SóProvas


ID
1428223
Banca
FCC
Órgão
TJ-AP
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Existem diferentes tipos de IDS (Sistema de Detecção de Intrusão) em sistemas de computadores. Dentre eles, o IDS de host tem como característica

Alternativas
Comentários
  • apesar do conceito do DoS ser exatamente o de negação de serviço. A princípio os IDS são capazes de bloquear sua ação:

    Intrusion-prevention systems (IPS) are effective if the attacks have signatures associated with them. However, the trend among the attacks is to have legitimate content but bad intent. Intrusion-prevention systems which work on content recognition cannot block behavior-based DoS attacks.

    Contudo não encontrei nada que justificasse que esse tipo de ataque é capaz de desativar um IDS.
  • Lazaro, acredito que como os ataques DoS são baseados em tornar os sistemas indisponíveis , no momento em que isso acontece o HIDS não conseguirá atuar uma vez que ficou sem recurso operacional algum.

  • Por eliminação, alternativa "C", mas ainda assim não sei se é realmente correta. Não encontrei referências.

  • No livro do Socrates Filho - Segurança da Informação Descomplicada:


    "Técnicas Anti-IDS - Existem algumas técnicas que têm como objetivo de burlar o funcionamento dos IDS; essas técnicas vão desde simples evasão, até a negação do serviço (Denial of service - DoS) de um IDS;." pg 212;

    "Denial of Service (DoS) no IDS - O atacante pode desativar o próprio IDS, ao bombardeá-lo com pacotes de forma a sobrecarregá-lo ou ao aproveitar brechas de segurança e bugs do mesmo." pg 215;

    Na minha visão, sabendo que HIDS é um tipo de IDS e a pergunta pedir características que o IDS tem dentre as alternativas, a única que se encaixa é a letra C, pois tanto o HIDS quanto o NIDS, por serem tipos de IDS, podem ser desativados por um DoS.


    Espero ter ajudado.


    []'s

  • Gab. 

    c) poder ser desativado por DoS.

  • Sistemas baseados na estação

    Vantagens dos SDIs baseados na estação.*

    Com sua habilidade de monitorar eventos localmente num host, podem detectar ataques que não são detectados por um SDI baseado em rede.

    Podem operar em ambientes onde o tráfego seja criptografado, quando os dados são encriptados no host antes do envio e decriptados no host após a recepção.

    SDIs baseados em host não são afetados por switches. Desvantagens dos SDIs baseados em host.

    Desvantagens dos SDIs baseados na estação.*

    São difíceis de gerenciar, pois para cada host monitorado deve ser instalado e configurado um SDI.

    Desde que ao menos as fontes de informações (e algumas vezes parte do mecanismo de análise) residam no host monitorado, o SDIs pode ser atacado e desativado mascarando assim um ataque.

    Não são apropriados para detectar scans de rede.

    Podem ser desativados por certos tipos de ataques de negação de serviço.

    Consomem recursos computacionais dos hosts que estão monitorando, diminuindo a performance dos mesmos.”

    http://www.gta.ufrj.br/grad/06_2/jonas/tipos.html

    Espero ter ajudado.
    Bons estudos.

  • Todo mundo sabe que os IDS's são de 2 tipos, os passivos (só enviam mensagens- o tratamento se dá de forma manual) e os dinâmicos ( que mesmo agindo após a invasão, engatilham ações automáticas, copmo reconfiguração do firewall, bloqueio de portas e etc). Então pq, em nome de Alá, funcionar passivamente na rede, letra b), não pode ser uma das respostas...

    Acho que se um servidor com o HIDS instalado, senta, por causa de um ataque DoS, a máquina também senta...Afinal, IDS só detecta, não previne nada, ou seja, não tem como ela analisar os logs e etc, uma vez que está sentada.

  • se ele pode ser desativado por DoS ele é dependente da intensidade do tráfego também? até onde eu compreendo sim, questão estranha.