SóProvas

IDS - Intrusion Detection System (Sistema de Detecção de Intrusão)

É um sistema capaz de detectar a tentativa de exploração de vulnerabilidades, registrando tais eventos em um arquivo de log. É considerado apenas um sistema de monitoramento (PASSIVO), sendo capaz apenas de alertar ataques externos ou internos, baseando-se em comportamento ou assinatura (base de dados).

IPS - Intrusion Prevention System (Sistema de Prevenção de Intrusão)

O IPS é uma evolução do IDS, enquanto este apenas detecta, aquele é um sistema REATIVO, que age de maneira PROATIVA onde ao identificar uma tentativa de ataque irá gerar automaticamente uma reação para bloquear a tentativa de intrusão.

(Fonte: Livro Informática para Concursos - Renato da Costa)

Gabarito A

Diferenças entre IDS e IPS IDS (Sistema de Detecção de Intrusão), é uma solução passiva de segurança ao passo que IPS (Sistema de Prevenção de Intrusão), é uma solução ativa de segurança. Em um sistema passivo, O IDS detecta uma potencial violação da segurança, registra a informação (log) e dispara um alerta. Em um sistema reativo, o IDS responde à atividade suspeita finalizando a sessão de usuário ou reprogramando o Firewall para bloquear o tráfego de rede da fonte maliciosa suspeitada. Já o IPS é, definitivamente, o nível seguinte de tecnologia de segurança com sua capacidade para fornecer segurança em todos os níveis de sistemas, desde o núcleo do sistema operacional até os pacotes de dados da rede. Ele provê políticas e regras para o tráfego de rede - juntamente com o IDS para emitir alertas para administradores de sistemas e redes em caso de tráfego suspeito.

"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !

CESPE

A detecção de intrusão abrange formas de resposta, tais como a geração de alertas e a interrupção dos fluxos de dados maliciosos. (CERTO)

E agora pessoal? IDS é sempre passivo, não faz nada, só olha, ou considero como nessa questão da CESPE?

É dependente de banca isso?

A emissão de alertas e interrupção de fluxos é uma ação, logo há uma contradição entre as duas bancas, certo?

Realmente, é uma situação um pouco complicada.

Já fiz algumas questões de IDS/IPS e, dependendo da banca, o IDS, por exemplo, já foi considerado tanto como apenas passivo, como também ativo em outras oportunidades.

Não sei se isso é concepção de autores diferentes. Se for, é importante ver como está nas referências do edital, para se ter um norte.

Complicada essa vida de concurseiro.

Veja essa questão da FCC TRE-PR 2017 Técnico Judiciário - Operação de Computadores (Q839493):

Os N-IDS ou Sistemas de Detecção de Intrusão baseados em Redes utilizam métodos para informar e bloquear as intrusões. Considere os métodos abaixo.

I. Reconfiguração de dispositivos externos: um comando é enviado pelo N-IDS a um dispositivo externo (com um filtro de pacotes ou umfirewall) para que se reconfigure imediatamente e possa bloquear uma intrusão. Esta reconfiguração é possível através do envio de dados que expliquem o alerta (no cabeçalho do pacote). [ CERTO ]

III. Registro (log) do ataque: cria um backup dos detalhes do alerta em um repositório, incluindo informações como o registro da data, o endereço IP do intruso, o endereço IP do destino, o protocolo utilizado e a carga útil. [ CERTO ]

IV. Armazenamento de pacotes suspeitos: os pacotes originais capturados e/ou os pacotes que desencadearam o alerta são guardados. [ CERTO ]

Fonte: http://br.ccm.net/contents/164-ids-sistemas-de-deteccao-de-intrusao

A fonte traz também a seguinte técnica usada por IDS para bloquear intrusão: Envio de um ResetKill: é a construção de um pacote de alerta TCP para forçar o fim de uma conexão (válido apenas para técnicas de intrusão que utilizam o protocolo TCP).

Portanto, a FCC usou uma fonte segundo a qual IDS pode enviar comandos para bloquear uma intrusão. Como comentado pelo Leandro a CESPE também considera que o IDS pode interromper fluxo de dados maliciosos. Aí vem a IBFC e diz que o IDS é "estritamente passivo".

O IDS toma ações ao detectar um ataque. Um IDS reativo pode informar ao Firewall, por exemplo, para alterar a política de segurança. O IDS não impede o ataque, mas isso não quer dizer que não tome qualquer tipo de ação.

Então pode-se afirmar que os IDS tomam algum tipo de ação em caso de detecção de algum intruso.

Não concordo, mas de toda forma a alternativa considerada correta é a menos errada.

'Em branco',

No contexto dos IDS/IPS, os termos "passivo" e "ativo" estão relacionados à capacidade ou não de tomada de ação a partir de algum evento.

Porém, um simples alerta, por exemplo, informando uma tentativa de ataque, nesse caso, não é considerado ativo. Esses alertas são características intrínsecas ao IDS.

De qualquer forma, já vi questões considerando o IDS apenas passivo, e outras considerando ativo e passivo.

Estritamente passivo é uma afirmação complexa. Se ele detecta algo e dispara alertas, e-mails etc. isso não o torna ESTRITAMENTE PASSIVO.

Enfim, cada banca com sua jurisprudência.

Segundo[1], Um dispositivo que gera alertas quando observa tráfegos potencialmente mal-intencionados é chamado de IDS. Um dispositivo que filtra o tráfego suspeito é chamado de IPS. Entretanto, [1] não faz diferença além disso e se refere aos sistemas IDS e IPS como sistema IDS.

Até alguns autores fazem confusão. Imagine as bancas.

Fonte:

[1] Kurose, Redes.

A alternativa C (tanto o IPS como o IDS possuem o papel ativo sempre tomando algum tipo de ação em caso de detecção de algum intruso), no meu ponto de vista, poderia ser considerada correta também, uma vez que ambos irão tomar determinadas ações, mesmo que diferentes, mas vão. Um gerará alertas/logs, outro, realizará contramedidas de forma automática, ação mais repressiva. Contudo, ambos agindo ativamente. Se um fosse estritamente passivo, para que serviria? Enfim, respeitar o gabarito da banca.