Quiz IDS/IPS

Question 1 / 10

Quelles sont les différences fondamentales entre un IDS (Intrusion Detection System) et un IPS (Intrusion Prevention System) ?

L'IDS est généralement positionné ''out-of-band'' (via un port TAP ou SPAN).

L'IPS doit être ''in-line'' pour pouvoir bloquer le trafic en temps réel.

Seul l'IDS est capable de générer des alertes SNMP.

L'IPS introduit potentiellement de la latence réseau (chokepoint).

L'IDS peut stopper une attaque en envoyant des paquets TCP Reset (falsifiés).

Découvrir l'indice

Question 2 / 10

Quelles techniques un attaquant peut-il utiliser pour évader la détection d'un IDS basé sur les signatures ?

La fragmentation IP (diviser le payload pour que la signature soit tronquée).

L'obfuscation du payload (encodage Base64, hex, etc.).

L'utilisation de protocoles non standards pour encapsuler le trafic.

L'insertion de paquets avec un TTL faible pour tromper l'IDS mais pas la cible.

Le polymorphisme du code malveillant.

Découvrir l'indice

Question 3 / 10

Dans Snort ou Suricata, à quoi servent les "preprocessors" (ou app-layers) ?

À défragmenter les paquets avant l'analyse des signatures.

À chiffrer les logs avant de les envoyer vers le SIEM.

À normaliser le trafic (exemple : résoudre les %20 en espaces dans les requêtes HTTP).

À gérer le réassemblage des flux TCP.

À mettre à jour automatiquement les règles depuis Internet.

Découvrir l'indice

Quizz.biz est un service gratuit financé principalement par la publicité.

Pour nous soutenir et ne plus voir ce message :

J'autorise les Annonces ou Je deviens Membre Plus

Question 4 / 10

Quels sont les avantages d'un HIDS (Host-based IDS) comme OSSEC ou Wazuh par rapport à un NIDS (Network-based) ?

Il peut analyser le trafic déjà déchiffré par l'hôte.

Il surveille l'intégrité des fichiers système (FIM).

Il n'a aucun impact sur les performances de la machine hôte.

Il peut corréler les logs d'application avec les tentatives de connexion.

Il détecte les élévations de privilèges locales.

Découvrir l'indice

Question 5 / 10

Qu'est-ce qu'un "faux négatif" dans le contexte d'un IPS ?

Une alerte légitime sur un trafic inoffensif.

Une attaque qui est passée sans être détectée par le système.

Une alerte qui a été bloquée par erreur.

Un manque de mise à jour des signatures.

Une attaque détectée mais non bloquée.

Découvrir l'indice

Question 6 / 10

Quelles méthodes permettent à un IDS de détecter des attaques "Zero-Day" ?

L'analyse de signatures statiques.

L'analyse comportementale (Anomaly-based).

L'utilisation de Honeypots couplés à l'IDS.

Le sandboxing des fichiers suspects.

L'apprentissage automatique (Machine Learning) sur les flux.

Découvrir l'indice

Question 7 / 10

Quelle est la problématique majeure de l'inspection TLS (SSL Decryption) sur un IPS ?

Elle nécessite l'installation d'un certificat racine (CA) de confiance sur tous les postes.

Elle peut violer les politiques de confidentialité (données bancaires/santé).

Elle réduit drastiquement les performances de traitement de l'IPS.

Elle rend le réseau vulnérable aux attaques par déni de service.

Elle est techniquement impossible avec TLS 1.3 et ECH (Encrypted Client Hello).

Découvrir l'indice

Question 8 / 10

Dans ''Suricata'', à quoi sert le mode "multi-threading" natif ?

À envoyer les alertes vers plusieurs destinations en même temps.

À répartir l'analyse des paquets sur plusieurs c&oelig;urs CPU pour augmenter le débit.

À exécuter plusieurs versions de Snort simultanément.

À gérer l'acquisition de paquets via AF_PACKET ou PF_RING.

À isoler chaque signature dans un processus séparé.

Découvrir l'indice

Question 9 / 10

Quelles sont les conséquences d'un positionnement "In-Line" d'un IPS sans mécanisme de "Fail-Open" ?

Si l'IPS tombe en panne, le réseau est coupé (Single Point of Failure).

Le trafic continue de passer mais n'est plus analysé.

Les paquets sont mis en file d'attente (Buffer Bloat).

La latence augmente de façon imprévisible.

L'administration à distance est perdue.

Découvrir l'indice

Question 10 / 10

Qu'est-ce que l'analyse d'état (Stateful Inspection) apporte à un IDS/IPS ?

Elle permet de suivre l'état des connexions TCP (3-way handshake).

Elle bloque automatiquement les paquets UDP.

Elle permet de détecter des anomalies dans la séquence des flags TCP (exemple : paquets hors session).

Elle mémorise toutes les adresses IP vues depuis un an.

Elle permet de limiter le nombre de signatures à tester pour un flux donné.

Découvrir l'indice

Quelles sont les différences fondamentales entre un IDS (Intrusion Detection System) et un IPS (Intrusion Prevention System) ?

Quelles techniques un attaquant peut-il utiliser pour évader la détection d'un IDS basé sur les signatures ?

Dans Snort ou Suricata, à quoi servent les "preprocessors" (ou app-layers) ?

Quels sont les avantages d'un HIDS (Host-based IDS) comme OSSEC ou Wazuh par rapport à un NIDS (Network-based) ?

Qu'est-ce qu'un "faux négatif" dans le contexte d'un IPS ?

Quelles méthodes permettent à un IDS de détecter des attaques "Zero-Day" ?

Quelle est la problématique majeure de l'inspection TLS (SSL Decryption) sur un IPS ?

Dans ''Suricata'', à quoi sert le mode "multi-threading" natif ?

Quelles sont les conséquences d'un positionnement "In-Line" d'un IPS sans mécanisme de "Fail-Open" ?

Qu'est-ce que l'analyse d'état (Stateful Inspection) apporte à un IDS/IPS ?

Les Nouveaux Quiz & Tests

Mobile & Réseaux Sociaux

Professionnels

A Propos