IDS frente a IPS
IDS (Intrusion Detection System) son sistemas que detectan actividades inapropiadas, incorrectas o anómalas en una red y las reportan. Además, IDS se puede utilizar para detectar si una red o un servidor está experimentando una intrusión no autorizada. IPS (Sistema de prevención de intrusiones) es un sistema que desconecta activamente las conexiones o descarta paquetes, si contienen datos no autorizados. IPS puede verse como una extensión de IDS.
IDS
IDS monitorea la red y detecta actividades inapropiadas, incorrectas o anómalas. Hay dos tipos principales de IDS. El primero es el sistema de detección de intrusos en la red (NIDS). Estos sistemas examinan el tráfico en la red y monitorean múltiples hosts para identificar intrusiones. Se utilizan sensores para capturar el tráfico en la red y cada paquete se analiza para identificar contenido malicioso. El segundo tipo es el sistema de detección de intrusos basado en host (HIDS). Los HIDS se implementan en máquinas host o en un servidor. Analizan datos que son locales para la máquina, como archivos de registro del sistema, pistas de auditoría y cambios en el sistema de archivos para identificar comportamientos inusuales. HIDS compara el perfil normal del host con las actividades observadas para identificar posibles anomalías. En la mayoría de los lugares, los dispositivos IDS instalados se colocan entre el enrutador de la frontera y el firewall o fuera del enrutador de la frontera. En algunos casos, los dispositivos instalados de IDS se colocan fuera del firewall y del enrutador de la frontera con la intención de ver toda la amplitud de los intentos de ataque. El rendimiento es un tema clave con los sistemas IDS, ya que se utilizan con dispositivos de red de gran ancho de banda. Incluso con componentes de alto rendimiento y software actualizado, los IDS tienden a descartar paquetes ya que no pueden manejar el gran rendimiento.
IPS
IPS es un sistema que toma medidas activamente para prevenir una intrusión o un ataque cuando identifica uno. Los IPS se dividen en cuatro categorías. El primero es la Prevención de intrusiones basada en la red (NIPS), que monitorea toda la red en busca de actividad sospechosa. El segundo tipo son los sistemas de análisis de comportamiento de red (NBA) que examinan el flujo de tráfico para detectar flujos de tráfico inusuales que podrían ser el resultado de un ataque, como la denegación de servicio distribuida (DDoS). El tercer tipo es el Sistema de prevención de intrusiones inalámbricas (WIPS), que analiza las redes inalámbricas en busca de tráfico sospechoso. El cuarto tipo es el Sistema de prevención de intrusiones basado en host (HIPS), donde se instala un paquete de software para monitorear las actividades de un solo host. Como se mencionó anteriormente, IPS toma medidas activas, como descartar paquetes que contienen datos maliciosos, restablecer o bloquear el tráfico proveniente de una dirección IP infractora.
¿Cuál es la diferencia entre IPS e IDS?
Un IDS es un sistema que monitorea la red y detecta actividades inapropiadas, incorrectas o anómalas, mientras que un IPS es un sistema que detecta intrusiones o ataques y toma medidas activas para prevenirlos. La diferencia principal entre los dos es que, a diferencia de IDS, IPS toma medidas activamente para prevenir o bloquear las intrusiones que se detectan. Estos pasos preventivos incluyen actividades como descartar paquetes maliciosos y restablecer o bloquear el tráfico proveniente de direcciones IP maliciosas. IPS puede verse como una extensión de IDS, que tiene capacidades adicionales para prevenir intrusiones mientras las detecta.
