Aula 5 - Sistemas de Segurança - IDS - IPS.

SAVE OFFLINE

SEGURANÇA DA INFORMAÇÃO Sistemas de Segurança – IDS – IPS Produção: Equipe Pedagógica Gran Cursos Online

SISTEMAS DE SEGURANÇA – IDS – IPS Mudança de enfoque na segurança • Firewall como primeira linha de defesa. • Necessidade de acompanhar e monitorar as atividades internas. • “Bolsões de segurança”: acesso a recursos internos concedidos a parceiros de negócios e clientes, juntamente com usuários internos. Sistema de Detecção de Intrusão (IDS) • Capaz de detectar e alertar os administradores. • Objetiva detectar atividades suspeitas, impróprias, incorretas ou anômalas na rede interna. • Funcionam como sniffer. Exemplo: –– Ataques através de portas permitidas, não identificados pelo firewall. –– Uso de modem sem autorização por usuário interno. Sistema de Prevenção a Intrusão (IPS) • Trabalham inline ou integrados ao kernel dos hosts. • São capazes de detectar e prevenir os ataques, realizando contramedidas. Metodologias de detecção • Knowledge-Based Intrusion Detection: –– Base de dados sobre ataques conhecidos. • Behavior-Based Intrusion Detection: –– Baseada em desvios de comportamento de usuários e sistemas. –– Apresentam muitos falsos positivos.

ANOTAÇÕES

www.grancursosonline.com.br

1

SEGURANÇA DA INFORMAÇÃO Sistemas de Segurança – IDS – IPS Produção: Equipe Pedagógica Gran Cursos Online

Resultados das análises • Esperado: –– Atividade suspeita detectada como suspeita. –– Atividade legítima detectada como legítima. • Não esperado: –– Atividade legítima detectada como suspeita (falso positivo). –– Atividade suspeita detectada como legítima (falso negativo).

Tipos quanto a localização • IDS –– IDS baseado em host (HIDS). –– IDS baseado em rede (NIDS). –– IDS híbrido. • IPS –– Baseado em host (HIPS). –– Baseado em rede (NIDS). Baseados em Host e Rede • Host: –– Monitoram acessos e alterações: Arquivos de sistema; Privilégios dos usuários; Processos do sistema; Programas em execução

ANOTAÇÕES

• Rede: –– Monitoram o tráfego do segmento de rede. –– Interface de rede em modo promíscuo.

2

www.grancursosonline.com.br

SEGURANÇA DA INFORMAÇÃO Sistemas de Segurança – IDS – IPS Produção: Equipe Pedagógica Gran Cursos Online

Honeypot • Não é necessariamente um IDS. • Consiste em: –– Detecta e armazena informações de ataques. –– Mas serve para que o administrador aprenda sobre ataques.

Comentário 1. (2010/CESPE/BANCO DA AMAZÔNIA/TÉCNICO CIENTÍFICO – TECNOLOGIA DA INFORMAÇÃO) IDS e IPS são sistemas que protegem a rede de intrusões, diferindo no tratamento dado quando uma intrusão é detectada. Especificamente, o IPS limita-se a gerar alertas e ativar alarmes, e o IDS executa contramedidas, como interromper o fluxo de dados referente à intrusão detectada.

Comentário IDS – passivo: gera alertas e ativa alarmes. IPS – ativo: executa contramedidas, como interromper o fluxo de dados. 2. (2012/CESPE/TJ-AC/TÉCNICO JUDICIÁRIO – INFORMÁTICA) Sistemas de prevenção à intrusão (IPS) e sistemas de detecção de intrusão (IDS) são sistemas concebidos com os mesmos propósitos. A diferença entre eles encontra-se no público-alvo. Enquanto os IPS são sistemas voltados para os usuários domésticos, os IDS focam as grandes redes corporativas.

Comentário Não existe essa diferenciação. 3. (2010/CESPE/BANCO DA AMAZÔNIA PROVA/TÉCNICO CIENTÍFICO – TECNOLOGIA DA INFORMAÇÃO) A ocorrência de falsos positivos normalmente acarreta consequências mais graves para as redes que utilizam IDS do que para aquelas que usam IPS. ANOTAÇÕES

www.grancursosonline.com.br

3

SEGURANÇA DA INFORMAÇÃO Sistemas de Segurança – IDS – IPS Produção: Equipe Pedagógica Gran Cursos Online

Comentário IDS – gera alertas e ativa alarmes. IPS – executa contramedidas. 4. (2012/ESAF/CGU/ANALISTA DE FINANÇAS E CONTROLE) Os tipos de IDS – Sistema de Detecção de Intrusão são: a. IDS baseado em Honeypot (HIDS), IDS baseado em Rede (NIDS), IDS Híbrido. b. IDS baseado em Serviço (SIDS), IDS baseado em Rede (NIDS). c. IDS baseado em Host (HIDS), IDS baseado em Scanning (SIDS). d. IDS baseado em Host (HIDS), IDS baseado em Rede (NIDS), IDS Híbrido. e. IDS baseado em Bloqueio (BIDS), IDS baseado em Prevenção (PIDS), IDS Híbrido.

Comentário HIDS, NIDS e IDS Híbrido.

ANOTAÇÕES

5. (2011/FCC/TRE-RN/ANALISTA JUDICIÁRIO – ANÁLISE DE SISTEMAS) Considere: I – Tipo de ataque onde é enviada uma enorme quantidade de pedidos a um determinado serviço a fim de sobrecarregá-lo e deixá-lo inoperante. II – Sistema instalado na rede que analisa todos os pacotes e tenta detectar os ataques definidos em (I). I e II são, respectivamente: a. NIDS e QoS. b. IDS e DoS. c. PIDS e HIDS. d. DoS e NIDS. e. QoS e IDS.

4

www.grancursosonline.com.br

SEGURANÇA DA INFORMAÇÃO Sistemas de Segurança – IDS – IPS Produção: Equipe Pedagógica Gran Cursos Online

6. (2013/ESAF/DNIT/ANALISTA ADMINISTRATIVO – TECNOLOGIA DA INFORMAÇÃO) O Host-based Intrusion Detection System (HIDS) e o Network-based Intrusion Detection System podem ser combinados para oferecer uma melhor capacidade de detecção de intrusões. O IDS que combina estes dois tipos é o: a. Honeypot. b. Combined IDS. c. Two-way IDS. d. Hybrid IDS. e. Knowledge-based Intrusion Detection System. 7. (2015/FCC/TRT – 9ª REGIÃO-PR/TÉCNICO JUDICIÁRIO – ÁREA APOIO ESPECIALIZADO – TECNOLOGIA DA INFORMAÇÃO) Existem diferentes tipos e formas de atuação de Sistema de Identificação de Intrusão (IDS). Um IDS cuja forma de detecção é baseada em anomalias tem como característica: a. grande número de alarmes falsos. b. facilidade de configuração e atualização. c. simplicidade de implementação. d. alta taxa de acertos de intrusão. e. grande tráfego adicional gerado na rede. 8. (2015/FCC/DPE-SP/ADMINISTRADOR DE REDES) Um Sistema de Detecção de Intrusão (IDS) baseado em Rede (NIDS) tem como característica: a. capturar e analisar os pacotes que trafegam pela rede. b. detectar facilmente ataques em pacotes criptografados. c. monitorar a integridade de softwares. d. verificar eventos em sistema de arquivos. e. detectar ataques apenas no dispositivo em que está instalado. 9. (2012/CESGRANRIO/CMB/ANALISTA) Uma forma de monitorar os programas que são executados em uma estação de trabalho, com respeito à alocação não autorizada das portas de rede, é configurar adequadamente um guardião idealizado para essa tarefa conhecido como: ANOTAÇÕES

www.grancursosonline.com.br

5

SEGURANÇA DA INFORMAÇÃO Sistemas de Segurança – IDS – IPS Produção: Equipe Pedagógica Gran Cursos Online

a. antivírus b. firewall pessoal c. IDS de host d. gerenciador de tarefas e. escalonador de processos 10. (2012/CESGRANRIO/PETROBRAS/TÉCNICO DE EXPLORAÇÃO DE PETRÓLEO JÚNIOR) No contexto de rotinas de proteção e segurança, Honeypot é um(a): a. antivírus especializado na detecção e remoção de cavalos de Troia. b. dispositivo que tem por objetivo aplicar uma política de segurança a um determinado ponto da rede. c. programa que recolhe informações sobre um usuário e as transmite pela Internet, sem o conhecimento e o consentimento desse usuário. d. mecanismo para proteção de informações sigilosas que usa técnicas de criptografia. e. ferramenta que simula falhas de segurança em um sistema e colhe informações sobre eventuais invasores.

Comentário a. Honeypot não é um antivírus.

1. 2. 3. 4. 5. 6. 7. 8. 9. 10.

E E E d d d a a c e

GABARITO


�Este material foi elaborado pela equipe pedagógica do Gran Cursos Online, de acordo com a aula preparada e ministrada pelo professor Jósis Alves

6

www.grancursosonline.com.br