Qué es el IPS/IDS y dónde se utiliza

El IPS, como sistema de prevención de intrusiones, también pretende analizar continuamente el tráfico, pero tiene más poder: si es necesario, puede rechazar la recepción de paquetes si el análisis del sistema detecta una amenaza. Además, utiliza una base de datos de firmas actualizada para detectar las amenazas, por lo que se recomiendan actualizaciones periódicas para garantizar que el sistema realice sus funciones correctamente.

Tecnología y arquitectura de IDS

El IDS sólo puede detectar una amenaza y notificar el evento al administrador, pero éste debe tomar otras medidas. El sistema de detección puede funcionar:

1. A nivel de red. Este será el Sistema de Detección de Intrusos en la Red (NIDS).
2. A nivel de anfitrión individual. En este caso se trata de un sistema de detección de intrusiones basado en el host (HIDS).

Veamos con más detalle cada una de ellas.

Tecnología NIDS

NIDS ofrece la posibilidad de instalar el sistema en nodos estratégicos de la red para analizar el tráfico de entrada y salida de todos los dispositivos. Los NIDS son extremadamente eficientes porque analizan cada paquete de datos desde la capa de enlace de datos hasta la capa de aplicación. Al mismo tiempo, a diferencia de los firewalls y cortafuegos estándar, el NIDS es capaz de detectar amenazas internas.

La desventaja de la tecnología es la "voracidad": el sistema analiza todo el tráfico, lo que requiere mucha potencia de cálculo del procesador central y de la memoria RAM. Por esta razón, el uso de NIDS a nivel de la infraestructura de la red corporativa puede conducir a retrasos tangibles en el intercambio de datos.

Sistema anfitrión HIDS

Los sistemas basados en el host, a diferencia de los sistemas basados en la red, se despliegan "punto a punto" en cada host individual dentro de una red, lo que permite la protección selectiva de los hosts propensos a los ataques. El HIDS también es capaz de analizar el tráfico entrante y saliente, pero lo hace de forma más local, para un solo dispositivo.

Se recomienda desplegar el HIDS en las máquinas críticas de la red para prevenir las amenazas. Esta tecnología consume muchos menos recursos en su funcionamiento, pero requiere experiencia y un profundo conocimiento de la infraestructura de red específica para seleccionar correctamente los hosts para el HIDS.

Qué IDS actúan según el principio de funcionamiento

En general, el principio fundamental de todos estos sistemas es que las amenazas se identifican mediante el análisis del tráfico entrante y saliente. Sin embargo, el propio proceso de análisis puede variar. Existen tres tipos de IDS según el mecanismo de análisis:

1. Firma IDS. Un sistema de detección de intrusos que se asemeja mucho a un antivirus conocido: también analiza el tráfico y compara los paquetes recibidos con una base de datos de firmas. Para garantizar la eficacia de este sistema, la base de datos de firmas debe actualizarse periódicamente. Se considera que el principal inconveniente es que si la base de datos no está disponible temporalmente por cualquier motivo, un IDS de este tipo no puede proporcionar la detección de amenazas.
2. IDSs basados en anomalías. Para ello se utiliza la tecnología de aprendizaje automático: el sistema analizará el rendimiento de la red y lo comparará con un periodo similar en el pasado. Las anomalías pueden ser estadísticas, de protocolo o a nivel de tráfico, todas las cuales el sistema de detección de amenazas es capaz de detectar y detener, siempre y cuando se haya prestado suficiente tiempo y atención al aprendizaje automático en el pasado.
3. IDS en las normas. Un administrador puede prescribir manualmente sofisticadas reglas de IDS que detectarán las amenazas basándose en indicios indirectos o directos. La creación de un sistema de este tipo requiere bastante más tiempo y conocimientos, pero en la práctica da lugar a un nivel de protección extremadamente alto.

Gestión unificada de amenazas (UTM)

UTM es un paquete de utilidades versátil que contiene varios módulos de protección pequeños, desde filtros de correo electrónico y servidores proxy hasta VPNs e IDS. En esencia, se trata de una suite que garantiza la supervisión y eliminación de amenazas en varios niveles.

NGFW y DPI

Este es ya el cortafuegos de nueva generación, que ha ido ganando popularidad rápidamente en los últimos años. El NGFW es una plataforma de seguridad de red que, además del propio cortafuegos, también incluye un cortafuegos tradicional con capacidades de filtrado adicionales.

En cuanto a la DPI, es una tecnología de análisis profundo de paquetes que permite interceptar los paquetes que contienen amenazas.

¿Dónde se instala la protección?

Al desplegar en un servidor IPS o IDS, se plantea la cuestión de qué nodos tienen más sentido. La respuesta a esta pregunta depende del tipo de sistema que tenga. Si se trata de un PIDS, no hay razón para instalarlo delante del cortafuegos porque las funciones están duplicadas. Un NGFW, en cambio, es un sistema de uso general que puede instalarse a cualquier nivel.

Tiene sentido instalar un sistema de detección de intrusos en un sistema de alojamiento compartido delante del cortafuegos en el lado interno de la red - en este caso el software analizará sólo el tráfico permitido por el cortafuegos. En consecuencia, reducirá la carga del sistema y aumentará el rendimiento de la infraestructura de red.

Un escenario común es desplegar IDS en el borde exterior de la protección de la red, después del cortafuegos. En este caso, el sistema cortará todo el ruido innecesario procedente de las redes externas. También proporcionará protección contra el mapeo. En este diseño de infraestructura, el sistema supervisará las capas de red 4 a