Questões sobre Sistema Detecção de Intrusão - IDS

Relativamente a segurança da informação, julgue os itens subsequentes. Uma das abordagens comuns dos sistemas IDS na realização de suas funções é aprender a reconhecer padrões de intrusões usando métodos como redes neurais.

• C. Certo
• E. Errado

IDS (Intrusion Detections System) e IPS (Intrusion Prevention System) são componentes essenciais nos ambientes corporativos na atualidade. Um IDS tem a capacidade de detectar diversos tipos de ataques e intrusões, auxiliando na proteção do ambiente, sendo que a sua localização é um ponto muito importante a ser definido com bastante cuidado. Já o IPS, não apenas detecta, como também tem a capacidade de prevenir esses tipos de ataques. HIDS (Host-Based Intrusion Detection System – Sistema de Detecção de Intrusão baseado em Host) e NIDS (Network-Based Intrusion Detection System – Sistema de Detecção de Intrusão baseado em Rede) são dois tipos primários de IDS. Sobre NIDS e HIDS, analise as afirmativas a seguir.

I. O NIDS pode verificar o sucesso ou a falha de um ataque, com base nos registros (logs) do sistema.

II. O HIDS é independente da topologia da rede, podendo ser utilizado em redes separadas por switches.

III. HIDS não causa impacto no desempenho da rede.

IV. Com o HIDS, o monitoramento pode ser fornecido por múltiplas plataformas.

V. Com o NIDS funcionando, é difícil que um hacker possa apagar seus rastros, caso consiga invadir um equipamento.

Estão corretas apenas as afirmativas

• A. II e V.
• B. III e IV.
• C. I, III e IV.
• D. II, IV e V.

Sistemas de detecção de intrusão − IDS e sistemas de prevenção de intrusão − IPS devem ser utilizados para identificar e, se possível, prevenir ataques realizados em redes de computadores. Entretanto, é necessário configurar o sistema com a identificação de comportamentos dos vários tipos de ataques para o seu bom funcionamento. Um desses tipos de ataque tem como objetivo saturar a capacidade de comunicação de rede do servidor por meio de pacotes ICMP em Broadcast no qual o endereço de origem é alterado para a emissão de várias respostas para a vítima. Trata-se do ataque conhecido como

• A. TCP Flood.
• B. DDoS IP.
• C. SMURF.
• D. Ping Flood.
• E. SYN ACK Reflection Flood.

Acerca de detecção e prevenção de ataques com uso de IDS e IPS, arquiteturas de firewalls e ataques e ameaças da Internet e de redes sem fio, assinale a opção correta.

• A. A detecção de intrusão possível com o uso de IDS do tipo host-based em uma rede com centenas de máquinas de usuário apresenta maior facilidade de gerenciamento e instalação, quando comparada ao uso de IDS do tipo network-based.
• B. O uso de firewalls stateless relaciona-se a uma melhor chance de identificação de vírus, spams e intrusões em circulação na rede, quando comparado ao uso de um firewall que analisa o tráfego de uma rede com base em inspeção profunda de pacotes (deep packet inspection).
• C. Tanto o firewall do tipo dual homed quanto o do tipo stateless previnem a ocorrência de ataques do tipo SYN flood.
• D. O emprego de assinaturas atômicas em um sistema de prevenção de intrusão permite a construção de sistemas mais simples, quando comparado com os que empregam assinaturas stateful.
• E. O uso de IPS do tipo network-based, quando comparado ao uso de IPS host-based, possibilita a coleção de dados mais detalhados acerca de chamadas de funções e acessos a arquivos.

Na segurança de redes, principalmente em redes corporativas, o sistema de detecção de intrusão, ou IDS (Intrusion Detection System) é um componente com importância vital. Ele tem a capacidade de detectar diversos tipos de ataque e intrusões, auxiliando na proteção do ambiente, sendo que sua localização deve ser definida com bastante cuidado. Existem dois tipos primários de IDS: HDIS (Host-Based Intrusion Detection System), baseado em host, e o NDIS (Network-Based Intrusion Detection System), baseado em rede. São alguns pontos fortes do HDIS, EXCETO:

• A. Não necessita de hardware adicional.
• B. O monitoramento pode ser fornecido por múltiplas plataformas.
• C. Pode detectar ataques que ocorrem fisicamente no servidor (keyboard attack).
• D. Pode verificar o sucesso ou a falha de um ataque, com base nos registros (logs) do sistema.

Em relação aos IDS e IPS, analise as informações a seguir:

I. O IDS é um sistema de reconhecimento e sinalização de ataques, sem capacidade de resposta.

II. O NIDS é um tipo de IDS instalado para alertar sobre ataques ocorridos a um host específico.

III. O IDS identifica ataques a partir de análise de tráfego de rede baseado em padrões de assinatura, enquanto o IPS analisa padrões de comportamento.

Está correto somente o que se afirma em:

• A. I;
• B. II;
• C. III;
• D. I e II;
• E. I e III.

Com relação a tecnologias de IDS, julgue os itens que se seguem. Os IDS estatísticos podem detectar novas e imprevistas vulnerabilidades, além de sinalizar a ocorrência de eventuais ataques por anomalias comportamentais de tráfego; esses IDS são, ainda, muito menos suscetíveis à indicação de falsos positivos do que os IDS baseados em assinaturas.

• C. Certo
• E. Errado

Com relação a tecnologias de IDS, julgue os itens que se seguem. Sistemas IDS baseados em redes monitoram o tráfego de rede dos servidores e são usados para garantir que arquivos de sistema desses servidores não serão removidos intencionalmente ou acidentalmente, nem reconfigurados indevidamente, ou, ainda, que seus sistemas não serão colocados, de alguma maneira, em risco.

• C. Certo
• E. Errado

Uma das características do Sistema de Detecção de Intrusão (IDS) baseado em rede é que

• A. não necessita de hardware adicional para operar.
• B. monitora acessos em arquivos do sistema operacional.
• C. ndepende da topologia de rede para funcionar.
• D. captura pacotes e analisa os seus cabeçalhos e conteúdos.
• E. é capaz de monitorar tráfego criptografado.

O termo APT (advanced persistent threat) é utilizado em segurança da informação para descrever ameaças cibernéticas através de técnicas de coleta de informações que tenham valor para o atacante. Acerca desse assunto, julgue os itens subsequentes. Em geral, uma APT não é detectada por antivírus ou por softwares IDS firmados em assinaturas.

• C. Certo
• E. Errado