-
Uma análise por assinaturas é uma simples comparação do conteúdo dos pacotes com o conteúdo das assinaturas. Caso o pacote não apresente nenhuma compatibilidade com as assinaturas, ele é considerado como inofensivo.
-
Não entendi, quer dizer que IDS, pode também verificar a parte de dados de um pacote?
-
Um IDS, compara o conteúdo dos pacotes com um conjunto de regras, e caso o conteúdo de um pacote corresponda à alguma regra, um alerta possa ser emitido para que o administrador possa tomar a providências.
-
1) Tipicamente, firewalls realizam a inspeção dos cabeçalhos, (CORRETO CONFORME KUROSE)
Segundo Kurose (2010,p.540),"[...] um filtro de pacotes (tradicional e de estado) inspeciona campos de cabeçalho IP, TCP, UDP e ICMP quando está decidindo quais pacotes deixará passar através do firewall."
2)enquanto os sistemas de detecção de intrusão verificam todo o conteúdo dos pacotes. (CORRETO CONFORME KUROSE)
Segundo Kurose (2010,p.540), "Um Sistema de Detecção de Intrusão é um dispositivo que não só examina os cabeçalhos de todos os pacotes ao passar por eles (como em um filtro de pacotes), mas também executa uma inspeção profunda de pacote (diferentemente do filtro de pacote)."
Conclusão: os firewalls são capazes de realizar a filtragem com base em informações dos cabeçalhos dos pacotes, e os sistemas de detecção de intrusão são capazes de verificar o conteúdo dos pacotes.
O.B.S: Lembrando que gateways de aplicação também fazem inspeção profunda do pacote, mas cada gateway de aplicação só faz isso para cada aplicação específica.
KUROSE, J. F.; ROSS, K. W. Redes de Computadores e a Internet: Uma Abordagem Top-Down. 5. ed. São Paulo: Pearson, 2010.
-
Questão na verdade está errada. O IDS pode ser de rede (NIDS) ou de host (HIDS). O de host realmente analisa a parte de dados, enquanto o de rede analisa APENAS O HEADER! A questão não informa qual o tipo de IDS usado, logo não podemos afirmar que obrigatoriamente será analisado dados. Pricipalmente pela palavra usada "tipicamente", nunca vi nenhuma fonte dizendo que é típico o uso de HIDS e atípico o uso de NIDS.
-
Tipicamente...na sua empresa ou na minha? hehe
Gateway de nível de aplicação verifica toda a porra do payload seu animal.
Enquanto o NIDS verifica ataques de rede, mudanças de funcionamento de protocolos, mascaramento de cabeçalhos...não precisa analisar o payload todo!
-
GABARITO CORRETO!
.
.
QUANTO À SEGUNDA PARTE DA QUESTÃO:
O sistema de detecção de intrusão baseado em rede (NIDS) monitora o tráfego do segmento da rede, geralmente com a interface de rede atuando em modo ‘promíscuo’. A detecção é realizada com a captura e análise dos cabeçalhos e conteúdos dos pacotes, que são comparados com padrões ou assinaturas conhecidos.
.
NAKAMURA, 2011, PÁGINA 136.