La mejor manera de proteger una red o un sistema de ordenador es ide­n­ti­fi­car y mantener a raya los ataques lo antes posible, antes de que puedan causar daños. Un co­m­ple­me­n­to lógico para el co­r­ta­fue­gos son los sistemas de detección y pre­ve­n­ción de intrusos. He aquí una ex­pli­ca­ción de en qué se parecen y di­fe­re­n­cian los IDS y los IPS.

Antes de entrar a comparar IDS vs. IPS, conviene explicar ambos sistemas. IDS significa Intrusion Detection System, o sistema de detección de intrusos, es decir, un sistema que detecta lo antes posible los ataques a un cliente o una red. Si un IDS encuentra en su análisis un tráfico de datos inusual, envía un aviso al ad­mi­ni­s­tra­dor. El IDS tiene métodos de re­co­no­ci­mie­n­to de ataques basados en la red o basados en el host. IPS significa Intrusion Pre­ve­n­tion System, o sistema de pre­ve­n­ción de intrusos, y describe a un sistema que no solo reconoce e informa de posibles ataques, sino que toma ac­ti­va­me­n­te medidas contra ellos. Los IPS también utilizan sensores basados en host y en red para evaluar los datos del sistema y los paquetes de red.

¿Qué tienen en común IDS e IPS?

En esta breve guía quedará claro que IDS e IPS no son opuestos absolutos. De hecho, tienen en común varios elementos. He aquí los puntos co­m­pa­r­ti­dos entre los sistemas de detección y de pre­ve­n­ción de intrusos:

Análisis

En muchos casos, los métodos de análisis de ambos sistemas coinciden total o pa­r­cia­l­me­n­te. Tanto IPS como IDS utilizan sensores en el host, en la red o en ambos puntos para comprobar los datos del sistema y los paquetes de datos en la red y detectar amenazas. Para ello, usan pa­rá­me­tros de­te­r­mi­na­dos para que re­co­no­z­can las irre­gu­la­ri­da­des, aunque a veces ide­n­ti­fi­can incluso las anomalías ino­fe­n­si­vas. El análisis se hace, de­pe­n­die­n­do del sistema, mediante Misuse Detection o Anomaly Detection. Sin embargo, también comparten los posibles puntos flacos. Con Misuse Detection pueden pasarse por alto amenazas de­s­co­no­ci­das, mientras que Anomaly Detection reporta con mayor fre­cue­n­cia paquetes de datos ino­fe­n­si­vos.

Base de datos

Para reconocer los peligros, ambos sistemas recurren a una base de datos que sirve para ide­n­ti­fi­car las amenazas de manera más rápida y exacta. Cuanto más extensa sea la bi­blio­te­ca, mayor será la tasa de in­ci­de­n­cias de ambos sistemas. Por este motivo, ni IDS ni IPS deben en­te­n­de­r­se como co­n­fi­gu­ra­cio­nes estáticas, sino como sistemas ca­m­bia­n­tes que van apre­n­die­n­do y mejorando con cada ac­tua­li­za­ción.

Uso de la IA

Un factor de vital im­po­r­ta­n­cia para tanto IDS como para IPS es la in­te­li­ge­n­cia ar­ti­fi­cial. Con el apre­n­di­za­je au­to­má­ti­co, los sistemas modernos mejoran su re­co­no­ci­mie­n­to de amenazas y amplían sus bases de datos. De este modo, co­m­pre­n­den mejor los nuevos patrones de ataque, los detectan antes y, al mismo tiempo, informan con menos fre­cue­n­cia de los paquetes ino­fe­n­si­vos.

Opciones de co­n­fi­gu­ra­ción

Ambos sistemas pueden pe­r­so­na­li­zar­se y adaptarse a las ne­ce­si­da­des de una red o sistema de or­de­na­do­res. Esta co­n­fi­gu­ra­ción garantiza que los procesos no se in­te­rru­m­pan y que todos los co­m­po­ne­n­tes funcionen sin problemas a pesar del monitoreo. Esto también es un elemento im­po­r­ta­n­te ya que tanto IDS como IPS escanean y analizan a tiempo real.

Au­to­ma­ti­za­ción

Los sistemas IDS e IPS trabajan de manera au­to­ma­ti­za­da y au­tá­r­qui­ca. Una vez co­n­fi­gu­ra­dos, no requieren su­pe­r­vi­sión por parte del personal de seguridad, realizan sus tareas como se les ordena. Solo informan si surge algún problema.

Detección y alerta de peligros

Aunque los IDS e IPS se di­fe­re­n­cian en algunos factores, comparten una función básica: ambos sistemas ide­n­ti­fi­can amenazas y alertan al ad­mi­ni­s­tra­dor de inmediato. Este aviso puede hacerse por email, como no­ti­fi­ca­ción a un di­s­po­si­ti­vo móvil o di­re­c­ta­me­n­te como alarma de seguridad. Así, las personas re­s­po­n­sa­bles pueden definir el curso de acción que seguir.

Función de protocolo

Tanto los IDS como los IPS disponen de una im­po­r­ta­n­te función de protocolo. Esto les permite no solo notificar (o de­fe­n­de­r­se de) las amenazas, también añadirlas a su propia base de datos. De esta manera se vuelven más potentes, lo que les permitirá ide­n­ti­fi­car puntos débiles po­te­n­cia­les y re­so­l­ve­r­los en el mejor de los casos.

Combinado con el co­r­ta­fue­gos

Aunque haya algunas di­fe­re­n­cias entre IDS e IPS, ambos deben en­te­n­de­r­se como un co­m­ple­me­n­to para el co­r­ta­fue­gos. Todos los me­ca­ni­s­mos de seguridad deben coor­di­nar­se entre sí para proteger el sistema de ataques de la mejor manera posible. Si solo se usa un sistema de detección o de pre­ve­n­ción de intrusos, la red o el sistema del ordenador no estarán lo su­fi­cie­n­te­me­n­te ase­gu­ra­dos.

¿Qué di­fe­re­n­cias hay entre IDS e IPS?

Tal y como se ha señalado, IDS e IPS tienen algunos puntos comunes. Sin embargo, si se comparan, también pueden en­co­n­trar­se di­fe­re­n­cias. Estas son las más im­po­r­ta­n­tes:

Pre­ve­n­ción de riesgos

Como ya se explicó arriba, tanto IDS como IPS su­pe­r­vi­san el sistema, informan de las amenazas y las registran. Sin embargo, mientras que el sistema de detección de intrusos se queda ahí, el sistema de pre­ve­n­ción de in­tru­sio­nes va mucho más allá. El IPS es un sistema de seguridad activo que se defiende de las amenazas de forma in­de­pe­n­die­n­te. Para ello, si es necesario, puede in­te­rru­m­pir la conexión o descartar paquetes de datos si muestran alguna anomalía. En cambio, el IDS se debe ver como un sistema pasivo que solo se encarga de su­pe­r­vi­sar y notificar de los peligros que se encuentre.

Ubicación

Las po­si­bi­li­da­des de ubicación también son distintas entre IDS e IPS. El IDS se ubicará o bien en el ordenador o bien en el extremo de una red, donde es más fácil controlar los paquetes de datos que entran y salen. En cambio, un IPS se po­si­cio­na­rá detrás del co­r­ta­fue­gos, donde no solo puede informar de las amenazas, sino también pararles los pies de la mejor manera.

Tipos

Si bien ambas so­lu­cio­nes se basan en el host (HIPS) o en la red (NIPS), también hay so­lu­cio­nes IPS que se ubican en la WLAN. Esta versión se denomina WIPS.

In­de­pe­n­de­n­cia

IPS trabaja en gran medida de forma in­de­pe­n­die­n­te y suele encontrar so­lu­cio­nes para di­fe­re­n­tes amenazas. IDS también supervisa los paquetes de datos sin in­te­r­ve­n­ción externa, pero si detecta una tra­n­s­mi­sión so­s­pe­cho­sa no puede en­ca­r­gar­se de ella por sí solo. Cuando se envía la alerta, el ad­mi­ni­s­tra­dor debe tomar las co­n­tra­me­di­das ne­ce­sa­rias.

Co­n­fi­gu­ra­ción de IDS e IPS

El IDS suele trabajar online por lo que no perjudica al re­n­di­mie­n­to de la red, aunque hay que tenerlo en cuenta en la co­n­fi­gu­ra­ción. Por ejemplo, es posible que el IDS re­di­re­c­cio­ne una amenaza detectada di­re­c­ta­me­n­te al router o al co­r­ta­fue­gos e informe de ello al ad­mi­ni­s­tra­dor. En cambio, un IPS sí puede tener efectos negativos en el re­n­di­mie­n­to de la red, por lo que es aún más im­po­r­ta­n­te que el sistema esté co­n­fi­gu­ra­do con precisión. Si deja pasar paquetes de datos pe­li­gro­sos, deja de ga­ra­n­ti­zar la pro­te­c­ción. Si en cambio bloquea tra­n­s­mi­sio­nes ino­fe­n­si­vas, toda la red se verá afectada.

My­De­fe­n­der
Ci­be­r­se­gu­ri­dad completa
  • Escaneos antivirus pe­rió­di­cos
  • Copias de seguridad au­to­má­ti­cas y re­s­tau­ra­cio­nes
Ir al menú principal