SóProvas

ID
2518486
Banca
FCC
Órgão
TRE-PR
Ano
2017
Provas
Disciplina
Segurança da Informação
Assuntos

Os N-IDS ou Sistemas de Detecção de Intrusão baseados em Redes utilizam métodos para informar e bloquear as intrusões. Considere os métodos abaixo.


I. Reconfiguração de dispositivos externos: um comando é enviado pelo N-IDS a um dispositivo externo (com um filtro de pacotes ou um firewall) para que se reconfigure imediatamente e possa bloquear uma intrusão. Esta reconfiguração é possível através do envio de dados que expliquem o alerta (no cabeçalho do pacote).

II. Envio de um trap SMTP a um supervisor externo (armadilha SMTP): é enviado um alerta (e detalhes dos dados envolvidos) em forma de um datagrama SMTP para um console externo.

III. Registro (log) do ataque: cria um backup dos detalhes do alerta em um repositório, incluindo informações como o registro da data, o endereço IP do intruso, o endereço IP do destino, o protocolo utilizado e a carga útil.

IV. Armazenamento de pacotes suspeitos: os pacotes originais capturados e/ou os pacotes que desencadearam o alerta são guardados.

V. Envio de um ResetKill: construção de um pacote de alerta IP para forçar o fim de uma conexão (válido apenas para as técnicas de intrusão que utilizam o protocolo de aplicação IP).


Estão corretos os métodos

Alternativas
Comentários

  • Os principais métodos utilizados por N-IDS para informar e bloquear as intrusões são:

    I. Reconfiguração de dispositivos externos (firewall ou ACL em roteadores): é um comando enviado pelo N-IDS a um dispositivo externo (com um filtro de pacotes ou um firewall) para que se reconfigure imediatamente e possa bloquear uma intrusão. Esta reconfiguração é possível através do envio de dados que expliquem o alerta (no cabeçalho do pacote).

    II. Envio de um trap SNMP a um supervisor externo (armadilha SNMP): é o envio de um alerta (e detalhes dos dados envolvidos) em forma de um datagrama SNMP a um console externo como HP OpenView Tivoli, Cabletron, Spectrum, etc.

    III. Registro (log) do ataque: é o backup dos detalhes do alerta em um banco de dados central, incluindo informações como o registro da data, o endereço IP do intruso, o endereço IP do destino, o protocolo utilizado e a carga útil.

    IV. Armazenamento de pacotes suspeitos: se guardam todos os pacotes originais capturados e/ou pacotes que desencadearam o alerta.

    V. Envio de um ResetKill: é a construção de um pacote de alerta TCP para forçar o fim de uma conexão (válido apenas para as técnicas de intrusão que utilizam o protocolo de transporte TCP).

     

    Gabarito: E

    Fonte: http://br.ccm.net/contents/164-ids-sistemas-de-deteccao-de-intrusao

  • a FCC usou uma fonte que afirma que o NIDS tem um comportamento ativo... a I deveria estar incorreta, pois trata-se de um NIPS

  • Eu acredito que o NIDS não tem função de forçar o fim da conexão. 

    Por isso não envia o ResetKill

  • FCC... Aí fica difícil. No próprio enunciado já diz que "os N-IDS ou Sistemas de Detecção de Intrusão baseados em Redes utilizam métodos para informar e bloquear as intrusões".

    Pensava que essa função era do IPS.

  • cai na pegadinha do SMTP por SNMP

  • O que me salvou foi o datagrama. SMTP é da camada de Aplicação.