Sistema de prevención de intrusiones (IPS): definición y tipos

Publicado el 2 agosto, 2024 por Rodrigo Ricardo

Ser evaluado

Si ha volado en un avión últimamente, sabe que ir desde el mostrador de boletos hasta su asiento en el avión es un proceso bastante intenso. Parte de ese viaje es un procedimiento de selección realizado por la Administración de Seguridad del Transporte (TSA). Implica presentar su identificación con foto, pasar su bolso (y, a veces, usted mismo) a través de tecnología de imágenes y tal vez incluso recibir un cacheo de un oficial de seguridad.

Pero, ¿cuál es el punto?

El propósito de estos procedimientos de selección no es causarle molestias ni ralentizarlo. Más bien, los funcionarios están tratando de evitar que cualquier cosa peligrosa o no autorizada ingrese a la aeronave, para proteger a todos a bordo del vuelo. Existen reglas básicas para que se puedan tomar decisiones sin interrumpir demasiado el tráfico. Pero si surge algo sospechoso, se notifica a alguien superior para que tome una decisión.

En informática, existe una herramienta de detección similar conocida como sistema de prevención de intrusiones. Al igual que la inspección de la TSA en el aeropuerto, su propósito es proteger su sistema informático y su red de cualquier cosa peligrosa o no autorizada en los datos para subir a bordo con los pasajeros reales. Existen reglas básicas para no interrumpir demasiado el tráfico. Pero si se detecta algo sospechoso, se notifica a alguien más alto en seguridad de la red para que tome una decisión.

¿Qué es un IPS?

Un sistema de prevención de intrusiones , o IPS, es esencialmente una herramienta de seguridad para su red. Un IPS ayuda a identificar la actividad maliciosa que intenta infiltrarse en su sistema informático o red, deteniéndola en seco y bloqueándola antes de que tenga la oportunidad de causar daños.

Prevención de intrusiones frente a detección de intrusiones

Los sistemas de prevención de intrusos están un paso adelante de los sistemas de detección de intrusos (IDS), que solo monitorean una red en busca de actividad sospechosa en lugar de evitar que suceda también. Los sistemas de prevención de intrusiones no solo monitorean el tráfico de la red en busca de actividad sospechosa y la detienen, sino que también informan sus hallazgos y los bloqueos de intrusión al personal de seguridad de la red.

Tipos de IPS

Los sistemas de prevención de intrusiones vienen en cuatro tipos principales:

  • Basado en red: Proteja su red informática
  • Inalámbrico: protege solo las redes inalámbricas
  • Comportamiento de la red: examinar el tráfico de la red
  • Basado en host: viene como software instalado para proteger una sola computadora

Cómo funciona un IPS

Un IPS se encuentra en línea en un sistema o red. Lo que esto significa es que se posiciona directamente en la línea de actividad, entre la fuente de cualquier tráfico de red y el punto de destino. Si tiene un sistema de prevención de intrusiones, cualquier cosa maliciosa que intente ingresar a su red debe pasar primero por ella antes de llegar a un usuario final.

Por ejemplo, un IPS puede escanear los encabezados de los correos electrónicos para determinar si un correo electrónico que se envía a su empresa es seguro o no. Si detecta algo sospechoso o riesgoso, puede evitar que el correo electrónico se entregue a su destinatario.

Equilibrar la seguridad con el rendimiento

Debido a que los datos se mueven tan rápido y esperamos el máximo rendimiento de nuestros dispositivos informáticos, un IPS debe funcionar de manera rápida y eficiente para identificar posibles problemas sin sacrificar la velocidad o el rendimiento de la red. Eso significa que un IPS no puede detenerse y preguntarle cada vez que una amenaza potencial asoma la cabeza. Por lo tanto, estos sistemas pueden actuar según las reglas establecidas por el personal de seguridad de la red, lo que les permite tomar decisiones rápidas sobre el tráfico que intenta ingresar al sistema.

Actividades de prevención de intrusiones

El trabajo principal de un sistema de prevención de intrusiones es identificar la actividad de red maliciosa. Lo hace analizando firmas en código que viajan a lo largo de la red. Puede buscar patrones de ataque comunes o vigilar vulnerabilidades específicas en el sistema. También puede tomar muestras aleatorias del tráfico de la red y luego analizarlas en función del rendimiento de referencia de la red.

Otras actividades de prevención de intrusiones de un IPS pueden incluir:

  • Bloqueo de todo el tráfico sospechoso de tener un origen malicioso
  • Dejar caer paquetes maliciosos , o piezas de datos, tratando de ser entregados a un sistema
  • Eliminación del acceso a la red para remitentes o sitios web sospechosos
  • Sirviendo como una segunda capa de protección para el firewall de una red
  • Alertar al personal de seguridad sobre la actividad de la red.

Resumen de la lección

Un sistema de prevención de intrusiones es un paso adelante de un sistema de detección de intrusiones. No solo detecta actividad maliciosa que intenta ingresar a la red de su computadora, sino que también bloquea activamente esa actividad, al eliminar paquetes maliciosos y bloquear el tráfico sospechoso. Funciona en línea (todo el tráfico debe pasar por él) para revisar y evitar que programas o archivos maliciosos ingresen a su red (subirse a bordo). Además, también puede notificar al personal de la red sobre actividades sospechosas en la red. Los sistemas de prevención de intrusos operan rápidamente y en tiempo real, en base a reglas de red predeterminadas y con la capacidad de solicitar decisiones de autoridades superiores si es necesario. Al igual que la TSA, controlan el tráfico, pero equilibran la seguridad con el rendimiento.

Articulos relacionados