Questão 1: Diferenciar NIDS e HIDS.
Resposta:
HIDS é o tipo de IDS baseado em hosts, isto é, que atua sob sistema operacional em um computador específico, analisando seus processos, programas, conexão, etc., sem ter a visão geral da rede. Um NIDS é um IDS para monitoramento de pacotes em uma rede, que analisa o tráfego e toma decisões. Em geral, é localizada em um ponto estratégico da topologia da rede, em um nó configurado para isto, e possui ampla visão do fluxo.
Questão 2: Diferenciar tipos de detecção.
Resposta:
Uma detecção por assinatura baseia-se na manutenção de um banco de dados com ataques conhecidos e na comparação dos pacotes recebidos com algum deles. Para isto, geralmente utiliza-se uma função de correlação e é crucial ter o banco sempre atualizado. No caso de detecções por anomalia, o IDS é treinado constantemente para conhecer o padrão de fluxo da rede através, geralmente, de aprendizado de máquina. Assim, quando alguma alteração significativa acontece, o sistema pode reconhecê-la comparando com o comportamento normal da rede e, em seguida, tomar as devidas ações.
Questão 3: Diferenciar IDS passivo e ativo.
Resposta:
Um IDS passivo é projetado apenas para monitoramento, isto é, ele apenas registra ou alerta sobre acontecimentos e ataques, exigindo que a resposta seja dada manualmente. Um IDS ativo (por vezes também chamado de IPS), além de monitorar, toma decisões automaticamente, de acordo com o que for programado. Os dados são processados e a resposta dada, quando possível, pelo próprio programa.
Questão 4: O que é um IDS virtualizado? Como pode ser utilizado?
Resposta:
Um IDS virtualizado é a substituição de um IDS físico (hardware) por uma função de rede virtualizada (software). Isto significa trocar um dispositivo de rede por um programa em uma máquina comum. Sua principal utilização é em ambientes virtualizados de rede, geralmente com objetivo de processamento distribuído, que necessitam de flexibilidade e atualização constante de seus dispositivos.
Questão 5: Citar algumas características do Bro IDS (diferenças, vantagens, etc.)
Resposta:
O Bro é uma implementação e extensão em software de um NIDS capaz de realizar detecções tanto por assinatura quanto por anomalia. Sua principal vantagem é possuir grande versatilidade na forma com que lida com eventos, já que todas as suas respostas são programáveis através de scripts.