SóProvas

IDS refere-se a um mecanismo capaz de identificar ou detectar a presença de atividades intrusivas partindo da hipótese que a base de comportamento de um intruso não é o mesmo de um usuário legitimo.

O IDS baseado em host monitora as conexões de entrada no host e tenta determinar se alguma destas conexões pode ser uma ameaça. Monitora também arquivos, sistema de arquivos, logs, ou outras partes do host em particular, que podem ter atividades suspeitas representando uma tentativa de intrusão ou até mesmo uma invasão bem sucedida.

Portanto gabarito errado.

(E)

Funções do IDS (Intrusion Detection System):

Coletar

Analisar

Armazenar

Responder

Existem dois tipos de IDS:

= HIDS (Host IDS): monitora as atividades da máquina onde é instalado.

= NIDS (Network IDS): monitora o tráfego de rede.

Cada uma delas tem as suas vantagens e desvantagens, mas ambas armazenam informações (geram logs) sobre as possíveis intrusões.

GABARITO: ERRADO

Gabarito: Errado.

Por ser instalado em um host (HIDS) ou em uma rede (NIDS), o IDS não deixa de registrar os logs. Apenas muda de onde os logs são coletados, dos movimentos na rede ou dos movimentos no host.

Intrusion Detection System (IDS)

↳ Do Português - Sistema de Detecção de Intrusão - é um sistema que possibilita a coleta e o uso de informações dos diversos tipos de ataques em prol da defesa de toda uma infraestrutura de rede.

• IDS -> Intruso Detectado no Sistema > alerta o usuário, somente!
• (Late, porém não morde! rsrs)

↳ Em outras palavras, é um software que automatiza o processo de detecção de intrusão.

• Mas...

Pra que ele serve?

↳ É usado para monitorar e proteger redes detectando atividades mal-intencionadas e relatando-as a um grupo ou contato, como um administrador de rede. Uma vez que as atividades desse tipo são detectadas, um administrador é alertado.

#Como ele funciona?

↳ O sistema analisa o tráfego da rede em busca de assinaturas que correspondam a ciberataques conhecidos.

↳ Além disso, compara flags definidas em um cabeçalho TCP com boas e más combinações conhecidas de flags.

• Um IDS, também, utiliza arquivos de logs para monitorar o sistema.

#Onde ele deve ser instalado?

↳ IDS é o primeiro sistema de detecção de intrusão que deve ser instalado no perímetro da rede de computadores de uma organização, ou seja, entre a rede local e a Internet.

---

Questões Cespianas:

1} Um IDS permite criar regras com o objetivo de monitorar aumentos anormais de tráfego de rede; além dessa funcionalidade, ele ainda pode alertar o responsável pela segurança, caso ocorram tais anomalias.(CERTO)

2} Os sistemas de detecção de intrusos consistem em ferramentas auxiliares, utilizadas para evitar que determinados programas verifiquem a existência de portas TCP abertas em um computador e venham a invadi-lo por intermédio delas.(CERTO)

3} Um IDS (Intrusion Detection System) pode ser usado para detectar varreduras de porta e de pilha TCP, além de ataques de DoS, de inundação de largura de banda, de worms e de vírus.(CERTO)

4} Um sistema de detecção de intrusão (intrusion detection system – IDS) consegue detectar comportamentos maliciosos tanto em computadores individuais quanto em redes de computadores.(CERTO)

5} Um IDS é capaz de detectar até mesmo um usuário que, para esconder suas ações, exclua arquivos de registro do sistema.(CERTO)

6} Um sistema de detecção de intrusão (IDS) consegue coletar dados, em tempo real, sobre o funcionamento dos componentes da rede.(CERTO)

[...]

Logo, ele utiliza sim arquivos de logs para monitorar o sistema.

Gabarito: Errado ❌

____________

Fontes: Universidade Federal do RJ (UFRJ); Questões da CESPE e Quadrix; Colegas do QC.