Un Sistema de Detección de Intrusiones (IDS) es una tecnología de seguridad de red creada originalmente para detectar explotaciones de vulnerabilidad contra una aplicación u ordenador objetivo. Los sistemas de prevención de intrusiones (IPS) ampliaron las soluciones IDS añadiendo la capacidad de bloquear amenazas además de detectarlas y se han convertido en la opción de despliegue dominante para las tecnologías IDS/IPS. Este artículo explicará la configuración y las funciones que definen el despliegue de los IDS.
Un IDS sólo necesita detectar amenazas y, como tal, se coloca fuera de banda en la infraestructura de la red, lo que significa que no está en la verdadera ruta de comunicación en tiempo real entre el emisor y el receptor de la información. En su lugar, las soluciones IDS suelen aprovechar un puerto TAP o SPAN para analizar una copia del flujo de tráfico en línea (y así asegurar que el IDS no impacta en el rendimiento de la red en línea).
El IDS se desarrolló originalmente de esta manera porque en su momento la profundidad de análisis requerida para la detección de intrusiones no podía realizarse a una velocidad que pudiera seguir el ritmo de los componentes en la ruta de comunicación directa de la infraestructura de la red.
Como se ha explicado, el IDS es también un dispositivo de sólo escucha. El IDS monitoriza el tráfico e informa de sus resultados a un administrador, pero no puede actuar automáticamente para evitar que un exploit detectado se apodere del sistema. Los atacantes son capaces de explotar las vulnerabilidades muy rápidamente una vez que entran en la red, lo que convierte al IDS en un dispositivo inadecuado para la prevención.
La siguiente tabla resume las diferencias en la tecnología intrínseca al IPS y al despliegue del IDS:
| Sistema de prevención de intrusiones | Despliegue de IDS | |
|---|---|---|
| Colocación en la infraestructura de red | Parte de la línea directa de comunicación (inline) | Fuera de la línea directa de comunicación (out-of-band) |
| Tipo de sistema | Activo (monitor &defensa automática) y/o pasivo | Pasivo (monitor ¬ificación) |
| Mecanismos de detección | 1. Detección estadística basada en anomalías 2. Detección de firmas: – Firmas orientadas a los exploits – Firmas orientadas a las vulnerabilidades |
1. Detección de firmas: – Firmas orientadas a la explotación |