Redes de Computadores I

Perguntas

Pergunta 1

Qual a necessidade do uso de um SDI ?

R: Criar sistemas e aplicativos impérvios a intrusos é praticamente impossível, pois estes são muito complexos e dinâmicos. Alem disso, a sofisticação e automação dos ataques têm crescido, aumentando em muito o risco dos mesmos. Para resolver esse dilema, foram criados sistemas especialistas na detecção desses intrusos, os SDI's.

Pergunta 2

Cite vantagens e desvantagens de um sistema de detecção baseado em rede e baseado na estação.

R: Um sistema baseado em redes tem a vantagem de ter uma visão geral do sistema vigiado, permitindo que poucas estações bem posicionadas monitorem toda a rede. Entretanto, não pode detectar ataques criptografados, e podem falhar em períodos de alto tráfego, pois não consegue processar todos os pacotes.
     Um sistema baseado na estação possui uma visão mais local, e, portanto, pode detectar alguns ataques que o sistema baseado em redes encontra dificuldade, como ataques criptografados e os baseados em certas brechas nos softwares. Suas principais desvantagens são o consumo de recursos da estação, diminuindo o desempenho, e a dificuldade de gerência por causa do fato dele ser naturalmente distribuído.

Pergunta 3

Qual a principal dificuldade em implantar um sistema baseado em detecção de anomalias ?

R: Para conhecer o estado normal do sistema monitorado, o SDI deve ser treinado sob trafego normal, que pode ser muito ruidoso ou de difícil caracterização, prejudicando o desempenho da detecção de intrusão.

Pergunta 4

Por que a maioria dos sistemas comercias se baseia em detecção por assinaturas ? Qual a desvantagem desta técnica ?

R: A detecção por assinatura tem um desempenho melhor quando sujeita à ataques conhecidos, detectando grande parte desses e tendo uma taxa menor de falsos negativos. Entretanto, ele não possui defesas contra ataques novos, e depende de atualizações constantes.

Pergunta 5

Qual o risco de um SDI que bloqueia o acesso ao detectar uma intrusão ?

R: Se o SDI bloqueia acessos, um alarme falso pode resultar no corte ao acesso de um usuário legítimo. Se a taxa de falsos positivos for alta, o SDI pode provocar uma negação de serviço no próprio sistema monitorado.


Ocultar Respostas


Anterior Topo Próximo
 

Based on the design of G. Wolfgang | W3C XHTML 1.0 | W3C CSS 2.0