Julgue o item, referentes aos firewalls, antivírus e IDS. Os...

Alternativa Correta: C

Vamos entender por que a alternativa correta é a letra C, indicando que a afirmativa está certa.

Um IDS (Intrusion Detection System) é um sistema cuja principal função é monitorar tráfego de rede em busca de atividades suspeitas e, portanto, proteger a rede contra possíveis ameaças. Para isso, o IDS analisa diferentes aspectos dos pacotes de dados que trafegam pela rede.

Os cabeçalhos de protocolo são as informações que precedem os dados reais em cada pacote de rede. Estes cabeçalhos contêm informações cruciais sobre a origem, o destino, o tipo e o status da comunicação. Os principais protocolos de cabeçalho que o IDS inspeciona são:

• IP (Internet Protocol): Protocolo principal para o envio de dados pela internet.
• ICMP (Internet Control Message Protocol): Utilizado para diagnosticar problemas de rede.
• TCP (Transmission Control Protocol): Protocolo de transporte que garante a entrega confiável de dados.
• UDP (User Datagram Protocol): Protocolo de transporte sem garantia de entrega, mas com menor latência.

Esses cabeçalhos são analisados pelo IDS para detectar qualquer anomalia, como pacotes com informações alteradas ou tráfego que não segue os padrões normais. Ao identificar comportamentos incomuns nesses protocolos, o IDS pode sinalizar uma possível tentativa de intrusão.

Justificativa da Alternativa Correta

A afirmação mencionada na questão está correta porque, de fato, os primeiros locais que um IDS normalmente verifica em busca de comportamentos incomuns são os cabeçalhos dos protocolos relacionados ao IP, como IP, ICMP, TCP e UDP. Isso ocorre porque muitas tentativas de invasão e atividades suspeitas podem ser detectadas pela análise desses cabeçalhos.

Justificativa das Alternativas Incorretas

Como a questão só apresenta duas alternativas, a correta (C) e a errada (E), podemos concluir que qualquer alternativa diferente de C estaria errada. Portanto, a alternativa E estaria incorreta se fosse apresentada, pois as atividades de detecção de anomalias nos cabeçalhos dos protocolos de rede são uma prática comum e eficaz nos sistemas IDS.

Espero que esta explicação tenha ajudado a esclarecer o porquê de a alternativa C estar correta. Se precisar de mais alguma coisa, estou à disposição para ajudar!

CERTO

"Os primeiros locais que um IDS normalmente procura por comportamento incomum são os cabeçalhos de protocolos relacionados ao IP, que incluem IP, ICMP, TCP e UDP."

Um Sistema de Detecção de Intrusão (IDS) é um sistema que monitora uma rede em busca de eventos que possam violar as regras de segurança dessa rede. Dentre esses eventos, destacam-se programas realizando atividades que fogem ao seu comportamento comum, malwares, e invasões de nós.

• A detecção é feita através da captura e análise dos cabeçalhos e conteúdos dos pacotes, os quais são comparados com padrões ou assinaturas estabelecidas, sendo um mecanismo eficaz contra os ataques como: port scanning, IP spoofing, SYN flooding.

DICA:

Sistemas de Detecção de Intrusos (IDS): monitoram atividades em redes de computadores, são capazes de detectar atividades suspeitas. É uma solução passiva, apenas detecta.

Sistemas de Prevenção de Intrusos (IPS): implementam regras e políticas p/ o tráfego de uma rede, capazes de prevenir e combater ataques, portanto, é uma solução ativa.

• OBS: gravar que o IDS é “Dócil”, “late”, mas não morde.

QUESTÕES SOBRE O ASSUNTO:

(CESPE/PF/2004) Um sistema de detecção de intrusão (IDS) por uso incorreto utiliza descrições de ataques previamente conhecidos (assinaturas) para identificar a ocorrência de ataques. Esse tipo de IDS tem como inconveniente a geração de um número elevado de falsos positivos quando ataques novos, para os quais ainda não foram especificadas assinaturas de ataque convenientes, são lançados contra o sistema monitorado pelo IDS. ERRADO.

(CESPE/DETRAN-ES/2010) As ferramentas de IDS (sistemas de detecção de intrusão) atuam de forma mais proativa que as ferramentas de IPS (sistemas de prevenção de intrusão). ERRADO.

(CESPE/ABIN/2018) Um IDS (Intrusion Detection System) pode ser usado para detectar varreduras de porta e de pilha TCP, além de ataques de DoS, de inundação de largura de banda, de worms e de vírus. CERTO.

(CESPE/MEC/2011) Um IDS (intrusion detection system) é capaz de procurar e detectar padrões de ataques em pacotes trafegados em uma rede local por meio de assinaturas de ataques conhecidos. CERTO.

(CESPE/TCE-RN/2015) Situação hipotética: Uma ferramenta, ao monitorar o tráfego de uma rede, detectou uma anomalia considerada como um possível ataque. Após essa detecção, a ferramenta enviou ao firewall um pedido de bloqueio do endereço de origem que enviou o tráfego de rede considerado um ataque. Assertiva: Nessa situação, a referida ferramenta é considerada um IPS (intrusion prevention system). CERTO.

(CESPE/FUB/2016) Sistemas IDS podem ser implantados de forma que protejam uma máquina específica ou uma rede de computadores. CERTO.

O item está correto.

Um IDS (Intrusion Detection System) é projetado para detectar atividades suspeitas ou maliciosas em uma rede ou sistema. Para isso, ele analisa várias partes dos pacotes de dados que trafegam na rede. Os cabeçalhos dos protocolos são os primeiros lugares que um IDS verifica ao procurar por atividades suspeitas.

Os protocolos mencionados no item – IP, ICMP, TCP e UDP – são fundamentais para a comunicação na Internet e em redes locais:

IP (Internet Protocol): Este protocolo está na base da comunicação na Internet. O cabeçalho IP contém informações como o endereço IP de origem, o endereço IP de destino, a versão do IP e outros campos que podem ser inspecionados em busca de atividades suspeitas.

ICMP (Internet Control Message Protocol): É usado principalmente para enviar mensagens de erro e operações de diagnóstico, como "ping". Atividades suspeitas usando ICMP, como um ataque de inundação ICMP, podem ser detectadas por um IDS.

TCP (Transmission Control Protocol): Um dos principais protocolos de transporte que estabelece uma conexão confiável entre dois hosts. O cabeçalho TCP contém várias informações, incluindo números de porta de origem e destino, sequência e números de reconhecimento, flags e muito mais. Alguns ataques tentam explorar vulnerabilidades ou comportamentos específicos do TCP, como ataques SYN flood

UDP (User Datagram Protocol): Outro protocolo de transporte, mas, ao contrário do TCP, ele é baseado em datagramas e não estabelece uma conexão. O cabeçalho UDP é mais simples, com informações como as portas de origem e destino.

Estes cabeçalhos contêm informações cruciais sobre o tráfego de rede, e, por isso, são pontos de interesse primários para um IDS ao buscar por comportamento incomum ou mal-intencionado.