SóProvas

ID
895570
Banca
CESPE / CEBRASPE
Órgão
CNJ
Ano
2013
Provas
Disciplina
Noções de Informática
Assuntos

A respeito das ferramentas para uso da Internet, julgue os itens
subsequentes.

Com relação à segurança na Internet, os sistemas de detecção de intrusos consistem em ferramentas auxiliares, utilizadas para evitar que determinados programas verifiquem a existência de portas TCP abertas em um computador e venham a invadi-lo por intermédio delas.

Alternativas
Comentários
  • Correto. A questão não tem uma negação, uma restrição ou menosprezo... Em Cespe, 95% dos casos, é correta.
    Os sistemas de detecção de intrusos (IDS) são ferrramentas e técnicas (de terceiros) usadas para identificar um fluxo incomum de tráfego, evitar que port-scan encontrem portas de conexão TCP abertas, ou backdoors abram estas portas, possibilitando invasão ou retorno do invasor (no caso do backdoor).

  • Certa. Para isso pode-se usar ferramentas de segurança, quais sejam: antivírus, firewall, criptografica etc. Eles são utilizados para evitar que determinados programas verifiquem a existência de portas TCP abertas em um computador e venham a invadi-la. Esses sitemas de deteccção de intrusos são conhecidos como por exemplo: o Backdoor (um exemplo de cavalo de troia) Este programa é instalado secretamento em um computador invadido com o objetivo de garantir o retorno facilitado do invasor sem recorrer os métodos utilizados na invasão. Também tem o PortScan que são programas utilizados por hackers para bisbilhotar computadores e saber quais serviços de segurança e comunicação estão habilitados.

    As ameaças à segurança da informação são relacionadas diretamente à perda de uma de suas 3 características principais, quais sejam:

    Perda de Confidencialidade: seria quando há uma quebra de sigilo de uma determinada informação (ex: a senha de um usuário ou administrador de sistema) permitindo que sejam expostas informações restritas as quais seriam acessíveis apenas por um determinado grupo de usuários.

    Perda de Integridade: aconteceria quando uma determinada informação fica exposta a manuseio por uma pessoa não autorizada, que efetua alterações que não foram aprovadas e não estão sob o controle do proprietário (corporativo ou privado) da informação

    Perda de Disponibilidade: acontece quando a informação deixa de estar acessível por quem necessita dela. Seria o caso da perda de comunicação com um sistema importante para a empresa, que aconteceu com a queda de um servidor ou de uma aplicação crítica de negócio, que apresentou uma falha devido a um erro causado por motivo interno ou externo ao equipamento ou por ação não autorizada de pessoas com ou sem má intenção.

  • Eu errei essa questão porque entendi que a definição que o examinador deu foi a de IPS (intrusion PREVENTION system) e não de IDS (intrusion DETECTION system).

    Eu tinha entendido que o IDS seria apenas para detectar, e NÃO NECESSARIAMENTE para AGIR...

    ... Alguém por favor poderia esclarecer a diferença e mostrar que o examinador realmente estava se referindo ao termo IDS?
  • Para ajudar:


    Fonte: http://www.mknod.com.br/?q=ids
  • Eu também errei a questão por pensar da mesma forma que o colega Marcelo Varela.

    Data venia aos que já comentaram e àqueles que provavelmente me darão nota baixa, mas esta questão não é tão simples assim. A diferenciação entre IDS/IPS já rendeu muita discussão por aí, inclusive até pouco tempo atrás foi discutido isso no fórum www.missaopapafox.com.

    A literatura comumente vista diferencia IDS e IPS como o primeiro detectando e o segundo detectando e reagindo. Todavia, existe na literatura a taxonomia relacionada a IDS passivo e IDS ativo. O IDS passivo seria o IDS que só detecta os ataques, gerando alarmes para os administradores caso uma intrusão seja detectada. Por outro lado, um IDS ativo, além de detectar, também reagiria ao ataque de forma ativa; ele poderia, por exemplo, fechar uma porta do firewall. Essa ideia do IDS ativo vai ao encontro do IPS.

    As questões que eu havia feito da banca CESPE, aqui no QuestoesDeConcursos, sobre o conteúdo IDS, sempre usaram a diferenciação IDS/IPS. Esta é a primeira questão que eu vejo mencionarem a ideia de IDS ativo.
  • Com relação à segurança na Internet, os sistemas de detecção de intrusos consistem em ferramentas auxiliares, utilizadas para evitar que determinados programas verifiquem a existência de portas TCP abertas em um computador e venham a invadi-lo por intermédio delas.

    Esses progarmas NÃO EVITAM A VERIFICAÇÃO e sim avisam quando for feita. 

    Acredito que a questão está ERRADA. 
  • Marcelo e Urlan, esse é mais um dos muitos casos de questões do CESPE em que acertar a questão não depende do seu conhecimento, mas sim da sorte.
  • Um sistema de detecção de intrusos geralmente detecta manipulações de sistemas de computadores indesejadas, normalmente através da internet. Essas manipulações normalmente vêm de ataques de hackers. Os IDS são usados para detectar vários tipos de comportamentos maliciosos que podem comprometer a segurança e a confiabilidade de um sistema. Eles incluem ataques pela rede contra serviços vulneráveis, ataques baseados em uma estação, como aumento de privilegio, logins não autorizados e malware. 
    Um IDS é composto de diversos componentes: sensores, que geram eventos de segurança; console para monitorar eventos e alertas e controlar os sensores; e um mecanismo central que grava os eventos registrados pelo sensor na base de dados e usa um sistema de regras para gerar alertas a partir dos eventos de segurança recebidos. Umas vez que é detectado alguma intrução, alertas são enviados, e podem haver dois yipos de resposta, ativa ou passiva. Na ativa, respostas aos incidentes são geradas pelo próprio sistema, enquanto que na passiva, são gerados apenas relatórios para que o administrador venha a tomar as medidas que julgar necessárias.
    Os IDS geralmente são apenas passivos, somente observando o sistema e gerando alertas para os responsáveis por este sistema. Porém,     em alguns casos, o sistema pode reagir em caso de uma intrusão ser detectada, como por exemplo fechar a conexão, bloquear a partir do firewall ou até mesmo desabilitar uma conta.

    http://www.gta.ufrj.br/grad/07_2/rodrigo_leobons/deteccao.html
  • E aí Varela!!! errei pelo mesmo motivo!!!! 
    Ao meu viver o examinador quando diz " os sistemas de detecção de intrusos consistem em ferramentas auxiliares..." está falando do IDS e logo em seguida vem dizendo "utilizadas para evitar que determinados programas" pensei logo no IPS.
    Alguém aí por favor traga uma respostas para isso.
  • IDS....IPS... bah! Acertei porque sou nível médio em informática... se fosse técnico ou analista acho que teria errado, como os colegas acima..rsrsrsrssrrs. Mas que barbaridade, tchê!

  • O IDS (Intrusion Detection Systems) procura por ataques já catalogados e
    registrados, podendo, em alguns casos, fazer análise comportamental do
    sistema.
  •  sistemas de detecção de intrusos consistem em ferramentas auxiliares, utilizadas para evitar que determinados programas verifiquem a existência de portas TCP abertas em um computador e venham a invadi-lo por intermédio delas.

    Tanto o IDS qto o IPS detectam, porém o IPS detecta e obstrui e o IDS detecta e avisa. Portanto, Na miiiiiinha humilde opinião..... qdo o IDS  detecta um portscan(programas utilizado pelo hacker para achar uma porta de entrada) e avisa ao administrador, mesmo q  não obstruindo imediatamente o programa(como o IPS faria), ele está auxiliando o administrador, notificando-o, para que ele o faço.

  • Pode até parecer meio bobo, mas pensei que o termo "portas TCP" estivesse errado - pois TCP é um protocolo (Tansmission Control Protocol).

  • Trata-se do IDS

    Para aumentar o conhecimento:

    Os sniffers são ferramentas que interceptam e analisam o trafego de uma rede, com ele você pode descobrir quais sites estão sendo acessados na rede, quais tipos de protocolos estão sendo usados (http, FTP, POP3, SMTP, etc) e até mesmo capturar senhas de sites com autenticação, como redes sociais, painéis administrativos, emails, etc.

    Hoje em dia existem vários e vários sniffers, alguns são simples e com poucos recursos, já outros são avançados e conseguem até mesmo importar arquivos e relatórios de outras ferramentas de analise de rede, dentre esses sniffers o que é mais usado e recomendável, sem dúvida alguma é o WireShark.


  • Como pode ser observado na questão, a ferramenta capaz de detectar portas TCPs abertas seria o Sniffer e desse modo, mostrando que realmente existe tal ferramenta, fica comprovada a veracidade da questão, logo..
    CERTO.

  • Boa dica sobre as questões do Cespe Nishimura!

  • Detecção de Intrusos

               Um sistema de detecção de intrusos geralmente detecta manipulações de sistemas de computadores indesejadas, normalmente através da internet. Essas manipulações normalmente vêm de ataques de hackers.
                Os IDS são usados para detectar vários tipos de comportamentos maliciosos que podem comprometer a segurança e a confiabilidade de um sistema. Eles incluem ataques pela rede contra serviços vulneráveis, ataques baseados em uma estação, como aumento de privilegio, logins não autorizados e malware.
                Um IDS é composto de diversos componentes: sensores, que geram eventos de segurança; console para monitorar eventos e alertas e controlar os sensores; e um mecanismo central que grava os eventos registrados pelo sensor na base de dados e usa um sistema de regras para gerar alertas a partir dos eventos de segurança recebidos. Umas vez que é detectado alguma intrução, alertas são enviados, e podem haver dois tipos de resposta, ativa ou passiva. Na ativa, respostas aos incidentes são geradas pelo próprio sistema, enquanto que na passiva, são gerados apenas relatórios para que o administrador venha a tomar as medidas que julgar necessárias.
               Os IDS são divididos em alguns métodos de detecção, como: baseados em assinatura e detecção de anomalias. Intrusos tem assinaturas, como vírus de computadores, que podem ser detectados usando-se software. Tenta-se achar pacotes de dados que contenham quaisquer assinaturas conhecidas relacionadas a intrusos ou anomalias relacionadas a protocolos de Internet. Baseado em um conjunto de assinaturas e regras, o sistema de detecção pode achar atividades suspeitas e gerar alertas. Detecção de intrusos baseadas em anomalias geralmente dependem de anomalias nos pacotes presentes nos cabeçalhos dos pacotes. Em alguns casos esses métodos podem produzir resultados melhores comparados aos IDS baseados em assinaturas. Geralmente, IDS capturam dados da rede e aplicam suas regras a esses dados ou detectam anomalias neles.
    Os IDS geralmente são apenas passivos, somente observando o sistema e gerando alertas para os responsáveis por este sistema. Porém, em alguns casos, o sistema pode reagir em caso de uma intrusão ser detectada, como por exemplo fechar a conexão, bloquear a partir do firewall ou até mesmo desabilitar uma conta.

     

     

  • GABARITO: CERTO

    Os sistemas de detecção de intrusos (IDS) são ferrramentas e técnicas (de terceiros) usadas para identificar um fluxo incomum de tráfego, evitar que port-scan encontrem portas de conexão TCP abertas, ou backdoors abram estas portas, possibilitando invasão ou retorno do invasor (no caso do backdoor).

     

    FONTE: PROFESSOR FERNANDO NISHIMURA

  • Um IDS é uma ferramenta utilizada para monitorar o tráfego da rede, detectar e alertar sobre ataques e tentativas de acessos indevidos. Na maioria das vezes, não bloqueia uma ação, mas verifica se esta ação é ou não uma ameaça para um segmento de rede.

    A vantagem de se utilizar um IDS é que ele não interfere no fluxo de tráfego da rede.

    Enquanto o IDS é um software que automatiza o processo de detecção de intrusão, o IPS é um software de prevenção de intrusão, que tem por objetivo impedir possíveis ataques.

    O IDS trabalha de maneira reativa e informativa, enquanto que o IPS diminui o risco de comprometimento de um ambiente.

    Algumas ações do IPS são:

    Enviar um alarme ao administrador;

    Derrubar pacotes maliciosos;

    Bloquear o tráfego a partir do endereço de origem;

    Redefinir a conexão.

  • Certo

    Os sistemas de detecção de intrusos (IDS) são ferramentas e técnicas (de terceiros) usadas para identificar um fluxo incomum de tráfego, evitar que port-scan encontrem portas de conexão TCP abertas, ou backdoors abram estas portas, possibilitando invasão ou retorno do invasor (no caso do backdoor).

  • Os sistema IDS e IPS utilizam metodologias similares na identificação de ataques, visto que ambos analisam o tráfego de rede em busca de assinaturas ou de conjunto de regras que possibilitem a identificação dos ataques.

    A diferença está no fato de que o IDS detecta e apenas avisa o administrador para que este tome alguma atitude. Enquanto o IPS não precisa de uma intervenção humana para que seja tomada uma ação efetiva, ele mesmo bloqueia.

    Intrusion Detection Systems (IDS): iDentifica, Detecta, mas NÃO bloqueia.

    Intrusion Prevention Systems (IPS): detecta e Previne (BLOQUEIA) a ameaça.

  • Correto. A questão não tem uma negação, uma restrição ou menosprezo... Em Cespe, 95% dos casos, é correta.

    Os sistemas de detecção de intrusos (IDS) são ferrramentas e técnicas (de terceiros) usadas para identificar um fluxo incomum de tráfego, evitar que port-scan encontrem portas de conexão TCP abertas, ou backdoors abram estas portas, possibilitando invasão ou retorno do invasor (no caso do backdoor).

  • Sistemas de Detecção de Intrusão (IDS): analisam o tráfego da rede em busca de assinaturas que correspondam a ciberataques conhecidos, apenas detecta e avisa.

    Sistemas de Prevenção de Intrusões (IPS): analisam pacotes, mas PODEM impedir que esses pacotes sejam entregues com base nos tipos de ataques detectados, ajudando a interromper o ataque.

  • descreveu uma tecnologia é certa.

  • Intrusion Detection System (IDS)

     Do Português - Sistema de Detecção de Intrusão - é um sistema que possibilita a coleta e o uso de informações dos diversos tipos de ataques em prol da defesa de toda uma infraestrutura de rede.

    • IDS -> Intruso Detectado no Sistema > alerta o usuário, somente!
    • (Late, porém não morde! rsrs)

     Em outras palavras, é um software que automatiza o processo de detecção de intrusão.

    [...]

    Pra que ele serve?

    É usado para monitorar e proteger redes detectando atividades mal-intencionadas e relatando-as a um grupo ou contato, como um administrador de rede. Uma vez que as atividades desse tipo são detectadas, um administrador é alertado.

    [...]

    Como ele funciona?

    O sistema analisa o tráfego da rede em busca de assinaturas que correspondam a ciberataques conhecidos.

     Além disso, compara flags definidas em um cabeçalho TCP com boas e más combinações conhecidas de flags.

    [...]

    Onde ele deve ser instalado?

    IDS é o primeiro sistema de detecção de intrusão que deve ser instalado no perímetro da rede de computadores de uma organização, ou seja, entre a rede local e a Internet.

    [...]

    Questão Cespiana:

    Um IDS permite criar regras com o objetivo de monitorar aumentos anormais de tráfego de rede; além dessa funcionalidade, ele ainda pode alertar o responsável pela segurança, caso ocorram tais anomalias. (CERTO)

    [...]

    ____________

    Fontes: Universidade Federal do RJ; Questões da CESPE; Colegas do QC.

  • O IDS não é passivo?

  • O IDS só avisa. O IPS entra em ação.