SóProvas

ID
895258
Banca
CESPE / CEBRASPE
Órgão
CNJ
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito da segurança de redes de computadores, julgue os
itens de 86 a 90.

Ferramentas de IDS (intrusion detect system) são capazes de detectar anomalias no tráfego de rede, gerar logs e reações, como regras de bloqueio do tráfego considerado anormal.

Alternativas
Comentários
  • Trecho do Livro Redes de Computadores e a Internet, 5 edição, Kurose e Ross, padinas 540 e 542.

    (..)Quando um dispositivo observa o pacote suspeito, ou uma série de pacotes suspeitos, ele impede que tais pacotes entrem naa rede organizacionaol. Ou, quando a atividade só e vista como suspeita, o dispositivo pode deixar os pacotes passarem, mas envia um alerta ao administrador de rede, que pode examinar o tráfego minuciosamente e tomar as ações necessárias. Um dispositivo que gera alertas quando observa tráfegos potencialmete mal intencionados pe chamado de sistema de decção de intrusos (IDS - Intrusion detection sustem). Um dispositivo que filtra o tráfego suspeito é chamado de sistema de prevensão de intruso (IPS - intrusion prevention system).
  • Um IDS é uma ferramenta utilizada para monitorar o tráfego da rede, detectar e alertar sobre ataques e tentativas de acessos indevidos. Na grande maioria das vezes não bloqueia uma ação, mas verifica se esta ação é ou não uma ameaça para um segmento de rede. Já o IPS tem a capacidade de identificar uma intrusão, analisar a relevância do evento/risco e bloquear determinados eventos. O IPS usa a capacidade de detecção do IDS junto com a capacidade de bloqueio de um firewall, notificando e bloqueando de forma eficaz qualquer tipo de ação suspeita ou indevida e é uma das ferramentas de segurança de maior abrangência, uma vez que seu poder de alertar e bloquear age em diversos pontos de uma arquitetura de rede.
  • Um IDS apenas emite alerta, não reagem. É como  um cachorro pequenez, ele late, late, mas não defende a casa.
    Os sistemas IPS é que são capazes de reagir a possíveis invasões. IPS é um "pit bull", ele late e arranca o braço do ladrão.
  • IDS = Ferramenta Passiva (só detecta)
    IPS = Ferramenta Ativa (detecta e reage).
  • Ah, que ótimo, agora o CESPE adota diferentes entendimentos acerca de um mesmo tema. E agora, qual resposta devo marcar? Vamos ficar sempre na linha tênue da dúvida. Eu acertei, no chute, mas é complicado...
    Segundo o professor: "(...) reprogramando o Firewall para bloquear o tráfego de rede da fonte maliciosa suspeitada.". Entendo que o comando da questão disse exatamente isso "gerar logs e reações, como regras de bloqueio do tráfego considerado anormal", pois afinal definir "regras de bloqueio" significaria "reprogramar o firewall", não? Então a questão poderia muito bem ser considerada correta? Ai meu Deus...
  • A questão é passível de recurso. Conforme já citado, existem os IDS ATIVOS que podem mudar regras do firewall e derrubar seções quando detecta uma anomalia...
  • Olá,

    Entendo que o CESPE classifica IDS como um analisador que detecta, alerta, mas não reage efetivamente contra ataques. Isto é, o IDS até pode reagir disparando alarmes aos administradores de segurança/redes, enquanto o ataque continuará afetando a máquina. Esta seria a forma PASSIVA!
    Já o IPS é classificado como um analisador e que reage EFETIVAMENTE ao ataque. Não só ele detecta, alarma, mas envia um comando ao Firewall bloquear o ataque, esse sendo, rapidamente, evitado. É assim que acontece nos appliance de mercado. Este seria a forma ATIVA DO IDS = IPS!

    É só uma questão de interpretação, isto é, o CESPE é fogo!
  • O cespe pode até adotar isso,

    Mas NAKAMURA 2007, pg 293, não. Conforme trecho a seguir:

    " Os IDS passivos, na realidade, possuem alguma forma de reação, normalmente com o envio de "TCP reset" ou enviando mensagens de reconfiguração de regras de firewall ou de roteadores"

    Se o IDS envia mensagens de reconfiguração de regras é ele que criar as regras, mas quem as aplica é o firewall.
  • Prezados,

    O conceito mais simples de ferramentas de IDS e IPS, em linhas gerais, determinam que as ferramentas de IDS ( Intrusion detection system ) apenas detectam as intrusões, enquanto as ferramentas de IPS ( Intrusion prevention system ) filtram e bloqueiam o trafego suspeito.
    Corroborando com esse conceito, temos o conceito apresentado pelo Kurose, página 542 :
    “Um dispositivo que gera alertas quando observa tráfegos potencialmente mal intencionados é chamado de sistema de detecção de intrusão (IDS, do inglês intrusion detection system ) . Um dispositivo que filtra o tráfego suspeito é chamado de sistema de prevenção de intrusão ( IPS, do inglês intrusion prevention system ) “
    Porém , os IDS´s podem também ser sub-classificados como ativos e passivos. Em um sistema passivo, o IDS detecta uma potencial violação da segurança, registra a informação e dispara um alerta, enquanto um IDS ativo ( também chamado de inline ) responde a atividade suspeita finalizando a sessão do usuário ou reprogramando o Firewall para bloquear o tráfego de rede da fonte maliciosa suspeitada.
    O próprio cespe já aceitou essa classificação e entendeu como verdade o fato do IDS também podendo atuar com bloqueio de trafego em outras provas, como TJ-ES 2011 ( Q103989 ) e STM 2011 ( Q84064 )
    Fonte :
    - Stallings, W. , Criptografia e segurança de redes , 4º edição
    - KUROSE ; ROSS, 2009
    - NAKAMURA, E. T., GEUS, P.L. Segurança de Redes em Ambientes Cooperativos. Ed. Novatec, 2007.

  • http://www.itnerante.com.br/group/seguranadainformao/forum/topics/cnj-2013-ids-cespe

  • O conceito mais simples de ferramentas de IDS e IPS, em linhas gerais, determinam que as ferramentas de IDS ( Intrusion detection system ) apenas detectam as intrusões, enquanto as ferramentas de IPS ( Intrusion prevention system ) filtram e bloqueiam o trafego suspeito.

  • ERRADO

    Dispositivo passivo que monitora a rede, detecta e alerta quando observa tráfegos potencialmente mal-intencionados, mas não os bloqueia.