El sistema de prevención de intrusiones también se conoce como sistema de detección y prevención de intrusiones. Es una aplicación de seguridad de red que monitorea las actividades de la red o del sistema en busca de actividad maliciosa. Las principales funciones de los sistemas de prevención de intrusiones son identificar actividades maliciosas, recopilar información sobre esta actividad, informarla e intentar bloquearla o detenerla.
Los sistemas de prevención de intrusiones se contemplan como un aumento de los Sistemas de detección de intrusiones (IDS) porque tanto IPS como IDS operan el tráfico de red y las actividades del sistema para actividades maliciosas.
Los IPS normalmente registran información relacionada con los eventos observados, notifican a los administradores de seguridad sobre eventos observados importantes y generan informes. Muchos IPS también pueden responder a una amenaza detectada intentando evitar que tenga éxito. Utilizan varias técnicas de respuesta, que implican que el IPS detenga el ataque, cambie el entorno de seguridad o cambie el contenido del ataque.
Clasificación del Sistema de Prevención de Intrusiones (IPS):
El Sistema de Prevención de Intrusiones (IPS) se clasifica en 4 tipos:
- Sistema de prevención de intrusiones basado en la red (NIPS):
supervisa toda la red en busca de tráfico sospechoso mediante el análisis de la actividad del protocolo.
- Sistema de prevención de intrusiones inalámbricas (WIPS):
supervisa una red inalámbrica en busca de tráfico sospechoso mediante el análisis de los protocolos de red inalámbrica.
- Análisis del comportamiento de la red (NBA):
examina el tráfico de la red para identificar amenazas que generan flujos de tráfico inusuales, como ataques distribuidos de denegación de servicio, formas específicas de malware e infracciones de políticas.
- Sistema de prevención de intrusiones basado en host (HIPS):
es un paquete de software incorporado que opera un solo host para actividades dudosas al escanear eventos que ocurren dentro de ese host.
Comparación de las tecnologías del sistema de prevención de intrusiones (IPS):
La siguiente tabla indica varios tipos de tecnologías IPS:
Tipo de tecnología IPS | Tipos de actividad maliciosa detectada | Alcance por sensor | Fortalezas |
Basado en red | Actividad de la capa TCP/IP de red, transporte y aplicación |
Múltiples subredes de red y grupos de anfitriones |
Solo IDPS que puede analizar la más amplia gama de protocolos de aplicación; |
Inalámbrica |
Actividad de protocolo inalámbrico; inalámbrico no autorizado redes de área local (WLAN) en uso |
Múltiples WLAN y grupos de clientes inalámbricos |
Solo IDPS puede predecir la actividad del protocolo inalámbrico |
NBA |
Actividad de la capa TCP/IP de red, transporte y aplicación que provoca flujos de red anómalos |
Múltiples subredes de red y grupos de anfitriones |
Típicamente más efectivo que los otros en identificación de exploración de reconocimiento y ataques DoS y en la reconstrucción de importantes infecciones de malware |
basado en host |
Actividad del sistema operativo (SO) y de la aplicación host; red, transporte, y la actividad de la capa TCP/IP de la aplicación |
anfitrión individual |
Puede analizar la actividad que fue transferido de extremo a extremo comunicaciones encriptadas |
Método de detección del sistema de prevención de intrusiones (IPS):
- Detección basada
en firmas: el IDS basado en firmas opera paquetes en la red y los compara con patrones de ataque predeterminados y preconstruidos conocidos como firmas.
- Detección estadística basada en anomalías: el
IDS basado en anomalías monitorea el tráfico de la red y lo compara con una línea base establecida. La línea de base identificará lo que es normal para esa red y qué protocolos se utilizan. Sin embargo, puede generar una falsa alarma si las líneas base no están configuradas de manera inteligente.
- Detección de análisis de protocolo con estado:
este método IDS reconoce la divergencia de los protocolos establecidos mediante la comparación de eventos observados con perfiles preconstruidos de definiciones generalmente aceptadas de actividad no dañina.
Comparación de IPS con IDS:
La principal diferencia entre el Sistema de prevención de intrusiones (IPS) con los Sistemas de detección de intrusiones (IDS) son:
- Los sistemas de prevención de intrusiones se colocan en línea y pueden prevenir o bloquear activamente las intrusiones que se detectan.
- IPS puede realizar acciones como enviar una alarma, descartar paquetes maliciosos detectados, restablecer una conexión o bloquear el tráfico de la dirección IP infractora.
- IPS también puede corregir errores de verificación de redundancia cíclica (CRC), desfragmentar flujos de paquetes, mitigar problemas de secuencia de TCP y limpiar opciones de capa de red y transporte no deseadas.