Questão Q607719

Acerca de detecção e prevenção de ataques com uso de IDS e IPS, arquiteturas de firewalls e ataques e ameaças da Internet e de redes sem fio, assinale a opção correta.

Alternativas

A detecção de intrusão possível com o uso de IDS do tipo host-based em uma rede com centenas de máquinas de usuário apresenta maior facilidade de gerenciamento e instalação, quando comparada ao uso de IDS do tipo network-based.

O uso de firewalls stateless relaciona-se a uma melhor chance de identificação de vírus, spams e intrusões em circulação na rede, quando comparado ao uso de um firewall que analisa o tráfego de uma rede com base em inspeção profunda de pacotes (deep packet inspection).

Tanto o firewall do tipo dual homed quanto o do tipo stateless previnem a ocorrência de ataques do tipo SYN flood.

O emprego de assinaturas atômicas em um sistema de prevenção de intrusão permite a construção de sistemas mais simples, quando comparado com os que empregam assinaturas stateful.

O uso de IPS do tipo network-based, quando comparado ao uso de IPS host-based, possibilita a coleção de dados mais detalhados acerca de chamadas de funções e acessos a arquivos.

Comentários

Atomic Signatures

Atomic signatures represent the simplest signature type. For an atomic signature, a single packet, activity, or event is examined to determine if the signature should trigger a signature action. Because these signatures trigger on a single event, they do not require your intrusion system to maintain state. The entire inspection can be accomplished in an atomic operation that does not require any knowledge of past or future activities.

One drawback with atomic signatures is that you have to know all the atomic events that you want to look for. For each of these events, you then have to create the appropriate signature. As the number of atomic signatures increases, just managing the different signatures can become overwhelming.

Nevertheless, atomic signatures have their advantages. First, these signatures consume minimal resources (such as memory) on the IPS/IDS device. These signatures are also easy to understand because they search only for a specific event. Finally, traffic analysis for these atomic signatures can usually be performed very quickly and efficiently.

Stateful Signatures

Unlike atomic signatures, stateful signatures trigger on a sequence of specific events that requires the IPS device to maintain state. The length of time that the signatures must maintain state is known as the event horizon. Configuring the length of the event horizon is a tradeoff between consuming system resources and being able to detect an attack that occurs over a long period of time.

The main limitation to stateful signatures is that maintaining state consumes memory resources on your IPS/IDS device. Usually, however, this is not a significant problem if the IPS product is designed to efficiently use its resources. If your IPS does not efficiently manage resources when maintaining state, then the large consumption of resources (such as memory and CPU) can lead to a slow response time, dropped packets, missed signatures, and so on, which adversely impacts the effectiveness of your IPS. Requiring a specific event to be detected in a known context increases the likelihood that the activity represents legitimate attack traffic. This minimizes the false positives generated by the stateful signatures.

Fonte: http://searchsecurity.techtarget.com/feature/Intrusion-Prevention-Fundamentals-Signatures-and-Actions
#TENSO
A) Errado - A configuração de IDS/IPS de host é mais complexo que de rede.

B) Errado - Os Firewalls Proxie que se relacionam com a melhor chance de identificar vírus, pois os mais modernos podem realizar deep inspection.

C) Errado - A palavra Dual-Homed está relacionada ao arranjo de firewall's e não ao tipo.

D) Correta

E) Errado - O IDS/IPS de host possibilita mais detalhe pois fica localizado direto na máquina, tendo acesso a mais detalhes referentes aos acessos.
Vou comentar as questões que sei:

a) IDS de Host é de difícil gerenciamento, já de rede é mais fácil;
b) Firewall não é anti-virus nem anti-spam. Pode ser, mas não é. Isso cai bastante;
c) A palavra Dual-Homed está relacionada ao arranjo de firewall's e não ao tipo. (Comentário do Fernando.)
d) Correta.
e) Idem comentário Feranando.
Tipos de assinatura

As assinaturas se enquadram em uma das seguintes categorias básicas, dependendo de sua funcionalidade:

Assinaturas atômicas

Assinaturas com estado

Esta seção examina esses tipos de assinatura em mais detalhes. Além disso, os mecanismos de disparo explicados mais adiante neste capítulo podem ser usados com esses dois tipos de assinatura base. A principal distinção entre esses dois tipos de assinatura base é se o processo de inspeção requer ou não que o dispositivo IPS mantenha o estado sobre as ações anteriores que foram observadas.

Assinaturas Atômicas

Assinaturas atômicas representam o tipo de assinatura mais simples. Para uma assinatura atômica, um único pacote, atividade ou evento é examinado para determinar se a assinatura deve acionar uma ação de assinatura. Como essas assinaturas são acionadas em um único evento, elas não exigem que seu sistema de intrusão mantenha o estado. Toda a inspeção pode ser realizada em uma operação atômica que não requer nenhum conhecimento de atividades passadas ou futuras.

Desvantages
Uma desvantagem das assinaturas atômicas é que você precisa conhecer todos os eventos atômicos que deseja procurar. Para cada um desses eventos, você precisa criar a assinatura apropriada. À medida que o número de assinaturas atômicas aumenta, apenas gerenciar as diferentes assinaturas pode se tornar esmagador.

Outra desvantagem é que essas assinaturas podem ser aplicadas apenas a situações em que o contexto do evento não é importante.

Vantagens

Primeiro, essas assinaturas consomem recursos mínimos (como memória) no dispositivo IPS / IDS. Essas assinaturas também são fáceis de entender porque elas pesquisam apenas um evento específico. Finalmente, a análise de tráfego para essas assinaturas atômicas geralmente pode ser realizada de forma muito rápida e eficiente.
Signature Types: Atomic signatures X Stateful signatures

Atomic Signatures. Atomic signatures represent the simplest signature type. For an atomic signature, a single packet, activity, or event is examined to determine if the signature should trigger a signature action. One drawback with atomic signatures is that you have to know all the atomic events that you want to look for.

Vantagens: Não requer quer o sistema de verificação mantenha estado. Usam menos recursos. Mais rápidas e eficientes.

Desvantagens: Gerenciar diversas assinaturas pode ser problemático.

Stateful Signatures. Unlike atomic signatures, stateful signatures trigger on a sequence of specific events that requires the IPS device to maintain state.
assinaturas atômicas: mais simples
Vantagens: Não requer estado. Usam menos recursos. Mais rápidas e eficientes.
Desvantagens: Gerenciar diversas assinaturas pode ser problemático.
.
.

A palavra Dual-Homed nao está relacionada ao tipo d firewall's.
.
.

O IDS/IPS de host possibilita mais detalhe e é mais complexo que de rede(network)
Welcome to nasa.
Se descontasse 1 ponto por erro, com certeza e sem peso na consciência, deixaria em branco.
d-
Atomic signatures represent the simplest signature type. For an atomic signature, a single packet, activity, or event is examined to determine if the signature should trigger a signature action. Because these signatures trigger on a single event, they do not require your intrusion system to maintain state.

https://www.ciscopress.com/articles/article.asp?p=471095

SóProvas

Continue usando...

O que está incluso