SóProvas

ID
252199
Banca
CESPE / CEBRASPE
Órgão
STM
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação aos ataques e aos dispositivos de segurança,
julgue os itens subsequentes.

IDS e IPS detectam intrusões com alta precisão, porém diferem pelo fato de o segundo atuar bloqueando o tráfego, quando algum evento relevante é detectado.

Alternativas
Comentários
  • Questão esquisita, tanto IDS quanto IPS detectam intrusão, sendo o IPS ativo ao contrario do IDS, no meu conceito a questao deveria ser marcada como correta.
  • A questão afirma que a diferença do IPS para o IDS é que o IPS bloqueia tráfegos. Não é essa a única diferença. A ação tomada pelo IPS pode ser outra: alteração de regras de firewall, alteração de regras do QoS, mudança de rotas, etc...

    Por ser restritiva, a questão está ERRADA
  • Concordo com o Marques. Será que esse já é o gabarito definitivo?
  • Eu marquei essa questão como errada, pois para mim IDS e IPS não tem alta precisão (eles tem boa precisão). O que falar do problema do alto número de falso-postiivos qnd utilizado o método de behavior-detection. Essa foi minha linha de raciocínio. 

    Bons estudos a todos!!
  • Com certeza marcaria essa questão como certa, afinal o que define a precisão ou não (tanto de um IDS quanto IPS) é a configurção do  mesmo.
  • O IDS é uma ferramenta passiva, que somente monitora o tráfego e alerta o adm no caso de intrusão. Alguns IDS são reativos, ou seja, se algo de errado for detectado ele encerra a sessão (bloqueia o tráfego). Já o IPS é ativo e possui um conjunto de regras que serão usadas quando uma intrusão ocorrer.
  • O erro está ao afirmar que apenas o segundo é capaz de bloquear o tráfego.
    O IDS no modo passivo apenas gera logs. Mas no modo reativo, é capaz de finalizar sessões de usuário ou reconfigurar o firewall, bloqueando o tráfego também.

    Fonte: http://www.npd.ufes.br/node/87
  • O erro não seria que o IDS DETECTA e o IPS Previne? Assim os dois não detectam... já que um deles teroricamente nem deixa que a intrusão ocorra. Eu segui essa linha de raciocinio.
  • Os sistemas IDS e IPS não são altamente eficazes, tampouco altamente precisos, por causa da existência de falsos positivos e falsos negativos.
  • Na prática, basta ver a quantidade de falsos positivos geradas por esses dois tipos de sistema: se fossem de alta precisão não haveria tantos e  seriam muito mais automatizados. Obviamente, esses sistemas melhoram a cada dia, implementando funções como correlação de eventos mais confiáveis, mas ainda longe de serem altamente precisas. Exemplo disso é a evolução dos módulos de segurança e gerência de redes do IBM Tivoli. 
  • O erro realmente deve estar quando a acertiva afirmar que a diferença está no fato de o IPS bloquear o trafego e o IDS não. Essa não é a diferença, conforme já foi mencionado acima. O IDS em modo reativo pode/vai trabalhar em conjunto com um firewall, bloquando trafego. A questão é que o IDS REAJE ao ataque, enquanto que o IPS pode bloquear de imediato, sendo, portanto, ATIVO e não REATIVO.

  • acho que o erro está em dizer que o ips bloqueia quando detecta algum evento relevante. neste caso ele estaria sendo reativo, quando na verdade ele é proativo, age antes do ataque. e outro detalhe, eu notei que o cespe considera o IDS somente passivo, ou seja, capaz de notificar e agir pós ataque

  • IPS não detecta somente o que é relevante não, é uma das desvantagens dele o que resolve a questão, ele bloqueia qualquer coisa que aparecer no farol.


    Há tecnologias no mercado que trabalham com IPS de forma diferenciada do que a questão afirma.

  • GABARITO ERRADO!

    .

    .

    Um IDS (Sistema de Detecção de Intrusão) pode ser dividido em:

    - Baseado em assinatura: onde existe uma lista com assinaturas de alguns vírus e esta assinatura precisa estar pré-configurada no host para que seja detectada um ataque. (ESSE AQUI É UMA DESVANTAGEM EM RELAÇÃO AO BASEADO EM ANOMALIAS).

    - Baseado em anomalias: onde é feito um perfil de um host com um comportamento padrão para aquele host. Assim se no monitoramento for detectado um comportamento anormal será gerado um alerta.

  •  "Um dispositivo que gera alertas quando observa tráfegos potencialmente mal-intencionados é chamado de sistema de detecção de invasão (IDS, do inglês intrusion detection system). Um dispositivo que filtra o tráfego suspeito é chamado de sistema de prevenção de invasão (IPS, do inglês intrusion prevention system)." Kurose, Redes de computadores, ED6, p. 544.

    vai entender essa cespe... ¯\_(ツ)_/¯

  • Baita questão subjetiva.

  • O erro é que o IPS é PROATIVO, por tratar comportamento, acaba gerando muitos falsos positivos, logo ele não tem uma alta precisão.

  • Como a maioria dos IPS utilizam o método baseado em comportamento, isso implica em uma taxa mais elevada de falso positivos e negativos, o que contraria a afirmação de alta precisão.

    Fonte: Estratégia Concursos.