SóProvas

ID
311974
Banca
CESPE / CEBRASPE
Órgão
TJ-ES
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a procedimentos de segurança da informação, julgue
os itens subsequentes.

IDS (intrusion detection system) pode ser utilizado para incrementar o trabalho do firewall e permitir que o tráfego de dados de uma rede seja monitorado para correção imediata de problemas ou falhas.

Alternativas
Comentários
  • Concordo com o colega: quando se fala em correção imediata está se referindo ao conceito de IPS.
  • Absurdo isso!! Correção imediata? Isso é característica do IPS, o IDS emite alertas.
  • Eu entendi essa questão de maneira diferente dos colegas:

    IPS - Sistema de Prevenção de Intrusos - tem o objetivo de PREVENÇÃO (evitar), não de CORRIGIR os problemas causados por um ataque.
    IDS - Sistema de Detecção de Intrusos - tem o objetivo de DETECTAR se um ataque está ocorrendo ou já ocorreu. Dependendo da rapidez com que os administradores de rede tomam conhecimento do ataque (em andamento ou já finalizado), a correção poderá ocorrer (imediata ou não) .

    Portanto, a alternativa está CORRETA.

    Bons estudos!
  • Não concordo com gabarito dessa questão, pois se o tráfego de rede é analisado então teríamos um NIDS (Network Intrusion Detection System).

    O termo IDS é mais abrangente.
  • No meu entender, esta assertiva tem dois erros:

    IDS (intrusion detection system) pode ser utilizado para incrementar o trabalho do firewall e permitir que o tráfego de dados de uma rede seja monitorado para correção imediata de problemas ou falhas.

    O IDS não faz aumentar o trabalho do Firewall. O Firewall tem seu próprio trabalho, grande ou pequeno, de acordo com suas regras.
    O papel do IDS é ser uma ferramenta para analisar o tráfego justamente nas conexões que o Firewall deixa passar. Se o sentido do verbo incrementar for melhorar ou desenvolver, penso que a sentença está mau redigida e ambígua.

    E como já foi dito acima, em outras questões similares, os CESPE considera que é o IPS quem provê monitoramento ATIVO, que providencia ações preemptivas e corretivas assim que um problema é detectado.

    O gabarito da questão aqui está errado.
  • Galera,

    o que muita gente não vê é que IPS é uma classe de IDS. Então podemos dizer que os IDS (não todos) podem fazer inspeção ativa.

    att,
  • Está certo quem diz que o IDS faz o monitoramento, identificando ataques e intrusão, sendo o IPS aquele que pode bloquear ataques ou como diz a questão "faz correção imediata de problemas ou falhas." Lembrando que o IPS também pode operar passivamente, não bloqueando pacotes mas o IDS não pode interromper um ataque. Entretanto A CESPE considera que ambos podem atuar ativamente em resposta a um ataque.
  • Ok Fernando. Entendi o seu argumento, mas se ela classifica assim está errado. Pelo menos em todas as fontes que li, IPS e IDS realizam funções diferentes. E mesmo que outro colega tenha dito que IPS é um sub-classe de IDS, e a meu ver é, a afirmação dele tbm está errada.
    Todo IPS é um IDS, mas nem todo IDS é um IPS, logo nem todo IDS é capaz de atuar ativamente, reprogramando o FW por exemplo, e é justamente isso que torna a questão falsa. Se fosse dito colocado um IPS no lugar do IDS estaria verdadeiro.
    .......
    ...

    Galera, antes de enviar a questão resolvi refletir mais um pouco sobre o assunto, e acho que a "pegadinha" esta na palavra PODE. Realmente um IDS pode fazer tudo isso, mas na minha opinião é muita sacagem formular algo assim.
    Resolvi deixar minha justificativa anterior pq acho que ainda vale como argumento, mas esse PODE aí é uma baita sacanagem. Típico de CESPE.
  • Uma grande polêmica é gerada com relação a este assunto: se o IDS pode ou não ser ativo.
    A resposta, depois de ler o Stallings, é SIM.

    O IDS pode ser passivo (apenas detectar possíveis desvios/intrusões na rede ou no host) ou ativo (além de detectar tomar atitudes que foram pré-configuradas pela adm de segurança).

    O IPS tem a característica principal de ser ATIVO (tomar atitudes sobre possíveis intrusões).

    Rodrigo Gomes
  • "IDS (intrusion detection system) pode ser utilizado para incrementar o trabalho do firewall e permitir que o tráfego de dados de uma rede seja monitorado para correção imediata de problemas ou falhas."

    Essa correção é feita usando o firewall e não o IDS, cuidado com a interpretação.

    CERTO
  • Segue a relação entre firewall e IDS só para complementar. A imagem não é do autor Nakamura, contudo coloquei ela pois é semelhante à imagem do livro deste autor. 

    Segundo Nakamura (2010, p. 266), "A relação entre o IDS e o firewall pode ser vista na figura 8.2" (figura abaixo)
    Segundo Nakamura (2010, p.267),"O firewall libera conexões e o IDS detecta, notifica e responde a tráfegos suspeitos"




    Bibliografia:
    1)Segurança de redes em ambientes cooperativos
    Autor: Nakamura
    2) http://www.metropoledigital.ufrn.br/aulas_avancado/web/disciplinas/seg_redes/aula_09.html     (Fonte da figura)
  • Os IDS podem ser definidos como sistemas de software/hardware que automatizam o processo de monitoramento de eventos os quais ocorrem em sistemas computacionais, analisando-os com base em assinaturas criadas a partir de problemas de segurança (intrusões). Esse mecanismo de segurança serve basicamente para trazer informações sobre a rede, como, por exemplo, quantas tentativas de ataques (intrusão) foram recebidas por dia e qual tipo de ataque foi usado. É um complemento do firewall, pois analisa os serviços permitidos. Ferramenta passiva.
     
    IDS Passivo: Apenas gera alarmes
    IDS Ativos: Tomam contramedidas DEPOIS que a invasão acontece

    Conclusão
    O IDS pode ser um complemento ao Firewall e pode tomar contramendidas DEPOIS de uma invasão (IDS ativo).
    Alternativa: Certa

  • Esta questão está grotescamente ERRADA. O Cespe pisou feio. A Cisco que criou estes conceitos, e para eles um IDS opera em "promiscuos mode", ou seja, numa cópia do fluxo de dados. Isto permite que ele não atrapalhe o desempenho da rede, mas o impede de emitir um alarme a tempo de bloquear um ataque em tempo real. É o IPS que opera no "inline mode", ou seja, no fluxo de dados real, podendo "alarmar" a tempo do firewall ou roteador bloquear o ataque. Se alguém disser que tem um determinado tipo de IDS, citado por "tal autor nacional", que IDS bloqueia mesmo, ele (o autor) caiu no marketing de algum vendedor, pois é mau uso do termo IDS. Azar nosso não haver uma bibliografia consolidada.

    Será que ninguém entrou com recurso?

    referência: http://www.ciscopress.com/articles/article.asp?p=1336425

  • Um professor uma vez me disse que essa questão estaria CERTA pois IMEDIATA == SEGUINTE

     

    e de fato, o IDS toma ações posteriores ao ataque.

     

     

    de qualquer forma, marcar certo nessa questão tem que ter BALLS

     

     

     

     

    2014

    A detecção de intrusão abrange formas de resposta, tais como a geração de alertas e a interrupção dos fluxos de dados maliciosos.

    certa

     

    Ano: 2014Banca: CESPEÓrgão: TJ-SE

    A detecção de intrusão compreende medidas proativas na proteção de sistemas computacionais.

    errada

     

    2013 - CNJ

    Ferramentas de IDS (intrusion detect system) são capazes de detectar anomalias no tráfego de rede, gerar logs e reações, como regras de bloqueio do tráfego considerado anormal.

    errada

  • Minha interpretação foi a que não é o IDS que age para correção imediata, ele só monitora o tráfego, permitindo uma eventual correção imediata

  • "E permitir que o tráfego de dados de uma rede seja monitorado para correção imediata de problemas ou falhas."

    Quem vai permitir?

    O Firewall

    A pegadinha da questão é interpretar que o complemento acima se refere ao firewall e não ao IDS!

    Observe agora:

    IDS (intrusion detection system) pode ser utilizado para incrementar o trabalho do firewall e permitir que o tráfego de dados de uma rede seja monitorado para correção imediata de problemas ou falhas.