Sistemas de Prevención de Intrusos (IPS) y su importancia en la protección de redes

Los IPS (Sistema de Prevención de Intrusos) son los encargados de prevenir y detener acciones. Tienen la capacidad de revisar cuidadosamente la información que entra y sale.
Protección de la red:Las empresas actualmente colocan los siguientes perímetros en su red contra los ataques:
Primera capa - "firewall":Actúa como un guardián del perímetro de la red, determinando qué tráfico es permitido (allow) o denegando (deny) de entrada y salida. En un firewall se aplican políticas que consisten en reglas de "accept" y "deny".
Segunda capa - "detección de intrusos":Detección de presencia de ataques dentro del tráfico permitido. Actualmente lo más común son los Sistemas de Detección de Intrusos Pasivos (NDIS). Desafortunadamente, estos tipos de sistemas están dejando de prestarles confianza, por las siguientes razones:
• Falsas alarmas:Varias soluciones de NDIS producen resultados inexactos, debido a su limitado mecanismo de detección de intrusos. Mostrando grandes cantidades de alarmas falsas que frecuentemente abruman al administrador, necesitando realizar un filtro manual e identificando los ataques reales de una gran cantidad de alarmas falsas.
• Manejo complicado y alto mantenimiento:Las soluciones NDIS, es característico que sean difíciles de administrar y mantener, requieren dedicarle regular tiempo y esfuerzo para mantener actualizados los sensores ("Motor de monitoreo").
• Percepción de necesitar a outsource:Muchas compañías sienten que si incorporan un Sistema NIDS, deberán amarrarse con un OUTSOURCE que les prestará el servicio de mantenimiento y administración, derivándoles el control y un costo.

• No prevención de ataquesLas actuales soluciones de NIDS no previenen ataques, aunque argumenten que tienen la prevención, estos productos son simplemente detección.
NIDS como detecta:Los siguientes son todos los posibles resultados de un Sistema de Detección de Intrusos:
• Tráfico malo no detectado.
• Detectado tráfico malo.
• Tráfico bueno que el sistema lo detecta como malo. (Falsa Alarma).
• Tráfico bueno que el Sistema lo identifica como bueno.
Tráfico Malo: Error para identificar tráfico malicioso de un atacante:Esto es lo peor que pueda suceder porque esto significa que el Sistema está fallando para realizar su trabajo.
Tráfico Malo: Identificando un "Ataque Real" como un ataqueUn resultado ideal de un Sistema de Detección de Intrusos.
Tráfico bueno: Identificándolo con ataque (Frecuentemente llamado falsa alarma o un falso positivo)Esto es perjudicial porque ahora tú necesitarás investigar cada alarma para determinar quién está causando el resultado erróneo.
Tráfico Bueno:Identificando tráfico bueno como tráfico bueno. Es el resultado ideal de un mecanismo de detección de intrusos.
Intrusion Detection and Prevention en línea: La mayoría de los productos de NIDS en el mercado no traen la prevención de ataques porque son del tipo "passives" que son Sistemas de detección de intrusos basados en la función de un Sniffer. Estos sistemas solo pueden escuchar "listen" el tráfico. Ellos no pueden controlar el tráfico para poder dropearlo, modificarlo, detenerlos debido a que estos operan en modo passive.