Sistemas de Detecção e Prevenção de Intrusão - AV1

Prévia do material em texto

1. Pergunta 1
0/0,5
Leia o trecho a seguir:
“[...] Os Sistemas de Detecção de Intrusão [...] ao monitorar o tráfego de uma rede legítima, têm o árduo trabalho de separar o que é um ataque e o que é um acesso inofensivo.”
Fonte: ASSUNÇÃO, M. Honeypots e Honeynets. 1 ed. Belo Horizonte: Marcos Flávio de Araújo Assunção, 2009, p. 12.
A partir da leitura do trecho apresentado, levando em conta os conceitos estudados na disciplina, análise as alternativas a seguir sobre características de um Sistema de Detecção de Intrusão:
I. Uma desvantagem do método de análise por uso indevido é a necessidade de constante atualização, pois somente detecta intrusões já conhecidas.
II. Uma desvantagem de qualquer método de análise é que em ambos pode haver a ocorrência de falsos positivos.
III. Em um método de IDS por uso de protocolo, os protocolos são observados de acordo com seu estado de conexão.
IV. Uma vantagem do método de análise por anomalia é o fato de utilizar assinaturas mais atualizadas do que o método por uso indevido.
Está correto somente o que se afirma em:
Ocultar opções de resposta 
1. 
I, II e IV.
2. 
Incorreta: 
I e III.
3. 
III e IV.
4. 
I, II e III.
Resposta correta
5. 
I e IV.
2. Pergunta 2
0,5/0,5
Um Sistema de Detecção de Intrusos tem como arquitetura básica a presença de sensores para detectar atividades e, a partir disso, analisar se as mesmas coincidem com comportamentos padrões de sistema ou vulnerabilidades catalogadas.
Com base no trecho acima e o conhecimento adquirido na disciplina em Sistemas de Detecção de Intrusão: Tipos de IDS, com relação a classificação de um IDS quanto a sua arquitetura, um dos modelos é o:
Ocultar opções de resposta 
1. 
IDS por Uso Indevido.
2. 
IDS por Conhecimento.
3. 
IDS por Comportamento.
4. 
IDS por Anomalia.
5. 
Correta: 
IDS de Host.
Resposta correta
3. Pergunta 3
0,5/0,5
Leia o trecho a seguir:
“Ataques de negação de serviço podem ser realizados por diversos meios, como:
•   pelo envio de grande quantidade de requisições para um serviço [...];
•   pela geração de grande tráfego de dados para uma rede [...];
•   pela exploração de vulnerabilidades existentes em programas [...].”
Fonte: CERT.br. Cartilha de Segurança da Internet. Disponível em: <https://cartilha.cert.br/ataques>. Acesso em: 20/04/2019.
A respeito da leitura do trecho acima e o conteúdo visto na disciplina em relação a Principais ataques: DoS e DDoS; Penetração; Varredura, o Denialof Service caracteriza-se por ser um ataque que, por padrão:
Ocultar opções de resposta 
1. 
atrapalha a detecção por comportamento dos protocolos de rede.
2. 
Correta: 
afeta a disponibilidade do servidor atingido pelo ataque.
Resposta correta
3. 
compromete a integridade dos dados do servidor alvo.
4. 
afeta a confidencialidade das informações no servidor alvo.
5. 
prejudica o mecanismo de detecção de host presente na máquina atingida.
4. Pergunta 4
0,5/0,5
Um Sistema de Prevenção de Intrusos pode tomar ações automáticas como descartar pacotes maliciosos, bloquear o tráfego de uma determinada origem ou fazer o reset de uma conexão ativa (que foi associada a uma atividade detectadas como suspeita).
A partir do trecho indicado acima e com base no conteúdo da disciplina em Sistemas de Detecção de Intrusão, outro tipo de ação automática é a detecção e bloqueio na pré-execução de executáveis em um Sistema Operacional, característica presente em um:
Ocultar opções de resposta 
1. 
Correta: 
IPS de Host.
Resposta correta
2. 
IDS Centralizado.
3. 
IDS de kernel.
4. 
IPS Híbrido.
5. 
IDS de Host.
5. Pergunta 5
0,5/0,5
Leia o trecho a seguir:
“[...] Em um ambiente que utiliza apenas firewall, na há como saber o que está trafegando pelos sistemas em rede, se é hostil ou não, ou se é permitido ou não. [...] pois é possível que algum tráfego malicioso possa fingir-se de material apropriado e se aderir ao protocolo, enganando assim um firewall.”
Fonte: GUIMARÃES, A. et al. Segurança em Redes Privadas Virtuais: VPNs. 1 ed. Rio de Janeiro: Brasport, 2006, p. 25.
Com a análise do trecho acima, aliado ao conteúdo sobre Sistemas de Detecção de Intrusão, podemos definir como uma das características principais de um Network IDS (NIDS):
Ocultar opções de resposta 
1. 
o monitoramento de vários segmentos de rede simultâneos através do roteamento configurado pelo IDS de rede.
2. 
o monitoramento em modo ativo da rede, substituindo por completo qualquer outro mecanismo de segurança, como firewalls, por exemplo.
3. 
Correta: 
o monitoramento de um segmento de rede em modo promíscuo, como um sniffer, a fim de analisar as requisições de rede.
Resposta correta
4. 
o monitoramento em modo promíscuo da rede, utilizando engines de verificação de sistemas de arquivos.
5. 
o monitoramento em modo passivo, ativando mecanismos de defesa como bloqueio dessas requisições.
6. Pergunta 6
0,5/0,5
Leia o trecho a seguir:
“[...] é preciso frisar que a assinatura deve ser baseada em características normalmente ‘invariáveis’ dos ataques. Por exemplo, podemos citar o fato da maioria dos exploits tentarem lançar um shell como payload. Detectando o shell, você pega a maioria dessas tentativas de conexão.”
Fonte: ASSUNÇÃO, M. Honeypots e Honeynets. 1 ed. Belo Horizonte: Marcos Flávio de Araújo Assunção, 2009, p. 8.
Com base no entendimento do trecho acima e no estudo dos conhecimentos vistos na Sistemas de Detecção de Intrusão: Tipos de IDS, uma classificação dos tipos de IDS, na detecção por comportamento das requisições indevidas, é o método que faz a análise:
Ocultar opções de resposta 
1. 
de IDS de Rede (NIDS), analisando as assinaturas dos pacotes por uso indevido dos pacotes TCP/IP.
2. 
passiva, em que o método de análise é baseado em uma atividade que foge do padrão analisado do sistema.
3. 
ativa, em que o método de análise foca em um modelo de padrão entre os sistemas envolvidos de forma distribuída.
4. 
de IDS de Host, em que os protocolos TCP/IP são analisados de forma ativa pela detecção em um Host IDS.
5. 
Correta: 
por anomalia, em que o método de análise é com base em anomalias em relação ao padrão de uma atividade normal do sistema.
Resposta correta
7. Pergunta 7
0,5/0,5
Leia o trecho a seguir:
“[...] é preciso frisar que a assinatura deve ser baseada em características normalmente ‘invariáveis’ dos ataques. Por exemplo, podemos citar o fato da maioria dos exploits tentarem lançar um shell como payload. Detectando o shell, você pega a maioria dessas tentativas de conexão.”
Fonte: ASSUNÇÃO, M. Honeypots e Honeynets. 1 ed. Belo Horizonte: Marcos Flávio de Araújo Assunção, 2009, p. 8.
Com base no entendimento do trecho acima e no estudo de Sistemas de Detecção de Intrusão, uma classificação dos tipos de IDS, diferente do modelo baseado em detecção por assinatura, é o método que faz a análise:
Ocultar opções de resposta 
1. 
passiva, em que o método de análise é baseado em uma atividade que foge do padrão analisado do sistema.
2. 
por uso de protocolo, em que os protocolos TCP/IP são analisados de forma ativa pela detecção em um Host IDS.
3. 
cooperativa, em que o método de análise foca em um modelo de padrão entre os sistemas envolvidos de forma distribuída.
4. 
Correta: 
por anomalia, em que o método de análise é com base em um comportamento diferente do padrão de uma atividade normal do sistema.
Resposta correta
5. 
De IDS de Rede (NIDS), analisando as assinaturas dos pacotes por uso indevido dos pacotes TCP/IP.
8. Pergunta 8
0,5/0,5
Leia o trecho a seguir:
“[...] Em um ambiente que utiliza apenas firewall, não há como saber o que está trafegando pelos sistemas em rede, se é hostil ou não, ou se é permitido ou não. [...] pois é possível que algum tráfego malicioso possa fingir-se de material apropriado e se aderir ao protocolo, enganando assim um firewall.”
Fonte: GUIMARÃES, A. et al. Segurança em Redes Privadas Virtuais – VPNs. 1 ed. Rio de Janeiro: Brasport, 2006, p. 25.
Com a análise do trecho acima, aliada ao conteúdo sobre Sistemas de Detecção de Intrusão: Tipos de IDS presente na disciplina, podemos definir comouma das características principais de um Network IDS (NIDS):
Ocultar opções de resposta 
1. 
o monitoramento em modo ativo da rede, substituindo por completo qualquer outro mecanismo de segurança, como firewalls, por exemplo.
2. 
o monitoramento em modo promíscuo da rede, utilizando engines de verificação de sistemas de arquivos.
3. 
o monitoramento em modo passivo de um segmento de rede em busca de pacotes com comportamento impróprio, ativando mecanismos de defesa como bloqueio dessas requisições.
4. 
Correta: 
o monitoramento da rede em modo promíscuo, como um sniffer, a fim de analisar as requisições de rede e seus protocolos.
Resposta correta
5. 
o monitoramento de vários segmentos de rede simultâneos através do roteamento configurado pelo IDS de rede.
9. Pergunta 9
0,5/0,5
Os primeiros Sistemas de Detecção de Intrusos baseavam-se apenas em revisão de sequências de auditoria, como checagem de logs de sistema, por exemplo. Não tinham funções diretamente associadas ao controle de requisições de rede, somente geravam alertas a respeito de atividades consideradas indevidas.
Com base nas informações do texto acima e no conteúdo estudado a respeito de Sistemas de Detecção de Intrusão, analise as afirmativas a seguir e assinale V para a(s) verdadeira(s) e F para a(s) falsa(s).
I. ( ) Nos tipos de IDS, o modo Cooperativo é uma das classificações por tipo de decisão de detecção.
II. ( ) Um NBA atua de modo on-line para criar os mecanismos de resposta para atividades suspeitas.
III. ( ) O WIPS é um exemplo de IDS em modo passivo para redes wireless.
IV. ( ) O engine é considerado o mecanismo central de um IDS.
Agora, assinale a alternativa que apresenta a sequência correta:
Ocultar opções de resposta 
1. 
V, F, V, F.
2. 
V, V, F, V.
3. 
F, V, V, V.
4. 
Correta: 
V, F, F, V.
Resposta correta
5. 
V, F, V, V.
10. Pergunta 10
0,5/0,5
Um Sistema de Prevenção de Intrusos pode tomar ações automáticas como descartar pacotes maliciosos, bloquear o tráfego de uma determinada origem ou fazer o reset de uma conexão.
A partir dessas informações e com base no conteúdo da disciplina em Sistemas de Detecção de Intrusão: Tipos de IDS, outro tipo de ação automática é a detecção e bloqueio na pré-execução de executáveis em um Sistema Operacional, característica presente em um:
Ocultar opções de resposta 
1. 
Sistema de Prevenção de Intrusos de Conhecimento.
2. 
Sistema de Detecção de Intrusos de Anomalia.
3. 
Sistema de Detecção de Intrusos por Kernel.
4. 
Sistema de Prevenção de Intrusos de Rede.
5. 
Correta: 
Sistema de Prevenção de Intrusos de Host.