Tipicamente, firewalls realizam a inspeção dos cabeçalhos, e...

Alternativa Correta: C - certo

A questão aborda dois componentes fundamentais na segurança da informação: firewalls e sistemas de detecção de intrusão (IDS - Intrusion Detection Systems). Vamos entender como cada um opera e porque a afirmação da questão está correta.

Os firewalls são dispositivos que controlam o tráfego de rede entre diferentes zonas de segurança (como a rede interna e a internet). Sua principal função é filtrar pacotes de dados, permitindo ou bloqueando tráfego baseado em regras predefinidas. Tipicamente, firewalls realizam a inspeção dos cabeçalhos dos pacotes para tomar suas decisões. Os cabeçalhos contêm informações como endereços IP de origem e destino, números de porta, e protocolos utilizados, mas não examinam o conteúdo do pacote em si.

Por outro lado, os sistemas de detecção de intrusão (IDS) são projetados para monitorar o tráfego de rede em busca de atividades suspeitas ou maliciosas. Eles realizam uma análise mais profunda, verificando todo o conteúdo dos pacotes, não apenas os cabeçalhos. Isso inclui a inspeção do payload, que é a parte do pacote que contém os dados efetivos transmitidos.

Com base nessa explicação, compreendemos que:

• Firewalls focam na inspeção dos cabeçalhos dos pacotes para controlar o tráfego.
• IDS verificam o conteúdo inteiro dos pacotes para detectar atividades maliciosas.

Portanto, a alternativa correta é a C - certo, pois a afirmação da questão está alinhada com as funções típicas de firewalls e IDS.

Resumo: Firewalls inspecionam cabeçalhos para controle de tráfego, enquanto IDS analisam todo o conteúdo dos pacotes para detectar intrusões. A alternativa correta reflete esse entendimento.

Uma análise por assinaturas é uma simples comparação do conteúdo dos pacotes com o conteúdo das assinaturas. Caso o pacote não apresente nenhuma compatibilidade com as assinaturas, ele é considerado como inofensivo.

Não entendi, quer dizer que IDS, pode também verificar a parte de dados de um pacote?

Um IDS, compara o conteúdo dos pacotes com um conjunto de regras, e caso o conteúdo de um pacote corresponda à alguma regra, um alerta possa ser emitido para que o administrador possa tomar a providências.

1) Tipicamente, firewalls realizam a inspeção dos cabeçalhos,  (CORRETO CONFORME KUROSE)

Segundo Kurose (2010,p.540),"[...] um filtro de pacotes (tradicional e de estado) inspeciona campos de cabeçalho IP, TCP, UDP e ICMP quando está decidindo quais pacotes deixará passar através do firewall."

2)enquanto os sistemas de detecção de intrusão verificam todo o conteúdo dos pacotes. (CORRETO CONFORME KUROSE)

Segundo Kurose (2010,p.540), "Um Sistema de Detecção de Intrusão é um dispositivo que não só examina os cabeçalhos de todos os pacotes ao passar por eles (como em um filtro de pacotes), mas também executa uma inspeção profunda de pacote (diferentemente do filtro de pacote)."

Conclusão: os firewalls são capazes de realizar a filtragem com base em informações dos cabeçalhos dos pacotes, e os sistemas de detecção de intrusão são capazes de verificar o conteúdo dos pacotes. 
O.B.S: Lembrando que gateways de aplicação também fazem inspeção profunda do pacote, mas cada gateway de aplicação só faz isso para cada aplicação específica.

KUROSE, J. F.; ROSS, K. W. Redes de Computadores e a Internet: Uma Abordagem Top-Down. 5. ed. São Paulo: Pearson, 2010.

Questão na verdade está errada. O IDS pode ser de rede (NIDS) ou de host (HIDS). O de host realmente analisa a parte de dados, enquanto o de rede analisa APENAS O HEADER! A questão não informa qual o tipo de IDS usado, logo não podemos afirmar que obrigatoriamente será analisado dados. Pricipalmente pela palavra usada "tipicamente", nunca vi nenhuma fonte dizendo que é típico o uso de HIDS e atípico o uso de NIDS.