Domanda su IDS e IPS

Question

Domanda su IDS e IPS

#1 da (5 voti)
#2 da (0 voti)
#3 da (0 voti)
#4 da (-1 voti)
#5 da (-1 voti)

3

Sto studiando i Fondamenti di sicurezza sulle reti e come parte di un esercizio ho la seguente domanda:

Which of the following statements are true? (Select all that apply)

a.- An IDS deals with malicious traffic that the firewall missed.

b.- An IPS is on the boundary of the trusted inside and the untrusted outside.

c.- A network-based firewall protects hosts from malicious traffic originating on their same network.

d.- An IPS protects hosts from malicious traffic originating on their same network.

Quali potrebbero essere le risposte? Secondo me, b e c sarebbero le risposte perché un IPS protegge il traffico originale che passa, b perché si trova nel confine ma ho un dubbio con l'opzione a perché e IDS come so fa una copia del traffico solo per analizzarlo.

firewalls ids

posta Mr. J 06.05.2017 - 02:16

fonte

5 risposte

Leggi altre domande sui tag firewalls ids

Il client può inviare i dati dell'applicazione in TLS 1.2 o precedente prima di ricevere il messaggio Messaggio finito? È tutto per il 2017: qual è l'ultima politica per le password per le migliori pratiche

score 5 · Answer 1

Prima di tutto, diamo un'occhiata alle definizioni di IPS e IDS:

IDS :

An intrusion detection system (IDS) is a device or software application that monitors a network or systems for malicious activity or policy violations. Any detected activity or violation is typically reported either to an administrator or collected centrally using a security information and event management (SIEM) system.

IPS

Intrusion prevention systems (IPS) [...] are network security appliances that monitor network or system activities for malicious activity. The main functions of intrusion prevention systems are to identify malicious activity, log information about this activity, report it and attempt to block or stop it.

Intrusion prevention systems are considered extensions of intrusion detection systems because they both monitor network traffic and/or system activities for malicious activity. The main differences are, unlike [IDS], [IPS] are placed in-line and are able to actively prevent or block intrusions that are detected. IPS can take such actions as sending an alarm, dropping detected malicious packets, resetting a connection or blocking traffic from the offending IP address.

(Enfasi mia.)

Ora diamo un'occhiata alla domanda e alle risposte date:

Which of the following statements are true? (Select all that apply)

a.- An IDS deals with malicious traffic that the firewall missed.

Come abbiamo appena appreso, un IDS viene utilizzato solo per il monitoraggio e non per "trattare" (qualunque cosa significhi esattamente). È giusto dire che IDS non è attivamente coinvolto nel bloccare o filtrare tale traffico, quindi "trattare con" è probabilmente: FALSE.

Come ha sottolineato Georgios, "trattare con" potrebbe anche essere interpretato meno attivamente, quindi potrebbe essere vero. L'inglese non è la mia prima lingua, quindi altri commenti sono ben accetti.

b.- An IPS is on the boundary of the trusted inside and the untrusted outside.

Non lo direi, ma potresti discuterlo in questo modo. In genere, l'IPS si trova dietro il confine - questo è dove dovrebbe essere il firewall - per ridurre il carico di traffico che l'IPS deve analizzare. Il firewall filtra la maggior parte del traffico indesiderato facile da rilevare, l'IPS si occupa delle cose più sofisticate.

A mio avviso: FALSE.

c.- A network-based firewall protects hosts from malicious traffic originating on their same network.

No. Un firewall di rete protegge gli host all'interno di una rete da traffico dannoso proveniente da Internet o da qualsiasi altra rete che invia traffico a questi host. Un firewall basato su host protegge un host (se impostato correttamente) da tutti i tipi di traffico, irrilevante da dove proviene. Questo sarebbe un software installato su una macchina, come il firewall di Windows.

FALSE.

d.- An IPS protects hosts from malicious traffic originating on their same network.

Ciaoooo, eccolo. Questa è una dichiarazione corretta. MA, un IPS fa di più. Vedi (almeno) l'articolo di Wikipedia per maggiori informazioni su questo.

VERO.

score 0 · Answer 2

Direi
A False, come IDS notifica solo e non impedisce intrusioni. Quindi il traffico mancato passerà.
B VERO
C False come firewall di rete ispezionerà tutti i pacchetti che provengono sia dalla rete locale che da quella esterna. (nel caso in cui passino il firewall)
D Falso, uguale a C.

score 0 · Answer 3

La risposta corretta dovrebbe essere l'opzione A e D.

a.- Un IDS si occupa del traffico dannoso che il firewall ha mancato.

b.- Un IPS si trova sul confine del fidato dentro e fuori della fiducia.

c.- Un firewall di rete protegge gli host dal traffico dannoso proveniente dalla stessa rete.

d.- Un IPS protegge gli host dal traffico dannoso proveniente dalla stessa rete.

score -1 · Answer 4

Ricorda la differenza tra IDS e IPS. Rilevazione e prevenzione. Wjile IDS può essere eseguito su un host e può rilevare gli attacchi che non ha modo di prevenirli. Dal momento che un IPS si trova sul firewall, può vedere e arrestare tutto il traffico dannoso.

A, True, poiché potrebbe essere implementato sugli host (HIDS)

B, True, un IPS deve essere in grado di bloccare il traffico dannoso

C, False, un firewall non sta ispezionando i pacchetti sulla stessa rete

D, False, per lo stesso motivo di B

score -1 · Answer 5

La mia risposta è:

A - True - il traffico che elude i firewall sarà gestito da IDS e IPS.

B - False- Un firewall si trova sul confine tra l'interno fidato e l'esterno non sicuro.

C - True - Una rete vulnerabile al traffico malevolo che ha origine da quella stessa rete.

D - True - IPS come dispositivo di controllo è in linea, quindi il traffico originale deve passare attraverso l'IPS.