SóProvas

ID
150283
Banca
FCC
Órgão
TJ-PA
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Os sistemas de detecção de intrusos que monitoram os cabeçalhos e o campo de dados dos pacotes a fim de detectar possíveis invasores no sistema, além de acessos que podem prejudicar a performance da rede, são denominados IDS baseado em

Alternativas
Comentários

  • Segundo Willian Stallings, em Cryptography and Network Security, os sistemas de IDS podem ser classificados quando à localidade em "baseado em host" e "baseados em rede". O último item tenta nos induzir ao erro porque no enunciado se fala em analisar os pacotes que trafegam na rede. Ocorre, porém, que esta é uma descrição mais adequada aos IDS baseados em assinaturas. Ademais, destaca-se que não há classificação para IDS baseado em siwtching, splitting ou protocolos.

  • Colega, existem sistemas de detecção de intrusão baseados em protocolos, são os PIDS:

    http://en.wikipedia.org/wiki/Protocol-based_intrusion_detection_system (referência em inglês)
    http://www.gta.ufrj.br/grad/03_1/sdi/sdi-3.htm (referência em português)

    Acho que a última alternativa seria a mais correta de todas

  • Network Based Intrusion Detection System (NIDS)

    O NIDS é instalado em um segmento de rede ondeatravés de uma base de dados faz comparações necessárias com os pacotes de redeou então faz a decodificação e verifica os protocolos de rede. O NIDS verificaos usuários externos não autorizados a entrar na rede, DoS ou roubo de basedados.

    O IDS baseado em rede opera sobre as camadas de rede do modelo(OSI/RM). Esse tipo aplicativo baseado em rede é bem interessante quando sequer analisar o tráfego da rede.

    Um IDS baseado em rede se torna muito mais eficiente e de fácilcontrole pelo administrador quando se utiliza vários servidores para aplicaçãodo IDS. Um servidor para captura de dados, outro para monitoração earmazenamento e um para análise atenderia à necessidade de processamento e armazenagemdos dados. O servidor sensor detecta os dados que passam pela rede e os enviapara o servidor de armazenagem, este envia para o servidor de análise o arquivoque contém os pacotes enviados pelo sensor. O servidor de análise pode entãoler os pacotes onde estão armazenados ou selecionar os eventos da estação dearmazenagem.

    O dispositivo de armazenagem pode deixar todos os eventos prontos paraserem enviados através de um servidor Web. O servidor para análise pode ser umservidor Linux com um navegador de Web. O administrador poderá utilizar onavegador Web para acessar o servidor Web do dispositivo de armazenamento. Oadministrador pode ainda utilizar um Secure Shell (SSH) para acessardiretamente os eventos, ou seja, à base de dados.

    Vale salientar que um IDS precisa de muito processamento para seufuncionamento e os arquivos de registros precisam de grande quantidade deespaço no disco rígido. Assim deve se levar em consideração, a ideia de dividiro trabalho realizado por um IDS em servidores diferentes. 

    Gabarito: D

  • Os IDS baseados em rede analisam pacotes de dados que trafegam pela rede. Esses pacotes são examinados e algumas vezes comparados com dados empíricos para verificar a sua natureza: maliciosa ou benigna. Pelo fato de serem responsáveis pelo monitoramento da rede, ao invés de uma simples estação, os IDS de rede tem a tendência de serem mais distribuídos do que os IDS baseados em estação. Softwares, ou em alguns casos aparelhos de hardware, residem em um ou mais sistemas conectados numa rede, e são usados para analisar dados, como pacotes de rede. Ao invés de analisar informação que reside e é originada em um computador, IDS de rede usa técnicas como “packet-sniffing”, para pegar dados do TCP/IP ou pacotes de outros protocolos passando sozinhos pela rede. Essa vigilância das conexões entre computadores faz com que IDS de rede sejam ótimos em detectar tentativas de acesso por fora da rede confiável. 
    http://www.gta.ufrj.br/grad/07_2/rodrigo_leobons/nids.html