¿Qué es un sistema de prevención de intrusos?
Un sistema de prevención de intrusos (IPS) monitorea los paquetes de datos de una red para actividades sospechosas e intenta tomar medidas utilizando políticas específicas. Actúa algo así como un sistema de detección de intrusos que incluye un firewall para evitar ataques. Envía una alerta a una red o administrador de sistemas cuando se detecta algo sospechoso, lo que permite al administrador seleccionar una acción para tomar cuando ocurre el evento. Los sistemas de prevención de intrusiones pueden monitorear una red completa, protocolos de red inalámbricos, comportamiento de la red y el tráfico de una sola computadora. Cada IPS utiliza métodos de detección específicos para analizar los riesgos.
Dependiendo del modelo IPS y sus características, un sistema de prevención de intrusos puede detectar diversas violaciones de seguridad. Algunos pueden detectar la propagación de malware en una red, la copia de archivos grandes entre dos sistemas y el uso de actividades sospechosas como el escaneo de puertos. Después de que el IPS compara el problema con sus reglas de seguridad, registra cada evento y documenta el eventofrecuencia. Si el administrador de la red configuró el IPS para realizar una acción específica basada en el incidente, el sistema de prevención de intrusos toma la acción asignada. Se envía una alerta básica al administrador para que pueda responder adecuadamente o ver información adicional sobre las IP, si es necesario.
Hay cuatro tipos generales de sistemas de prevención de intrusiones, incluidos el análisis de comportamiento de red basado en red, inalámbrico y el huésped. Una IPS basada en red analiza varios protocolos de red y se usa comúnmente en servidores de acceso remoto, servidores de red privados virtuales y enrutadores. Un IPS inalámbrico observa actividades sospechosas en redes inalámbricas y también busca redes inalámbricas no autorizadas en un área. El análisis de comportamiento de la red busca amenazas que puedan eliminar una red o difundir malware y se usa comúnmente con redes privadas que se conectan a Internet. Un anfitriónIPS basado funciona en un solo sistema y busca procesos de aplicaciones extrañas, tráfico de red inusual al host, modificación del sistema de archivos y cambios de configuración.
Hay tres métodos de detección que puede usar un sistema de prevención de intrusos, y muchos sistemas usan una combinación de los tres. La detección basada en la firma funciona bien para detectar amenazas conocidas al comparar un evento con una firma ya documentada para determinar si se ha producido una violación de seguridad. La detección basada en anomalías busca actividad anormal en comparación con los eventos normales que ocurren en un sistema o red y es particularmente útil para identificar amenazas desconocidas. El análisis de protocolo con estado busca una actividad que va en contra de cómo se usa normalmente un protocolo específico.