Julgue os itens seguintes, referentes a ferramentas de prote...

A alternativa correta é: Errado (E).

Tema: Ferramentas de proteção de estações de trabalho e servidores

Vamos explorar o tema para compreender melhor a questão.

Um HIDS (Host Intrusion Detection System) é um sistema de detecção de intrusões que funciona monitorando e analisando as atividades e o estado do sistema de um host ou máquina específica. Ele é instalado diretamente no dispositivo que precisa ser protegido, como um servidor ou estação de trabalho.

Capacidades do HIDS:

• Monitorar arquivos de sistema, logs e outras atividades internas do host.
• Detectar alterações não autorizadas em arquivos e configurações.
• Observar processos e comportamento do sistema.

Um HIDS não tem a capacidade de capturar todo o tráfego de uma rede. Essa função é típica de um NIDS (Network Intrusion Detection System), que é projetado para monitorar e analisar o tráfego de rede para detectar atividades suspeitas que possam representar ameaças à segurança.

Agora, vamos justificar a alternativa correta e explicar por que as outras estão incorretas.

Justificativa para a alternativa correta:

A questão afirma que um HIDS tem a capacidade de capturar todo o tráfego de uma rede, o que está incorreto. Essa capacidade é uma característica dos sistemas NIDS, e não dos HIDS. Portanto, a afirmação é Errada.

Explicação das alternativas:

Certo (C): Esta alternativa estaria correta se a afirmação dissesse que o HIDS monitora e analisa as atividades do sistema de um host específico, mas como a afirmação envolve a captura de todo o tráfego de rede, ela está incorreta.

Errado (E): Esta alternativa está correta, pois, de fato, a afirmação sobre a capacidade do HIDS de capturar todo o tráfego de rede está errada. Essa função é específica de um NIDS, não de um HIDS.

Espero que essa explicação tenha esclarecido a questão e ajudado a entender melhor o funcionamento dos sistemas de detecção de intrusão. Caso tenha mais dúvidas, sinta-se à vontade para perguntar!

Sistemas de detecção de intrusos são divididos em HOST (HIDS - Host Intrusion Detection System -> "Sistema de Detecção de Intrusão em uma Máquina-PC") e REDE (NIDS - Network Intrusion Detection System -> Sistema de Detecção de Intrusão em uma Rede).

Um Sistema de detecção de intrusos por host (HIDS) monitora o comportamento do sistema em umá máquina, o HIDS pode detectar se um software está tentando fazer alguma atividade que não faz parte de seu funcionamento, ele consegue verificar o estado do sistema operacional, informações armazenadas, memória RAM, e certificar se os índices estão normais, podemos considerar o HIDS como um agente que monitora tudo que seja interno.


Já um Sistema de detecção de intrusos da rede (NIDS) é um sistema que trabalha detectando atividades maliciosas na rede, como ataques baseados em serviço, port scans ou até monitoramento do tráfego da rede. O NIDS faz isto lendo todos os pacotes que entram na rede e tenta encontrar alguns testes padrões.

Ou seja, a questão estaria certa se estivesse falando de NIDS...


Fonte: http://www.vivaolinux.com.br/artigo/Deteccao-de-intrusos-%28IDS%29-conceitos-e-implantacao-do-SNORT

Só para complementar o excelente comentário do colega.

Uma das grandes desvantagens do HIDS é o problema de Escabilidade.

Desvantagens

escalabilidade - gerenciar e configurar todos os hosts

não possuem portabilidade entre S.O(NAKAMURA)

não é boa para modo reativo

diminui o desempenho do HOST

consome mais espaço

não detecta scanning de rede ou Smurf

GABARITO:E

 

 

Uma ferramenta de trabalho como o NIDS (NETWORK intrusion detection system) tem capacidade de capturar todo o tráfego de uma rede, o que permite a análise de possíveis ataques a essa rede.
 

Gabarito Errado

Enquanto sistemas NIDS monitoram redes inteiras, os sistemas HIDS monitoram apenas um único host na rede.

 

Porém, ao invés de monitorar pacotes de rede, o software também irá monitorar que processo acessa qual recurso, quais arquivos são alterados,

verificar as informações da RAM e logs, garantir que as informações destes não foram alterados.

 

Os HIDS operam sobre informações provindas de computadores individuais. HIDS observam as atividades e os acessos referentes a servidores chave nos quais foram instalados.

Analisam as atividades determinando quais processos e usuários estão envolvidos em um tipo particular de ataque.

 

Podem então ver as conseqüências de uma tentativa de ataque, podendo acessar e monitorar os arquivos e processos que normalmente são alvos de ataque.

 

HIDS é valioso para detectar não só intrusão externa como também acessos por usuários internos com aparente confiança.

Eles procuram por atividades suspeitas tais como falhas de login, mudanças nas autorizações dos sistemas e acessos a arquivos não autorizados.

 

Agem  nas máquinas que devem proteger. Os sistemas HIDS parecem ser o ponto de ligação entre firewalls e NIDS.

 

O HIDS pode funcionar com um banco de dados contendo checksums dos arquivos presentes no sistema de arquivos para que ele saiba quando um determinado arquivo foi

 alterado ou mesmo quais objetos devem ser monitorados.

 

 

"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !