Sistema de prevención de intrusiones (IPS)

El sistema de prevención de intrusiones también se conoce como sistema de detección y prevención de intrusiones. Es una aplicación de seguridad de red que monitorea las actividades de la red o del sistema en busca de actividad maliciosa. Las principales funciones de los sistemas de prevención de intrusiones son identificar actividades maliciosas, recopilar información sobre esta actividad, informarla e intentar bloquearla o detenerla. 

Los sistemas de prevención de intrusiones se contemplan como un aumento de los Sistemas de detección de intrusiones (IDS) porque tanto IPS como IDS operan el tráfico de red y las actividades del sistema para actividades maliciosas. 

Los IPS normalmente registran información relacionada con los eventos observados, notifican a los administradores de seguridad sobre eventos observados importantes y generan informes. Muchos IPS también pueden responder a una amenaza detectada intentando evitar que tenga éxito. Utilizan varias técnicas de respuesta, que implican que el IPS detenga el ataque, cambie el entorno de seguridad o cambie el contenido del ataque. 

Clasificación del Sistema de Prevención de Intrusiones (IPS): 
El Sistema de Prevención de Intrusiones (IPS) se clasifica en 4 tipos: 
 

  1. Sistema de prevención de intrusiones basado en la red (NIPS): 
    supervisa toda la red en busca de tráfico sospechoso mediante el análisis de la actividad del protocolo. 
     
  2. Sistema de prevención de intrusiones inalámbricas (WIPS): 
    supervisa una red inalámbrica en busca de tráfico sospechoso mediante el análisis de los protocolos de red inalámbrica. 
     
  3. Análisis del comportamiento de la red (NBA): 
    examina el tráfico de la red para identificar amenazas que generan flujos de tráfico inusuales, como ataques distribuidos de denegación de servicio, formas específicas de malware e infracciones de políticas. 
     
  4. Sistema de prevención de intrusiones basado en host (HIPS): 
    es un paquete de software incorporado que opera un solo host para actividades dudosas al escanear eventos que ocurren dentro de ese host. 
     

Comparación de las tecnologías del sistema de prevención de intrusiones (IPS):
La siguiente tabla indica varios tipos de tecnologías IPS:

Tipo de tecnología IPS             Tipos de actividad maliciosa detectada   Alcance por sensor                              Fortalezas
Basado en red Actividad de la capa TCP/IP de red, transporte y aplicación

Múltiples subredes de red 

y grupos de anfitriones

Solo IDPS que puede analizar la más amplia gama de protocolos de aplicación; 
Inalámbrica

Actividad de protocolo inalámbrico; inalámbrico no autorizado 

redes de área local (WLAN) en uso

Múltiples WLAN y 

grupos de clientes inalámbricos

Solo IDPS puede predecir la actividad del protocolo inalámbrico
NBA

Actividad de la capa TCP/IP de red, transporte y aplicación 

que provoca flujos de red anómalos

Múltiples subredes de red 

y grupos de anfitriones

Típicamente más efectivo que los otros en 

identificación de exploración de reconocimiento y

 ataques DoS y en la reconstrucción de importantes

 infecciones de malware

basado en host

Actividad del sistema operativo (SO) y de la aplicación host; red, transporte, 

y la actividad de la capa TCP/IP de la aplicación

anfitrión individual

Puede analizar la actividad que

fue transferido de extremo a extremo 

comunicaciones encriptadas

Método de detección del sistema de prevención de intrusiones (IPS):  

  1. Detección basada 
    en firmas: el IDS basado en firmas opera paquetes en la red y los compara con patrones de ataque predeterminados y preconstruidos conocidos como firmas. 
     
  2. Detección estadística basada en anomalías: el 
    IDS basado en anomalías monitorea el tráfico de la red y lo compara con una línea base establecida. La línea de base identificará lo que es normal para esa red y qué protocolos se utilizan. Sin embargo, puede generar una falsa alarma si las líneas base no están configuradas de manera inteligente. 
     
  3. Detección de análisis de protocolo con estado: 
    este método IDS reconoce la divergencia de los protocolos establecidos mediante la comparación de eventos observados con perfiles preconstruidos de definiciones generalmente aceptadas de actividad no dañina. 
     

Comparación de IPS con IDS: 
La principal diferencia entre el Sistema de prevención de intrusiones (IPS) con los Sistemas de detección de intrusiones (IDS) son: 

  1. Los sistemas de prevención de intrusiones se colocan en línea y pueden prevenir o bloquear activamente las intrusiones que se detectan. 
  2. IPS puede realizar acciones como enviar una alarma, descartar paquetes maliciosos detectados, restablecer una conexión o bloquear el tráfico de la dirección IP infractora. 
  3. IPS también puede corregir errores de verificación de redundancia cíclica (CRC), desfragmentar flujos de paquetes, mitigar problemas de secuencia de TCP y limpiar opciones de capa de red y transporte no deseadas. 

Publicación traducida automáticamente

Artículo escrito por pp_pankaj y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *