sistema de prevención de intrusiones (IPS)

Un sistema de prevención de intrusiones (IPS) es una herramienta de seguridad de red y prevención de amenazas. La idea detrás de la prevención de intrusiones es crear un enfoque preventivo a la seguridad de la red para que las amenazas potenciales puedan ser identificadas y respondidas rápidamente. Por lo tanto, los sistemas de prevención de intrusiones se utilizan para examinar los flujos de tráfico de la red con el fin de encontrar software malicioso y evitar vulnerabilidades.,

una IPS se utiliza para identificar actividades maliciosas, registrar amenazas detectadas, informar de amenazas detectadas y tomar medidas preventivas para evitar que una amenaza dañe. Una herramienta IPS se puede utilizar para monitorear continuamente una red en tiempo real.

La prevención de intrusiones es un método de detección de amenazas que los administradores de sistemas y seguridad pueden utilizar en un entorno de seguridad. Estas herramientas son útiles para los sistemas como una acción de prevención de eventos observados., Además, con muchas maneras posibles de que la actividad sospechosa puede ocurrir, es importante tener un plan en su lugar para detectar posibles ataques.

Se crea un sistema de prevención de intrusiones para ampliar las capacidades básicas que se encuentran en los sistemas de detección de intrusos (IDSes).

¿cómo funcionan los sistemas de prevención de intrusiones?

un sistema de prevención de intrusiones funcionará escaneando todo el tráfico de red. Para hacer esto, una herramienta IPS normalmente se ubicará justo detrás de un firewall, actuando como una capa adicional que observará los eventos de contenido malicioso., De esta manera, las herramientas IPS se colocan en rutas de comunicación directa entre un sistema y la red, lo que permite a la herramienta analizar el tráfico de red.,a continuación se presentan tres enfoques comunes para una herramienta IPS para proteger redes: detección basada en firmas en la que la herramienta IPS utiliza firmas de ataque previamente definidas de amenazas de red conocidas para detectar amenazas y tomar medidas; detección basada en anomalías en la que la IPS busca un comportamiento de red inesperado y bloquea el acceso al host si se detecta una anomalía; y detección basada en directivas en la que la IPS primero requiere que los administradores elaboren políticas de seguridad when cuando ocurre un evento que rompe una directiva de seguridad definida, se envía una alerta a los administradores del sistema.,

si se detecta alguna amenaza, una herramienta IPS suele ser capaz de enviar alertas al administrador, eliminar cualquier paquete de red malicioso y restablecer conexiones reconfigurando firewalls, reempaquetando cargas útiles y eliminando archivos adjuntos infectados de los servidores.

Las herramientas IPS pueden ayudar a defenderse de ataques de denegación de servicio (DoS), ataques distribuidos de denegación de servicio (DDoS), gusanos, virus o exploits, como un exploit de día cero., De acuerdo con Michael Reed, anteriormente de Top Layer Networks (adquirido por Corero), un sistema eficaz de prevención de intrusiones debería realizar un monitoreo y análisis más complejo, como observar y responder a los patrones de tráfico, así como a los paquetes individuales. «Los mecanismos de detección pueden incluir coincidencia de direcciones, coincidencia de cadenas y subcadenas HTTP, coincidencia de patrones genéricos, análisis de conexiones TCP, detección de anomalías de paquetes, detección de anomalías de tráfico y coincidencia de puertos TCP/UDP.»

Tipos de sistemas de prevención de intrusiones

Tres tipos de sistemas de prevención de intrusiones se presentan comúnmente., Estos tipos son los siguientes:

  1. network behavior analysis (NBA), que analiza el comportamiento de la red para detectar el flujo de tráfico anormal, comúnmente utilizado para detectar ataques DDoS;
  2. network-based intrusion prevention system (Nips), que analiza una red para buscar tráfico sospechoso, típicamente protocolos circundantes;
  3. host-based intrusion prevention system (HIPS), que se instalan en un solo host y se utilizan para analizar la actividad sospechosa en un host específico.

Además, existen otros tipos de herramientas IPS, incluidas las que analizan redes inalámbricas., En términos generales, sin embargo, se puede decir que un sistema de prevención de intrusiones incluye cualquier producto o práctica utilizada para evitar que los atacantes obtengan acceso a su red, como firewalls y software antivirus.,

beneficios de los sistemas de prevención de intrusiones

los beneficios de los sistemas de prevención de intrusiones incluyen los siguientes:

  • Reducir las posibilidades de incidentes de seguridad;
  • Proporcionar protección dinámica contra amenazas;
  • notificar automáticamente a los administradores cuando se detecta actividad sospechosa;
  • mitigar ataques como amenazas de día cero, ataques DoS, ataques DDoS e intentos de ataque de fuerza bruta;
  • Reducir el mantenimiento de li> permitir o denegar tráfico entrante específico a una red.,

desventajas de los sistemas de prevención de intrusiones

Las desventajas de los sistemas de prevención de intrusiones incluyen lo siguiente:

  • Cuando un sistema bloquea la actividad anormal en una red asumiendo que es malicioso, puede ser un falso positivo y conducir a un DoS a un usuario legítimo.
  • si una organización no tiene suficiente ancho de banda y capacidad de red, una herramienta IPS podría ralentizar un sistema.
  • si hay múltiples IPSes en una red, los datos tendrán que pasar a través de cada uno para llegar al usuario final, causando una pérdida en el rendimiento de la red.
  • Las IPS también pueden ser caras.,

IPS vs. IDS

Los Idse son herramientas de software diseñadas para detectar y monitorear el tráfico de red. Tanto las herramientas IPS como IDS leerán los paquetes de red y compararán su contenido con amenazas conocidas. Sin embargo, IDS difiere en qué acciones se toman a continuación. Una herramienta IDS no realizará ninguna acción por sí sola. Un IDS requiere que un humano analice los resultados y tome decisiones sobre qué hacer a continuación. Esta es la razón por la que IPS se ve como una extensión de IDS.

un IDS está diseñado para supervisar una red y enviar alertas a los administradores si se encuentra una amenaza., Sin embargo, un IPS está diseñado para controlar el acceso a la red y para proteger una red de daños.

al igual que un IDS, un IPS monitoreará el tráfico de red. Sin embargo, debido a que un exploit puede llevarse a cabo rápidamente después de que el atacante obtenga acceso, los sistemas de prevención de intrusiones también tienen la capacidad de tomar medidas inmediatas, basadas en un conjunto de reglas establecidas por el administrador de la red. Por ejemplo, una IPS puede soltar un paquete que determina que es malicioso y bloquear todo el tráfico adicional de esa dirección o puerto de Protocolo de Internet (IP)., El tráfico legítimo, mientras tanto, debe ser reenviado al destinatario sin interrupción aparente o retraso del servicio.

Author: admin

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *