Los IDS... detectan y paralizan ataques en la red detectan e informan de ataques en la red únicamente detectan ataques en la red. Los IPS... detectan y paralizan ataques en la red detectan e informan de ataques en la red únicamente detectan ataques en la red. Un ejemplo de monitorización activa son... los IPS los IDS. ¿Cual trabaja con una copia del tráfico? IDS IPS. ¿Cual es capaz de detectar los ataques single-packet? IDS IPS. ¿En que tipos se dividen los IPS? Host-Based IPS (HIPS) Network-Based IPS (NIPS) Non-Based IPS (NIPS) Micro-Based IPS (MIPS) Ninguna de ellas. Un SPAN... esta asociado a un puerto de un switch, y permite monitorizar el tráfico es un conjunto de firmas para detectar paquetes anómalos es un tipo de HIPS. Selecciona la correcta... Los HIPS se instalan en el SO del host Los NIPS son incompatibles con los HIPS Los NIPS perteneces a la categoría de los IPS, mientras que los HIPS a la de los IDS Un HIPS pueden incorporar antivirus, pero no firewall. Los NIPS... se situan en la red se situan en el host se situan en servidores aislados de la red interna. ¿Que parametros tienen las firmas? Tipo Alarma Clase Acción Longitud Tamaño máximo de paquete. Suponiendo un exploit compuesto de varios paquetes diferentes, de forma que no sea identificable por un solo paquete, ¿que firma no lo detectará? La firma simple La firma compuesta. La principal diferencia entre la firma simple y la compuesta es que... La simple analiza un paquete, mientras que la compuesta mantiene el estado La compuesta es mas evolucionada, y por tanto mas rápida Las simples tienden a tener un horizonte de eventos mayor que las compuestas Ninguna es correcta. Las firmas estan basadas en... patrones anomalías políticas honeypots malware atomic. El tráfico normal de una red es de 1.000 paquetes por segundo. Si en un determinado momento el IDS detecta 30.000 paquetes en un segundo, activará un alerta... basada en patrones basada en anomalías basada en políticas basada en honeypots. Las ventaja de la detección basada en políticas es que... las detecciones suelen ser mas fiables las detecciones suelen ser mas específicas distrae a los atacantes son rapidas, pero no personalizables. Las ventaja de la detección basada en honeypots es que... no necesita apenas hardware o software adicional no requiere practicamente de configuración sirve de ventana para ver ataques Ninguna es correcta. Una alerta de tipo atomic... es mejor que las de tpo summary, ya que ofrecen mas información pueden ser bypasseadas mediante la generación de una gran cantidad de alertas falsas recogentodas las veces que se ha activado esa alerta durante un periodo determinado. ¿Puede un IPS reiniciar la conexión? Si No. ¿Puede un IDS reiniciar la conexión? Si No. El protocolo utilizado para envío de mensajes de eventos de seguridad es... SDEE DHCP IPS DSIE. ¿Que es esto?
%IPS-4-SIGNATURE:Sig:1107 Subsig:0 Sev:2 RFC1918 address [192.168.121.1:137 ->192.168.121.255:137 Un ejemplo de un mensaje en SDEE La configuración de un IPS Una alerta de actualización obligatoria de un equipo Un ejemplo de firma guardada en el IPS. ¿Que es la Cisco SensorBase Network? Una red global de transmisión de información en la que pueden participar los IPS Una versión de pago de paquetería instalable en los IPS El lugar donde se instala un IPS perteneciente a Cisco. Si se produce un ataque a los servidores de Twitch alojados en Tuvalu, y los IPS de la empresa lo detectan a tiempo, ¿puede esta información servir al IPS de Google alojado en USA? No. Los IPS de empresas son independientes, y no transmiten información entre ellos Si, gracias a la Cisco SensorBase Network. Un SIEM... proporciona información en tiempo real de eventos de seguridad analiza los eventos de seguridad mandados otra aplicación, y actua conforme a ellos Ninguna es correcta. Un SOAR... toma datos de un SIEM, y actua en base a ellos proporciona información en tiempo real de eventos de seguridad requiere de interacción por parte del administrador para responder a los incidentes Ninguna es correcta. Los HoneyPots... actuan como señuelo de los atacantes actuan contra incidentes en la red forman parte de los IDS. Un honeypot de alta interacción... ofrece mayor realismo al atacante que uno de baja interación admite un mayor número de conexiones que uno de baja interacción no puede formar parte de una honeynet. Las honeynet son soluciones costosas de desplegar suelen estar formadas por honeypots de baja interacción contienen un conjunto de honeypots de alta interacción no pueden ser atacadas por cibercriminales reales. En este caso, el IPS F5 ha bloqueado una petición debido a... una alarma basada en patrones una alarma basada en anomalías una alarma basada en políticas una alarma basada en honeypots. ¿Cuales de estos son IDPS? Snort Suricata CPT SDEE.
