¿por qué se deben utilizar sistemas de prevención de intrusiones?
Las Tecnologías IPS pueden detectar o prevenir ataques de seguridad de red como ataques de fuerza bruta, ataques de denegación de Servicio (DoS) y exploits de vulnerabilidad. Una vulnerabilidad es una debilidad en un sistema de software y un exploit es un ataque que aprovecha esa vulnerabilidad para obtener el control de un sistema., Cuando se anuncia un exploit, a menudo hay una ventana de oportunidad para que los atacantes exploten esa vulnerabilidad antes de que se aplique el parche de seguridad. En estos casos se puede utilizar un sistema de prevención de intrusiones para bloquear rápidamente estos ataques.
debido a que las tecnologías IPS observan los flujos de paquetes, también se pueden usar para imponer el uso de protocolos seguros y negar el uso de protocolos inseguros, como versiones anteriores de SSL o protocolos que usan cifrados débiles.
¿cómo funcionan los sistemas de prevención de intrusiones?,
Las Tecnologías IPS tienen acceso a los paquetes donde se implementan, ya sea como sistemas de detección de intrusiones de red (NIDS) o como sistemas de detección de intrusiones de Host (HIDS). Network IPS tiene una vista más amplia de toda la red y puede implementarse en línea en la red o sin conexión a la red como un sensor pasivo que recibe paquetes de un puerto TAP o SPAN de red.
el método de detección empleado puede estar basado en firmas o anomalías. Las firmas predefinidas son patrones de ataques de red conocidos. El IPS compara los flujos de paquetes con la firma para ver si hay una coincidencia de patrón., Los sistemas de detección de intrusos basados en anomalías utilizan la heurística para identificar amenazas, por ejemplo, comparando una muestra de tráfico con una línea de base conocida.
¿Cuál es la diferencia entre IDS e IPS?
Las primeras implementaciones de la tecnología se implementaron en modo detect en dispositivos de seguridad dedicados. A medida que la tecnología ha madurado y se ha trasladado a dispositivos de Firewall o UTM de próxima generación integrados, la acción predeterminada está configurada para evitar el tráfico malicioso.,
en algunos casos, la decisión de detectar y aceptar o prevenir el tráfico se basa en la confianza en la protección IPS específica. Cuando hay una menor confianza en una protección IPS, entonces hay una mayor probabilidad de falsos positivos. Un falso positivo es cuando los IDS identifican una actividad como un ataque pero la actividad es un comportamiento aceptable. Por esta razón, muchas tecnologías IPS también tienen la capacidad de capturar secuencias de paquetes del evento de ataque. Estos pueden ser analizados para determinar si hubo una amenaza real y para mejorar aún más la protección IPS.