Transcripción – ¿Qué es IPS?

Un sistema de prevención de intrusos (o por sus siglas en inglés IPS) es un software que ejerce el control
de acceso en una red informática para proteger a los sistemas computacionales de ataques y abusos.

La tecnología de prevención de intrusos es considerada por algunos como una extensión de los sistemas
de detección de intrusos (IDS), pero en realidad es otro tipo de control de acceso, más cercano a las
tecnologías cortafuegos.

Clasificación de IPS:

• Basados en Red Lan (NIPS)

Monitorizan la red LAN en busca de tráfico de red sospechoso al analizar la actividad por
protocolo de comunicación LAN.

• Basados en Red Wireless (WIPS)

Monitorean la red inalámbrica en busca de tráfico sospechoso al analizar la actividad por
protocolo de comunicación inalámbrico.

• Basados en Host (HIPS)

Se efectúa mediante la instalación de paquetes de software que monitoriza un host único en
busca de actividad sospechosa.

Categorización para detectar software malicioso basada en:

• Firmas
Una firma tiene la capacidad de reconocer una determinada cadena de bytes en cierto contexto, y
entonces lanza una alerta.

• Políticas
En este tipo de detección, el IPS requiere que se declaren muy específicamente las políticas de
seguridad. Por ejemplo, determinar que hosts pueden tener.

• Anomalías
Es la encargada de registrar todos los accesos y movimientos que se realicen a través del sistema
de seguridad para disponer de esa información en cualquier momento.
Ejemplo: Modelos de Implementación Inline

• En este modelo, todo el tráfico de la red a ser monitorizado debe pasar a través del sensor.

• Es indicado especialmente para sistemas de prevención de intrusiones (IPS), ya que permite la

ejecución de acciones correctivas directamente sobre el tráfico (bloqueo, finalización de sesiones,
respuestas con paquetes manipulados, etc.).

• Puede ser desplegado como un dispositivo independiente o como un módulo complementario

sobre la misma solución de cortafuegos.

Internet à Enrutador perimetralàCortafuegosàSonsa IDS/IPSàConmutador LANà LAN

Ejemplo : Modelos de Implementación: Pasivo

• A diferencia del modelo “inline”, en el cual todo el tráfico pasa a través del dispositivo, en esta
topología el sensor o sonda analiza una copia del tráfico de los segmentos de red que se quieran
monitorizar, no siendo necesario que el tráfico pase directamente por la sonda.

• Esta topología es indicada para sistemas de detección de intrusiones (IDS) que no requieren
actuar directamente sobre el tráfico sino solamente generar alertas.

Internet à Enrutador perimetral à Cortafuegos àConmutador LANà Puerto Mirror (SPAN/RAP) y

Sonda IDS/ IPSà LAN