Paulo é administrador de uma rede corporativa, que foi recen...

Vamos analisar a questão proposta, focando no tema de segurança em redes de computadores.

Tema Central: A questão trata de como um administrador de redes pode responder a um ataque cibernético, utilizando tecnologias que ajudam a proteger a rede contra invasões vindas da Internet. Para entender melhor, é importante conhecer as ferramentas de segurança em redes, como IDS, proxy, antivírus e a importância da atualização de sistemas.

Alternativa Correta: B - Instalação de um IDS entre a rede interna e a Internet

Um IDS (Intrusion Detection System) é uma ferramenta que monitora o tráfego de rede em busca de atividades suspeitas e possíveis violações de segurança, sendo muito útil para detectar ataques como ping sweep e varreduras de portas, que foram mencionados no enunciado. Instalá-lo entre a rede interna e a Internet permite identificar e alertar o administrador sobre atividades anômalas antes que um ataque comprometa a rede.

Justificativa: O IDS ajuda a prevenir e detectar ameaças em tempo real, o que é crucial para uma rede que já sofreu um ataque. Por isso, é a ação mais adequada para proteger a rede de Paulo contra futuros ataques.

Análise das Alternativas Incorretas:

A - Instalação de antivírus nos servidores da empresa: Embora importante, um antivírus atua principalmente contra malwares e não é eficaz para detectar ou prevenir ataques de rede, como varreduras de portas.

C - Instalação de um proxy reverso para analisar as mensagens: Um proxy reverso é útil para proteger servidores de aplicações, mas não é especificamente projetado para detectar ataques de rede como ping sweeps ou varreduras de portas.

D - Atualização do sistema operacional dos switches, bridges e roteadores de borda: Atualizações são importantes para a segurança geral, mas não são uma ação imediata para detectar ou impedir ataques de varredura de portas.

E - Atualização do sistema operacional dos servidores de redes e de Internet: Assim como a alternativa D, as atualizações são essenciais, mas não previnem diretamente os tipos de ataque citados na questão.

Compreender a função de cada ferramenta e tecnologia em segurança de redes é essencial para tomar decisões eficazes na proteção de uma rede corporativa. Estratégias como identificar o tipo de ataque e aplicar uma solução diretamente relacionada são fundamentais para o sucesso em exames de concurso.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Gabarito:

 b)instalação de um IDS entre a rede interna e a Internet;

GABARITO: B

Sistema de detecção de intrusos ou também conhecido como Sistema de detecção de intrusão ( em inglês: Intrusion detection system - IDS) refere-se aos meios técnicos de descobrir em uma rede acessos não autorizados que podem indicar a ação de um cracker ou até mesmo de funcionários mal intencionados.

Uma solução bastante discutida é a utilização de host-based IDS que analisam o tráfego de forma individual em uma rede. No host-based o IDS é instalado em um servidor para alertar e identificar ataques e tentativas de acessos indevidos à própria máquina.

Fonte: https://pt.wikipedia.org/wiki/Sistema_de_detec%C3%A7%C3%A3o_de_intrusos

IDS (Intrusion Detection System) – Programa, ou um conjunto de programas, cuja função é detectar atividades maliciosas ou anômalas. IDS ativo (toma medida pré configurada) e passivo (só alerta).

DETECTA TUDO QUE O FIREWALL DEIXA PASSAR.

Falso positivo (gera um alerta que não devia)

Falso negativo (Ocorre um ataque e não gera nada)

Um IDS (Intrusion Detection Systems) é conjunto de componentes, de software ou de hardware, que tem a função de detectar, identificar e responder a actividades não autorizadas ou anormais num sistema alvo, isto é, detectar e contrariar intrusões.

Uma intrusão é qualquer conjunto de acções com o intuito de comprometer a integridade, a confidencialidade ou a disponibilidade de um recurso.

Um IDS é genericamente constituído por vários componentes: Os Sensores que geram os eventos de segurança; A Consola que controla os sensores, monitoriza os eventos e alertas; O Motor que utiliza as regras de segurança para gerar os alertas a partir dos eventos de segurança. Este também regista os eventos, por exemplo numa base de dados.

O método de detecção baseada em conhecimento analisa a actividade do sistema em busca de padrões de ataque ou instrução conhecidos. Este tipo de detecção é muito eficiente porque a taxa de falsos positivos é baixa. Contudo, a principal desvantagem é o facto de apenas detectar problemas conhecidos.

O método baseado em comportamento detecta desvios à normalidade no comportamento ao sistema computacional. Este tipo de detecção tem como principal vantagem a possibilidade de detectar novas formas de ataques e instruções. Por sua vez, este método tem dois grande problemas: a definição do que é comportamento normal do sistema em análise e a geração de muitos falsos positivos se mal configurado.

A recolha de eventos em máquinas (Host IDS – HIDS) serve para monitorizar o estado de diversos componentes de cada máquina: hardware, sistema operativo ou sistema de ficheiros, etc. Os HIDS têm como principal vantagem o facto de estarem mais próximos dos recursos onde são feitos os ataques e intrusões, sendo assim possível recolher indícios dos mesmos. Contudo, os HIDS têm como desvantagem o facto de não terem uma visão geral de todo o sistema de máquinas, estes apenas têm a visão do que está a acontecer na máquina que está a analisar. Existe também um pequena degradação do desempenho da máquina em análise.

A recolha de eventos em redes (Network IDS – NIDS) serve para monitorizar as interacções entre máquinas. Tipicamente, os sensores deste tipo de IDS capturam os pacotes em passam na rede. Uma vantagem deste tipo de IDS é o facto de, com um pequeno conjunto de sensores, poderem analisar um vasto conjunto de máquinas. Estes IDS podem operar em máquinas dedicadas. Contudo, estes IDS não poderão analisar informação cifrada que passa na rede. Outra desvantagem é o facto de este tipo de IDS não poder garantir que ocorreu um ataque ou intrusão, apenas pode indicar que existe actividades suspeitas.