Cuestionario sobre Sistemas de Detección de Intrusos (IDS)

¿Cuál es el objetivo principal de un Sistema de Detección de Intrusos (IDS)?. Bloquear todo el tráfico de red no deseado. Detectar y alertar sobre actividades maliciosas o intrusiones en una red. Acelerar la transmisión de datos en la red. Gestionar la autenticación de usuarios.

¿Qué desventaja principal tiene un cortafuegos (firewall) frente a un ataque que logra traspasarlo?. El cortafuegos se reinicia automáticamente. La red queda totalmente desprotegida. Solo afecta a las máquinas del perímetro. Se ralentiza la conexión a internet.

¿Qué tipo de ataques no protege un cortafuegos según el documento?. Ataques externos de denegación de servicio. Ataques internos. Intentos de acceso no autorizado desde internet. Acceso a servicios web.

Según la definición, ¿qué intenta comprometer una intrusión?. Únicamente la velocidad de la red. La integridad, confidencialidad o disponibilidad de un recurso de la red. La configuración de los routers. La calidad de las llamadas telefónicas.

¿Cuál es la premisa fundamental sobre la actividad intrusiva mencionada en el documento?. La actividad intrusiva es siempre detectable. La actividad intrusiva es un subconjunto de las actividades anómalas. La actividad intrusiva solo ocurre desde el exterior. La actividad intrusiva es fácil de prevenir.

¿Qué son los 'falsos negativos' en el contexto de la detección de intrusos?. Una intrusión que es detectada como normal. Una actividad normal que es detectada como intrusión. Una intrusión que no es detectada. Una actividad normal que no es detectada.

¿Qué son los 'falsos positivos' en el contexto de la detección de intrusos?. Una intrusión que es detectada como normal. Una actividad normal que es detectada como intrusión. Una intrusión que no es detectada. Una actividad normal que no es detectada.

¿Cuál es la función principal de un IDS?. Bloquear las conexiones de red sospechosas. Alertar al administrador y/o tomar acciones ante posibles intrusiones. Cifrar toda la comunicación de la red. Optimizar el rendimiento de la red.

¿Qué método de detección de IDS se basa en patrones de ataques conocidos?. Detección de Anomalías. Análisis de Protocolos con Estado. Detección de Usos Indebidos (basado en firmas). Análisis de Comportamiento de la Red (NBA).

¿Qué supone la 'Detección de Anomalías'?. Que una intrusión se caracteriza por un patrón de ataque conocido. Que una intrusión es una desviación del comportamiento normal del sistema. Que el atacante utiliza firmas conocidas. Que se analizan los protocolos de red de forma detallada.

¿Cuál es un inconveniente de la Detección de Anomalías?. Genera demasiados falsos negativos. No puede detectar ataques internos. Si un atacante cambia lentamente su comportamiento, no es detectado. Requiere una base de datos de firmas muy grande.

¿Qué monitoriza un IDS basado en red?. Los eventos dentro de un único sistema (host). El tráfico de red inalámbrico. Los paquetes que circulan por la red en busca de patrones de ataque. El comportamiento de los usuarios en la red.

¿Qué tipo de IDS analiza el tráfico de red inalámbrico?. IDS basados en red. IDS basados en la máquina. IDS inalámbricos. IDS de Análisis de Comportamiento.

¿Qué examina un IDS de Análisis de Comportamiento de la Red (NBA)?. Las firmas de ataques conocidos. Los paquetes individuales en busca de patrones específicos. El tráfico de la red para identificar amenazas que generan un flujo inusual. Los eventos de seguridad en un host específico.

¿Qué buscan los IDS basados en la máquina (host)?. Anomalías en el tráfico de red general. Eventos dentro de un sistema específico (host) que puedan indicar una intrusión. Vulnerabilidades en el protocolo Wi-Fi. Patrones de ataques conocidos en la red.

¿Cuál de los siguientes NO es un componente de un IDS según el documento?. Sensor o Agente. Servidor de Administración. Servidor de Base de Datos. Router Central.

¿Qué característica deseable de un IDS implica que debe poder operar sin intervención humana constante?. Debe ser confiable. Debe ser tolerante a fallos. Debe poder ejecutarse sin supervisión. Debe ser ligero.

¿Por qué es importante que un IDS sea 'difícil de engañar'?. Para que pueda detectar ataques muy rápidos. Para que los atacantes no puedan desactivarlo o evitar su detección fácilmente. Para que consuma menos recursos del sistema. Para que pueda adaptarse a nuevos tipos de ataques.

En el esquema de intrusión bajo Unix, si el acceso al sistema es 'sí' y se tiene acceso 'root', ¿cuál es la acción siguiente?. Explotar fallo. Controlar sistema. Buscarsniffer. Leer correos.

Según los pasos a seguir para la detección, ¿qué archivo es importante examinar en busca de cambios?. /var/log/syslog. /etc/passwd. /etc/network/interfaces. /boot/grub/grub.cfg.

¿Qué se debe buscar en el sistema, según los pasos de detección, que pueda indicar una intrusión?. Archivos de configuración regulares. Archivos ocultos o no usuales. Archivos de log con tráfico normal. Archivos de sistema que no han sido modificados.

¿Cuál de los siguientes es un ejemplo de Network IDS opensource para Linux?. Ossec. Snort. Tripwire. AIDE.

¿Cuál de los siguientes es un ejemplo de Host IDS opensource para Linux?. Suricata. Bro. Kismet. Ossec.

Si se detecta una intrusión y el intruso está 'online', ¿qué acción se sugiere?. Desconectar inmediatamente el ordenador de la red. Intentar hablar con él (talk). Realizar una copia de seguridad completa del disco. Analizar los logs del sistema.

¿Cuál es una de las acciones recomendadas si se detecta una intrusión?. Ignorar la actividad sospechosa para no alertar al atacante. Aumentar la velocidad de la red. Hacer una copia de seguridad del disco. Cambiar la contraseña del router.

Al realizar un análisis detallado del sistema tras una intrusión, ¿qué alteración se debería buscar?. Disminución del uso de memoria. Archivos de configuración sin cambios. Alteración del /etc/passwd. Conexiones de red estándar.

¿Qué puede indicar una 'Serie de repeticiones de conexión al mismo puerto'?. Una actividad de red normal. Un posible intento de escaneo de puertos o explotación de vulnerabilidades. Una configuración de red incorrecta. Un problema de hardware.

¿Qué se considera una actividad sospechosa en cuanto a 'Conexiones de usuarios'?. Conexiones realizadas durante el horario laboral habitual. Conexiones de usuarios en horas/días poco usuales. Conexiones desde direcciones IP internas conocidas. Conexiones que utilizan protocolos estándar.

¿Cuál es uno de los objetivos de los intrusos al utilizar debilidades en la arquitectura de los sistemas?. Mejorar la seguridad del sistema. Superar el proceso normal de autentificación. Optimizar el rendimiento de la red. Documentar las vulnerabilidades.