-
Assertiva D
um dos métodos que o IPS utiliza é a detecção baseada em assinaturas.
IDS = geralmente não toma uma ação para parar o ataque. Ele pode emitir alertas para o administrador.
IPS = tem função ativa na proteção contra tentativas de ataque. Ele analisa as movimentações na rede e, se detectar um evento suspeito, bloqueia a atividade.
-
A) o IDS é uma versão mais recente, englobando as funções do IPS, que se tornou obsoleto. (ERRADO)
- Afirmativa completamente errada, o IDS não é mais recente e muito menos o IPS se tornou obsoleto
- (CESPE 2012) Os sistemas IDS (intrusion detection system) e IPS (intrusion prevention system) utilizam metodologias similares na identificação de ataques, visto que ambos analisam o tráfego de rede em busca de assinaturas ou de conjunto de regras que possibilitem a identificação dos ataques. (CERTO)
- Lembre-se:
- IDS - pinscher só faz "barulho"
- IPS - Pitbull
B) o IDS foi projetado para bloquear ataques, não possuindo a função de monitorar a rede. (ERRADO)
- o IDS detecta e não bloqueia
- (CESPE 2018) Um sistema de detecção de intrusão (intrusion detection system – IDS) consegue detectar comportamentos maliciosos tanto em computadores individuais quanto em redes de computadores. (CERTO)
C) o IPS não protege uma rede de ataques, mas monitora essa rede e envia alertas aos administradores no caso de uma ameaça ser detectada. (ERRADO)
- o IDS
- (CESPE 2018) O dispositivo de IPS (do inglês intrusion prevention system) utilizado em redes corporativas tem como objetivo bloquear ataques a partir da identificação de assinaturas e(ou) anomalias. (CERTO)
D) um dos métodos que o IPS utiliza é a detecção baseada em assinaturas.
- Gabarito
- (CESPE 2021) Um dispositivo configurado como IPS (intrusion prevention system) analisa tráfegos na rede de computadores, em busca de assinaturas de ataques, e notifica os administradores, porém não possui autonomia para bloquear o tráfego de rede. (ERRADO, quem não possui autonomia para bloquear é o IDS)
E) um dos métodos que o IDS utiliza é a detecção estatística de anomalias, que se baseia em um dicionário de padrões de identificação exclusiva no código de cada exploração de um invasor.
- O IDS pode funcionar de 2 formas:
- na detecção por assinaturas - o IDS busca por padrões específicos de tráfego externo que seja embasado em assinatura.
- na detecção por comportamento- é estabelecido um padrão normal de comportamento para o tráfego de rede e quando for detectado uma atividade diferente deste padrão, um alarme é disparado.
-
IPS - Sistema de Prevenção de Instrução
Inspeção até a camada 7 (modelo OSI)
Detecta preventivamente ataques a uma determinada subrede
Realiza contramedidas de forma automática
Pode ir além dos cabeçalhos IP, TCP, UDP e ICMP
Rede
Host
Ações
Enviar um alarme
Descartar os pacotes maliciosos
redefinir a conexão e / ou bloquear o tráfego do endereço IP ofensivo.
- Corrigir erros de verificação de redundância cíclica (CRC) ou Cyclic Redundancy Check − CRC
Desfragmentar fluxos de pacotes,
Evitar problemas de seqüência de TCP
- Limpar as opções de transporte e camada de rede indesejadas.
Identificam um padrão de ataque
Impede um ataque automaticamente
Métodos
Detecção baseada em assinatura
Exploração individual
Visibilidade de vulnerabilidade
Detecção baseada em anomalias
Detecção baseada em diretivas
-
GABARITO: D
IDS > é um dispositivo passivo que monitora a rede, detecta e alerta o administrador quando observa tráfegos mal-intencionados, mas não os bloqueia.
IPS > é um dispositivo reativo ou proativo que monitora a rede, detecta e bloqueia os tráfegos maliciosos (melhor que o IDS, portanto).
Não pare até que tenha terminado aquilo que começou. - Baltasar Gracián.
-Tu não podes desistir.
-
GAB:D
Complementando,
- IDS - DETECTA, ALERTA - Só dá o papo
- IPS - PREVINE, ALERTA E BLOQUEIA
Questões que ajudam na resposta:
(CESPE - 2017 - SEDF) Relativamente a segurança da informação, julgue o item subsequente.
Uma das abordagens comuns dos sistemas IDS na realização de suas funções é aprender a reconhecer padrões de intrusões usando métodos como redes neurais.Certo
(CESPE - 2015 - TCE-RN) A respeito de segurança em redes de computadores, julgue o item seguinte.
Situação hipotética: Uma ferramenta, ao monitorar o tráfego de uma rede, detectou uma anomalia considerada como um possível ataque. Após essa detecção, a ferramenta enviou ao firewall um pedido de bloqueio do endereço de origem que enviou o tráfego de rede considerado um ataque. Assertiva: Nessa situação, a referida ferramenta é considerada um IPS (intrusion prevention system). Certo
(CESPE - 2010 - TCU) Com relação à segurança em redes de computadores, julgue os itens subsequentes.
Firewalls, IDS e IPS são dispositivos que têm finalidades idênticas, porém tipicamente operam de formas distintas: o primeiro inspeciona integralmente os datagramas e reage bloqueando o tráfego indesejado; o segundo também inspeciona integralmente os datagramas, mas não bloqueia o tráfego indesejado, apenas emite alertas; e o terceiro inspeciona apenas os cabeçalhos dos datagramas e, como o primeiro, reage bloqueando o tráfego indesejado.Errado
(CESPE-2021-CODEVASF) Um dispositivo configurado como IPS (intrusion prevention system) analisa tráfegos na rede de computadores, em busca de assinaturas de ataques, e notifica os administradores, porém não possui autonomia para bloquear o tráfego de rede. Errado
(CESPE-2016-FUB)Ferramentas IDS podem trabalhar simplesmente emitindo alertas de tentativa de invasão ou aplicando ações com a finalidade de contra-atacar a tentativa de invasão. Certa
-
Acho que o ERRO na LETRA E é pq a
Detecção de anomalia = coleta de dados relacionados ao comportamento de usuários legítimos durante um período de tempo.
Stallings
Letra D.
-
Questão: D
- IPS (ativo): Detecta e barra os intrusos.
- IDS (passivo): Detecta e avisa o que está acontecendo.