pregunta sobre IDS e IPS

3

Estoy estudiando Fundamentos de seguridad en redes y, como parte de un ejercicio, tengo la siguiente pregunta:

Which of the following statements are true? (Select all that apply)

a.- An IDS deals with malicious traffic that the firewall missed.

b.- An IPS is on the boundary of the trusted inside and the untrusted outside.

c.- A network-based firewall protects hosts from malicious traffic originating on their same network.

d.- An IPS protects hosts from malicious traffic originating on their same network.

¿Cuáles podrían ser las respuestas? Según yo, b y c serían las respuestas porque un IPS protege el tráfico original que pasa, b porque está en el límite pero tengo una duda con la opción a porque e IDS, como sé, realiza una copia del tráfico solo para analizarlo.

    
pregunta Mr. J 06.05.2017 - 02:16
fuente

5 respuestas

5

En primer lugar, veamos las definiciones para IPS e IDS:

IDS :

  

Un sistema de detección de intrusos (IDS) es un dispositivo o aplicación de software que supervisa una red o sistemas en busca de actividad maliciosa o violaciones de políticas. Cualquier actividad o violación detectada generalmente se reporta a un administrador o se recopila de manera centralizada mediante un sistema de gestión de eventos e información de seguridad (SIEM).

IPS

  Los

sistemas de prevención de intrusiones (IPS) son dispositivos de seguridad de red que monitorean las actividades de la red o del sistema en busca de actividad maliciosa. Las funciones principales de los sistemas de prevención de intrusos son identificar la actividad maliciosa, registrar información sobre esta actividad, informarla e intentar bloquearla o detenerla .

     

Los sistemas de prevención de intrusos se consideran extensiones de los sistemas de detección de intrusos porque monitorean el tráfico de la red y / o las actividades del sistema para detectar actividades maliciosas. Las diferencias principales son que, a diferencia de [IDS], [IPS] se colocan en línea y pueden prevenir o bloquear activamente las intrusiones detectadas . IPS puede realizar acciones tales como enviar una alarma, eliminar paquetes maliciosos detectados, restablecer una conexión o bloquear el tráfico de la dirección IP ofensiva.

(Énfasis mío)

Ahora veamos la pregunta y las respuestas dadas:

  

¿Cuáles de las siguientes afirmaciones son ciertas? (Seleccione todo lo que corresponda)

     

a.- Un IDS se ocupa del tráfico malicioso que el firewall perdió.

Como acabamos de aprender, un IDS solo se usa para monitorear y no para "tratar con" (lo que sea que signifique exactamente). Es justo decir que IDS no está activamente involucrado en el bloqueo o filtrado de dicho tráfico, por lo que "tratar con" es probablemente: FALSO.

Como señaló Georgios, "tratar con" también podría interpretarse de manera menos activa, por lo que esto podría ser VERDADERO. El inglés no es mi primer idioma, por lo que otros comentarios son bienvenidos.

  

b.- Un IPS se encuentra en el límite de la confianza interna y la no confiable   afuera.

No lo diría, pero se podría argumentar de esa manera. Por lo general, el IPS se encuentra detrás del límite (aquí es donde estaría el firewall) para reducir la carga de tráfico que el IPS debe analizar. El firewall filtra la mayor parte del tráfico no deseado fácil de detectar, el IPS se encarga de las cosas más sofisticadas.

En mi opinión: FALSO.

  

c.- Un firewall basado en red protege a los hosts del tráfico malicioso   originándose en su misma red.

No. Un firewall basado en la red protege a los hosts dentro de una red del tráfico malicioso que se origina en Internet o cualquier otra red que envíe tráfico a estos hosts. Un firewall basado en host protege a un host (si está configurado correctamente) de todo tipo de tráfico, sin importar de dónde provenga. Este sería un software que se instala en una máquina, como el firewall de Windows.

FALSO.

  

d.- Un IPS protege a los hosts del tráfico malicioso que se origina en su   misma red.

Helloooo, ahí está. Esta es una afirmación correcta. PERO, un IPS hace más que eso. Consulte (al menos) el artículo de wikipedia para obtener más información al respecto.

VERDADERO.

    
respondido por el Tom K. 04.09.2017 - 15:59
fuente
0

diría
A Falso, como IDS solo notifica y no previene la intrusión. Así pasará el tráfico perdido.
B VERDADERO
C Falso, ya que el firewall basado en la red inspeccionará todos los paquetes que se originan desde las redes locales y externas. (En caso de que pasen el firewall).
D Falso, igual que C.

    
respondido por el AlexP 07.05.2017 - 12:18
fuente
0

La respuesta correcta debe ser la opción A y D.

a.- Un IDS trata con el tráfico malicioso que el firewall perdió.

b.- Un IPS se encuentra en el límite del interior confiable y el exterior no confiable.

c.- Un firewall basado en red protege a los hosts del tráfico malicioso que se origina en su misma red.

d.- Un IPS protege a los hosts del tráfico malicioso que se origina en su misma red.

    
respondido por el Gome 18.04.2018 - 07:28
fuente
-1

Recuerda la diferencia entre IDS e IPS. Detección y Prevención. Wjile IDS puede ejecutarse en un host y puede detectar ataques que no tiene forma de prevenirlos. Como un IPS está en el firewall, puede ver y detener todo el tráfico malicioso.

A, Verdadero, ya que puede implementarse en los hosts (HIDS)

B, es cierto, un IPS debe poder detener el tráfico malicioso

C, Falso, un firewall no está inspeccionando paquetes en la misma red

D, Falso, por el mismo motivo que B

    
respondido por el Mr. H 06.05.2017 - 03:32
fuente
-1

Mi respuesta es:

A - Verdadero: el tráfico que evade los firewalls se tratará con IDS e IPS.

B - Falso: un firewall se encuentra en el límite entre el interior confiable y el exterior no confiable.

C - Verdadero - Una red vulnerable a tráfico malicioso originado desde esa misma red.

D - Verdadero - IPS como dispositivo de control está en línea, por lo que el tráfico original debe pasar a través del IPS.

    
respondido por el Stud 07.05.2017 - 11:39
fuente

Lea otras preguntas en las etiquetas