Los IDS/IPS, por sus siglas en inglés Intrusion Detection and Prevention Systems, son sistemas de prevención que supervisan y analizan el tráfico de red, esto con la intención de encontrar comportamientos o incluso características que indiquen tráfico malicioso.
Aunque podemos encontrar a estos sistemas juntos, siempre hay que entender que existe una diferencia sustancial entre ellos.
¿Cuál es la diferencia entre IDS e IPS?
IDS solo es un sistema de detección, por lo que en la práctica no hará ninguna acción para bloquear o impedir un ataque, solos hará el registro de un alerta, a diferencia del sistema IPS, el cual sí puede hacer ajustes a las reglas de un firewall para bloquear el tráfico malicioso al detectarlo.
Estos sistemas pueden ser basados en host o en red.
Sistemas basados en red:
- NIDS, o sistema de detección de intrusiones de red, por sus siglas en inglés, Network Intrusion Detection System, se utiliza en un lugar de la red en donde se pueda monitorear el tráfico para un segmento de red o subred.
Estos sistemas tienen por objetivo detectar y alertar sobre una posible actividad maliciosa proveniente de la red. La ubicación del NIDS debe considerarse cuidadosamente al implementar un sistema, se debe ubicar en la topología de la red de manera que tenga acceso al tráfico que nos gustaría supervisar.
Quizás una de las maneras más populares para acceder a este tráfico es con la funcionalidad de duplicación de puertos o en inglés, Port mirroring functionality, el cuál se encuentra en los switches empresariales.
Dicha función permite que todos los paquetes en un puerto, rango de puerto o incluso en una VLAN, se dupliquen en otro puerto en donde se conectará el host NIDS.
Así, la máquina NIDS podrá ver los paquetes que entran y salen de los hosts en el segmento del conmutador, lo cual permite supervisar las comunicaciones de host a host y el tráfico de hosts a redes externas.
Con esto los host de NIDS analizarán el tráfico mediante el modo promiscuo en el puerto que se está analizando.
Así, esta es la interfaz de red conectada al puerto de duplicación en el switch para que vea todos los paquetes que están pasando y así poder realizar el análisis sobre el tráfico.
Se debe tener en cuenta que el host NIDS debe tener al menos 2 interfaces de red, una que hace la función de supervisar y analizar y la otra, separada, que es para conexión con la red para gestión y administración.
Algunos sistemas populares son Snort, Suricata y Bro NIDS.
Se puede leer más sobre este tema en : https://www.a2secure.com/blog/ids-ips-hids-nips-siem-que-es-esto/
- NIP system, Sistema de prevención de intrusiones de red, por sus siglas en inglés, Network Intrusion Prevention System, como su nombre lo indica, busca prevenir los ataques. Su objetivo consiste en ejercer medidas contra un tráfico malicioso sospechoso. Para que esto último se logre, todo el tráfico a verificar debe pasar a través del dispositivo NIPS.
¿Cómo funcionan estos dos juntos? Un dispositivo NIDS es un observador que solo vigila el tráfico y envía una alerta si ve algo, pero el NIPS puede tomar medidas sobre el tráfico bajo su supervisión, ya sea bloqueando o descartando ese tráfico
Sistemas basados en Host:
- El sistema de detección basado en host supervisa el tráfico hacia y desde ese host. De igual manera puede supervisar los archivos del sistema para detectar algunos cambios que no se hayan autorizado.
Para leer más al respecto de estos IDS, puedes leerlo aquí.
0 comentarios