Qué es un sistema de prevención de intrusiones (IPS)

En resumen, un sistema de prevención de intrusiones (IPS), también conocido como sistema de prevención de detección de intrusiones (IDPS), es una tecnología que vigila una red para detectar cualquier actividad maliciosa que intente aprovechar la vulnerabilidad conocida.

La función principal de un sistema de prevención de intrusiones es identificar cualquier actividad sospechosa y detectar y permitir (IDS) o prevenir (IPS) la amenaza. El intento se registra y se informa a los administradores de red o al personal del Centro de operaciones de seguridad (SOC) .

Get a Personal Firewall Demo Punto de referencia de seguridad NGFW de Miercom 2024

¿Qué es IPS?

¿Por qué se deben utilizar los sistemas de prevención de intrusiones?

Las tecnologías IPS pueden detectar o prevenir ataques a la seguridad de la red, como ataques de fuerza bruta, ataques de denegación de servicio (DoS) y vulnerabilidades. Una vulnerabilidad es una debilidad en un sistema de software y un exploit es un ataque que aprovecha esa vulnerabilidad para obtener el control de un sistema. Cuando se anuncia un exploit, a menudo existe una ventana de oportunidad para que los atacantes aprovechen esa vulnerabilidad antes de que se aplique el parche de seguridad. Se puede utilizar en estos casos un sistema de prevención de intrusiones para bloquear rápidamente estos ataques.

 

Debido a que las tecnologías IPS vigilan los flujos de paquetes, también se pueden usar para hacer cumplir el uso de protocolos seguros y denegar el uso de protocolos inseguros como versiones anteriores de SSL o protocolos que utilizan cifrados débiles.

¿Cómo funcionan los sistemas de prevención de intrusiones?

Las tecnologías IPS tienen acceso a paquetes donde se implementan, ya sea como sistemas de detección de intrusos de red (NIDS) o como sistemas de detección de intrusos de host (HIDS). El IPS de red tiene una vista más amplia de toda la red y puede implementarse en línea en la red o fuera de línea en la red como un sensor pasivo que recibe paquetes de un puerto TAP o SPAN de la red.

El método de detección empleado puede estar basado en firmas o anomalías. Las firmas predefinidas son patrones de ataques de red conocidos. El IPS compara los flujos de paquetes con la firma para ver si hay una coincidencia de patrón. Los sistemas de detección de intrusiones basados en anomalías utilizan heurística para identificar amenazas, por ejemplo, comparando una muestra de tráfico con una línea de base conocida.

¿Cuál es la diferencia entre IDS e IPS?

Las primeras implementaciones de la tecnología se implementaron en modo de detección en dispositivos de seguridad dedicados. A medida que la tecnología ha madurado y se ha trasladado al Firewall integrado de última generación o dispositivo UTM, la acción predeterminada está configurada para evitar el tráfico malicioso.

 

En algunos casos, la decisión de detectar y aceptar o prevenir el tráfico se basa en la confianza en la protección IPS específica. Cuando existe una menor confianza en una protección IPS, hay una mayor probabilidad de falsos positivos. Se denomina falso positivo a la instancia en la que el IDS identifica una actividad como un ataque, pero la actividad es un comportamiento aceptable. Por este motivo, muchas tecnologías IPS también tienen la capacidad de capturar secuencias de paquetes del evento de ataque. Dichas secuencias se pueden luego analizar para determinar si hubo una amenaza real y para mejorar aún más la protección IPS.

x
  Comentarios
Este sitio web emplea cookies para su funcionalidad y con fines analíticos y de marketing. Al continuar empleando este sitio web, usted acepta el uso de cookies. Para más información, lea nuestro Aviso sobre cookies.