Documentos de Académico
Documentos de Profesional
Documentos de Cultura
QUE ES IPS
Es un software que ejerce el control de acceso en una red informática para
proteger a los sistemas computacionales de ataques y abusos.
Los IPS presentan una mejora importante sobre las tecnologías de cortafuegos
tradicionales, al tomar decisiones de control de acceso basados en los contenidos
del tráfico, en lugar de direcciones IP o puertos
CARACTERÌSTICAS
El IPS se sitúa en línea dentro de la red IPS y no sólo escucha pasivamente a
la red como un IDS (tradicionalmente colocado como un rastreador de puertos
en la red).
El IPS tiene la habilidad de bloquear inmediatamente las intrusiones, sin
importar el protocolo de transporte utilizado y sin reconfigurar un dispositivo
externo. Esto significa que el IPS puede filtrar y bloquear paquetes en modo
nativo (al utilizar técnicas como la caída de una conexión, la caída de paquetes
ofensivos, el bloqueo de un intruso, etc.)
FUNCIONAMIENTO
El funcionamiento de estas herramientas se basa en el análisis pormenorizado del
tráfico de red, el cual al entrar al analizador es comparado con firmas de ataques
conocidos, o comportamientos sospechosos, como puede ser el escaneo de
puertos, paquetes mal formados, etc. El IDS no sólo analiza qué tipo de tráfico es,
sino que también revisa el contenido y su comportamiento.
TIPOS DE IDS
HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del
éxito de los intrusos, que generalmente dejaran rastros de sus actividades
en el equipo atacado, cuando intentan adueñarse del mismo, con propósito
de llevar a cabo otras actividades. El HIDS intenta detectar tales
modificaciones en el equipo afectado, y hacer un reporte de sus
conclusiones.
NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el
segmento de la red. Su interfaz debe funcionar en modo promiscuo
capturando así todo el tráfico de la red.
Entre otras funciones (como en el caso del IDS) se tiene que poder alertar al
administrador ante la detección de intrusiones o actividad maliciosa, mientras que
es exclusivo de un Sistema de Prevención de Intrusos (IPS) establecer políticas de
seguridad para proteger al equipo o a la red de un ataque.
De ahí que se diga que un IPS protege a una red o equipo de manera proactiva
mientras que un IDS lo hace de manera reactiva.
Basados en Red Lan (NIPS): monitorizan la red lan en busca de tráfico de red
sospechoso al analizar la actividad por protocolo de comunicación lan.
Basados en Red Wireless (WIPS): monitorean la red inalámbrica en busca de
tráfico sospechoso al analizar la actividad por protocolo de comunicación
inalámbrico.
Análisis de comportamiento de red (NBA): Examina el tráfico de red para
identificar amenazas que generan tráfico inusual, como ataques de denegación
de servicio ciertas formas de malware y violaciones a políticas de red.
Basados en Host (HIPS): Se efectúa mediante la instalación de paquetes de
software que monitoriza un host único en busca de actividad sospechosa.