-
Recomendação: Bloqueio de incoming echo request (ping e Windows traceroute), bloqueio de outgoing echo replies, time exceeded, e mensagens unreachable.
O ICMP é utilizado para ajudar na assistência com mapeamento de ambientes de rede. Com o propósito primário de transmitir mensagens de status e erros (ex: host unreachable, redirect, e time exceeded). Ao invés da concepção de transportar dados, o protocolo pode ser utilizado por invasores para levantar informações do ambiente.
A mais conhecida aplicação ICMP com certeza trata-se do echo request e echo reply. O ICMP echo request é um dos métodos mais utilizados para mapeamento de redes. É de extrema importância restringir o echo request quando o mesmo é solicitado a partir da Internet com destino ao perímetro da rede.
O famoso ataque de fragmentação "Ping of Death", utiliza pacotes icmp fragmentados para causar ataque do tipo Denial Of Service através da técnica de criar pacotes IP que excedem a especificação de 65,535 bytes de dados. Este ataque resulta, muitas vezes, em crash ou congelamento do host. Além do Ping of Death, um invasor pode obter informações preciosas através da análise das mensagens ICMP e utilizar o protocolo para a técnica de ataques do tipo Smurf ou Loki.
-
Concordo com o Deivison, mas é importante ressaltar que a letra A também está incorreta, pois afirma que o IDS "detecta e bloqueia" tentativas de invasão. Vejamos os conceitos abaixo:O IDS tem por finalidade detectar uma ameaça ou intrusão na rede. Pode se dizer por analogia que o IDS é como se fosse um alarme de um carro que soa quando alguém abre sua porta.O IPS complementa um IDS bloqueando a intrusão e impedindo um dano maior para a rede. É uma ferramenta que detecta e bloqueia o invasor. Como foi dito o IDS é como se fosse um alarme de um carro que somente soa quando alguém abre sua porta. Já o IPS dispara o alarme e também trava as rodas para que o invasor não leve o carro.
-
A letra "A" está correta pois o IPS é um tipo específico de IDS.
IPS = IDS do tipo reativo.
-
O IDS pode ser configurado de modo passivo ou ativo. No modo ativo, em conjunto com o firewall ele poderá bloquear ataques, da mesma forma que um IPS.
-
Um ids funcionado na forma ativa, na verdade nada mais é que um IPS. Acredito que a letra a esteja sim incorreta.
-
Odeio essas bagunças de conceito.
Ora, por todos os lugares que li, livros, internet e outras questões. IDS, somente detectam invasão e não bloqueiam. E IPS, serve para detectar e bloquear.
Podem pesquisar existem inúmeras questões que definem exatamente isso, se eu for considerar agora que um IDS pode também bloquear ataques, teremos milhares de questões anuláveis por ai.
-
Eugênio,
[ 1 ] considera que:
"Os IDS geralmente são apenas passivos(observando e gerando alertas). Porém, em alguns casos, o sistema pode reagir em caso de uma intrusão ser detectada, como por exemplo fechar a conexão, bloquear a partir do firewall ou até mesmo desabilitar uma conta."
[ 2 ] considera que: O sistema de detecção de intrusão ou IDS, tem como um dos objetivos principais detectar se alguém está tentando entrar no seu sistema ou se algum usuário legitimo está fazendo mau uso do mesmo. Esta ferramenta roda constantemente em background e somente gera uma notificação quando detecta alguma coisa que seja suspeita ou ilegal.
Desta forma, quando algum ataque (antígeno) for detectado pelos sensores, torna-se possível ações de conta-ataque (anticorpos) que podem ser: envio de e-mail para o administrador, envio de mensagem via pager, ativação de alertas nas estações de gerência via SNMP, reconfiguração de elementos de rede como firewall e roteadores, e até mesmo o encerramento da conexão através do envio de pacotes de reset (flag RST do TCP ) para a máquina atacante e para a máquina atacada, com o objetivo de descarregar a pilha TCP.
Ou seja, a questão A está correta.
[ 1 ]: http://www.gta.ufrj.br/grad/07_2/rodrigo_leobons/deteccao.html
[ 2 ]: http://www.rnp.br/newsgen/9909/ids.html
[ 1 ]
-
Então temos que nos atentar para o que cada banca considera mesmo, porque nessa questão aqui por exemplo, a FCC tem outro entendimento como pode ser visto na letra b
http://www.questoesdeconcursos.com.br/questoes/074adcba-80
Ou eu deveria mandar essa literatura para eles, para anularem a questão?
-
Boa noite galera! Não é a 1ª questão que vejo vários comentários sobre este assunto. Também acho que não existe um padrão bem claro (infelizmente) no que as bancas consideram, então gostaria de avisar que o CESPE tbm age assim, igual a CESGRANRIO agiu. Da mesma forma que postei em outras questões sobre o assunto, acho que a palavra que pega aqui é o PODE.
Resumidamente, IPS pode ser considerada uma classe especializada de IDS. Então um IDS PODE reagir sim, o problema é que um IDS reativo é classificado como IPS.
Pelo menos neste caso aqui, tem item que está completamente errado, enquanto outro item gera dúvida, então dá pra acertar. Questões do CESPE são ainda mais cruéis, pois vc erra algo que sabe e ainda perde outro ponto.
Sobre a FCC, depois que vi questões retiradas de blogs e wiki, não dá nem pra dizer mais nada. Pior não é nem retirar a ideia, é copiar literalmente. Muitas vezes é o mesmo texto que aparece na questão. Tanto que já vi muita gente chamando de Fundação Ctrl + C. Apesar disso tudo, neste caso, concordo mais com o entendimento da FCC do que do CESPE ou CESGRANRIO.
Espero ter ajudado.
-
sobre a letra C, quando ele diz s IDS podem ser utilizados para detectar falhas de segurança em uma rede ou computadores antes mesmo que um ataque ou falha ocorra.
Isso não seria definição de IPS não, sistema de prevenção?
-
Cuidado, galera!
A Letra A está correta já que o IDS pode atuar em modo Passivo ou em modo Reativo também faz o bloqueio do tráfego do IP suspeito ou do usuário mal-intencionado.
IDS Reativo: Se recupera da invasão, atuando "pós"
Modo Passivo
Um IDS passivo quando detecta um tráfego suspeito ou malicioso gera um alerta e envia para o administrador.
Não toma nenhum atitude em relação ao ataque em si.
Não confundir com o IPS:
IPS: Previne a invasão, atuando "pré".
Fonte: https://seginfo.com.br/2010/06/21/sistemas-de-deteccao-de-intrusoes-ids-intrusion-detection-systems-usando-unicamente-softwares-open-source/#modo-reativo
-
minha dica: não estude por essa questão
passe para a próxima
estuda por estas:
2013 - CNJ
Ferramentas de IDS (intrusion detect system) são capazes de detectar anomalias no tráfego de rede, gerar logs e reações, como regras de bloqueio do tráfego considerado anormal.
errada
Ano: 2014Banca: CESPEÓrgão: TJ-SE
A detecção de intrusão compreende medidas proativas na proteção de sistemas computacionais.
errada
2014
A detecção de intrusão abrange formas de resposta, tais como a geração de alertas e a interrupção dos fluxos de dados maliciosos.
certa
-
Pessoal vamos devagar...
Primeiro, o IDS é que é um tipo de IPS, e não o contrário. Só vocês pensarem em qual surgiu primeiro, históricamente.
Outra coisa, sobre a letra C: é muito comum no mundo das Redes fazer-se ataques à frio, simulando tráfego...neste sentido, pode sim o IDS ajudar à evitar falhas!
Claro que devemos evitar sim essa respostinha do echo reply rs. Tb errei kkk!
-
IPS é uma especialidade de IDS. O primeiro age ativamente ao Bloquear ataques. O segundo agr passivamente detectando, ou reativamente quando envia comandos ao Firewall para melhorar regras de bloqueio.
-
O fato é que o IDS REATIVO não bloqueia nada, apenas envia comandos ao Firewall, mas o ataque/estrago já é uma realidade. O IDS ATIVO, sinônimo de IPS, é quem bloqueia...