança, é INCORRETO afirmar:

Alternativas
Comentários
  • Questão "E" é a resposta incorreta.

    IPSec é um protocolo que opera sob a camada de rede (ou camada 3) do modelo OSI.

    Outros protocolos de segurança da internet como SSL e TLS é que operam desde a camada de transporte (camada 4) até a camada de aplicação (camada 7).
  • O IPSEC é um protocolo que opera somente na camada de rede, diferentemente de outros protocolos como o SSL e TLS. Eles operam desde a camade de transporte até a de aplicação.

ID
320368
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a sistemas de proteção IDS, IPS e VLANs, assinale a opção correta.

Alternativas
Comentários
  • Os Intrusion Detection Systems (IDS) fazem o monitoramento de redes baseado em padrões previamente estabelecidos pelo administrador. Caso achem alguma anomalia, um aviso (trigger) é disparado para o administrador tomar alguma ação.

    Já os Intrusion Prevention Systems (IPS), estes são mais "inteligentes" que os IDS devido ao fato de tomarem ações baseado em análise heurísticas do tráfego de rede. Ou seja, eles não precisam de uma intervenção humana para que seja tomada uma ação efetiva.

    Gabarito: A

  • D) tu pode matar, mas não pode algemar.

  • ids - chihuahua

    ips - pitbull


ID
328669
Banca
FUNIVERSA
Órgão
SEPLAG-DF
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Um IPS (Intrusion Prevention System), de forma geral, é um equipamento auxiliar no gerenciamento e segurança da rede, instalado em determinado ponto de passagem de tráfego de uma rede de computadores. Assinale a alternativa que apresenta apenas funções que podem ser realizadas por um IPS.

Alternativas
Comentários
  • sistema de prevenção de intrusões, do inglês Intrusion prevention system (IPS), evoluíram no final dos anos 1990 para resolver as ambiguidades no monitoramento de rede passivo, ao colocar a detecção em linha. A princípio, o IPS era apenas um sistema de detecção de intrusos (IDS) que possibilitava alguma interação com o firewall para controlar o acesso. Em pouco tempo foi necessário desenvolver algo mais robusto, pois apenas comandar o firewall não bastava: ainda era possível que ao menos aquele pacote malicioso trafegasse na rede. A solução era implementar formas inteligentes de bloqueio dentro do IPS.

    Visto como uma extensão do firewall, o IPS possibilita decisões de acesso baseadas no conteúdo da aplicação - e não apenas no endereço IP ou em portas, como os firewalls tradicionais trabalham. Entretanto, nada impede que, para otimizar a performance, muitos IPS utilizem regras baseadas em portas e endereço IP.

    O IPS também pode servir secundariamente como um serviço de nível de host, prevenindo atividades potencialmente maliciosas. Existem vantagens e desvantagens, tanto no IPS baseado em host como no IPS baseado em rede. Em alguns casos, as tecnologias podem ser complementares. Porém, não se pode esquecer que grande parte da tecnologia de IPS de rede evoluiu e, hoje, pode tranquilamente exercer também as funções de host.

    A vantagem de um sistema de prevenção de intrusos está em ser um excelente detector de tráfego malicioso com uma média de falso positivo e falso negativa baixa.


ID
332815
Banca
CESPE / CEBRASPE
Órgão
Correios
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens seguintes, referentes a ferramentas de proteção de estações de trabalho e servidores.

Uma ferramenta de trabalho como o HIDS (host intrusion detection system) tem capacidade de capturar todo o tráfego de uma rede, o que permite a análise de possíveis ataques a essa rede.

Alternativas
Comentários
  • Sistemas de detecção de intrusos são divididos em HOST (HIDS - Host Intrusion Detection System -> "Sistema de Detecção de Intrusão em uma Máquina-PC") e REDE (NIDS - Network Intrusion Detection System -> Sistema de Detecção de Intrusão em uma Rede).

    Um Sistema de detecção de intrusos por host (HIDS) monitora o comportamento do sistema em umá máquina, o HIDS pode detectar se um software está tentando fazer alguma atividade que não faz parte de seu funcionamento, ele consegue verificar o estado do sistema operacional, informações armazenadas, memória RAM, e certificar se os índices estão normais, podemos considerar o HIDS como um agente que monitora tudo que seja interno.


    Já um Sistema de detecção de intrusos da rede (NIDS) é um sistema que trabalha detectando atividades maliciosas na rede, como ataques baseados em serviço, port scans ou até monitoramento do tráfego da rede. O NIDS faz isto lendo todos os pacotes que entram na rede e tenta encontrar alguns testes padrões.

    Ou seja, a questão estaria certa se estivesse falando de NIDS...


    Fonte: http://www.vivaolinux.com.br/artigo/Deteccao-de-intrusos-%28IDS%29-conceitos-e-implantacao-do-SNORT
  • Só para complementar o excelente comentário do colega.

    Uma das grandes desvantagens do HIDS é o problema de Escabilidade.

  • Desvantagens

    escalabilidade - gerenciar e configurar todos os hosts

    não possuem portabilidade entre S.O(NAKAMURA)

    não é boa para modo reativo

    diminui o desempenho do HOST

    consome mais espaço

    não detecta scanning de rede ou Smurf

  • GABARITO:E

     

     

    Uma ferramenta de trabalho como o NIDS (NETWORK intrusion detection system) tem capacidade de capturar todo o tráfego de uma rede, o que permite a análise de possíveis ataques a essa rede.
     

  • Gabarito Errado

    Enquanto sistemas NIDS monitoram redes inteiras, os sistemas HIDS monitoram apenas um único host na rede.

     

    Porém, ao invés de monitorar pacotes de rede, o software também irá monitorar que processo acessa qual recurso, quais arquivos são alterados,

    verificar as informações da RAM e logs, garantir que as informações destes não foram alterados.

     

    Os HIDS operam sobre informações provindas de computadores individuais. HIDS observam as atividades e os acessos referentes a servidores chave nos quais foram instalados.

    Analisam as atividades determinando quais processos e usuários estão envolvidos em um tipo particular de ataque.

     

    Podem então ver as conseqüências de uma tentativa de ataque, podendo acessar e monitorar os arquivos e processos que normalmente são alvos de ataque.

     

    HIDS é valioso para detectar não só intrusão externa como também acessos por usuários internos com aparente confiança.

    Eles procuram por atividades suspeitas tais como falhas de login, mudanças nas autorizações dos sistemas e acessos a arquivos não autorizados.

     

    Agem  nas máquinas que devem proteger. Os sistemas HIDS parecem ser o ponto de ligação entre firewalls e NIDS.

     

    O HIDS pode funcionar com um banco de dados contendo checksums dos arquivos presentes no sistema de arquivos para que ele saiba quando um determinado arquivo foi

     alterado ou mesmo quais objetos devem ser monitorados.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • ERRADO

    NIDS--> Network( analisa o trafego de uma Rede )

    HiDS--> Host ( analisa o trafego de um único host/máquina)


ID
370723
Banca
FCC
Órgão
TCE-GO
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

A atuação integrada de equipamentos, tais como, firewalls, switches e roteadores aumentam a segurança da rede, diminuindo os riscos, por meio de utilização de po- líticas, regras, geração de logs, etc. Entretanto, esse nível pode ser melhor ainda quando ferramentas como IDS (Intrusion Detection System) e IPS (Intrusion Prevention System) são utilizadas. Nesse contexto, considere:

I. O IPS é um sistema de prevenção e proteção contra as intrusões e não apenas de reconhecimento e sinalização das intrusões, como a maior parte dos IDS.

II. O HIDS é um tipo de IDS instalado para alertar sobre ataques ocorridos aos ativos da rede, por meio do monitoramento das conexões de entrada para tentar determinar se alguma destas conexões pode ser uma ameaça.

III. Nas análises do tráfego da rede, o IDS tem como função verificar os padrões do sistema operacional e de rede, tais como, erros de logins, excesso de conexões e volume de dados trafegando no segmento de rede e ataques a serviços de rede.

Está correto o que se afirma APENAS em

Alternativas
Comentários
  • Acredito que a III esteja errada. Pois no meu entendimento o IDS pode ser HDIS (host) ou NIDS(Network)... um analisa uma maquina especifica e o outro verifica a rede. Assim, como diz no início da afirmativa III, "na análise da rede", logo seria um NIDS, e o NIDS não verifica os padrões de um sistema operacional. Alguém pode comentar isso!!!???

  • Thiago, acho que a análise é diferente. Na III, ele quer dizer: "no caso de analisar o tráfego da rede, o IDS...". Ou seja, a questão não está dizendo que o IDS analisa apenas a rede.


    Quanto ao item II, fiquei na dúvida. O HIDS analisa somente o host, mas não é isso mesmo que a II fala? Ou será que está dizendo como se uma aplicação na rede analisa host a host?

  • Tiago 

    Sua justificativa não invalida a questão ....

    O examinador falou do gênero (IDS), portanto abre o conceito para ser quaisquer uma das espécies (NIDS ou HIDS)

    []'s
  • Host-Based Intrusion Detection System (HIDS): Este tipo de IDS é instalado em um host que será alertado sobre ataques ocorridos contra a própria máquina.O IDS host-based monitora as conexões de entrada no host e tenta determinar se alguma destas conexões pode ser uma ameaça.

     

    II. O HIDS é um tipo de IDS instalado para alertar sobre ataques ocorridos aos ativos da MÁQUINA (host), por meio do monitoramento das conexões de entrada para tentar determinar se alguma destas conexões pode ser uma ameaça. 


ID
388300
Banca
NCE-UFRJ
Órgão
UFRJ
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Uma das maiores preocupações atuais é a segurança de computadores e redes. Uma ferramenta de segurança que tem como principal objetivo detectar se alguém está tentando entrar no seu sistema ou se algum usuário autorizado está fazendo mau uso do sistema é conhecida como:

Alternativas
Comentários
  • IDS (Intrusion Detection Systems) são sistemas de detecção de intrusos, que têm por finalidade detectar atividades incorretas, maliciosas ou anômalas, em tempo real, permitindo que algumas ações sejam tomadas. 
     
    • Geram logs para casos de tentativas de ataques e para casos em que um ataque teve sucesso.
    • Mesmo sistemas com Firewall devem ter formas para detecção de intrusos.
    • Assim como os firewalls, os IDSs também podem gerar falsos positivos (Uma situação em que o firewall ou IDS aponta uma atividade como sendo um ataque, quando na verdade não é).

    INFORMÁTICA - JUNIOR MARTINS - CANAL DOS CONCURSOS

    Abs
  • Gabarito letra E.

    Sistema de detecção de intrusos ou também conhecido como Sistema de detecção de intrusão ( em inglês: Intrusion detection system - IDS) refere-se aos meios técnicos de descobrir em uma rede acessos não autorizados que podem indicar a ação de um cracker ou até mesmo de funcionários mal intencionados.

    Com o acentuado crescimento das tecnologias de infraestrutura tanto nos serviços quanto nos protocolos de rede torna-se cada vez mais difícil a implantação de sistema de detecção de intrusos. Esse fato está intimamente ligado não somente à velocidade com que as tecnologias avançam, mas principalmente com a complexidade dos meios que são utilizados para aumentar a segurança nas transmissões de dados.

    Uma solução bastante discutida é a utilização de host-based IDS que analisam o tráfego de forma individual em uma rede. No host-based o IDS é instalado em um servidor para alertar e identificar ataques e tentativas de acessos indevidos à própria máquina.

    Fonte:https://pt.wikipedia.org/wiki/Sistema_de_detec%C3%A7%C3%A3o_de_intrusos


ID
459328
Banca
FCC
Órgão
INFRAERO
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação aos sistemas de proteção de rede,

Alternativas
Comentários
  • http://www.linuxsecurity.com.br/sections.php?op=viewarticle&artid=5
  • Alguem saberia dizer o que esta errado na alternativa "A"?
    afinal este é um exemplo do que um HIDS faz, detecta tentativas de invasão em um Host.

    Já na letra "C" acredito que haja um erro. O stateful firewall não impede um ataque de replay de este for feito através de uma coneção TCP válida.
    Por exeplo:
    1- Atráves de um sniffer obtenho a autenticação de um usuário quando este conecta-se a aplicação. (admitindo que a aplicação possua um sistema de autenticação fraco como por exemplo trafegar o hash da mensagem)
    2- Conecto-me a aplicação
    3- Passo a autenticação que gravei com a utilização do Sniffer.

    Mesmo com um firewall de estado no meio desta coneção este nada poderia fazer.
    Qual o erro em meu raciocínio nesta questão??
  • stateful inspection firewalls é analisar o tráfego ao nível do IP e TCP/UDP, construindo tabelas de estado das ligações à Internet para prevenir os ataques do tipo spoofing, replaying, entre outros.
  • Bernardo, realmente um HIDS detecta tentativas de invasão em um Host. Mas um usuário lá na aplicação fazendo login? Sem chance né?
  • Creio que se a autenticação é de rede, então o log com o evento vai estar em um servidor da rede, não no Host. Assim, não será detectado pelo H-IDS.
  • Pesquisando sobre o item E, o único erro é trocar a palavra appliance por arcabouço.


    Os appliances NAC, que são divididos em in-line e out-of-band, são integrados de forma mais simples, porém provêem as principais funções da arquitetura NAC. Os arcabouços NAC compõem uma arquitetura mais elaborada, pois integram soluções de terceiros na infra-estrutura de rede envolvendo switches next generation com suporte à tecnologia NAC.

    Fonte: http://www.philipegaspar.com/2007/03/nac-perspectivas-para-uma-rede-mais_27.html


ID
628999
Banca
FCC
Órgão
INFRAERO
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere à detecção de intrusão, analise:

I. Envolve a detecção de padrões incomuns de atividade ou padrões de atividade sabidamente relacionados a intrusões.

II. Podem ser utilizados sistemas de armadilha (honeypots), planejados para atrair um atacante em potencial para longe dos sistemas críticos.

III. É baseada na suposição de que o comportamento do intruso é muito semelhante ao comportamento de um usuário legítimo, de maneira que não podem ser quantificadas.

IV. Não permite a coleta de informações relevantes e/ou seguras sobre as técnicas de intrusão.

Está correto o que consta em

Alternativas
Comentários
  • Letra C.
    III. É baseada na suposição de que o comportamento do intruso é muito semelhante ao comportamento de um usuário legítimo, de maneira que não podem ser quantificadas. 
    IV. Não permite a coleta de informações relevantes e/ou seguras sobre as técnicas de intrusão. 

    Supor o comportamento não é uma prática adequada, tampouco eficaz. A coleta de informações é possível, desde o registro de IPs que acessaram até o Event Viewer com os acessos.
  • Grifei os erros:

    III. É (pode ser) baseada na suposição de que o comportamento do intruso é muito semelhante (diferente) ao comportamento de um usuário legítimo, de maneira que não podem ser quantificadas. 

    IV. Não permite a coleta de informações relevantes e/ou seguras sobre as técnicas de intrusão. 
  • CORREÇÃO DAS ERRADAS CONFORME STALLINGS.

    Trecho ERRADO da III- (...) muito semelhante (...) não podem 

    Correção: Segundo Stallings(2008,p.408),"A detecção de intrusão é baseada na suposição de que o comportamento do intruso DIFERE  daquele de um usuário legítimo de maneiras que PODEM ser quantificadas."

    -------------------------------------------------------------------

    Trecho ERRADO da IV-(...) Não (...)

     

    Correção: Segundo Stallings(2008,p.408),"A detecção de intrusão permite a coleta de informações sobre técnicas de intrusão,o que pode ser usado para fortalecer a estrutura de prevenção de intrusão."


    Bibliografia:

    CRIPTOGRAFIA E SEGURANÇA DE REDE-WILLIAN STALLINGS-2008-4 EDIÇÃO

  • III - É baseada na suposição de que o comportamento do intruso é DIFERENTE do comportamento de um usuário legítimo, de maneira que PODEM ser quantificadas. 

    IV - PERMITE a coleta de informações relevantes e/ou seguras sobre as técnicas de intrusão. 

  • Infelizmente isto é decoreba de livro. Diversos ataques sofisticados utilizam "command and control" em computadores já possuídos por uma botnet por exemplo. Seria um computador de dentro da organização, fazendo requisições válidas HTTP a um site de intranet...

    Mas, é bom voltar pros livros, e apenas responder o que está na literatura clássica da segurança da informação(Stallings).


ID
630883
Banca
FCC
Órgão
TRE-PE
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação a firewall, IPS e IDS é correto afirmar:

Alternativas
Comentários
  •     a) NIDS HIDS são instalados em servidores para analisar o tráfego de forma individual em uma rede, tais como, logs de sistema operacional, logs de acesso e logs de aplicação. (NIDS - Network IDS - Analisa apenas tráfego de rede e não logs de aplicação)

        b) O IDS IPS usa sua capacidade de detecção e algumas funcionalidades de bloqueio, típicas de um firewall, para notificar e bloquear eficazmente qualquer tipo de ação suspeita ou indevida.

        c) O firewall do tipo Roteador de Barreira IPS/IDS não examina cada pacote, em vez disso, compara o padrão de bits do pacote com um padrão sabidamente confiável.

        d) Poder avaliar hipertextos criptografados, que, normalmente, não são analisados por firewalls tradicionais de rede, constitui uma vantagem do firewall de aplicação. (Correto)

        e) Um conjunto IDS/IPS instalado em um switch pode ser considerado do tipo HIDS/HIPS NIDS/NIPS, dada a sua atuação na detecção e prevenção de intrusões com base no comportamento e no histórico do tráfego de dados do dispositivo de rede. (HIDS/HIPS - Host IDS/IPS - Analisa os logs de máquinas)
  •  a implantação de um firewall não exclui a necessidade de um IDS/IPS e vice-versa. O firewall vai controlar a sua visibilidade na rede (e fazer o controle de acesso). Já o IDS vai monitorar as atividades suspeitas, que já passaram pelo firewall. O IPS vai um pouco além e atua pró-ativamente quando é detectada uma intrusão ou atividade maliciosa.
  • Firewall de aplicação é mais conhecido como Proxy de aplicação. Os Proxy de aplicação vão até a camada de aplicação e são especializados em protocolos de aplicaão, o que possibilita a descriptografia e análise de hipertextos.
  • Como exatamente um firewall de aplicação examina algo que está criptografado?

  • flashfs ', através da troca dos certificados, isto é bem comum em organizações maiores.

    A requisita a B um endereço C

    B percebe que C é um servidor seguro

    B requisita o conteúdo de C como se ele fosse o cliente.

    B inicia uma negociação de troca de chaves com A e apresenta o certificado para A como se ele fosse o servidor C

    C responde um conteudo criptografado a B.

    B sabe ler o conteúdo, pois foi ele quem fez o pedido para C.

    B devolve a resposta a A, porém essa resposta agora é criptografada com a chave privada de B.

    A sabe ler o conteúdo de B, pois foi em quem fez o pedido para B.

    A sabe o que o certificado foi trocado, eles são diferentes do certificado original de C, só que você adiciona à lista de certificados confiáveis o certificado de B, por isso a comunicação funciona normalmente.

  • a) FALSO, pois a descrição corresponde ao HIDS (host-based intrusion detection system);

    b) FALSO, pois a descrição corresponde ao IPS (Intrusion Prevention System);

    c) ficarei devendo o comentário dessa assertiva;

    d) CORRETO;

    e) FALSO, pois a descrição corresponde ao NIDS/NIPS (Network Intrusion Detection System/Network Intrusion Prevention System)

ID
639523
Banca
FCC
Órgão
TRT - 11ª Região (AM e RR)
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Em um sistema de detecção de intrusos, o responsável por analisar todos os pacotes e tentar detectar os ataques do tipo DoS (denial of service), varredura de portas e outras tentativas de ataque é o

Alternativas
Comentários
  • O N-IDS necessita um material dedicado e constitui um sistema capaz de controlar os pacotes que circulam numa ou várias ligaçõe(s) de rede, com o objectivo de descobrir se um acto malicioso ou anormal tem lugar. O N-IDS coloca uma ou várias placas de interface rede do sistema dedicado em modo promiscuidade (promiscuous mode), estão então em modo “furtivo” para que não tenham endereço IP. Também não têm não pilha de protocolo associada. É frequente encontrar vários IDS nas diferentes partes da rede e em especial colocar uma sonda fora da rede para estudar as tentativas de ataques bem como uma sonda internamente, para analisar os pedidos que atravessaram o firewall ou efectuadas do interior.
  •     a) SHA-1. ALGORITMO GERADOR DE HASH

        b) HIDS. HOST INTRUSION DETECTION

        c) NIDS. NETWORK INTRUSION DETECTION

        d) NAS. NETWORK ATTACHED STORAGE

        e) AES. ALGORITMO ASSIMETRICO DE CRIPTOGRAFIA
  • Só uma correção do amigo "Leoh"

    A alternativa E) é algoritmos de chave SIMÉTRICA.
  • Corrigindo Thiago Bastos....

    O RSA envolve um par de chaves, uma chave pública que pode ser conhecida por todos e uma chave privada que deve ser mantida em sigilo. Toda mensagem cifrada usando uma chave pública só pode ser decifrada usando a respectiva chave privada. A criptografia RSA atua diretamente na internet, por exemplo, em mensagens de emails, em compras on-line e o que você imaginar; tudo isso é codificado e recodificado pela criptografia RSA.

    Logo Assimétrico

  • LETRA C.

    Segundo Nakamura(2010,p.272),"O NIDS é eficiente principalmente contra ataques como port scanning, IP spoofing ou SYN flooding (...)."


    **DoS (denial of service) == SYN flooding

      varredura de portas ==port scanning

    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA-2010.

  • Bender Rodríguez,

    a letra E não fala em RSA e sim em AES..o Thiago está correto


  • c-

    An intrusion detection system (IDS)is a device or software application that monitors a network or systems for malicious activity or policy violations. Any intrusion activity or violation is typically reported either to an administrator or collected centrally using a security information and event management (SIEM) system. A SIEM system combines outputs from multiple sources and uses alarm filtering techniques to distinguish malicious activity from false alarms.

    https://en.wikipedia.org/wiki/Intrusion_detection_system


ID
645244
Banca
FCC
Órgão
TJ-PE
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Análise de comportamento de redes, ou NBA, da sigla, em inglês, Network Behavior Analysis, é uma técnica que examina o tráfego da rede em busca de ameaças que geram fluxos não usuais, como DdoS e violações de políticas da empresa ou um sistema cliente provendo serviços de rede para outros sistemas. Essa técnica de análise é uma característica

Alternativas
Comentários
  • IDS baseadas em rede, ou network-based, monitoram os cabeçalhos e o campo de dados dos pacotes a fim de detectar possíveis invasores no sistema, além de acessos que podem prejudicar a performance da rede. A implantação de criptografia (implementada via SSL,IPSec e outras) nas transmissões de dados como elemento de segurança prejudica esse processo.
  • IPS é a sigla para "Intrusion Prevention System" ou sistema de prevenção de invasão. IDS é a sigla para "Intrusion Detection System" ou sistema de detecção de invasão. Ambos são termos-chave, entre outros, no contexto de "invasão" de computadores, redes e sistemas de informação.
     
    Termo usado em segurança de computadores, a detecção de intrusão (ou invasão) se refere aos processos de monitoramento de atividades em computadores e redes e de análise dos eventos na busca por sinais de invasão nos sistemas relacionados.  Uma questão importante, um foco, na procura por invasões ou acessos não autorizados é alertar os profissionais de TI e os administradores de sistemas da organização para potenciais ameaças e falhas de segurança dos sistemas ou das redes.
     
    De modo geral, IDS é uma solução passiva de segurança ao passo que IPS é uma solução ativa de segurança. Porém, vale notar que há sistemas passivos e reativos. Em um sistema passivo, O IDS detecta uma potencial violação da segurança, registra a informação (log) e dispara um alerta. Em um sistema reativo, o IDS responde à atividade suspeita finalizando a sessão de usuário ou reprogramando o Firewall para bloquear o tráfego de rede da fonte maliciosa suspeitada.
     
    IPS é uma solução ativa de segurança. IPS ou sistema de prevenção de invasão é, definitivamente, o nível seguinte de tecnologia de segurança com sua capacidade para fornecer segurança em todos os níveis de sistemas, desde o núcleo do sistema operacional até os pacotes de dados da rede. O IPS provê políticas e regras para o tráfego de rede - juntamente com um IDS para emitir alertas para administradores de sistemas e redes em caso de tráfego suspeito - mas permite também que administradores executem ações relacionadas ao alerta dado. Enquanto o IDS informa sobre um potencial ataque, o IPS promove tentativas de parar o ataque. Um outro grande avanço sobre o IDS é que o IPS tem a capacidade de prevenir invasões com “assinaturas” conhecidas, mas também pode impedir alguns ataques não conhecidos, devido a sua base de dados de “comportamentos” de ataques genéricos. Visto como uma combinação de IDS e de uma “camada de aplicação Firewall” para proteção, o IPS geralmente é considerado a geração seguinte do IDS.
  • IDS (intrusion detection system) detecta intrusões e acessos que violam a política estabalecida, e de quebra envia um report to a Management Station.
  • Protocolos IPS e IDS podem ser de 4 tipos:

    NIPS (Netword Intrusion Prevention System): monitora toda a rede em busca do tráfego malicioso baseado nas atividades dos protocolos de rede

    WIPS (Wireless Intrusion Prevention System): monitora redes sem fio baseado em protocolos wireless

    NBA (Network Behavior Analisys): examina o comportamento geral da rede de forma a detectar padrões que possam ser caracterizados como ameaças (Dos, ets...)

    HIPS (Host Intrusion Prevention System): monitora um único host em busca de atividades suspeitas

ID
697297
Banca
FCC
Órgão
TRE-SP
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre os Sistemas de Prevenção de Intrusão (IPS) é correto afirmar:

Alternativas
Comentários
  • Intrusion prevention systems (IPS), also known as intrusion detection and prevention systems (IDPS), are network security appliances that monitor network and/or system activities for malicious activity. The main functions of intrusion prevention systems are to identify malicious activity, log information about said activity, attempt to block/stop activity, and report activity. [1]

    Intrusion prevention systems are considered extensions of intrusion detection systems because they both monitor network traffic and/or system activities for malicious activity. The main differences are, unlike intrusion detection systems, intrusion prevention systems are placed in-line and are able to actively prevent/block intrusions that are detected. [2][3]More specifically, IPS can take such actions as sending an alarm, dropping the malicious packets, resetting the connection and/or blocking the traffic from the offending IP address.[4] An IPS can also correct Cyclic Redundancy Check (CRC) errors, unfragment packet streams, prevent TCP sequencing issues, and clean up unwanted transport and network layer options.

  • Sistemas de Prevenção de Intrusão

    Como descrito no nome ajuada a prevenir a intrusão, seus métodos são proativos trabalhando na rede validando todo 
    tráfego 
  • Como vi em outro comentário aqui no QC. 

    IDS é como detector numa porta de loja, se não tiver um segurança, o meliante foge. 

    IPS é que nem porta giratório de banco, detectou alguma coisa diferente, bloqueia. 

  • Creio que o item D tentou fazer uma referência ao host vs network based IPS/IDS. 

     

  • IDS inline = IPS baseado em rede

     

    Fonte: Nakamura


ID
705259
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

No contexto de rotinas de proteção e segurança, HoneyPot é um(a)

Alternativas
Comentários
  • Gabarito E

    HoneyPot é uma ferramenta que tem a função de propositalmente simular falhas de segurança de uma sistema e colher informações sobre o invasor. 
    É um espécie de armadilha para invasores. O HoneyPot, não oferece nenhum tipo de proteção.

    Fonte: Wikipedia

  • É uma ferramenta que tem a função de propositalmente não oferecer proteção e simular falhas de segurança de um sistema e colher informações sobre o invasor. É uma espécie de armadilha para invasores.
     
    São criados com o intuito de simular diversos servidores (Web, Telnet, FTP etc.) vulneráveis para que os invasores possam ser induzidos a eles deixando, normalmente, de atacar a rede real.
     
    Além disso, objetiva que o fruto dessa invasão possa ser estudado para, assim, melhorar a segurança.


  • E por eliminação:

    A - Antimalware

    B - Firewall, talvez Proxy, talvez software de Endpoint security. Todos estes podem ser utilizados para forçar políticas de redes em equipamentos que fazem parte da mesma.

    C - Command and Control, BotNet

    D - Full Disk Encryption, Criptografia fim-a-fim. Todas estas podem ser utilizadas para protejer informação que passa ou que já está armazenada.

    E - Exatamente Isto. Software que simula um ambiente com falhas, para ser utilizado no estudo dos padrões de invasores.


ID
726979
Banca
INSTITUTO CIDADES
Órgão
TCM-GO
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre os sistemas de detecção de intrusão é incorreto afirmar que:

Alternativas
Comentários
  • Não se configuram automaticamente, então letra B está errada.
  • Também achei estranha esta questão, alguém pode ajudar com mais informações? A questão não foi anulada???
  • O IDS pode se comportar de duas maneiras após a detecção. De forma ativa ou passiva.

    Na forma ativa, ele realmente realiza contramedidas automaticamente. Mas não quer dizer que ele é configurado automaticamente.

    Letra B está errada.
  • Bom, eu lembro que li em algum lugar sobre isso, que os IDSs também trabalham de forma similar aos antivírus, que utilizam assinaturas de vírus para reconhecer e impedir que programas, arquivos, ou conteúdo dinâmico Web infectado entre em um computador; exceto que usa um banco de dados de padrões de tráfego ou atividades relacionados à ataques conhecidos, chamados de "assinaturas de ataque".

    Mas concordo com vocês, a Letra B também está errada.

  • Olha, essa é uma grande surpresa pra mim. Nunca imaginei que os IDS's precisam de atualização em suas bases de dados.



ID
747190
Banca
ESAF
Órgão
CGU
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Os tipos de IDS – Sistema de Detecção de Intrusão são

Alternativas
Comentários
  • Em relação ao IDS podemos dizer que:

    Quanto ao MÉTODO DE DETECÇÃO eles podem ser classificados como:
    • Sistemas de detecção baseados em ANOMALIAS
    • Sistemas de detecção baseados em ASSINATURA
    Quanto à ARQUITETURA são classificados segundo critérios de LOCALIZAÇÃO e ALVO.
    Com base no ALVO são classificados em:
    • Sistemas baseados em HOST (HIDS)
    • Sistemas baseado em REDE (NIDS)
  • Intrusion detection system são meios de descobrir em uma rede quando há acessos não autorizados que podem indicar a acção de um cracker ou até mesmo funcionários mal intencionados. Os tipos são:

    host-based IDS: analisa o tráfego de forma individual em uma rede;
    com um servidor para alertar e identificar ataques e tentativas de acessos indevidos à própria máquina.

    Network IDS: analisa o todo tráfego em uma rede;

    Stack-based intrusion detection system:(SIDS) analisa packets que passam pela pilha TCP/IP (TCP/IP stack), o que faz desnecessário ter interface da rede m modo promíscuo. Esse IDS é subordinado ao sist.oper do host.


    HoneyPot tem a função de simular falhas de segurança de um sistema e colher informações sobre o invasor. É um espécie de armadilha para invasores. Não oferece nenhum tipo de proteção.
  • letra D

    Segundo Nakamura(2010,p.269),"Os dois tipos primários de IDS são os seguintes: o baseado em host(Host-Based Intrusion Detection System-HIDS) e o baseado em rede(Network-Based Intrusion Detection System-NIDS).O processo evolutivo que acontece com toda tecnologia levou ao desenvolvimento do IDS híbrido(Hybrid IDS), que aproveita as melhores características do HIDS e do NIDS."

    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA


  • São Sistemas de Detecção de Intrusão que possuem caracteríscticas tanto de NIDS quanto de HIDS. Um SDI híbrido fareja o tráfego de rede e analisa os logs de casos de uso do sistema, tornando a detecção mais eficaz.Um IDS híbrido deve ser instalado em uma máquina.

    Vantagens e Desvantagens

    Um SDI híbrido capta os pacotes como um NIDS e os processa como um HIDS (), o que o torna menos vulneravel ao tráfego na rede. Porém, por ficar, instalado em uma máquina, ele depende do processamento da mesma alem de ser mais vulnerável a ataques contra o mesmo assim como os HIDS's.

    https://www.gta.ufrj.br/grad/10_1/sdi/hibids.html


ID
754033
Banca
FCC
Órgão
MPE-AP
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Para garantir a segurança de uma rede é recomendável adotar medidas de prevenção, detecção e reação aos ataques. São mecanismos de prevenção:

Alternativas
Comentários
  • IDS = Sistema de detector de intrusos.

    Scanning por antivírus não é mecanismo de prevenção, pois ocorre quando a máquina já está contaminada. 

    IPS = Sistema de prevenção de invasão.
  • Essa questão não está correta.
    Embora o nome IPS signifique Intrusion Prevention System, o fato é que, tecnicamente, o IPS é capaz não apenas de detectar invasões como também de tomar medidas apropriadas (fechar portas, desabilitar contas etc.), assim, no contexto do enunciado, seria uma medida de detecção e também de reação aos ataques.
    É considerado como uma extensão do IDS - Intrusion Detection System, que apenas monitora a rede para detectar invasões e, se for o caso, alertar o responsável, que seria uma medida de detecção.
    (Fonte: Guide to Intrusion Detection and Prevention Systems (IDPS) - Recommendations of the National Institute of Standards and Technology, disponível em: http://csrc.nist.gov/publications/nistpubs/800-94/SP800-94.pdf)
    Quanto às alternativas:
    a) IDS (detecção), auditoria (detecção) e controle de autorização (prevenção).
    b) IDS (detecção) e scanning por antivírus (detecção). 
    c) IPS (detecção e reação), Firewalls (prevenção) e encriptação (prevenção). 
    d) Auditoria (detecção), QoS (não é medida de segurança) e procedimentos de resposta automática (reação). 
    e) IPS (detecção e reação), IDS (detecção) e procedimentos de resposta automática (reação).
    A alternativa C seria correta se a opção apresentasse somente Firewalls e encriptação.
    O IPS deveria estar em alguma opção para tentar confundir o candidato que apenas soubesse o significado da sigla, mas não conhecesse seu funcionamento. Mas aparentemente, nem o examinador, ou a pessoa que criou a questão, sabem o que é um IPS.
    A questão deveria ser anulada, mas a verdade é que uma questão assim mostra a falta de capacidade e conhecimento daqueles que supostamente deveriam nos avaliar. 
    Infelizmente, em todas as bancas, somos obrigados a lidar com questões às vezes feitas por quem não têm de fato conhecimento técnico, que usam fontes informais para criar questões, e aparentemente não são revisadas por quem entende.
  • Meu caro colega, obviamente não há nada de errado com a questão. É uma questão simples de lógica.
    Ela está perguntando: "são mecanismos de prevenção?". Ora, se eu te perguntasse agora, para você me dar uma resposta SIM ou NÃO: O IPS é um mecanismo de prevenção? Sua resposta seria SIM. Portanto a questão está perfeita.

    Se ele também faz detecção, ou vira cambalhota, isso não vem ao caso nesta questão.
  • Também estava com o pensamento parecido com o Andressito, que um IPS seria principalmente detecção e reação, porém, depois de pensar um pouco, ler novamente a questão e traduzir IPS (sistema de prevenção de intrusão), concordo com o colega rpalladino, não importa as outras funções de um IPS, temos que focar simplesmente no que pede a questão, sendo assim, além de Firewalls e encriptação, o IPS também é de prevenção, inclusive está em seu nome!
  • Ids nao eh proativo. 

     

    Ele eh reativo

     

     

    emitindo alerta por exemplo

  • Encriptação é mecanismo de reação??? Questão meio estranha.

  • Estudar para essa banca além de competência do concurseiro tem que ter sorte em marcar questão, pois essa banca só pode tá de brincadeira em elaborar uma questão dessas!


ID
771157
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens a seguir, relativos a sistemas de detecção de intrusão (IDS).

Em IDS, um falso negativo é uma situação que caracteriza que um sistema não está sob ataque.

Alternativas
Comentários
  • ERRADO. Corrigindo a questão e clareando a resposta.

    **Em IDS, um falso negativo é uma situação que caracteriza que um sistema está sob ataque,porém este ataque não está sendo detectado.


    Segundo Nakamura(2010,p.281),

    "-Tráfego suspeito detectado(comportamento normal);

    -Tráfego suspeito não detectado(falso negativo);

    -Tráfego legítimo que o IDS analisa como sendo suspeito(falso positivo);

    -Tráfego legítimo que o IDS analisa como sendo legítimo(comportamento normal)."

    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVO-2010-NAKAMURA

  • Cespe ama isso

    Falso Negativo: tratar os tráfegos suspeitos como legais, ou seja, deixa de detectar um ataque que efetivamente ocorreu

     

     

    Ano: 2010Banca: CESPEÓrgão: Banco da AmazôniaProva: Técnico Científico - Tecnologia da Informação

    A ocorrência de falsos positivos normalmente acarreta consequências mais graves para as redes que utilizam IDS do que para aquelas que usam IPS.
    Errada

    Ano: 2010Banca: CESPEÓrgão: Banco da AmazôniaProva: Técnico Científico - Tecnologia da Informação
    Os IDS e IPS embasados em detecção por assinatura podem apresentar ocorrência de falsos-positivos, sendo mais severos os efeitos nos IPS que nos IDS.
    certa
    POSITIVO == LEGAL e BLOQUEOU
    2017
    Em uma varredura de arquivos armazenados, se um arquivo legítimo do usuário for classificado como vírus por um software antivírus, então tal ocorrência caracterizará um falso negativo.
    errada
    NEGATIVO == ILEGAL e DEIXOU passar


    (CESPE – ABIN/2004 – Analista de Informações – Código 9 – 103)
    Em um sistema de detecção de intrusão (intrusion detection system — IDS), um falso positivo consiste em um evento em que o IDS deixa de detectar uma intrusão que efetivamente ocorreu.
    errada

  • FALSO NEGATIVO é quando o sistema trata algo PERIGOSO como se fosse algo normal.

  • Falso Negativo: Atividade suspeita detectada como legítima.

  • GABARITO: ERRADO.

  • Gabarito E

    Falso positivo: detecta aquilo que não deveria

    Falso negativo: deixa de detectar aquilo que deveria

    Leia de direita pra esquerda, fica mais fácil memorizar

    Positivo que deu Falso: algo legitimo q foi dado como ataque

    Negativo que deu Falso: algo ilegítimo que foi dado como falso.


ID
771160
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens a seguir, relativos a sistemas de detecção de intrusão (IDS).

Um IDS, diferentemente de um firewall, é capaz de reagir e enviar solicitação de desconexão quando detecta alguma anomalia de tráfego na rede.

Alternativas
Comentários
  • IDS não bloqueia tráfego e suas ações são posteriores ao ataque

    Serviços de detecção de intrusos são capazes de detectar anomalias no tráfego de dados, a partir de regraspreviamente definidas. Também são capazes de efetuar bloqueios de tráfego, a partir de análises heurísticas

    errada



    2014

    A detecção de intrusão abrange formas de resposta, tais como a geração de alertas e a interrupção dos fluxos de dados maliciosos.

    certa


    2011 - (CESPE – TJ-ES/2011 – Analista Judiciário – Análise de Suporte – 93)

    IDS (intrusion detection system) pode ser utilizado para incrementar o trabalho do firewall e permitir que o tráfego de dados de uma rede seja monitorado para correção imediata de problemas ou falhas

    certa


  • Gabarito Errado

    Quemm faz isso é o IPS.

     

    Vamos na fé !

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • IDS

    Um Sistema de Detecção de Intrusão (Intrusion Detection System - IDS) é um software que automatiza o processo de detecção de intrusão.


    IPS

    Um Sistema de Prevenção de Intrusão (Intrusion Prevention System - IPS) é um software de prevenção de intrusão. Tem a capacidade de impedir possíveis incidentes.


    Fonte: Professor Frank Mattos

  • IDS - Sistemas para Detecção de Intrusão: não é capaz de reagir/bloquear ataques, apenas detecta e alerta os administradores da rede. Apresenta ALTA incidência de falsos-positivos.

    IPS - Sistemas para Prevenção de Intrusão: é capaz de detectar e bloquear ataques, realizando contramedidas. Ele avalia o tráfego comparando assinaturas e comportamentos anômalos. Pode ser baseado em rede ou host.

    WAF - Firewall de Aplicativo da Web: avalia o comportamento e a lógica do que é solicitado e devolvido. Pode ser baseado em rede ou host.

    NIDS - Sistema de Detecção de Intrusão Baseado em Rede: é eficiente principalmente contra ataques como port scanning, IP spoofing ou Syn flooding e é também capaz de detectar ataques de buffer overflow [...]

    Firewalls precisam ser capazes, basicamente, de executar as seguintes tarefas: Filtrar pacotes - Defender recursos - Validar acessos - Gerenciar e controlar trafego de rede - Registrar e relatar eventos - Atuar como intermediário. Sendo assim, é possível bloquear todo o tráfego de entrada na máquina com destino a uma porta e liberar todo o tráfego de saída. Ele não evita que a rede de computadores seja atacada, apenas pode, de certa forma proteger bloqueando as portas. Quando se tem uma rede se faz necessária a instalação em apenas um computador, e não em todos.

    Atenção: Apesar de alguns modelos de firewall inspecionarem todo o pacote, em geral, inspecionam apenas o cabeçalho, principalmente campos de origem e destino. Já os IDS analisam o conteúdo do pacote.

    Gabarito: Errado.

  • IDS age passivamente.

  • GABARITO ERRADO!

    .

    .

    Um IDS (Intrusion Detection System) pode ser usado para detectar varreduras de porta e de pilha TCP, além de ataques de DDoS, de inundação de largura de banda, de worms e de vírus.

    NAKAMURA

  • No caso de tomar um contramedida seria função do IPS

  • Na verdade está mais para o Firewall reagir. Geralmente quando comparar FIREWALL e IDS fica esperto. GRANDE CHANCES DE ESTAR ERRADO

    Quando compara o IPS e o IDS você não acerta, já que um reage e o outro não?

    FIREWALL -- Impede, bloqueia -- ou seja age

    IPS -- PIT BULL -- ATACA/AGE

    IDS -- DALMATA -- MANSO/NÃO AGE

    QUALQUER EQUIVOCO MANDE-ME MENSAGEM PARA APAGAR O COMENTÁRIO

    JESUS O FILHO DO DEUS VIVO


ID
771163
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens a seguir, relativos a sistemas de detecção de intrusão (IDS).

No IDS, erros do tipo falso positivo podem levar usuários a ignorar a saída dos dados porque tratam ações legítimas como tentativas de invasão.

Alternativas
Comentários
  • CERTO

    Segundo Nakamura(2010,p.281),

    "-Tráfego suspeito detectado(comportamento normal);

    -Tráfego suspeito não detectado(falso negativo);

    -Tráfego legítimo que o IDS analisa como sendo suspeito(falso positivo);

    -Tráfego legítimo que o IDS analisa como sendo legítimo(comportamento normal)."

    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVO-2010-NAKAMURA


  • Falso positivo: detecta aquilo que não deveria (inibe um tráfego legítimo);

    Falso negativo: deixa de detectar aquilo que deveria (negligencia um tráfego suspeito).

  • POLESU

    Falto Positivo - Legitimo como Suspeito.

    NESULE

    Falto Negativo - Suspeito como Legitimo.


ID
777688
Banca
CESPE / CEBRASPE
Órgão
TRE-RJ
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da prevenção e do tratamento de incidentes, julgue os itens a seguir.

A contratação de grande quantidade de novos empregados para a empresa é um incidente grave para a segurança da informação, que deve ser comunicado ao setor competente e tratado rapidamente.

Alternativas
Comentários
  • Acredito que o erro seja dizer que é um incidente para a segurança da informação. Segundo a glossário da 27001, "incidente de segurança da informação é indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação".
    A contratação de pessoal não é inesperada ou indesejada, muito pelo contrário, para que os objetivos da categoria 8. Segurança em recursos humanos da norma 27002 sejam alcançados, deve haver o planejamento para a contratação de pessoal.
  • De fato, cria um potencial risco à segurança, mas não pode ser considerado grave incidente à  segurança da informação.
  • Gabarito Errado

    Vendo pelo lado técnico, acredito que seja apenas um eventual risco para o controle. Sendo assim, a questão fala em grave incidente, que não é o caso.

    Vamos na fé !

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • ameaça


ID
781633
Banca
CESPE / CEBRASPE
Órgão
TJ-AL
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

As técnicas que realizam a detecção remota de sniffers na rede sem acessar cada equipamento do segmento de rede são

Alternativas
Comentários
  • The MAC based detection techniques work by exploiting holes found in the implementation 
    of the TCP/IP stack in some operating systems. On some TCP/IP stacks, under certain 
    specific circumstances the destination MAC address of the Ethernet header is never checked 
    or checked insufficiently, when the NIC is in  promiscuous mode. Due to this fact, it is possible to generate an Ethernet packet with an incorrect MAC address that is passed to the TCP/IP processing code. Normally, such a packet would be rejected by the NIC and therefore 
    never reach the operating system for processing. However, when the NIC is in promiscuous
    mode, it is actually possible to  get these packets processed as if they had a correct MAC 
    address, on some implementations of the TCP/IP stack. The trick for this type of techniques is 
    to elicit a response from the TCP/IP stack, and in such a way determine if an incorrectly 
    addressed packet is acknowledged (AbdelallahElhadj et al., 2002; Wu & Wong, 1998).  
    Generally, there are two methods based on this technique used today; the ARP detection 
    method and the Etherping detection method (AbdelallahElhadj et al., 2002; Spangler, 2003).







     



    In the load detection method, two measurements of response time are taken (figure 11). One 
    measurement is taken to determine the response time of the machine without heavy network 
    traffic, and the other measurement is taken to determine the response time of the machine 
    with heavy traffic. The load detection method is based on the assumption that the sniffer does 
    some parsing. A very large amount of ICMP  request packets with an unused destination 
    address is sent on the network flooding it. Meanwhile, a computer which is suspected to be 
    running a sniffer has been sent an ICMP echo request packet before, and during the flooding 
    stage. The machine will parse the data if it is in promiscuous mode, which increases the load 
    on it. Extra time is needed for this increased load, so it will take longer to respond to the 
    ICMP echo request packet with an ICMP echo reply packet. The difference in the response 
    times of the suspected machine, and other machines indicates that the suspected machine is in
    promiscuous mode. In which case, a sniffer could likely be running on that host (Hawes & 
    Naghibi, 2002). 
  • MAC detection consiste em mandar pings com o IP correto e o MAC falso. Como os sniffers atuam em modo promíscuo, eles coletam todos os pacotes, independente do MAC. O ping vai gerar a resposta, pois não tem ciência de que há erro na camada 2. Assim a máquina é identificada.
    No load detection, é analisado o tempo de resposta de uma máquina. Como os sniffers coletam todos os pacotes, eles costumam ter sobrecarga em uma rede mais carregada. Assim, o tempo de resposta das requisições costuma ser maior que a média da maioria das máquinas da rede, o que indica que há máquina esteja sniffando.
    Para complementar, DNS detection também é uma técnica de detecção. Dumpster diving é uma técnica utilizada para coleta de informações para, geralmente, engenharia social. Coordinated (port) scan é o uso de vários agentes para realizar o scan de forma a mascarar a ação, pois dá a impressão que são apenas vários agentes interessados. Decoys são sistemas como honeypots. Os outros eu não sei!
  • Nessa questão o CESPE ligou o FCC Mode
  • MAC DETECTION: Requisição ICMP envia para toda rede um pacote com um endereço MAC  que não existe, neste caso se há alguma placa de rede em modo promíscuo ela irá responder. Atécnica utiliza pacotes ICMP echorequest com o endereço IP de um host, mas com endereço MAC falso. Se alguém estiver utilizando um sniffer, ele estará em modo promíscuo, não conferirá o endereço MAC e responderá ao pedido de ping, sendo, assim, detectado.

    LOAD DETECTION: Latência, é enviado um broadcast e há um atraso de resposta da máquina com sniffer, pois toda vez que enviado um broadcast ela processa os pacotes da máquina de todo mundo e demora a responder o broadcast enviado.

ID
788614
Banca
CESGRANRIO
Órgão
Transpetro
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Há, pelo menos, dois tipos de sistemas de detecção de intrusão: os baseados em host (HIDS) e os baseados em rede (NIDS).

Segundo alguns autores, um dos pontos fortes dos HIDS é

Alternativas
Comentários
  • HIDS - Host Intrusion detection system - O HIDS é instalado diretamente no ativo a ser monitorado, onde ocorrerão as análises de logs, messages, syslogs, wtmp, etc. Portanto, o monitoramento ocorre única e exclusivamente na plataforma em que ele está configurado. 


    Como vantagens, citamos:

    - Por monitorarem eventos localmente, os HIDS são capazes de detectar ataques mais específicos quando comparados com os NIDS.

    - Capacidade de tratar dados criptografados. Na origem antes de ocorrer a criptografia e no destino, após a decriptação.

    - Não são afetados por elementos de rede como switches ou roteadores.

    - O HIDS pode verificar o sucesso ou a falha de um ataque, com base nos registros(logs) do sistema.



    Como desvantagens, podemos citar:

    - Difícil configuração pois se deve considerar as características de cada estação;

    - Podem ser derrubados por DoS, pois se trata de uma solução centralizada.

    - Degradação de desempenho na estação;


ID
794020
Banca
FCC
Órgão
TST
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A detecção instantânea da intrusão em uma rede de computadores é um dos aspectos primordiais para a segurança da informação. Para tal, existem diversas ferramentas, como o IDS (Intrusion Detection System) de rede que pode realizar a detecção por meio da monitoração

Alternativas
Comentários
  • Opção correta letra E.

    O  IDS (Intrusion Detection System) de rede que pode realizar a detecção por meio da monitoração das portas TCP. e a detecção é instantânea da intrusão em uma rede de computadores. 
  • Apenas complementando......


    A varredura de portas (port scanning), é o processo de se conectar a portas TCP e UDP do sistema-alvo para 

    determinar que serviços estão em execução ou em estado de escuta. Esse processo é crucial para se identificar o tipo de 

    sistema operacional e o tipo de aplicativos em uso. Serviços ativos podem permitir a um usuário não autorizado ter 

    acesso a sistemas mal configurados ou que estejam exe cutando algum software que possua falhas de segurança 

    conhecidas


  • Não são os HIDS que fazem varredura de portas?

  • LETRA E. Segundo Nakamura(2010,p.273),"Os pontos positivos do NIDS são:

    -Com o análise de cabeçalhos e do payload de pacotes, ataques de rede como o port scanning, IP Spoofing ou Teardrop podem ser detectados."

     

    -SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA-2010.

  • Letra E

    Deveria haver vírgulas isolando o trecho 'por meio da monitoração', pois na verdade a questão faz menção sobre a "... detecção, por meio da monitoração, de varreduras de Portas TCP. Consegue visualizar como ficaria uma resposta mais congruente???

     


ID
801244
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens subsequentes, relativos a ataques e vulnerabilidades.

Firewalls e IDS são dispositivos eficazes para detectar e evitar ataques de buffer overflow.

Alternativas
Comentários
  •  O buffer overflow :
     O comprometimento depende da linguagem utilizada na implementação do programa específico que tem seu buffer sobrecarregado.
                
    não Pode-se evitar o buffer overflow utilizando-se firewalls na proteção das máquinas

    Os buffer overflows exploram deficiências de programas que utilizam linguagens de programação fracamente tipificadas

    A forma de um IDS detectar genericamente ataques de buffer overflow seria por meio de uma assinatura contendo seqüências de bytes correspondentes ao código de NO-OP da arquitetura que se deseja proteger






  • O IDS pode detectar ataques de buffer overflow como o colega acima disse. E o proxy, como um tipo de firewall, pode realizar filtragem de dados de camada de aplicação, portanto os dois são eficazes, de foma que o gabarito está, provavelmente, errado.
  • questao parecida

    Prova: CESPE - 2008 - STJ - Analista Judiciário - Tecnologia da Informação

    Disciplina: Segurança da Informação | Assuntos: Ataques e ameaças

     

     

     

     

     Ver texto associado à questão

    Em geral, firewalls com inspeção de estado evitam ataques do tipo buffer overflow.

     

                     Certo       Errado

               

                   ERRADA

    Não há como um firewall barrar um ataque de buffer overflow.

  • Complementando os colegas
    Segundo Nakamura (2010, p. 272),"O sistema de detecção de intrusão baseado em rede (NIDS) é eficiente principalmente contra ataques como port scanning, IP spoofing ou Syn flooding e é também capaz de detectar ataques de buffer overflow [...]."


    Bibliografia:

    Segurança de redes em ambientes cooperativos
    Autor: Nakamura
    Editora: Novatec
  • Estou meio sem tempo para achar a fonte, mas já vi questões aqui que dizem que IDS só detecta, ao contrário do IPS que detecta e bloqueia. Lembrando que a questão fala sobre "detectar e evitar".

  • Gabarito: Errado.

    Firewall não consegue lidar com o buffer overflow.

    Um buffer overflow (ou transbordamento de dados) acontece quando um programa informático excede o uso de memória assignado a ele pelo sistema operacional, passando então a escrever no setor de memória contíguo. Essas falhas são utilizadas por cibercriminosos para executar códigos arbitrários em um computador, o que possibilita muitas vezes aos atacantes controlar o PC.

    Bons estudos!

  • Corroborando:

    Os firewalls não são eficientes, em regra, contra o ataque de buffer overflow justamente por conta do nível em que o ataque acontece.

  • IDS -- Sistema de detecção de intruso

    *Age passivamente

    *monitora o tráfego da rede

    *não bloqueia uma ação, mas verifica se esta ação é ou não uma ameaça

    *não interfere no fluxo de tráfego da rede

    IPS -- Sistema de prevenção de intruso

    *age ativamente

    *complemento do IDS

    *identifica um intruso, analisa a relevância do evento/risco

    *bloqueia determinados eventos

    *O IPS usa a capacidade de detecção do IDS junto com a capacidade de bloqueio do Firewall

    *age em diversos pontos de uma arquitetura de rede

  • gaba ERRADO

    IDS ------> vai DDDDDDDDDDDDDDDETECTAR

    IPS ------> vai PPPPPPPPPPPPPPPPARAR

    obs: Nesses comentários tem um José ricardo. Estamos juntos há um ano quase já. Ele não me assume. Gostaria de pedir para vocês me ajudarem e colocar no comentário dele #assumeZé. Obrigado <3

    pertencelemos!

  • Galera, me perdoem, mas só achei algo em inglês nesse link:

    https://www.imperva.com/blog/buffer-overflow-tutorial-a-brief-overview-of-an-all-too-common-vulnerability/

    Dá pra traduzir, mas vai ficar ao pé da letra.

    Why isn’t a firewall enough?

    A buffer overflow attack can be prevented or mitigated with proper coding practices or boundary checking on input received from users.

    If an input exceeds the allocated number of characters then the buffer size should be truncated or blocked. Unfortunately, dynamically increasing the size of the number of allocated bytes is not an option as a user can force the program to allocate an abnormally large amount of memory, which may lead to other vulnerabilities such as program crashes.

    Firewalls themselves, while essential security measures, cannot detect the length of these buffers and therefore cannot determine whether or not the user entered a valid size. Most intrusion detection and prevention systems likewise cannot enforce mitigation tactics against buffer overflow attacks.

  • GABARITO ERRADO!

    .

    .

    FIREWALL STATEFULL E PROXY NÃO EVITAM BUFFER OVERFLOW; JÁ O IDS EVITA.

  • Entenda o que é Buffer Overflow

    https://youtu.be/zeX2ZLzgPOA

  • #assumeZé

    A pedido do Patlick ApLovado <3


ID
801403
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere à segurança da informação, bem como às técnicas,
às tecnologias e aos conceitos a ela relacionados, julgue os
próximos itens.

Um IDS (intrusion detection system) é capaz de procurar e detectar padrões de ataques em pacotes trafegados em uma rede local por meio de assinaturas de ataques conhecidos.

Alternativas
Comentários
  • Um IDS é um sistema que funciona com o objetivo de detectar tentativas de invasao ou codigos maliciosos. Para tal tarefa, ele verifica nos pacotes da rede em que esta instalado se entre os dados trafegados algum possui padrão de alguma ameaça previamente cadastrada. Caso esta ameça ainda não tenha sido catalogada e definida como um padrão de reconhecimento, mesmo que o IDS intercepte este pacote para verificação, não irá acusar nada, e deixará que a mesmoa continue na rede. Por isto, é sempre importante manter atualizado o IDS.

    A questao está correta!
  • CERTO

    Segundo Kurose(2013,p.544),"Sistemas IDS são classificados de modo geral tanto como sistemas baseados em assinatura, ou sistemas baseados em anomalia."


    KUROSE, J. F.; ROSS, K. W. Redes de Computadores e a Internet: Uma Abordagem Top-Down. 6. ed. São Paulo: Pearson, 2013.

  • Gabarito Certo

    IDS (Intrusion detection System) é um sistema de detecção de Intrusão na rede que geralmente trabalha no modo passivo. O seu modo Inline é conhecido como IPS (Intrusion Prevention System) que é capaz de fazer a detecção em tempo real.

    Em outras palavras o IDS é um sistema de configurações e regras que tem como objetivo gerar alertas quando detectar pacotes que possam fazer parte de um possível ataque.

    Existem diversos tipos de ferramentas IDS para diferentes plataformas, mas basicamente trabalham analisando os pacotes que trafegam na rede e comparando-os com assinaturas de ataques ou anomalias conhecidas, evitando que possa ocorrer danos em sua rede/computador.

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !


ID
801586
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de criptografia e detecção de intrusão, julgue os itens
subsequentes.

Uma forma de utilização de IDS é a distribuição de sensores na rede, de maneira que cada sensor monitore um segmento de rede. Na distribuição desses sensores, deve-se considerar a impossibilidade de fazer qualquer monitoração em segmentos cujo tráfego seja sempre criptografado, como em conexões VPN.

Alternativas
Comentários
  • O IPSec, que é um dos protocolos utilizados em uma VPN para prover os requisitos de segurança, apresenta dois modos de operação: Modo transporte - o cabeçalho IPSec é inserido entre o cabeçalho IP e o cabeçalho TCP, cifrando todo o pacote a partir do cabeçalho TCP; Modo túnel - o cabeçalho IPSec é inserido antes do cabeçalho IP, cifrando todo o pacote, inclusive o cabeçalho IP. Um novo cabeçalho IP é construído, escondendo informações que permitam a análise de tráfego. Dessa forma, caso a VPN esteja utilizando IPSec em modo transporte, é possível sim realizar análise de tráfego e consequentemente o IDS conseguirá realizar a monitoração da rede.
  • O erro da questão está em "deve-se considerar a impossibilidade de fazer qualquer monitoração em segmentos cujo tráfego seja sempre criptografado", é possível monitorar o comportamento do tráfego, através de um IDS baseado em anomalia de comportamento.
  • Nem sempre os dados serão criptografados numa VPN, pode ocorrer simplesmente isolamento utilizando-se o protocolo MPLS.

  • eu acho que essa afirmacao está certa

  • achei importante o Bruno Campos expor sua opinião

  • ERRADO. Neste caso, pode-se, pois, usar um HIDS (Host-based IDS).

  • Existe uma ressalva: o HIDS (IDS baseado em Host). Eles têm a capacidade de analisar o tráfego criptografado, uma vez que ficam instalados nos hosts finais muitas vezes.


ID
814693
Banca
AOCP
Órgão
TCE-PA
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A finalidade do IDS (Intrusion Detection System) é

Alternativas
Comentários
  • Sistema de detecção de Intrusão(IDS) (PASSIVO)

    É um dispositivo que geralmente gera alertas quando observa tráfego potencialmente mal intencionado. Um IDS pode ser usado para detectar uma série de tipos de ataques, por exemplo, de (nmap), escaneamento de portas, escaneamento de pilha tcp, ataques de inundação de banda DoS, vírus, vulnerabilidade de OS e ataques de vulnerabilidades de aplicações.

  • lembrando que ele é reativo e não proativo

  • Gabarito B

    O IDS (Intrusion Detection System) é um sistema de detecção de intrusão que possibilita a coleta e o uso de informações dos diversos tipos de ataques em prol da defesa de toda uma infraestrutura de rede. Dessa forma, é possível identificar pontos ou tentativas de invasão, dando permissão para registro e possibilitando a melhoria contínua do ambiente de segurança.


    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !

  • Só pelo ingles da pra matar a questao, a pergunta deu a resposta.


ID
820063
Banca
CESGRANRIO
Órgão
CMB
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A técnica de defesa em profundidade é baseada em camadas de segurança. Um dos principais fatores dessa técnica é o perímetro de segurança que forma a borda fortificada de uma rede.

O componente do perímetro que utiliza métodos de detecção por anomalia e por assinatura para identificar tráfego malicioso na rede é o

Alternativas
Comentários
  • Sistemas de Detecção de Intrusão (SDI, ou IDS na sigla em inglês - Intrusion Detection Systems) são ferramentas que visam melhorar a segurança em um sistema computacional. Detecção de Intrusão são as técnicas utilizadas para detectar ataques ou perturbações a um sistema computacional ou rede de computadores. O SDI usa as informações coletadas do sistema monitorado (computador, rede ou segmento de rede) para detectar intrusões. Enquanto as medidas de prevenção ativamente buscam evitar que ataques aconteçam, os sistemas de detecção procuram identificar ataques pela análise passiva do tráfego da rede ou os logs do sistema. Após a detecção de um ataque, um SDI deve gerar uma resposta, que pode ser uma intervenção automatizada no sistema ou um alerta para intervenção humana.

    Especificamente para redes de computadores, têm-se os Sistemas de Detecção de Intrusão de Rede (SDIR), que utilizam informações coletadas em uma rede ou segmento de rede para identificar ataques que estejam ocorrendo ou que já tenham ocorrido. Para a análise dos dados coletados da rede, os SDIR usam principalmente a abordagem baseada em assinaturas e a abordagem baseada em anomalias, ambas apresentando suas peculiaridades e limitações.

  • Intrusion Detection System. O nome já diz.


    Claro que em alguns casos este serviço pode estar rodando no mesmo hardware do Firewall...

  • Gabarito A

    IDS (Intrusion detection System) é um sistema de detecção de Intrusão na rede que geralmente trabalha no modo passivo. O seu modo Inline é conhecido como IPS (Intrusion Prevention System) que é capaz de fazer a detecção em tempo real.

    Em outras palavras o IDS é um sistema de configurações e regras que tem como objetivo gerar alertas quando detectar pacotes que possam fazer parte de um possível ataque.

    Existem diversos tipos de ferramentas IDS para diferentes plataformas, mas basicamente trabalham analisando os pacotes que trafegam na rede e comparando-os com assinaturas de ataques ou anomalias conhecidas, evitando que possa ocorrer danos em sua rede/computador.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !


ID
837448
Banca
CESPE / CEBRASPE
Órgão
ANAC
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Considerando os conceitos de segurança em redes de comunicações, julgue os itens seguintes.

Uma das vantagens da detecção de intrusão baseada em anomalias é a eficiência na detecção, comparativamente à detecção baseada em assinaturas, uma vez que não gera grande número de alarmes falsos.

Alternativas
Comentários
  • Conceitos invertidos:

    Uma das vantagens da detecção de intrusão baseada em assinatura é a eficiência na detecção, comparativamente à detecção baseada em anomalias, uma vez que não gera grande número de alarmes falsos.

  • Ida... Anomalias geram muitos falsos positivos

  • Falso negativo = homem hétero hj em dia

    vc pensa que não é e é

  • e qual é mais eficiente ? o que só pega os "conhecidos" ou o que pega "tudo"


ID
880924
Banca
ESAF
Órgão
DNIT
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

O Host-based Intrusion Detection System (HIDS) e o Network-based Intrusion Detection System podem ser combinados para oferecer uma melhor capacidade de detecção de intrusões. O IDS que combina estes dois tipos é o:

Alternativas
Comentários
  • Quanto ao tipo, os IDS atualmente disponíveis podem ser divididos em dois grandes grupos: baseados em host (Host-based Intrusion Detection Systems –  HIDS) e baseados em rede (Network-based Intrusion Detection Systems - NIDS). Muitos dos sistemas existentes no mercado combinam estas duas formas de proteção, conseguindo deste modo uma visão muito mais abrangente da atividade dos sistemas de informação, são os IDS híbridos (Hybrid IDS), que aproveitam as melhores características do HIDS e do NIDS.
    Tecnicamente, a combinação dos diferentes tipos de IDS proporciona uma proteção mais eficiente dos sistemas de informação contra ataques realizados internamente, bem como daqueles oriundos da Internet.
  • LETRA d) Hybrid IDS

    Segundo Nakamura(2010,p.269),"O processo evolutivo que acontece com toda tecnologia levou ao desenvolvimento do IDS híbrido(Hybrid IDS), que aproveita as melhores características do HIDS(Host-Based Intrusion Detection System) e do NIDS(Network-Based Intrusion Detection System)."

    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA

  • Honeypot está dentro do assunto, mas é utilizado para enganar hackers, expondo vulnerabilidades de propósito.

    Vamos na fé.


ID
883189
Banca
CESPE / CEBRASPE
Órgão
TJ-AC
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere a redes de computadores e ferramentas para
Internet, julgue os itens subsequentes.

O IPS (Intrusion Prevention System) e o IDS (Intrusion Detection System) são ferramentas de rede que, respectivamente, protegem a rede interna de ataques externos e antivírus em cloud para Internet.

Alternativas
Comentários
  • Resposta: Errado

    O que significam as siglas IPS e IDS, no contexto de redes de computadores?

    IPS é a sigla para "Intrusion Prevention System" ou sistema de prevenção de invasão. IDS é a sigla para "Intrusion Detection System" ou sistema de detecção de invasão. Ambos são termos-chave, entre outros, no contexto de "invasão" de computadores, redes e sistemas de informação.

    Termo usado em segurança de computadores, a detecção de intrusão (ou invasão) se refere aos processos de monitoramento de atividades em computadores e redes e de análise dos eventos na busca por sinais de invasão nos sistemas relacionados.  Uma questão importante, um foco, na procura por invasões ou acessos não autorizados é alertar os profissionais de TI e os administradores de sistemas da organização para potenciais ameaças e falhas de segurança dos sistemas ou das redes.

    De modo geral, IDS é uma solução passiva de segurança ao passo que IPS é uma solução ativa de segurança. Porém, vale notar que há sistemas passivos e reativos. Em um sistema passivo, O IDS detecta uma potencial violação da segurança, registra a informação (log) e dispara um alerta. Em um sistema reativo, o IDS responde à atividade suspeita finalizando a sessão de usuário ou reprogramando o Firewall para bloquear o tráfego de rede da fonte maliciosa suspeitada.

    IPS é uma solução ativa de segurança. IPS ou sistema de prevenção de invasão é, definitivamente, o nível seguinte de tecnologia de segurança com sua capacidade para fornecer segurança em todos os níveis de sistemas, desde o núcleo do sistema operacional até os pacotes de dados da rede. O IPS provê políticas e regras para o tráfego de rede - juntamente com um IDS para emitir alertas para administradores de sistemas e redes em caso de tráfego suspeito - mas permite também que administradores executem ações relacionadas ao alerta dado. Enquanto o IDS informa sobre um potencial ataque, o IPS promove tentativas de parar o ataque. Um outro grande avanço sobre o IDS é que o IPS tem a capacidade de prevenir invasões com “assinaturas” conhecidas, mas também pode impedir alguns ataques não conhecidos, devido a sua base de dados de “comportamentos” de ataques genéricos. Visto como uma combinação de IDS e de uma “camada de aplicação Firewall” para proteção, o IPS geralmente é considerado a geração seguinte do IDS.

    Fonte: http://www.npd.ufes.br/node/87

  • IPS e IDS  são dois sistemas de detecção de intrusão. A diferença básica entre um e outro é que o primeiro (IPS) além de emitir alertas sobre uma possível intrusão é capaz de bloquear um ataque, já o IDS não tem essa capacidade, ele apenas emite alertas.
  • Intrusão -> em redes de computadores, equivale à entrada não autorizada de um computador na rede, com o objetivo de comprometer, danificar ou roubar informações.
    IDS (Intrusion Detection System) -> é um hardware ou software que monitora um sistema ou uma rede contra atividades não autorizadas. Um IDS é uma ferramenta que sabe ler e interpretar arquivos de log e tráfego de firewall, servidores e outros dispositivos de rede. Suas funções incluem monitorar, detectar a presença de atividade não autorizada e gerar de alertas.
    IPS (Intrusion Prevention System) -> é um hardware ou software que realiza alguma ação quando o IDS gera um alerta em decorrência da detecção de uma atividade não autorizada. Essas ações, têm como objetivo bloquear ataques antes que eles alcancem seu alvo. Por exemplo, bloquear o IP de origem do ataque.
  • Questão totalmente errada. IPS e IDS possuem a finalidade de detecção de tráfego malicioso com uma diferença: 

    IDS - tem comportamente passivo, ou seja, detecta e alarma apenas.
    IPS - faz o que o IDS faz, mas também pode bloquear, se necessário e configurado para isso. 
  • IPS = prevenção e ataque ! ''Pitbull''

    IDS = avisa , ''Poodle"

  • gab: E

    Os Sistemas de Detecção de Intrusão (IDS) analisam o tráfego da rede em busca de assinaturas que correspondam a ciberataques conhecidos. Os Sistemas de Prevenção de Intrusões (IPS) também analisam pacotes, mas podem impedir que esses pacotes sejam entregues com base nos tipos de ataques detectados – ajudando a interromper o ataque.

    O IDS não altera os pacotes de rede de nenhuma maneira, já o IPS impede que o pacote seja entregue com base em seu conteúdo, da mesma forma como um firewall impede o tráfego por endereço IP.

  • uma guerra de ego do car$#lho. 57 comentários sobre os "conceitos" de IPS/IDS, iguais, praticamente, e ninguém respondendo absolutamente NADA da questão.

  • Os IDS e IPS embasados em detecção por assinatura podem apresentar ocorrência de falsos-positivos, sendo mais severos os efeitos nos IPS que nos IDS.


ID
883291
Banca
CESPE / CEBRASPE
Órgão
TJ-AC
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens a seguir, a respeito de aplicativos usados no combate
a pragas virtuais.

Sistemas de prevenção à intrusão (IPS) e sistemas de detecção de intrusão (IDS) são sistemas concebidos com os mesmos propósitos. A diferença entre eles encontra-se no público-alvo. Enquanto os IPS são sistemas voltados para os usuários domésticos, os IDS focam as grandes redes corporativas.

Alternativas
Comentários
  • IDS

    Um Sistema de Detecção de Intrusão (Intrusion Detection System - IDS) é um software que automatiza o processo de detecção de intrusão.

    IPS

    Um Sistema de Prevenção de Intrusão (Intrusion Prevention System - IPS) é um software de prevenção de intrusão. Tem a capacidade de impedir possíveis incidentes.

    IDPS

    Um Sistema de Detecção e Prevenção de Intrusão (Intrusion Detection and Prevention System - IDPS) é um sistema híbrido, surgido a partir da junção dos sistemas IDS e IPS. Administradores tem a opção de desativar as funções de IPS, fazendo com que o sistema passe a funcionar apenas como IDS.

    Fonte: 
    http://www.gta.ufrj.br/grad/12_1/ids/ConceitodeIDS.html
  • QUESTÃO ERRADA

    IDS é como aqueles sensores em porta de loja, se você não colocar um segurança olhando, o meliante passa correndo o alarme dispara e nada acontece.

    IPS é como uma porta giratória de banco, se ele identificar algo suspeito ele trava.

  • O CESPE contou uma historinha para confundir. Seguem os conceitos:

    Os Intrusion Detection Systems (IDS) fazem o monitoramento de redes baseado em padrões previamente estabelecidos pelo administrador. Caso achem alguma anomalia, um aviso (trigger) é disparado para o administrador tomar alguma ação.

    Já os Intrusion Prevention Systems (IPS), estes são mais "inteligentes" que os IDS devido ao fato de tomarem ações baseado em análise heurísticas do tráfego de rede. Ou seja, eles não precisam de uma intervenção humana para que seja tomada uma ação efetiva.

    DICÃO
     
    IDS é como aqueles sensores em porta de loja, se você não colocar um segurança olhando, o meliante passa correndo o alarme dispara e nada acontece. Ao passo que, IPS é como uma porta giratória de banco, se ele identificar algo suspeito ele trava.

    Portanto, não existe essa restrição de usuário doméstico ou grandes redes corporativas. Isso é uma decisão que envolve a Política de Segurança da empresa.

    Alternativa: Errada
  • Errado! A diferença básica entre um Intrusion Detection System (IDS)

    para um Intrusion Prevention System (IPS) é que os sistemas de prevenção

    são ativos, enquanto os sistemas de detecção são passivos. Enquanto o IDS

    informa sobre um potencial ataque, o IPS promove tentativas de parar o ataque.

    Um outro grande avanço sobre o IDS é que o IPS tem a capacidade de prevenir

    invasões com “assinaturas” conhecidas, mas também pode impedir alguns

    ataques não conhecidos, devido a sua base de dados de “comportamentos” de

    ataques genéricos. Visto como uma combinação de IDS e de uma “camada de

    aplicação Firewall” para proteção, o IPS geralmente é considerado a geração

    seguinte do IDS.

  • Sim, substitua o IPS pela sua geladeira e seja feliz!

     

     

  • GABARITO: ERRADO

     

     

    Sistemas de Detecção de Intrusos (IDS) são sistemas que monitoram atividades em redes de computadores, capazes de detectar atividades suspeitas. Configura-se uma solução passiva.


    Sistemas de Prevenção de Intrusos (IPS), por sua vez, são sistemas que implementam regras e políticas para o tráfego de uma rede, capazes de prevenir e combater ataques. É uma solução ativa!

     

    ----------------------------------------------------------------------------------------------------------------------------------------------------------------------

    A diferença básica entre um Intrusion Detection System (IDS) para um Intrusion Prevention System (IPS) é que os sistemas de prevenção são ativos, enquanto os sistemas de detecção são passivos. Enquanto o IDS informa sobre um potencial ataque, o IPS promove tentativas de parar o ataque.

    Um outro grande avanço sobre o IDS é que o IPS tem a capacidade de prevenir invasões com “assinaturas” conhecidas, mas também pode impedir alguns ataques não conhecidos, devido a sua base de dados de “comportamentos” de ataques genéricos. Visto como uma combinação de IDS e de uma “camada de aplicação Firewall” para proteção, o IPS geralmente é considerado a geração seguinte do IDS.

     

     

    Prof. Victor Dalton -  Estratégia Concursos


     

  • A diferença básica entre um Intrusion Detection System (IDS) para um Intrusion Prevention System (IPS) é que os sistemas de prevenção são ativos, enquanto os sistemas de detecção são passivos. Enquanto o IDS informa sobre um potencial ataque, o IPS promove tentativas de parar o ataque. Um outro grande avanço sobre o IDS é que o IPS tem a capacidade de prevenir invasões com “assinaturas” conhecidas, mas também pode impedir alguns ataques não conhecidos, devido a sua base de dados de “comportamentos” de ataques genéricos. Visto como uma combinação de IDS e de uma “camada de aplicação Firewall” para proteção, o IPS geralmente é considerada a evolução do IDS.

    Errado!

  • Firewall (possui regras): 

    - Controle de acessos 

    - Filtro de pacotes 

    - Só ativa no cabeçalho (origem, destino) 

     

     

    IPS ou IDS – Complementam o Firewall.  

    Sistema de prevenção de intrusos e Sistema de Prevenção contra Intrusão 

    Analisam o corpo do pacote, o conteúdo. 

    Conforme regras do Firewall.   

    Analogia – Porteiro e cachorros (complementam o porteiro) vigiando a residência. Pinscher que só late e não morde.  

    IPS (ativo) – Pitbull – emite alerta e já protege. 

    IDS (passivo) – Pinscher – emite alertas (só late)

    Professor Léo Matos - Estúdio Aulas

  • IPS e IDS

    ** IDS: Sistemas de Detecção de Intrusos (IDS) são sistemas que monitoram atividades em redes de computadores, capazes de detectar atividades suspeitas. Configura-se uma solução passiva.

    ** IPS: Sistemas de Prevenção de Intrusos (IPS), por sua vez, são sistemas que implementam regras e políticas para o tráfego de uma rede, capazes de prevenir e combater ataques. É uma solução ativa!

    Os IDS podem ser classificados da seguinte forma:

    IDS baseado em host (HIDS): monitoram o sistema com base em informações de arquivos de logs ou de agentes de auditoria. Consegue detectar ataques mais simples, como os de força bruta, ou mesmo ataques criptografados, mas não identifica ataques mais sofisticados.

    IDS baseado em rede (NIDS): monitora a rede, capturando e analisando cabeçalhos e conteúdos dos pacotes, que são comparados com padrões ou assinaturas conhecidos. Como principal vantagem, está a detecção do ataque em tempo real. Por outro lado, não monitora tráfego cifrado.

    IDS híbrido: mescla a detecção baseada em rede com a detecção baseada em host, aproveitando os pontos fortes de cada abordagem e melhorando a capacidade de detecção de intrusões.

    Honeypot: o honeypot é uma ferramenta muito útil, pois pode ir além da detecção de intrusos. É uma máquina feita especialmente para sofrer ataques, passando-se por dispositivo legítimo da organização, com o objetivo de estudar o comportamento do hacker, levá-lo a uma armadilha, armar uma emboscada ou enviar informações falsas a ele.

    O comentário do(da) Colega Foco, Força e Fé completa...

    ** A diferença básica entre um Intrusion Detection System (IDS) para um Intrusion Prevention System (IPS) é que os sistemas de prevenção são ativos, enquanto os sistemas de detecção são passivos. Enquanto o IDS informa sobre um potencial ataque, o IPS promove tentativas de parar o ataque.

    ** Um outro grande avanço sobre o IDS é que o IPS tem a capacidade de prevenir invasões com “assinaturas” conhecidas, mas também pode impedir alguns ataques não conhecidos, devido a sua base de dados de “comportamentos” de ataques genéricos. Visto como uma combinação de IDS e de uma “camada de aplicação Firewall” para proteção, o IPS geralmente é considerado a geração seguinte do IDS.

    Fonte: Estratégia e outras.

    ERRO? Me avisem no CHAT!

  • (E)

    Outra que ajuda

    PF /CESPE / 2018

    Os sistemas IDS (intrusion detection system) e IPS (intrusion prevention system) utilizam metodologias similares na identificação de ataques, visto que ambos analisam o tráfego de rede em busca de assinaturas ou de conjunto de regras que possibilitem a identificação dos ataques.(C)


ID
885121
Banca
CESPE / CEBRASPE
Órgão
ANP
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito dos mecanismos de segurança da informação, julgue
os próximos itens.

Serviços de detecção de intrusos são capazes de detectar anomalias no tráfego de dados, a partir de regras previamente definidas. Também são capazes de efetuar bloqueios de tráfego, a partir de análises heurísticas.

Alternativas
Comentários
  • Os Intrusion Detection Systems (IDS) fazem o monitoramento de redes baseado em padrões previamente estabelecidos pelo administrador. Caso achem alguma anomalia, um aviso (trigger) é disparado para o administrador tomar alguma ação.

    Já os Intrusion Prevention Systems (IPS), estes são mais "inteligentes" que os IDS devido ao fato de tomarem ações baseado em análise heurísticas do tráfego de rede. Ou seja, eles não precisam de uma intervensão humana para que seja tomada uma ação efetiva.

    Sendo assim, constata-se que a questão aborda o conceito de IPS e não de IDS e por isso está errada.
  • IDS é como aqueles sensores em porta de loja, se você não colocar um segurança olhando, o meliante passa correndo o alarme dispara e nada acontece.

    IPS é como uma porta giratória de banco, se ele identificar algo suspeito ele trava.

    Bote isso na cabeça que você não erra mais nunca.

    Gab: ERRADO

  • Unindo a informação técnica de CHE com as dicas de memorização de  Edluise Costa temos uma boa resposta, no que tange concurso banca CESPE. Parabéns pelos comentários, pessoal.
  • O correto poderia ser:
    "Serviços de detecção de intrusos são capazes de detectar anomalias no tráfego de dados a partir de regras previamente definidas e a partir de análises heurísticas."

    Pois são essas as 2 técnicas usadas por esses sistemas:
    • Regras: mantém um banco de dados de regras relacionadas a atividades de intrusos. Apesar de ainda ser a técnica mais usada hoje, ela tem a desvatagem de ser  "cega" a novos ataques; ameças cujas assinaturas não estão em seus banco de dados;
    • Heurísticas: cria um perfil de tráfego observando a operação na rede, procurando por cadeias de pacotes com características incomuns. Pode detectar ataques novos que não foram documentados.
    Mais informações sobre o tema: http://www.seginfo.com.br/sistemas-de-deteccao-de-intrusoes-ids-intrusion-detection-systems-usando-unicamente-softwares-open-source/#deteccao-por-assinatura
  • Na verdade o CESPE não sabe o que é realmente um IDS...
    A banca insiste na idéia de que um IDS não pode ser capaz de realizar bloqueios de tráfego, o que é mentira.

    Existem dois tipos de IDS:
    IDS passivo: Ao detectar uma anomalia, apenas envia um "sinal" ao administrador.
    IDS reativo: Além de enviar o sinal, é capaz de executar ações para impedir o tráfego anormal.

    Só que a banca confunde esse conceito com o de IPS (Intrusion Prevent System), que na verdade possui o mesmo conceito do IDS reativo, só que o IPS executa ações para PREVENIR,  e o IDS reativo para IMPEDIR uma suposta invasão já CONCRETIZADA.


    Esse posicionamento do CESPE pode ser confirmado nas várias questões que questionam a capacidade do IDS em reagir aos ataques, como na prova do CNJ 2013
  • Na minha opinião, o erro da questão está em dizer que "serviços de detecção de intrusos são capazes de detectar anomalias no tráfego de dados, a partir de regras previamente definidas." O IDS detecta anomalias no tráfego de dados, a partir de estatísticas. O IDS detecta assinaturas a partir de um banco de dados com assinaturas de ataques, isto é, a partir de regras previamente definidas.

    Resumindo... O IDS detecta assinaturas (fácil implementação) e anomalias (difícil implementação).
    Anomalias está para 
    estatísticas; 
    Assinaturas está para regras previamente definidas.

    Ponto fraco do IDS baseado em assinaturas: Se o ataque é novo, simplesmente não haverá assinaturas para identificar o ataque. Não está no banco de dados do produto, não é ataque. 

    Concluindo... São capazes de bloquear tráfegos a partir de análises heurísticas ou assinaturas. O erro não está em dizer que o IDS bloqueia, e sim em dizer que quando bloqueia anomalias usa regras previamente definidas. 
  • Não vou explicar o IDS em si, porém pretendo desmistificar esta questão e mostrar os erros que encontrei. Separei por tópicos e partes para clarear o entendimento.

    Conforme Nakamura (2010, p.265), "[...] um sistema de detecção de intrusão (Intrusion Detection System - IDS), que tem como objetivo detectar atividades suspeitas, impróprias, incorretas ou anômalas, é um elemento importante dentro do arsenal de defesa da organização."

    Segundo Kurose(2010, p.543), "Sistemas IDS são amplamente classificados tanto como sistemas baseados em assinatura, ou sistemas baseados em anomalias. "

    Segundo Kurose(2010, p.543), "[...] sistemas IDS baseados em assinaturas [...] requerem conhecimento prévio do ataque para gerar uma assinatura precisa."

    Segundo Kurose(2010, p.543), "O mais interessante sobre sistemas IDS baseados em anomalias é que eles não recorrem a conhecimentos prévios de outros ataques."

    Conforme Nakamura (2010, p.286), "[...] no Behavior-Based Intrusion Detection, também conhecido como Anomaly Detection System (IDS baseado em anomalia) [...] a decisão é tomada por meio de uma análise estatística ou heurística, afim de encontrar possíveis mudanças de comportamento."

    Conforme Nakamura (2010, p.267), "O firewall libera conexões (ou bloqueia) e o IDS detecta, notifica e responde a tráfegos suspeitos."

    Conforme Nakamura (2010, p.268), "Após a detecção de uma tentativa de ataque pelo IDS, vários tipos de ações podem ser tomados como resposta. Alguns deles podem ser vistos a seguir:  - RECONFIGURAÇÃO DO FIREWALL."


     Uma forma de tornar a questão correta poderia ser:

    1)Serviços de detecção de intrusos são capazes de detectar tráfegos suspeitos, a partir de regras previamente definidas (com IDS baseado em assinatura) ou a partir de análises heurísticas (com IDS baseado em anomalia). Também são capazes de responder a ataques como a reconfiguração do firewall, e este podendo bloquear ou permitir conexões.

    2) Sistemas de detecção de intrusos são capazes de detectar anomalias no tráfego de dados, a partir de análises heurísticas.  Também são capazes de responder a ataques como realizar a reconfiguração do firewall, e este podendo bloquear ou permitir conexões. 


    Bibliografia:

    KUROSE, J. F.; ROSS, K. W. Redes de Computadores e a Internet: Uma Abordagem Top-Down. 5. ed. São Paulo: Pearson, 2010.
    Segurança de Redes em Ambientes Cooperativos - Nakamura, Emilio Tissato; Geus, Paulo Lício De 



  • A questão fala de Sistemas de Detecção de Intrusão (IDS), e não de Prevenção (IPS ou IDPS).

    Segundo http://www.gta.ufrj.br/grad/12_1/ids/FuncionamentobsicodeIDS.html:

    "Após detectada uma intrusão, um IDS normalmente apresenta apenas um comportamento passivo de resposta, isto é, ele apenas alerta o usuário do ocorrido, no entanto, ele pode dar uma resposta ativa (uma solução) se configurado não como um IDS mas como um IDPS."

    Para efetuar o bloqueio no tráfego (que é uma ação ativa), teria que ser um IPS/IDPS e não simplesmente um IDS.

  • o erro está em servicos. Era pra ser sistema.

  • errado - firewall bloqueia acesso.intrusion attack systems sinalizam ataques dentro da LAN e quando se originam de fora.

  • ERRADO. "... são capazes de efetuar bloqueios de tráfego, a partir de análises heurísticas...."

    Quem faz essa análise é o IPS.

  • "Serviços de DETECÇÃO" = IDS.

    IDS --> detecta e avisa. NÃO bloqueia

    IPS --> detecta e bloqueia


ID
895258
Banca
CESPE / CEBRASPE
Órgão
CNJ
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito da segurança de redes de computadores, julgue os
itens de 86 a 90.

Ferramentas de IDS (intrusion detect system) são capazes de detectar anomalias no tráfego de rede, gerar logs e reações, como regras de bloqueio do tráfego considerado anormal.

Alternativas
Comentários
  • Trecho do Livro Redes de Computadores e a Internet, 5 edição, Kurose e Ross, padinas 540 e 542.

    (..)Quando um dispositivo observa o pacote suspeito, ou uma série de pacotes suspeitos, ele impede que tais pacotes entrem naa rede organizacionaol. Ou, quando a atividade só e vista como suspeita, o dispositivo pode deixar os pacotes passarem, mas envia um alerta ao administrador de rede, que pode examinar o tráfego minuciosamente e tomar as ações necessárias. Um dispositivo que gera alertas quando observa tráfegos potencialmete mal intencionados pe chamado de sistema de decção de intrusos (IDS - Intrusion detection sustem). Um dispositivo que filtra o tráfego suspeito é chamado de sistema de prevensão de intruso (IPS - intrusion prevention system).
  • Um IDS é uma ferramenta utilizada para monitorar o tráfego da rede, detectar e alertar sobre ataques e tentativas de acessos indevidos. Na grande maioria das vezes não bloqueia uma ação, mas verifica se esta ação é ou não uma ameaça para um segmento de rede. Já o IPS tem a capacidade de identificar uma intrusão, analisar a relevância do evento/risco e bloquear determinados eventos. O IPS usa a capacidade de detecção do IDS junto com a capacidade de bloqueio de um firewall, notificando e bloqueando de forma eficaz qualquer tipo de ação suspeita ou indevida e é uma das ferramentas de segurança de maior abrangência, uma vez que seu poder de alertar e bloquear age em diversos pontos de uma arquitetura de rede.
  • Um IDS apenas emite alerta, não reagem. É como  um cachorro pequenez, ele late, late, mas não defende a casa.
    Os sistemas IPS é que são capazes de reagir a possíveis invasões. IPS é um "pit bull", ele late e arranca o braço do ladrão.
  • IDS = Ferramenta Passiva (só detecta)
    IPS = Ferramenta Ativa (detecta e reage).
  • Ah, que ótimo, agora o CESPE adota diferentes entendimentos acerca de um mesmo tema. E agora, qual resposta devo marcar? Vamos ficar sempre na linha tênue da dúvida. Eu acertei, no chute, mas é complicado...
    Segundo o professor: "(...) reprogramando o Firewall para bloquear o tráfego de rede da fonte maliciosa suspeitada.". Entendo que o comando da questão disse exatamente isso "gerar logs e reações, como regras de bloqueio do tráfego considerado anormal", pois afinal definir "regras de bloqueio" significaria "reprogramar o firewall", não? Então a questão poderia muito bem ser considerada correta? Ai meu Deus...
  • A questão é passível de recurso. Conforme já citado, existem os IDS ATIVOS que podem mudar regras do firewall e derrubar seções quando detecta uma anomalia...
  • Olá,

    Entendo que o CESPE classifica IDS como um analisador que detecta, alerta, mas não reage efetivamente contra ataques. Isto é, o IDS até pode reagir disparando alarmes aos administradores de segurança/redes, enquanto o ataque continuará afetando a máquina. Esta seria a forma PASSIVA!
    Já o IPS é classificado como um analisador e que reage EFETIVAMENTE ao ataque. Não só ele detecta, alarma, mas envia um comando ao Firewall bloquear o ataque, esse sendo, rapidamente, evitado. É assim que acontece nos appliance de mercado. Este seria a forma ATIVA DO IDS = IPS!

    É só uma questão de interpretação, isto é, o CESPE é fogo!
  • O cespe pode até adotar isso,

    Mas NAKAMURA 2007, pg 293, não. Conforme trecho a seguir:

    " Os IDS passivos, na realidade, possuem alguma forma de reação, normalmente com o envio de "TCP reset" ou enviando mensagens de reconfiguração de regras de firewall ou de roteadores"

    Se o IDS envia mensagens de reconfiguração de regras é ele que criar as regras, mas quem as aplica é o firewall.
  • Prezados,

    O conceito mais simples de ferramentas de IDS e IPS, em linhas gerais, determinam que as ferramentas de IDS ( Intrusion detection system ) apenas detectam as intrusões, enquanto as ferramentas de IPS ( Intrusion prevention system ) filtram e bloqueiam o trafego suspeito.
    Corroborando com esse conceito, temos o conceito apresentado pelo Kurose, página 542 :
    “Um dispositivo que gera alertas quando observa tráfegos potencialmente mal intencionados é chamado de sistema de detecção de intrusão (IDS, do inglês intrusion detection system ) . Um dispositivo que filtra o tráfego suspeito é chamado de sistema de prevenção de intrusão ( IPS, do inglês intrusion prevention system ) “
    Porém , os IDS´s podem também ser sub-classificados como ativos e passivos. Em um sistema passivo, o IDS detecta uma potencial violação da segurança, registra a informação e dispara um alerta, enquanto um IDS ativo ( também chamado de inline ) responde a atividade suspeita finalizando a sessão do usuário ou reprogramando o Firewall para bloquear o tráfego de rede da fonte maliciosa suspeitada.
    O próprio cespe já aceitou essa classificação e entendeu como verdade o fato do IDS também podendo atuar com bloqueio de trafego em outras provas, como TJ-ES 2011 ( Q103989 ) e STM 2011 ( Q84064 )
    Fonte :
    - Stallings, W. , Criptografia e segurança de redes , 4º edição
    - KUROSE ; ROSS, 2009
    - NAKAMURA, E. T., GEUS, P.L. Segurança de Redes em Ambientes Cooperativos. Ed. Novatec, 2007.
  • http://www.itnerante.com.br/group/seguranadainformao/forum/topics/cnj-2013-ids-cespe

  • O conceito mais simples de ferramentas de IDS e IPS, em linhas gerais, determinam que as ferramentas de IDS ( Intrusion detection system ) apenas detectam as intrusões, enquanto as ferramentas de IPS ( Intrusion prevention system ) filtram e bloqueiam o trafego suspeito.

  • ERRADO

    Dispositivo passivo que monitora a rede, detecta e alerta quando observa tráfegos potencialmente mal-intencionados, mas não os bloqueia.


ID
902317
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

O perímetro de segurança de uma rede utiliza diversos componentes que visam a proteger a empresa do tráfego de rede malicioso.

O componente responsável por farejar e analisar o tráfego da rede procurando por assinaturas que podem indicar uma atividade de reconhecimento ou tentativa de explorar uma vulnerabilidade é o

Alternativas
Comentários
  • Letra E

    O IDS utiliza da assinaturas de ameaças e invasões já detectadas para detectar novas tentativas de invasão,

  • Só uma correção, acho que o colega se referia a alternativa E.
  • Um sistema de detecção de intrusos (IDS) geralmente detecta manipulações de sistemas de computadores indesejadas, normalmente através da internet. Essas manipulações normalmente vêm de ataques de hackers.
     Um IDS é composto de diversos componentes: sensores, que geram eventos de segurança; console para monitorar eventos e alertas e controlar os sensores; e um mecanismo central que grava os eventos registrados pelo sensor na base de dados e usa um sistema de regras para gerar alertas a partir dos eventos de segurança recebidos. Umas vez que é detectado alguma intrução, alertas são enviados, e podem haver dois tipos de resposta, ativa ou passiva. Na ativa, respostas aos incidentes são geradas pelo próprio sistema, enquanto que na passiva, são gerados apenas relatórios para que o administrador venha a tomar as medidas que julgar necessárias.

    Fonte: http://www.gta.ufrj.br/grad/07_2/rodrigo_leobons/deteccao.html
  • e) Sistema de Detecção de Intrusão

    Segundo Nakamura(2010,p.266),"Um sistema de detecção de intrusão trabalha como uma câmera ou um alarme contra as intrusões, podendo realizar a detecção com base em algum tipo de conhecimento, como assinaturas de ataques, ou em desvios de comportamento,[...]"

    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA

  • Sistema de Detecção de Intrusão mais especificamente o do tipo NIDS (baseado em rede) que é o que analisa o tráfego do segmento da rede. Captura e analisa os cabeçalhos e conteúdos do pacote e os comparam com padrões e assinaturas.

  • IDS usa geralmente banco de assinaturas. Analisa o tráfego PARALELAMENTE buscando essas assinaturas e sinalizando, mas não bloqueiam.

ID
917236
Banca
ESAF
Órgão
MF
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Há diversos enfoques para um IPS – Intrusion Prevention System, um deles é baseado em

Alternativas
Comentários
  • O grande enfoque do IPS são as políticas de segurança estabelecidas, pois configurando de forma adequada, o IPS vai entender melhor quais as aplicações ou pacotes que devem ser aceitos ou quais são as ameaças possíveis.

    LETRA B

  • Temos 4 tipos de IPS:

    1. Assinatura

    2. Política

    3. Anomalia

    4. Reputação


ID
922870
Banca
FUNCAB
Órgão
CODATA
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Quando ocorre a análise do comportamento interno de uma máquina, verificando-se e eventos do sistema operacional a fim de detectar anomalias, tem-se um sistema de detecção de intrusão baseado em:

Alternativas
Comentários
  • Os sistemas de detecção de intrusão servem para indicar que alguma tentativa de intrusão foi feita no sistema. Para isso, existem dois tipos diferentes de detecção que podem ser empregados, os baseados na rede e os baseados na estação. Cada um tem uma maneira distinta de abordar o problema e o modo como isso é feito traz vantagens e desvantagens para cada tipo. Resumidamente, podemos dizer que os sistemas baseados na estação monitoram dados em uma determinada máquina, sejam eles processos, sistemas de arquivos e o uso de CPU, por exemplo; enquanto que os sistemas baseados na rede observam todo os dados trocados entre estações.


    Fonte: http://www.gta.ufrj.br/grad/03_1/sdi/sdi-2.htm



ID
927508
Banca
CESPE / CEBRASPE
Órgão
INPI
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de segurança de redes de comunicação, julgue os itens
que se seguem.

Considere que, quando operando em determinada rede, um sistema de prevenção de intrusão identifique tráfego anormal, possivelmente um ataque de negação. Nesse caso, o referido sistema é capaz de executar ações que sinalizem para o firewall efetuar o bloqueio do tráfego identificado.

Alternativas
Comentários
  • Correto.
    O IPS é capaz não só de detectar a intrusão como reagir ao intruso com contramedidas configuradas previamente.
    O IDS somente detecta o intruso e gera alertas. Não realiza nenhuma ação para eliminar o ataque.

    bons estudos.
  • CERTO

    Segundo Nakamura(2010,p.268),"Após a detecção de uma tentativa de ataque, vários tipos de ações podem ser tomados como resposta. Alguns deles podem ser vistos a seguir:

    -RECONFIGURAÇÃO DO FIREWALL"

    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA

  • esqueça seu nome mas não esqueça isto: IDS não bloqueia tráfego

     

    http://www.itnerante.com.br/group/seguranadainformao/forum/topics/cnj-2013-ids-cespe

     

    2013 - CNJ

    Ferramentas de IDS (intrusion detect system) são capazes de detectar anomalias no tráfego de rede, gerar logs e reações, como regras de bloqueio do tráfego considerado anormal.

    errada

     

     

    Ano: 2014Banca: CESPEÓrgão: TJ-SE

    A detecção de intrusão compreende medidas proativas na proteção de sistemas computacionais.

    errada

     

    2014

    A detecção de intrusão abrange formas de resposta, tais como a geração de alertas e a interrupção dos fluxos de dados maliciosos.

    certa

     

    2011 - (CESPE – TJ-ES/2011 – Analista Judiciário – Análise de Suporte – 93)

    IDS (intrusion detection system) pode ser utilizado para incrementar o trabalho do firewall e permitir que o tráfego de dados de uma rede seja monitorado para correção imediata de problemas ou falhas

    certa

  • "um sistema de prevenção de intrusão identifique..." --> O foco da questão é IPS e não IDS.

  • Imagine o sistema IDS/IPS como uma vigilância 24h e uma patrulha. Com a vigilância não é necessário esperar que algo aconteça para que a câmera seja útil.

    Os problemas podem ser evitados, pois, com a vigilância, se alguém estiver rondando a porta, a patrulha será acionada e questionará o invasor em potencial antes que o problema aconteça.

    Essa é função do IPS. Com respaldo na análise feita pelo IDS, ele reprograma o firewall automaticamente e bloqueia o endereço IP do invasor, enquanto ele ainda estiver preparando o ataque, antes que ele ocorra.

    Fonte: https://blog.starti.com.br/ids-ips/

  • GAB. CERTO

    IPS é capaz não só de detectar a intrusão como reagir ao intruso com contramedidas configuradas previamente.

    IDS somente detecta o intruso e gera alertas. Não realiza nenhuma ação para eliminar o ataque.


ID
927517
Banca
CESPE / CEBRASPE
Órgão
INPI
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de segurança de redes de comunicação, julgue os itens
que se seguem.

Um sistema de detecção de intrusão tem a função de identificar se determinado tráfego entre dois servidores ocorre sem criptografia, e é capaz de utilizar mecanismos para criptografar esse tráfego com SSL.

Alternativas
Comentários
  • Resposta errada

    A função primária do IDS é identificar acessos não autorizados em uma rede, seja ela de um cracker ou até mesmo de um funcionário mal intencionado.

    http://pt.wikipedia.org/wiki/Sistema_de_detec%C3%A7%C3%A3o_de_intrusos


  • O IDS é um sistema de detecção de intrusão, sua natureza é passiva. O IDS é capaz de detectar uma invasão, registrar logs e notificar o administrador da rede através de alertas.


    Já o IPS é um sistema de prevenção de instrusão. Este sim, é capaz de atuar preventivamente, como é o caso da questão. A medida de criptografar um canal inseguro é uma medida preventiva, com propósito de evitar um possível ataque à confidencialidade do tráfego de informação.

  • Sim, identifica tráfego sem criptografia.

    No NIDS, não detecta tráfego com criptografia.

    Não existe função de criptografar tráfego.

  • Corroborando

    PF 2012- Julgue os itens subsequentes, acerca de segurança da informação.

    Os sistemas IDS (intrusion detection system) e IPS (intrusion prevention system) utilizam metodologias similares na identificação de ataques, visto que ambos analisam o tráfego de rede em busca de assinaturas ou de conjunto de regras que possibilitem a identificação dos ataques.

    CERTO


ID
933250
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação à segurança da informação, julgue os seguintes itens.

Em uma rede de comunicação, um sistema de detecção de intrusos monitora os cabeçalhos e o campo de dados dos pacotes, a fim de detectar possíveis invasores no sistema, além de acessos que podem prejudicar o desempenho da rede. Esse processo não fica prejudicado com a implantação de criptografia, via SSL, IPSec, entre outras, como elemento de segurança nas transmissões de dados.

Alternativas
Comentários
  • Prejudica sim. Nesse caso, seria necessário fazer interceptação dos dados criptografados (“man in the middle não malicioso”).
  • Assertiva ERRADA.

    .

    .

    Se você implementar algum tipo de criptografia ponta-a-ponta, o IDS fica impossibilitado de analisar o conteúdo e cabeçalho dos pacotes para determinar se são maliciosos ou não. Por isso que a questão está errada.

    .

    Há, no entanto, uma ressalva: o HIDS (IDS baseado em Host). Eles têm a capacidade de analisar o tráfego criptografado, uma vez que ficam instalados nos hosts finais muitas vezes.

  • Para analisar pacotes e detectar possíveis ataques, é necessário que eles não

    estejam criptografados, logo o processo fica prejudicado.

    Gabarito: Errado.

  • ERRADO

    Segundo o Cespe :

    ( CESPE - 2013 - INPI )

    Um sistema de detecção de intrusão tem a função de identificar se determinado tráfego entre dois servidores ocorre sem criptografia, e é capaz de utilizar mecanismos para criptografar esse tráfego com SSL.Errado!

    ( CESPE - 2013 - Polícia Federal)

    O uso de criptografia SSL (Secure Socket Layer) como item de segurança nas transmissões de dados via Internet dificulta o monitoramento realizado por sistemas de detecção de intrusos (IDS) de redes. Uma solução para esse problema é o uso de proxies reversos, que permite retirar o processo de criptografia do servidor web e, consequentemente, possibilita ao IDS o monitoramento do tráfego.Certo!

    Proxy reverso :

    Criptografia SSL otimizada:

    Criptografar e decodificar pedidos SSL/TLS para cada cliente pode ser altamente tributário para o servidor de origem. Um proxy reverso pode assumir esta tarefa para liberar os recursos do servidor de origem para outras tarefas importantes, como servir conteúdo.

    Outra vantagem de descarregar a criptografia e descriptografia SSL/TSL é reduzir a latência para clientes que estão geograficamente distantes do servidor de origem.

  • De fato fica prejudicado, mas, nesse caso, pode-se utilizar um proxy reverso para conter tal empecilho.


ID
933253
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação à segurança da informação, julgue os seguintes itens.

Facade é um tipo de honeypot que emula serviços ao invés de disponibilizar servidores reais para serem atacados. Não pode ser usado como ponto de origem para novos ataques e também provê pouca informação sobre o ataque, pois não existem vulnerabilidades nos serviços emulados.

Alternativas
Comentários
  • Essa questão não trata de padrões de projeto de software, mas pertence ao escopo de sistemas de detecção de intrusão.


ID
934009
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de VPNs, software maliciosos e detecção de intrusão, julgue os próximos itens


A desvantagem de um IDS com análise por estado do protocolo é que a monitoração e a análise dos ataques é feita individualmente em cada pacote, desconsiderando a informação distribuída dentro de uma sessão.

Alternativas
Comentários
  • A desvantagem de um IDS com análise por estado do protocolo é que a monitoração e a análise dos ataques é feita individualmente em cada pacote, desconsiderando a informação distribuída dentro de uma sessão.

    [1] Descreveu o IDS com análise por protocolo

    [2] A análise por estado do protocolo monitora e analisa todos os eventos que acontecem dentro de uma conexão ou sessão.


ID
959983
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

No que concerne à segurança, julgue os itens subsequentes.

Falsos positivos referem-se a ataques ocorridos e que são considerados como normais por um IDS (intrusion detection system). Nesse caso, os IDSs embasados em estatísticas de anomalias conseguem gerar uma quantidade menor de falsos positivos que os fundamentados em regras, por causa do controle das ACLs (access control lists).

Alternativas
Comentários
  • Falso positivo é quando uma operação normal é considerado erroneamente como um ataque.

  • O termo "falso positivo" é utilizado para designar uma situação em que um firewall ou IDS aponta uma atividade como sendo um ataque, quando na verdade esta atividade não é um ataque. 

    Obs.: Outro caso comum de falso positivo ocorre quando o firewall não está devidamente configurado e indica como ataques respostas a solicitações feitas pelo próprio usuário.
  • ERRADO.  Essa questão possui dois grandes erros. Vou sublinhá-los e justificar conforme Nakmaura.


    1 erro)Falsos positivos referem-se a ataques ocorridos e que são considerados como normais por um IDS (intrusion detection system). 

    **Não se trata de um falso positivo, mas sim um FALSO NEGATIVO.

     Segundo Nakamura(2010,p.281),"Tráfego suspeito não detectado (falso negativo)."

    ______________________

    2 erro)Nesse caso, os IDSs embasados em estatísticas de anomalias conseguem gerar uma quantidade menor de falsos positivos que os fundamentados em regras, por causa do controle das ACLs (access control lists).

    ** É ao contrário.


    Segundo Nakamura(2010,p.286),"O Anomaly Detection System (...) pode gerar falsos negativos(quando o ataque não causa mudanças significativas na medição do tráfego) e um grande número de falsos positivos(bug no sistema de monitoramento,erro no modo de análise da medição ou falta de certeza da verificação de todo o tráfego normal). "


    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA-2010.


  • (CESPE – ABIN/2004 – Analista de Informações – Código 9 – 103)

    Em um sistema de detecção de intrusão (intrusion detection system — IDS), um falso positivo consiste em um evento em que o IDSdeixa de detectar uma intrusão que efetivamente ocorreu.

    errada

  • Saber que FALSO POSITIVO é algo NORMAL tratado como se fosse algo PERIGOSO já mata a questão.

  • se o HTTP Concurseiro acha, eu concordo

    se o HTTP Concurseiro fala, eu escuto

    se o HTTP Concurseiro erra, eu perdoo 

    se o HTTP Concurseiro pensa, eu admiro

    se o HTTP Concurseiro tem 100 fãs, eu sou um deles

    se o HTTP Concurseiro tem 10 fãs, eu sou um deles

    se o HTTP Concurseiro tem 1 fã, eu sou esse fã

    se o HTTP Concurseiro não tem fãs, eu não existo

  • GABARITO ERRADO!

    .

    .

    A QUESTÃO SE REFERE AO IDS POR ASSINATURAS PRÉ-CONFIGURADAS.

  • Falso positivo: quando há alerta mas o evento não existe (vulgo "alarme falso") presente (achou algo)

    Falso negativo: quando não há um alerta e o evento existe. Ausente (não achou nada)

  • É o contrario:

    Detecção por anomalias: identifica ações diversas das normais --> Causa muitos falsos-positivos.

  • a resposta da questão é apenas a diferenciação entre os dois tipos de IDS/IPS (por Assinatura/ por Anomalia).

    tendo os conceitos de falso positivo, era só analisar:

    • O por Assinatura contém uma base de dados, pré-definidos da composição de pacotes potencialmente maliciosos.
    • O por Anomalia pré-define um perfil de normalidade e em seguida filtra os pacotes por comportamentos discrepantes desse perfil de normalidade pré-definido.

    só usar a lógica e ver que quando um pacote não está dentro da normalidade, ele não necessariamente é um pacote potencialmente malicioso; e quando um pacote tem a ASSINATURA de um pacote potencialmente malicioso, muito dificilmente ele não o será.

    errado


ID
977734
Banca
FUNRIO
Órgão
MPOG
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Qual dispositivo usado na segurança de rede que investiga todo pacote que passa por ele, abrindo seu conteúdo e filtrando se necessário?

Alternativas
Comentários
  • De modo geral, IDS é uma solução passiva de segurança ao passo que IPS é uma solução ativa de segurança. Porém, vale notar que há sistemas passivos e reativos. Em um sistema passivo, O IDS detecta uma potencial violação da segurança, registra a informação (log) e dispara um alerta. Em um sistema reativo, o IDS responde à atividade suspeita finalizando a sessão de usuário ou reprogramando o Firewall para bloquear o tráfego de rede da fonte maliciosa suspeitada.

    IPS é uma solução ativa de segurança. IPS ou sistema de prevenção de invasão é, definitivamente, o nível seguinte de tecnologia de segurança com sua capacidade para fornecer segurança em todos os níveis de sistemas, desde o núcleo do sistema operacional até os pacotes de dados da rede. O IPS provê políticas e regras para o tráfego de rede - juntamente com um IDS para emitir alertas para administradores de sistemas e redes em caso de tráfego suspeito - mas permite também que administradores executem ações relacionadas ao alerta dado. Enquanto o IDS informa sobre um potencial ataque, o IPS promove tentativas de parar o ataque. Um outro grande avanço sobre o IDS é que o IPS tem a capacidade de prevenir invasões com “assinaturas” conhecidas, mas também pode impedir alguns ataques não conhecidos, devido a sua base de dados de “comportamentos” de ataques genéricos. Visto como uma combinação de IDS e de uma “camada de aplicação Firewall” para proteção, o IPS geralmente é considerado a geração seguinte do IDS.
    http://www.npd.ufes.br/node/87

  • Pode ser firewall também. Veja.Uma firewall  é um dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto da rede. O firewall pode ser do tipo filtros de pacotes.   Filtrar pacote significa  um conjunto de regras que analisam e filtram pacotes enviados por redes distintas de comunicação.
    O firewall statefull analisa todo o pacote(as 7 camadas, inclusive o conteúdo). fonte: http://pt.wikipedia.org/wiki/Firewall#Stateful_Firewall_.28ou_Firewall_de_Estado_de_Sess.C3.A3o.29
  • Gabarito E

     

    Sistema de Prevenção de Intrusão - tecnologia de segurança/prevenção de ameaças que examina os fluxos de tráfego de rede para detectar e prevenir exploits de vulnerabilidade. Os exploits de vulnerabilidade geralmente vêm na forma de entradas maliciosas em um aplicativo ou serviço alvo que os invasores usam para interromper e obter o controle sobre um aplicativo ou máquina.

     

    O IPS frequentemente se localiza diretamente atrás do firewall e proporciona uma camada complementar de análise que seleciona negativamente o conteúdo perigoso. Diferentemente de seu predecessor, o Sistema de Detecção de Intrusão (IDS) - que é um sistema passivo que examina o tráfego e informa sobre ameaças - o IPS é colocado em linha (no caminho de comunicação direto entre origem e destino), analisando ativamente e realizando ações automaticamente em relação a todo o fluxo de tráfego que entra na rede. Especificamente, essas ações incluem:

    https://www.paloaltonetworks.com.br/resources/learning-center/what-is-an-intrusion-prevention-system-ips.html


ID
985213
Banca
CESPE / CEBRASPE
Órgão
CPRM
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a ataques a redes de computadores, julgue os itens a seguir.


O correto posicionamento e configuração de um IDS/IPS representa uma medida eficaz na mitigação de ataques que exploram o payload de dados.

Alternativas
Comentários
  • Segundo Nakamura(2010,p.266),"Todos os tipos de detecção realizados pelo IDS dependem de alguns fatores:

    -Tipo de IDS.

    -Metodologia de Detecção.

    -Posicionamento dos sensores.

    -Localização do IDS na rede"

    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA- 2010

  • GABARITO CORRETO!

    .

    .

    A forma de implementar um IDS centralizado é usando um NIDS. As vantagens do NIDS encontram-se em analisar todo o fluxo de informações de uma rede de computadores, monitorando pacotes, serviços, portas, e requisições, bem como prover maior segurança, já que normalmente roda em uma máquina (física ou virtual) específica e configurada para aquela aplicação.

    .

    .

    https://www.gta.ufrj.br/grad/16_2/2016IDS/tipos.html

  • Payload refere-se à carga de uma transmissão de dados .

    É a parte principal dos dados transmitidos, da qual se excluem as informações utilizadas para facilitar a entrega, como cabeçalhos e metadados (conhecidos como "dados complementares") que podem conter, por exemplo, a identificação da fonte e do destino dos dados.


ID
990973
Banca
CESPE / CEBRASPE
Órgão
MS
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere a sistemas de detecção de intrusão e proteção contra software malicioso, julgue os itens subsequentes.

O sniffers, que pode ser do tipo filtro de pacotes e do tipo proxy de aplicações, é um dispositivo que tem por objetivo aplicar uma política de segurança a determinado ponto de uma rede de computadores.

Alternativas
Comentários
  • Sniffing - Ferramenta capaz de interceptar e registrar o tráfego de dados em uma rede de computadores.

  • Assertiva ERRADA. 


    Sniffing, ou "farejadores", se aproveitam de alguma vulnerabilidade para interceptar e registrar o tráfego que passa em uma rede. 
  • Cartilha CERT.BR:

    "Sniffers:  Dispositivo ou programa de computador utilizado para capturar e armazenar dados trafegando em uma rede de computadores. Pode ser usado por um invasor para capturar informações sensíveis (como senhas de usuários), em casos onde estejam sendo utilizadas conexões inseguras, ou seja, sem criptografia." Ou seja, os sniffes até podem, mas não têm o objetivo claro de aplicar uma política de segurança a determinado ponto de uma rede de computadores, como afirma a questão.

  • ERRADO.Na verdade a questão descreve o firewall.

    Segundo Nakamura(2010,p.220),"Tecnologia de firewall,que pode ser filtro de pacotes,proxy ou filtro de pacotes baseados em estados."


    Segundo Nakamura(2010,p.222),"O firewall também pode ser definido como um sistema ou um grupo de sistemas que reforça a política de controle de acesso entre duas redes e, portanto, pode ser visto como uma implementação da política de segurança."


    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA-2010.





ID
990976
Banca
CESPE / CEBRASPE
Órgão
MS
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere a sistemas de detecção de intrusão e proteção contra software malicioso, julgue os itens subsequentes.

Mediante a detecção de intrusão por assinatura, é possível detectar novas técnicas de ataques sempre que houver uma mudança no comportamento da rede de computadores.

Alternativas
Comentários
  • Detecção por Assinatura

    A Detecção por assinatura analisa as atividades do sistema procurando por eventos que correspondam a padrões pré-definidos de ataques e outras atividades maliciosas. Estes padrões são conhecidos como assinaturas e geralmente cada assinatura corresponde a um ataque. Uma desvantagem desta técnica de detecção é que ela pode detectar somente ataques conhecidos, ou seja, que estão incluídos no conjunto de assinaturas que o IDS possui, necessitando-se assim de constante atualização diante da rapidez que novos ataques surgem.


  • Agregando conhecimento...


    A questão está se referindo à detecção de intrusão por ANOMALIA:

    Detecção por Anomalias

    A detecção por anomalias parte do princípio que os ataques são ações diferentes das atividades normais de sistemas. IDS baseado em anomalias monta um perfil que representa o comportamento rotineiro de um usuário, Host e/ou conexão de rede. Estes IDS’s monitoram a rede e usam várias métricas para determinar quando os dados monitorados estão fora do normal, ou seja, desviando do perfil. Uma desvantagem é a geração de um grande número de alarmes falsos devido ao comportamento imprevisível de usuários e do próprio sistema.


    Detecção por Assinatura

    A Detecção por assinatura analisa as atividades do sistema procurando por eventos que correspondam a padrões pré-definidos de ataques e outras atividades maliciosas. Estes padrões são conhecidos como assinaturas e geralmente cada assinatura corresponde a um ataque. Uma desvantagem desta técnica de detecção é que ela pode detectar somente ataques conhecidos, ou seja, que estão incluídos no conjunto de assinaturas que o IDS possui, necessitando-se assim de constante atualização diante da rapidez que novos ataques surgem.


    http://www.seginfo.com.br/sistemas-de-deteccao-de-intrusoes-ids-intrusion-detection-systems-usando-unicamente-softwares-open-source/#formas-de-deteccao

  • Baseado em assinatura: onde existe uma lista com assinaturas de alguns vírus e esta assinatura precisa estar pré-configurada no host para que seja detectada um ataque.

    Desvantagem desta técnica: é que ela pode detectar somente ataques conhecidos, ou seja, que estão incluídos no conjunto de assinaturas que o IDS possui, necessitando-se assim de constante atualização diante da rapidez que novos ataques surgem.

  • GABARITO ERRADO!

    .

    .

    A QUESTÃO SE TRATA DO NIDS POR ANÁLISE HEURÍSTICA.

  • Gabarito: errado

    (CESPE-TJSE-2014)A identificação de padrões por assinatura está associada à detecção de intrusão, ao passo que a identificação por anomalias comportamentais está associada aos antivírus.(CERTO)


ID
990979
Banca
CESPE / CEBRASPE
Órgão
MS
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere a sistemas de detecção de intrusão e proteção contra software malicioso, julgue os itens subsequentes.

O uso de um programa do tipo keylogger permite a captura e o armazenamento de teclas digitadas pelo usuário no teclado do computador, bem como a captura de senhas bancárias ou números de cartões de crédito e a recuperação de informações, em caso de perda de energia elétrica.

Alternativas
Comentários
  • recuperação de informações? alguém sabe explicar isso por favor ?

  • Em caso de perda de energia elétrica?

  • Essa o CESPE tirou do wikipédia, kkkkkkkkk

    Saca só:

    "Os programas do tipo key logger também podem ser usados de maneira não fraudulenta, por exemplo quando um usuário instala o key logger em seu próprio computador particular e tem o hábito de digitar textos compridos, como livros, teses e dissertações. Caso haja perda de energia elétrica, ao se reiniciar o computador, o usuário tem a oportunidade de recuperar todas as teclas digitadas até quase o exato momento em que o seu computador foi desligado repentinamente. Alguns programas key loggers editam e salvam o LOG de dados a cada tecla digitada, o que aos olhos mais aguçados, pode ser percebida uma lentidão de até um décimo de segundo no intervalo entre duas teclas. Alguns outros programas key loggers ativam o acesso e o salvamento do arquivo LOG a cada pacote de dez ou vinte teclas digitadas. Há programas key loggers que podem ter o pacote de teclas configurado. Portanto vários destes programas são boas alternativas se comparados ao salvamento automático de editores de textos. Estes salvamentos automáticos normalmente são configurados para cada cinco minutos, quando o usuário já digitou algumas centenas de teclas, ou no mínimo um minuto, quando o usuário já digitou dezenas de teclas."


    fonte: http://pt.wikipedia.org/wiki/Keylogger

  • Danadinho o CESPE, copiando Wikipedia e nem verificando o que acabou de dar Ctrl+C e Ctrl+V.

    Existe o certo, o errado, e a resposta do CESPE. Lamentemos.

  • Hummm preciso dar uma verificada nessa CESPE com essas questões malvadinhas e má formuladas.... vou falar com o gilmar...

  • Tá de brincadeira uma questão dessa!

  •  ...em caso de perda de energia elétrica.

    misericodia kkk

  • Creio que a questão quis se referir ao registro das teclas, que é feito no momento em que a tecla é utilizada. Logo, se tiver uma queda de energia, o registro continua la, podendo ser verificado ao voltar a energia. Tipo um backup.
  • ' tô começando achar que mais maliciosos que esses malwares é a cespe com essas questões mirabolantes...

    #DEUSÉMAIS...

  • Palhaçada.

  • Eu que perdi minha energia tentando entender o final desta questão.

  • esse Keylogger faz backup agr? sabia não. Nem nem no livro do Tanebal ele cita isso

  • Bah! Essa questão é pra quem já usou Keylogger..

    O Keylogger grava todas informações que o usuário digita no computador.

    Então, se o usuário está usando o "notepad" para escrever um texto e nesse momento o Keylogger está ativo, ele está gravando todas informações. Quando religar o computador, o Keylogger que estava gravando as informações vai ter tudo ali, salvo!

    Lembrando que o Keylogger nem sempre é usado para fins maldosos.

  • É um tipo de questão que revolta quem está estudando sério.

  • QUESTÃO CERTO

  • Key = Tecla

    Keylogger = Captura da TECLA

  • A JUSTIFICATIVA DO WIKIPÉDIA É PLAUSÍVEL. ALÉM DO MAIS ESSA FONTE TEM REFÊRENCIA BIBLIOGRÁFICA.

  • Danadinho o CESPE, copiando Wikipedia e nem verificando o que acabou de dar Ctrl+C e Ctrl+V.

    Existe o certo, o errado, e a resposta do CESPE. Lamentemos.

    -Nishimura

  • os keyloggers nem sempre têm fins maldosos, o nome de quem tem sempre fins maldosos é banca de concurso!


ID
1015954
Banca
Marinha
Órgão
CAP
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Um sistema cuja função é detectar atividades maliciosas ou anômalas é chamado de:

Alternativas
Comentários
  • Gabarito B

    Um IDS e IPS, acrônimos para Intrusion Detection System ou Sistema de Detecção de Intrusão e Intrusion Prevention System ou Sistema de Prevenção de Intrusão respectivamente, são sistemas que tem por função detectar e prevenir os acessos não autorizados às redes ou hosts de uma ou mais redes, sendo portanto grandes aliados dos(as) administradores(as) de redes na manutenção da segurança dos ambientes por eles(as) controlados.

    Estes sistemas podem ser implementados com a utilização de hardwares dedicados à estas funções, ou através da instalação de softwares com esta função em hardwares já existentes na rede, como uma switch, um roteador, ou mesmo em um ou vários servidores ou desktops. Dependendo de suas localizações na rede, eles possuem designações diferentes, assim como métodos ou arquiteturas de verificação e proteção diferentes, sendo considerados de tipos diferentes.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !


ID
1022269
Banca
IBFC
Órgão
PC-RJ
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Quanto a Segurança da Informação precisamos agir continuamente para combater aos constantes ataques de hackers e crackers que podem causar vários danos aos computadores. Dentre os meios técnicos que auxiliam na proteção de uma rede de computadores à ação de hackers e crackers, inclui-se o:

Alternativas
Comentários
  •   A maioria dos IDS comerciais é baseada em rede. Os IDS baseados em rede analisam pacotes de dados que trafegam pela rede. Esses pacotes são examinados e algumas vezes comparados com dados empíricos para verificar a sua natureza: maliciosa ou benigna. Pelo fato de serem responsáveis pelo monitoramento da rede, ao invés de uma simples estação, os IDS de rede tem a tendência de serem mais distribuídos do que os IDS baseados em estação. Softwares, ou em alguns casos aparelhos de hardware, residem em um ou mais sistemas conectados numa rede, e são usados para analisar dados, como pacotes de rede. Ao invés de analisar informação que reside e é originada em um computador, IDS de rede usa técnicas como “packet-sniffing”, para pegar dados do TCP/IP ou pacotes de outros protocolos passando sozinhos pela rede. Essa vigilância das conexões entre computadores faz com que IDS de rede sejam ótimos em detectar tentativas de acesso por fora da rede confiável. Os IDS baseados em rede normalmente consistem em um conjunto de sensores implantado em diversas partes da rede, monitorando o trafego, realizando analises e relatando ataques a uma central. Em geral, IDS de rede são melhores em detectar as seguintes atividades:
                - Acesso desautorizado de fora: quando um usuário desautorizado loga com sucesso, ou tenta logar, são melhores monitorados por IDS de estação. Entretanto, detectar usuários desautorizados antes da tentativa de log is melhor realizado por IDS de rede;
                - Denial of Service ( Negação de Serviço ): os pacotes que iniciam esses ataques podem melhor ser percebidos com o uso de IDS de rede;
    ·
    Vantagens do IDS baseado em rede:
                - Com um bom posicionamento, pode haver apenas poucos IDS instalados para monitorar uma rede grande;
                - Um pequeno impacto é provocado na rede com a instalação desses IDS, pois são passivos, e não interferem no funcionamento da rede;
                - Difíceis de serem percebidos por atacantes e com grande segurança contra ataques; ·

    Desvantagens do IDS baseado em rede:
                - Podem falhar em reconhecer um ataque em um momento de trafego intenso;
                - Em redes mais modernas baseadas em switches, algumas das vantagens desse tipo de IDS não se aplicam;
                - Não conseguem analisar informações criptografadas, sendo um grande problema, visto que muitos atacantes utilizam criptografia em suas invasões;
                - Grande parte não pode informar se o ataque foi ou não bem sucedido, podendo apenas alertar quando o ataque foi iniciado.
  • Gabarito C

    Um IDS e IPS, acrônimos para Intrusion Detection System ou Sistema de Detecção de Intrusão e Intrusion Prevention System ou Sistema de Prevenção de Intrusão respectivamente, são sistemas que tem por função detectar e prevenir os acessos não autorizados às redes ou hosts de uma ou mais redes, sendo portanto grandes aliados dos(as) administradores(as) de redes na manutenção da segurança dos ambientes por eles(as) controlados.

    Estes sistemas podem ser implementados com a utilização de hardwares dedicados à estas funções, ou através da instalação de softwares com esta função em hardwares já existentes na rede, como uma switch, um roteador, ou mesmo em um ou vários servidores ou desktops. Dependendo de suas localizações na rede, eles possuem designações diferentes, assim como métodos ou arquiteturas de verificação e proteção diferentes, sendo considerados de tipos diferentes.

    Por exemplo, um conjunto IDS/IPS instalado em um computador ou servidor é considerado do tipo HIDS/HIPS, ou seja, Host Intrusion Detection System/Host Intrusion Prevention System, que significam Sistema de Detecção de Intrusão baseado em Host/Sistema de Prevenção de Intrusão baseado em Host, assim chamados por atuarem na detecção e prevenção de intrusões com base no comportamento e no histórico do tráfego de dados do computador no qual está instalado. Neste tipo de instalação, podemos encontrar uma sub-categoria conhecida por Honeypot, que é aquela em que o computador no qual este sistema está instalado tem a finalidade de permitir o acesso do(o) invasor(a) a um ambiente controlado, para que assim o(a) administrador(a) da rede possa estudar a forma como o atacante agiu, além de observar seu comportamento e intenções após a suposta obtenção deste acesso à rede.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • ...Olha o Ibsen fazendo escola....kkkk...(Comentário do Leandro Rangel)

  • Gabarito: C

    IDS: trata-se de um dispositivo passivo que monitora a rede, detecta e alerta quando observa tráfegos potencialmente mal-intencionados, mas não os bloqueia.

    IPS: trata-se de um dispositivo reativo ou proativo que monitora a rede, detecta e bloqueia quando observa tráfegos potencialmente mal intencionados.

    O IPS executa tudo o que o IDS executa, mas vai além - ele não só envia um alerta, ele age para impedir o ataque.


ID
1043776
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens que se seguem, relativos aos mecanismos de proteção de redes de comunicação.


Apesar de dispor de grande granularidade na identificação de datagramas com conteúdo malicioso, os sistemas de prevenção de intrusão necessitam de configuração adequada para evitar falsos- cpositivos.

Alternativas
Comentários
  • Correto.
    As exceções poderão ser adicionadas na lista de configuração do sistema de prevenção de intrusão, exatamente para evitar o bloqueio de falsos positivos.
  • Assertiva CORRETA. 


    Quer um exemplo de um falso positivo? Cole este texto em um arquivo e salve-o, seu antivírus o identificará como vírus apesar do conteúdo ser inofensivo:



    X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*


    (Pode fazer isso à vontade, esse código é inofensivo).FONTE: http://pt.wikipedia.org/wiki/EICAR_(arquivo_de_teste)
  • Especialmente quando se tratar de IPS baseados em comportamento (anomalia). Nesses casos, um perfil de usuário pode ser configurado e para isso se exige a captação de muita informação sobre comportamentos e padrões. Caso contrário, requisições válidas serão tratadas como possíveis ataques ou vulnerabilidades, causando falsos-positivos.


ID
1045327
Banca
CESPE / CEBRASPE
Órgão
UNIPAMPA
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere à segurança de sistemas, julgue os itens que se seguem.

Ao atuar em uma rede como NIDS (Network IDS), uma ferramenta de IDS (Intrusion Detect System) utiliza recurso de sniffer, colocando a interface de rede em modo promíscuo para que seja possível capturar todos os pacotes que chegam a essa interface.

Alternativas
Comentários
  • CERTO.

    Segundo Nakamura(2010,p. 273),"Uma característica importante do NIDS é sua capacidade de detectar ataques na rede em 'tempo real'. Como o sensor atua em modo promíscuo no mesmo segmento de rede atacado,por exemplo, ele pode capturar pacotes referentes ao ataque, analisar e responder ao ataque praticamente ao mesmo tempo em que o servidor é atacado."

    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA- 2010

  • GABARITO CORRETO!

    .

    .

    As placas ethernet sempre recebem toda a atividade de rede do seu segmento (tráfego não isolado por bridges ou switches). O chip que trata o protocolo ethernet CSMA/CD (Carrier Sense, Multiple Access with Colision Detection) na placa de rede verifica se o endereço destino é igual ao configurado para a placa. Se for, o pacote é repassado para o driver de rede. Senão, o pacote é simplesmente descartado.

    No modo promíscuo, desliga-se esta seleção de pacotes, e portanto TODOS eles são repassados para o driver de rede. Logo, um programa que acesse as funções do driver de rede (ou da placa de rede) diretamente pode coletar todo o tráfego do segmento, desde que a placa de rede suporte modo promíscuo e o driver de rede do sistema operacional utilizado ofereça funções de API para colocar a placa em modo promíscuo. 

  • NIDS--> Network( monitora trafego de rede )

    HIDS--> Host ( atua em um único host)

  • Promíscuo = em que se confundem elementos heterogêneos; misturado, baralhado, confuso.

  • Nakamura classifica dois tipos primários de IDS, que são:

    • Sistemas de Detecção de Intrusão Baseado em Rede (NIDS)
    • Sistemas de Detecção de Intrusão Baseado em Host (HIDS)

    Assim, o IDS (híbrido) abrange características dos dois.

    (CESPE) Um sistema de detecção de intrusão (intrusion detection system – IDS) consegue detectar comportamentos maliciosos tanto em computadores individuais quanto em redes de computadores. (CERTO)

    Ainda segundo o referido autor, NIDS monitora o tráfego do segmento de rede no qual está inserido, com sua interface de rede atuando em modo promíscuo.

    (CESPE) Ao atuar em uma rede como NIDS (Network IDS), uma ferramenta de IDS (Intrusion Detect System) utiliza recurso de sniffer, colocando a interface de rede em modo promíscuo para que seja possível capturar todos os pacotes que chegam a essa interface. (CERTO)

    Uma das desvantagens do NIDS é a análise do tráfego criptografado, o que não ocorre com o HIDS. 

    (CESPE) Uma ferramenta de trabalho como o HIDS (host intrusion detection system) tem capacidade de capturar todo o tráfego de uma rede, o que permite a análise de possíveis ataques a essa rede. (ERRADO, seria o NIDS)

    O HIDS apresenta problema de escalabilidade, faz análise de um Host. 

    Acrescentado um pouco mais 

    IDS detecta

    IPS detecta e bloqueia

    (CESPE) O dispositivo de IPS (do inglês intrusion prevention system) utilizado em redes corporativas tem como objetivo bloquear ataques a partir da identificação de assinaturas e(ou) anomalias. (CERTO)

    Também é dividido, no caso em HIPS e NIPS. 


ID
1047205
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens subsequentes, com relação a filtro de conteúdo web e prevenção à intrusão.

Os filtros de conteúdo web trabalham com base em listas de negação criadas por cada empresa a partir de estatísticas de uso da Internet pelos seus usuários internos.

Alternativas
Comentários
  • o erro da questão é em dizer que a base dos filtros de conteúdo web são listas de negação criadas por empresa. O certo seria combase em relatórios de acesso de usuários.
  • Basicamente esses filtros capturam as palavras dentro de pacotes de dados e comparam com palavras-chave de listas de negação (blacklists) e listas de liberação (whitelists) de acesso. Se há uma palavra-chave numa das listas ele permite ou nega acesso a informação. Existem listas intermediarias (greylists) que liberam acesso vindos de um determinado grupo de origem de requisição e nega para outrem.

  • Questões desse naipe ficam a critério do examinador, ele pode considerar certo, por ser a forma mais usual de se configurar um filtro de conteúdo, bem como, considerar errado, por haver configuração feitas pelo usuário, ocorre mais trabalho, mas é possível. O que faltou na questão para não deixa-la tão dúbia, foi termos como "somente, unicamente ou pode".

    Por fim, dizer que os filtros de conteúdo web trabalham com base em listas de negação criadas por cada empresa a partir de estatísticas de uso da Internet pelos seus usuários internos, não a torna errada, porque isso também é possível.  

  • edilson, errei a questão pensando que nem você. Ao analisar a questão com calma, de fato ela está errada por falar em negação. A assertiva estaria correta se estivesse escrita como: "Os filtros de conteúdo web trabalham com base em listas de classificação criadas por cada empresa a partir de estatísticas de uso da Internet pelos seus usuários internos."


    A autorização (ou negação) de acesso é feita pelo cliente de acordo com suas políticas internas. É o caso de liberar ou não acesso a streaming de vídeo (a.k.a. Youtube) ou mídias sociais. O filtro de conteúdo categoriza ambas, mas o bloqueio é feito a critério da organização.

  • Caracas, vendo vocês comentando vejo que viajei pra acertar a questão.

    Marquei errado por achar que seria mais fácil a empresa implementar uma lista branca, ou seja, apenas liberar o que é necessário ao serviço, em vez de precisar fazer pesquisas com funcionário, etc.

  • Gente, basta pensar em um proxy web, mas Acls. Elas sao criadas baseadas em políticas, e nao por estatísticas.

ID
1047208
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens subsequentes, com relação a filtro de conteúdo web e prevenção à intrusão.

Para a prevenção de ataques do tipo DDoS (negação de serviço distribuída), pode-se utilizar um IPS (sistema de prevenção de intrusão) do tipo NBA (análise de comportamento de rede)

Alternativas
Comentários
  • Sistemas de Prevenção de Intrusão - IPS: São aparelhos que monitoram o tráfego e atividades maliciosas na rede. As principais funções dos sistemas de prevenção de intrusão são identificar atividades maliciosas, registrar informações sobre as atividades, tentativas de invasões, entre outras. Sistemas de prevenção de intrusão são considerados extensões dos sistemas de detecção de intrusão, porque ajudam a monitorar e alertar toda e qualquer tentativa de ataque e/ou ações maliciosas numa rede. A diferença é que, um sistema de prevenção pode bloquear as invasões que são detectadas. Para deixar bem claro, um IPS pode tomar determinadas ações mais enérgicas, enviando alarmes, redefinindo as conexões e bloqueando o tráfego a partir de um endereço IP ofensivo e malicioso. Além disso, um IPS pode corrigir erros de CRC, fluxo de pacotes e evitar problemas de TCP e limpar opções indesejadas na camada de rede.


    Análise de Comportamento da Rede - NBA: Analisa o tráfego na rede com o objetivo de identificar ameaças que geram fluxos de tráfego incomum, como negação de serviço distribuída (DDoS), alguns tipos de malwares, e violações das políticas de segurança.

    *Fonte: http://serggom.blogspot.com.br/2012/01/intrusion-detection-system-ids.html

  • NBA youngboy

  • GABARITO CORRETO!

    .

    .

    ACRESCENTANDO:

    Os IPS e IDS são mecanismos que podem impedir ataque DDoS.

    CESPE: Apesar de dispor de grande granularidade na identificação de datagramas com conteúdo malicioso, os sistemas de prevenção de intrusão necessitam de configuração adequada para evitar falsos-positivos.

  • Gabarito: Certo ✔☠♠️⚖☕

    Intrusion Prevention System (IPS)

    Do Português - Sistema de Prevenção de Intrusos - é uma solução tecnológica que atua na precaução e no combate de ameaças em ambientes de redes, de forma mais consistente que seus antecessor: o Intrusion Detection System - IDS (Sistema de detecção de intrusos. Enquanto o IDS é considerada uma solução passiva, o IPS é uma solução ativa.

    (CESPE, 2018) O dispositivo de IPS (do inglês intrusion prevention system) utilizado em redes corporativas tem como objetivo bloquear ataques a partir da identificação de assinaturas e(ou) anomalias.(CERTO)

  • IPS NBA = Metaforando


ID
1109971
Banca
VUNESP
Órgão
EMPLASA
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Existem diversos recursos que podem ser utilizados para aumentar a segurança em sistemas de informação. Para detectar as invasões nesses sistemas, pode-se utilizar um IDS (Sistema de Detecção de Intrusão) ou o recurso denominado.

Alternativas
Comentários
  • Honeypot

    -Funcionam como armadilhas para os crackers.

    -Não contém dados ou informações importantes para a organização.

    -Seu único propósito é passar-se por um equipamento legítimo da organização.

    -É configurado para interagir como o atacante.

    -Detalhes de ataques podem ser capturados e estudados.


  • A - trap: Significa nada na informática. Pode ate ser uma operação do SNMP, mas aqui não está especificado

    B - bridge: Dispositivo que conecta fisicamente duas redes, e passa quatros ethernet de um lado a outro sem ligar para quem é o destinatário

    C - switch: Dispositivo de comutação de quadros ethernet que é "mais espertinho" e sabe pra quem entregar

    D - gateway: Endereço de uma rede que é o destino para as redes desconhecidas para aquele host. Entrega pro gateway que ele "se vira" em mandar para frente utilizando protocolos de roteamento ou rotas estáticas por ele conhecidas.

    e - honeypot: Opção certa. Se passa por software legítimo com falhas de segurança fictícias para ludibriar atacantes.

  • Gabarito E

    HoneyPot (tradução livre para o português, Pote de Mel) é uma ferramenta que tem a função de propositalmente simular falhas de segurança de um sistema e colher informações sobre o invasor. É um espécie de armadilha para invasores. O HoneyPot não oferece nenhum tipo de proteção.

     

    Honeypots de pesquisa: acumular o máximo de informações dos Invasores e suas ferramentas – Grau alto de comprometimento – Redes externas ou sem ligação com rede principal.

    Honeypots de produção: diminuir risco – Elemento de distração ou dispersão.

     

    Baixa Interatividade : Serviços Falsos – Listener TCP/UDP – Respostas Falsas

    Média Interatividade:Ambiente falso – Cria uma ilusão de domínio da máquina

    Alta Interatividade: SO com serviços comprometidos – Não perceptível ao atacante

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Questão: E

    Honeypot é um servidor que possui a finalidade de simular falhas para colher informações do invasor e técnicas utilizada por ele.


ID
1139404
Banca
Prefeitura do Rio de Janeiro - RJ
Órgão
TCM-RJ
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

O sistema de detecção de intrusão (IDS) é um componente essencial em um ambiente cooperativo, por sua capacidade de detectar diversos ataques e intrusões. O IDS, que pode ser de vários tipos, deve ter sua localização definida com cuidado. O tipo HIDS (sistema de detecção de intrusão baseado em host) apresenta, como um de seus pontos fortes, a:

Alternativas
Comentários
  • Gabarito: E.

     

    Por ser baseado em host, uma das características do HIDS (Host IDS) é a independência da topologia de rede e a dependência do SO.

    Já o NIDS (Network IDS), por ser baseado em rede, possui dependência da topologia de rede e independência do SO.


ID
1159594
Banca
CESPE / CEBRASPE
Órgão
TJ-CE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

No que diz respeito aos sistemas de detecção de intrusão (IDS), assinale a opção correta.

Alternativas
Comentários
  • ALTERNATIVA C)

     

    Para detecção de intrusão o IDS (Intrusion Detection Systems – Sistemas de Detecção de Intrusos) é a ferramenta utilizada. IDS são sistemas de detecção de intrusos, que têm por finalidade detectar atividades incorretas, maliciosas ou anômalas, em tempo real, permitindo que algumas ações sejam tomadas. O IDS procura por ataques já catalogados e registrados, podendo, em alguns casos, fazer análise comportamental do sistema.
    Geram logs para casos de tentativas de ataques e para casos em que um ataque teve sucesso.
    • Assim como os firewalls, os IDSs também podem gerar falsos positivos (Uma situação em que o firewall ou IDS aponta uma atividade como sendo um ataque, quando na verdade não é).

     

    Fonte: Professora Patrícia Quintão

  • Alternativa C!

    O IDS tem um subconjunto chamado de HIDS (Host Intrusion Detection System) esse tipo de IDS é baseado no host onde está hospedado, sendo possível realizar a instalação em servidores.
    Nesse classe de IDS tem o propósito de examinar ações específicas com base nos hospedeiros, como por exemplo os arquivos que são acessados, aplicativos utilizados, ou informações de logs.

    Fonte: https://www.gta.ufrj.br/grad/16_2/2016IDS/tipos.html

     

  • GABARITO C!

    .

    .

    ACRESCENTANDO:

    IDS PODE UTILIZAR DUAS FORMAS DE MONITORAMENTO.

    POR ANOMALIAS: UTILIZANDO ESTATÍSTICA, HEURÍSTICA ETC. NESSE MODO, O IDS É MAIS SUSCETÍVEL A FALSOS POSITIVOS.

    POR ASSINATURA: UTILIZA UMA LISTA DE ASSINATURAS PRÉ-CONFIGURADAS.

  • Segundo Nakamura (2007, p. 271): "O HIDS pode verificar o sucesso ou a falha de um ataque, com base nos registros (logs) do sistema". 


ID
1214065
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de controle de acesso e certificação digital, julgue os itens a seguir.

Um dispositivo do tipo IDS (intrusion detection system) atua com proatividade, prevendo ataques e antecipando-se a explorações de vulnerabilidades, a partir de assinaturas frequentemente atualizadas.

Alternativas
Comentários
  • quem atua de forma proativa é o IPS!!  o IDS, conjunto de hardware e software, apenas monitora o meio para verificar a presença de pacotes não compatíveis com a política de segurança adotada, procurando por intrusos ou até mesmo sniffing!! já o IPS detecta e previne atuando em conjunto com o firewall para bloquear pacotes ilegitimos. Visto como uma extensão do firewall, o IPS possibilita decisões de acesso baseadas no conteúdo da aplicação - e não apenas no endereço IP ou em portas, como os firewalls  tradicionais trabalham. Entretanto, nada impede que, para otimizar a performance, muitos IPS utilizem regras baseadas em portas e endereço IP.

  • IPS - Prevention = Proativo

  • Que bom que, ultimamente, a maioria das bancas está considerando o IDS como passivo e o IPS como proativo. Já vi algumas questões polêmicas relacionadas a esse assunto, justamente por não haver consenso nessas definições.

     

    Vamos na fé.

  • Errado

    O IDS é passivo, ele somente detecta o intruso e avisa o usuário da maquina, este sim irá bloquear ou não o intruso.

  • Errei por conta do proatividade, não se esqueça, IDS é PASSIVO

  • Um IDS passivo é projetado para detectar ameaças e informar ao administrador da rede sobre a atividade maliciosa detectada. O sistema de prevenção de intrusão (em inglês, Intrusion Prevention System - IPS), por outro lado, representa o comportamento de um IDS ativo (PROATIVO), ou seja, é projetado com o objetivo de bloquear automaticamente a atividade maliciosa, seja por configuração de firewalls e comutadores ou outras técnicas, como encerramento de conexão via envio de pacotes reset

    GAB E

  • IDS é passivo e IPS é proativo!

  • IPS -> Prevention -> Proativo

     IDS é PASSIVO

  • Gabarito: errado

    Diferenças entre IDS e IPS:

    (CESPE 2018) O dispositivo de IPS (do inglês intrusion prevention system) utilizado em redes corporativas tem como objetivo bloquear ataques a partir da identificação de assinaturas e(ou) anomalias. (CERTO)

    (CESPE/2016/FUB)Ferramentas IDS podem trabalhar simplesmente emitindo alertas de tentativa de invasão ou aplicando ações com a finalidade de contra-atacar a tentativa de invasão.(CERTO)

    (CESPE 2018) Um sistema de detecção de intrusão (intrusion detection system – IDS) consegue detectar comportamentos maliciosos tanto em computadores individuais quanto em redes de computadores. (CERTO)

  • IDS ⇢ DETECTA

    NÃO é PROATIVO

    É um Pinscher

    IPS ⇢ PREVINE (DETECTA E ATACA)

    É PROATIVO

    ▶ É um PITBULL


ID
1217584
Banca
VUNESP
Órgão
DESENVOLVESP
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Novos vírus de computador surgem com frequência, podendo não ser detectados pelos programas antivírus convencionais. Alguns programas antivírus incorporam um método de descoberta de vírus que monitora constantemente as atividades do computador e entra em ação quando algum programa tenta modificar configurações do sistema ou arquivos importantes. Esse tipo de método de identificação de vírus é denominado

Alternativas
Comentários
  • Heurística, é o nome dado a técnica capaz de detectar comportamentos característicos de uma ação maliciosa/viral. Este recurso/técnica pode ter um grande ou pequeno importância dentro da aplicação; também conhecida como “heuristic engine”, ela é a grande culpada por deixar um computador novinho em folha, igual a uma carroça.


    fonte: http://fabiojanio.com/?p=305

  • Essa questão dá uma definição bem ruinzinha de heurística.

  • Detecção Heurística

    Há duas formas de heurística: estática e dinâmica.

    Na heurística estática, o arquivo é analisado a procura não de assinaturas conhecidas, mas de padrões de código suspeitos e utilizados em vírus. Uma sequência de NOPs (instrução de no operation) ou loops que não fazem nada útil, por exemplo, são bastante comuns em vírus polimórficos.

    Na heurística dinâmica, o código é executado por algum tempo em um emulador. Depois desse tempo, o código é analisado novamente. Essa técnica serve para detectar vírus polimórficos utilizando novos métodos de empacotamento.

     

    https://seginfo.com.br/2010/09/19/os-antivirus-funcionam-2/

  • Gabarito A

    É a análise do comportamento e das características de determinados arquivos para detectar prováveis infecções sem que tenha uma informação anterior sobre o vírus.

     

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Assertiva A

    Esse tipo de método de identificação de vírus é denominado análise heurística.

    Nem sei o que é análise heurística.

    Grava assim:

    vírus heurísticos são aqueles que ainda não consta na base de dados do antivírus, mas que são detectados em decorrência de seu comportamento


ID
1226866
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de detecção de intrusão e de proteção contra softwares maliciosos, julgue os itens que se seguem.

A identificação de padrões por assinatura está associada à detecção de intrusão, ao passo que a identificação por anomalias comportamentais está associada aos antivírus.

Alternativas
Comentários
  • Estranho, normalmente quem usa assinatura são os antivirus e anomalias de comportamentos (rede) são detectadas pelos IPS e IDS.

  • Alguém explicar melhor essa questão? Alguém sabe de onde o examinador tirou essa questão?

  • Também achei que estava certa



    Ano: 2015
    Banca: CESPE
    Órgão: DEPEN
    Prova: Agente Penitenciário Federal - Área 7




    Com relação a segurança da informação, chaves assimétricas, sistemas de detecção de intrusão e software malicioso, julgue o item subsecutivo.


    Um sistema de detecção de intrusão de rede que se baseia em assinatura necessita que sejam carregados os padrões de assinatura de ataques, como, por exemplo, o padrão de comunicação de um determinado vírus de computador.



    certa

  • Essa questão não pode estar certa, absurdo. Os antivirus trabalham com assinaturas conhecidas, e não com anomalias, quando eles varrem o sistema em busca de virus eles estão procurando arquivos que possuam uma determinada assinatura conhecida de virus já identificados.

  • ERRADO ERRADO ERRADO ERRADO.

    Eu também discordo desta questão. AMBOS ELEMENTOS, PARA TOMAR DECISÕES, PODEM USAR TANTO ANÁLISES DE ANOMALIA QUANTO ASSINATURAS. MAS EM GERAL ANTIVÍRUS ADOTAM O USO DE ASSINATURAS. DA FORMA QUE VEIO ESCRITO NA QUESTÃO, NÃO HÁ OPORTUNIDADES PARA OUTRAS OPÇÕES PARA ENCONTRAR AÇÕES MALICIOSAS POR CADA FERRAMENTA DE SEGURANÇA, O QUE ESTÁ INCORRETO.

  • Conceitos invertidos. Gabarito errado. Faltou recurso.

  • Tem muita questão polêmica nesse assunto, complicado.

  • Achei que a questão inverteu os conceitos, embora os 2 sistemas são capazes de fazer análises comportamentais e por assinatura.

  • Conceitos invertidos

  • Questão tosca!!!

    Tanto o antivírus como dispositivos de detecção de intrusão trabalham com padrões de assinatura e busca por anomalias comportamentais. Affffffff

  • PQP !!!1

    Discordo do gabarito. A questão esta ERRADA pois os dois sistemas são capazes de fazer análises comportamentais e por assinatura.

  • Para compreender a assertiva, vamos destrinchar.

     

    A identificação de padrões por assinatura está associada à detecção de intrusão (o antivírus tem a assinatura do vírus, caso seja detectada a intrusão, o software irá realizar a varredura do vírus com as assinaturas que possuem). Certo.

     


    A identificação por anomalias comportamentais está associada aos antivírus (o antivírus possui a análise por comportamento do código, se tal comportamento for de forma anômala, o antivírus irá agir). Certo.

     

     

    Fonte: Comentários do Simulado V7 do Missão Papa Fox.

  • ERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADAERRADA ERRADA ERRADA ERRADA

  • Não concordo de jeito nenhum com essa questão.

    Sem se aprofundar muito em conceitos, existem três tipos básicos de métodos de detecção de intrusão:

    - baseados em assinaturas ou regras;

    - baseado em anomalias;

    - baseado em adaptativos.

     

    O antivírus também pode utilizar outro métodos, em que pese a regra ser adotar o uso de assinaturas. Como o colega HTTP concurseiro faleu, da forma que a questão foi escrita não permite outras opções, logo deveria ter dado o gabarito como incorreta. 

     

    Fiz meu TCC da graduação sobre Detecção de Intrusão e agora a Cespe quer descontruir o que aprendi. 

    Cespe sendo Cespe.

     

  • Isso não é assinatura digital. É assinatura de vírus!

  • Não seria a detecção heurística? baseada no comportamento anômalo

  • Antivírus basicamente se dividem:

    1º Geração ( detecta a assinatura do vírus )

    2º Geração ( detecta o comportamento do vírus)e ambos estão embolados no conceito de antivírus.

    Questão sem sentido pra confundir e desmotivar. errada!

  • único explicação possível:

    www.youtube.com/watch?v=Qox27v4Qs9A&ab_channel

  • Não entendo como essa questão pode estar certa

    Outra questão da mesma banca

    Os sistemas de detecção de intrusão servem para fornecer avisos de invasão para que a área de segurança possa mitigar os danos ou, ainda, impedir o ataque. A esse respeito, julgue os itens a seguir.

    Honeypots são sistemas planejados para atrair um atacante para uma área diferente, longe dos sistemas críticos.

    II A detecção de intrusão permite a coleta de informações sobre as técnicas de intrusão e, portanto, pode contribuir para a melhoria da estrutura de prevenção de intrusão.

    III A detecção de intrusão é baseada na premissa de que o comportamento do intruso é diferente do comportamento de um usuário legítimo, podendo assim, ser quantificada.

    Gabarito - Letra E (Todos os itens estão certos)

    Questão de 2020

  • Típica questão: Se errou, acertou.

  • OLHA A PEDRAAAAAAAAAAAAAAAAAAAA. -CLEITON RASTAFARI

  • O gabarito dessa questão está EQUIVOCADO.

    GERAÇÕES DO ANTIVÍRUS

    ↳ 1 Geração: Assinatura (um pequeno TRECHO DO CÓDIGO do vírus)

    ↳ 2 Geração: Heurística (COMPORTAMENTO DO VÍRUS)

    • Detecta novos vírus sem a assinatura ser conhecida;
    • Analisa o arquivo sem precisar o antivírus está executando.

    ↳ 3 Geração: Interceptação de Atividade (AÇÕES DO VÍRUS)

    • Só funciona com o antivírus em execução.

    ↳ 4 Geração: Proteção Completa

    • Várias técnicas utilizadas em conjunto;
    • Usado hoje em dia.

  • Questão muuuito errada, quem acertou pode ir estudar mais.

  • Fonte: blogspot do marquinho

  • Fonte: Lan House do Tião.

  • Questão erradíssima. Concordo com o HTTP Concurseiro e posso fundamentar. Segundo Stallings (Segurança de Computadores - Princípios e Práticas, p. 200):

    "Como ocorre com um IDS, um IPS pode ser baseado em estação ou baseado em rede. Um IPS baseado em estação (hostbased IPS — HIPS) faz uso de técnicas de detecção de assinatura, bem como de detecção de anomalia para identificar ataques. No primeiro caso, o foco está no conteúdo específico de cargas úteis em pacotes de aplicação, em busca de padrões que já foram identificados como maliciosos. No caso de detecção de anomalia, o IPS está em busca de padrões de comportamento que indiquem malware".

    Recurso serve é pra isso!

  • Tirou do ** essa aí

  • O cespe pirou na batatinha.

  • Faltou foi recurso.

  • Fonte: Times New Roman

  • essa eles tiraram direto do famoso ÚC

  • Típica questão que faltou recurso. ERRADÍSSIMA


ID
1226872
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de detecção de intrusão e de proteção contra softwares maliciosos, julgue os itens que se seguem.

A detecção por assinaturas, tanto em IDS quanto em antivírus, é extremamente eficaz.

Alternativas
Comentários
  • Detecção por Assinatura

    A Detecção por assinatura analisa as atividades do sistema procurando por eventos que correspondam a padrões pré-definidos de ataques e outras atividades maliciosas. Estes padrões são conhecidos como assinaturas e geralmente cada assinatura corresponde a um ataque. Uma desvantagem desta técnica de detecção é que ela pode detectar somente ataques conhecidos, ou seja, que estão incluídos no conjunto de assinaturas que o IDS possui, necessitando-se assim de constante atualização diante da rapidez que novos ataques surgem.

  • O que é "extremamente eficaz" ??? sei de suas desvantagens, mas há considero sim, bem eficaz.

  • Não é eficaz para novos ataques que ainda não possuem uma assinatura catalogada. Uma detecção por comportamento é mais adequada para esses casos.

  • "eficaz pra caralho"

  • Não é eficaz pois só irá detectar assinaturas de ataques previamente conhecidos.

  • Não é eficaz pois só irá detectar assinaturas de ataques previamente conhecidos.

  • GAB E

    Nada na informática é extremamente eficaz ou perfeito.

  • VALE LEMBRAR

    IDS : trabalha na DETECÇÃO de intrusão ! é um sistema PASSIVO : é como aquele sensor que fica grudado nas roupas de shopping, quando você sai sem pagar DISPARA O ALARME, mas precisa do segurança para pegar vc furtando né ?

    IPS : é o sistema de PREVENÇÃO do ataque! é um sistema PROATIVO/REATIVO.. Ex : é como a porta giratória do banco, se um suspeito tentar passar por ela armado, já era TRAVA TUDO.

  • Vamos lá:

    Um IDS baseado em assinaturas utiliza um banco de dados com os ataques já conhecidos e compara-os com as ações, utilizando algoritmos estatísticos para reconhecer algum desses ataques.

    Na maioria dos casos, o padrão é comparado apenas se o pacote suspeito estiver associado a um determinado serviço ou, mais precisamente, destinado a uma determinada porta, pois ajuda a diminuir a quantidade de inspeção feita em cada pacote. No entanto, torna mais difícil para o sistema lidar com protocolos que não residem em portas bem definidas, como cavalos de Tróia (Trojan) e seu tráfego associado, que podem ter suas características alteradas com facilidade, como por exemplo a porta de saída usada. Na fase inicial de incorporação de IDS ou IPS baseados em assinatura, antes que as assinaturas estejam sintonizadas, pode haver muitos falsos positivos (gerando alertas que não representam ameaças para a rede).

    Logo, não é extremamente eficaz como coloca a questão. Já daria para marcar ERRADO só com a parte de IDS, mas vamos aprofundar com o antivírus também:

    A técnica de detecção de malwares Verificação de Assinaturas determina as características que levam um arquivo a ser ou não considerado um malware. São verificadas características como: tamanho do arquivo, seqüência de instruções binárias, entre outras. Quando um arquivo é reconhecido como malware, recebe uma identidade própria, com sua respectiva assinatura. São estas assinaturas que determinam cada malware que faz parte da lista de definição do antivírus.

    Este tipo de detecção pode não ser muito eficiente, pois não possibilita que um novo malware, que ainda não foi incluído na base de dados do antivírus seja detectado. Ou seja, novos malwares não serão detectados antes do software antivírus ter sua lista de definição novamente atualizada.

    GAB E

    Bons Estudos!!

  • Errado. Por isso os falsos-positivos e falsos-negativos!

  • BOTA UMA ESTATÍSTICAZINHA AÍ QUE FICA SHOW.


ID
1252375
Banca
CESPE / CEBRASPE
Órgão
TRT - 17ª Região (ES)
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A propósito de segurança de redes e certificação digital, julgue o item subsecutivo.

Ferramentas utilizadas para detecção de intrusão em redes adotam o recurso de captura de pacotes para análise e detecção de assinaturas de ataques conhecidos.

Alternativas
Comentários
  • Questão Correta, no caso dos NIDS(Network Intrusion Detection System), o IDS utiliza como requisito a placa de rede no modo promíscuo e espelhamento de porta para  realizar a captura de tráfego e detecção de de assinaturas conhecidas.

  • GABARITO: CERTO.

  • Essa está mais para antivírus e heurística do que para assinaturas, porém segue correta, ferramentas de detecção podem identificar vírus ou ameaças por suas " assinaturas" já conhecidas, criando um banco de dados e de comportamento para reconhecê-los e neutraliza-los.

    GABARITO: CORRETO

  • Gabarito: certo

    (CESPE-DEPEN-2015)Um sistema de detecção de intrusão de rede que se baseia em assinatura necessita que sejam carregados os padrões de assinatura de ataques, como, por exemplo, o padrão de comunicação de um determinado vírus de computador.(CERTO)

    Lembrando as funções do sistema de detecção de intrusão :

    (CESPE 2018) Um sistema de detecção de intrusão (intrusion detection system – IDS) consegue detectar comportamentos maliciosos tanto em computadores individuais quanto em redes de computadores. (CERTO)

    (CESPE/2016/FUB)Ferramentas IDS podem trabalhar simplesmente emitindo alertas de tentativa de invasão ou aplicando ações com a finalidade de contra-atacar a tentativa de invasão.(CERTO)


ID
1260307
Banca
VUNESP
Órgão
FUNDUNESP
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Alguns sistemas de segurança monitoram arquivos de log em busca de tentativas malsucedidas de autenticação para realizar bloqueios de acesso. Apesar da utilidade desses sistemas, eles podem colaborar com ataques de negação de serviço, pois

Alternativas
Comentários
  • Pra mim, faz mais sentido ser a letra D. Pesquisando na internet, vi um pdf do Cert que fala da geração de logs (http://www.cert.br/docs/seg-adm-redes/seg-adm-redes.html#subsec4.): "Um segundo risco é a possibilidade de um atacante usar o logging para executar um ataque de negação de serviço contra um determinado sistema, gerando eventos em excesso até que o disco onde são armazenados os logs fique cheio e o sistema trave em conseqüência disto. Conforme discutido na seção 3.2, o uso de uma partição separada para armazenar os logs pode minimizar o impacto deste problema. "

    Alguém comenta?

  • Seguindo o raciocínio da questão ... Apesar da utilidade desses sistemas, eles podem colaborar com ataques de negação de serviço, pois .... o bloqueio realizado por esses sistemas impede todos os acessos .... (Gabarito Letra A)

    Gabarito Letra C na minha opinião, seria uma solução, mas não a resposta da questão.

  • Susana e Spock, acho que vcs não se atentaram às palavras-chave no enunciado: "eles podem colaborar com ataques de negação de serviço"

    Todas as alternativas mostram situações em que poderá haver bloqueio de acesso legítimo, mas somente a C mostra que esse recurso de varredura em log FACILITA (COLABORA) para que um ataque de DoS seja executado. Quero dizer, bloquear acessos é uma tarefa "normal" desse sistema, mas a sua atividade cria uma brecha para que um invasor possa realizar o ataque. Assim, "como o sistema verifica os logs para bloquear, vamos colocar um monte de porcaria no log para ele bloquear todo mundo!".

  • Sem dúvidas, pela explicação muito bem colocada pela Rosana, a alternativa mais correta seria:

    Gabarito D

  • Assertiva C

    dados podem ser inseridos no log para impedir que o acesso seja concedido a usuários legítimos.


ID
1271239
Banca
MPE-RS
Órgão
MPE-RS
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação a ferramentas e sistemas destinados a prover segurança em redes de computadores, é correto afirmar que

Alternativas
Comentários
  • Nunca havia visto esta terminologia "computadores bastião", não creio que ela seja aceita internacionalmente, isso é regionalismo, inadmissível!

  • Também nunca tinha visto isso, tanto que eliminei essa alternativa de cara. Parei quando li "bastião".

    Alguém identifique, por favor, o erro da B. São as portas que estão erradas?

     

    Vamos na fé.

  • Sávio, o antivírus não faz monitoramento de ações em portas... quem faz esse papel é o Firewall.

    .

    Essa questão dava para matar por eliminação...

    Um pouquinho sobre hosts bastiões: https://technet.microsoft.com/pt-br/library/cc163137.aspx

  • É verdade, foi mole meu mesmo.

    Acredito que possa ter alguma relação com IDS/IPS também, mas aí nem vem ao caso.

    Valeu.

  • https://en.wikipedia.org/wiki/Bastion_host

    bastion host is a special-purpose computer on a network specifically designed and configured to withstand attacks. The computer generally hosts a single application, for example a , and all other services are removed or limited to reduce the threat to the computer. It is hardened in this manner primarily due to its location and purpose, which is either on the outside of a  or in a demilitarized zone () and usually involves access from untrusted networks or computers.


ID
1311817
Banca
CESPE / CEBRASPE
Órgão
Polícia Federal
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os seguintes itens, relativos à segurança em redes de computadores.

O uso de criptografia SSL (Secure Socket Layer) como item de segurança nas transmissões de dados via Internet dificulta o monitoramento realizado por sistemas de detecção de intrusos (IDS) de redes. Uma solução para esse problema é o uso de proxies reversos, que permite retirar o processo de criptografia do servidor web e, consequentemente, possibilita ao IDS o monitoramento do tráfego.

Alternativas
Comentários
  • Correto.

    Os proxies são servidores que avaliam a solicitação e liberam ou bloqueiam o acesso. O proxy reverso decodifica o pedido, informando ao IDS os dados para monitoramento.

  • Questão comentada em:

    http://www.itnerante.com.br/group/seguranadainformao/forum/topics/ano-2013banca-cespe-rg-o-pol-cia-federalprova-perito-criminal?xg_source=activity


    Rafael Eduardo Barão

    http://www.itnerante.com.br/profile/RafaelBarao

    http://www.provasdeti.com.br/por-professor/rafael-barao.html

  • Complemento que achei pertinente.

    Segundo Nakamura(2010,p.273-274),"Os pontos negativos que podem ser encontrados em NIDS(sistema de detecção de intrusão baseado em rede) são:

    - NÃO É CAPAZ DE MONITORAR TRÁFEGO CIFRADO.


    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA-2010.

    "

  • Sinceramente, questão muito mal formulada...até onde sei, proxie reverso, como os proxies de nível de circuito, fazem traduções de portas e endereços; enquanto a criptografia atua em todo o (payload + PDUs), ou seja, uma coisa não tem absolutamente nada a ver com a outra!

  • QUESTÃO CERTA. Justificativa do CESPE:

    "Para analisar pacotes e detectar possíveis ataques, é necessário que eles não estejam criptografados. No entanto, a confidencialidade das transmissões é um item fundamental para a segurança das informações que trafegam na Internet. Uma solução então é o uso de proxies reversos, os quais podem se comunicar com o mundo externo de maneira segura e se comunicam com os servidores internos da empresa sem o uso de criptografia. Dessa forma, o IDS pode atuar adequadamente "

    http://www.cespe.unb.br/concursos/DPF_12_PERITO/arquivos/DPF_PERITO_JUSTIFICATIVAS_DE_ALTERA____ES_DE_GABARITO.PDF

  • essa foi de Lascar!!!

  • Essa vai para o ANKI !

  • Benefícios da utilização de um Proxy Reverso:

    Balanceamento de carga;

    Balanceamento Global de Carga do Servidor (Global Server Load Balancing – GSLB);

    Segurança aprimorada;

    Caching Poderoso;

    Compressão Superior;

    Melhores testes A/B;

    Monitoramento e Registro de Tráfego;

    Criptografia SSL otimizada:

    Criptografar e decodificar pedidos SSL/TLS para cada cliente pode ser altamente tributário para o servidor de origem. Um proxy reverso pode assumir esta tarefa para liberar os recursos do servidor de origem para outras tarefas importantes, como servir conteúdo.

    Outra vantagem de descarregar a criptografia e descriptografia SSL/TSL é reduzir a latência para clientes que estão geograficamente distantes do servidor de origem.

    ( CESPE - 2013 - INPI)

    Um sistema de detecção de intrusão tem a função de identificar se determinado tráfego entre dois servidores ocorre sem criptografia, e é capaz de utilizar mecanismos para criptografar esse tráfego com SSL.Errado!

    Se utiliza-se um proxy reverso o proxy reverso faria essa função ,porém o IDS não a faz .

    ( CESPE - 2015 - Telebras)

    Se determinada comunicação for realizada por meio de uma conexão SSL, os sistemas de detecção de intrusão serão ferramentas inadequadas para a identificação de ataques.Certo!

    Fonte :https://kinsta.com/pt/blog/proxy-reverso/

  • Acertei, e quando acertei, gritei EITA P0RR4 QUE C4G4D4