En primer lugar, veamos las definiciones para IPS e IDS:
IDS :
Un sistema de detección de intrusos (IDS) es un dispositivo o aplicación de software que supervisa una red o sistemas en busca de actividad maliciosa o violaciones de políticas. Cualquier actividad o violación detectada generalmente se reporta a un administrador o se recopila de manera centralizada mediante un sistema de gestión de eventos e información de seguridad (SIEM).
IPS
Los sistemas de prevención de intrusiones (IPS) son dispositivos de seguridad de red que monitorean las actividades de la red o del sistema en busca de actividad maliciosa. Las funciones principales de los sistemas de prevención de intrusos son identificar la actividad maliciosa, registrar información sobre esta actividad, informarla e intentar bloquearla o detenerla .
Los sistemas de prevención de intrusos se consideran extensiones de los sistemas de detección de intrusos porque monitorean el tráfico de la red y / o las actividades del sistema para detectar actividades maliciosas. Las diferencias principales son que, a diferencia de [IDS], [IPS] se colocan en línea y pueden prevenir o bloquear activamente las intrusiones detectadas . IPS puede realizar acciones tales como enviar una alarma, eliminar paquetes maliciosos detectados, restablecer una conexión o bloquear el tráfico de la dirección IP ofensiva.
(Énfasis mío)
Ahora veamos la pregunta y las respuestas dadas:
¿Cuáles de las siguientes afirmaciones son ciertas? (Seleccione todo lo que corresponda)
a.- Un IDS se ocupa del tráfico malicioso que el firewall perdió.
Como acabamos de aprender, un IDS solo se usa para monitorear y no para "tratar con" (lo que sea que signifique exactamente). Es justo decir que IDS no está activamente involucrado en el bloqueo o filtrado de dicho tráfico, por lo que "tratar con" es probablemente: FALSO.
Como señaló Georgios, "tratar con" también podría interpretarse de manera menos activa, por lo que esto podría ser VERDADERO. El inglés no es mi primer idioma, por lo que otros comentarios son bienvenidos.
b.- Un IPS se encuentra en el límite de la confianza interna y la no confiable
afuera.
No lo diría, pero se podría argumentar de esa manera. Por lo general, el IPS se encuentra detrás del límite (aquí es donde estaría el firewall) para reducir la carga de tráfico que el IPS debe analizar. El firewall filtra la mayor parte del tráfico no deseado fácil de detectar, el IPS se encarga de las cosas más sofisticadas.
En mi opinión: FALSO.
c.- Un firewall basado en red protege a los hosts del tráfico malicioso
originándose en su misma red.
No. Un firewall basado en la red protege a los hosts dentro de una red del tráfico malicioso que se origina en Internet o cualquier otra red que envíe tráfico a estos hosts. Un firewall basado en host protege a un host (si está configurado correctamente) de todo tipo de tráfico, sin importar de dónde provenga. Este sería un software que se instala en una máquina, como el firewall de Windows.
FALSO.
d.- Un IPS protege a los hosts del tráfico malicioso que se origina en su
misma red.
Helloooo, ahí está. Esta es una afirmación correcta. PERO, un IPS hace más que eso. Consulte (al menos) el artículo de wikipedia para obtener más información al respecto.
VERDADERO.