IDS vs IPS
IDS (sistema de detección de intrusos) son sistemas que detectan actividades que son inapropiadas, incorrectas o anómalas en una red e informan. Además, los ID se pueden usar para detectar si una red o un servidor está experimentando una intrusión no autorizada. IPS (sistema de prevención de intrusos) es un sistema que desconecta activamente las conexiones o deja los paquetes, si contienen datos no autorizados. Los IP se pueden ver como una extensión de IDS.
IDS
IDS supervisan la red y detectan actividades inapropiadas, incorrectas o anómalas. Hay dos tipos principales de IDS. El primero es el sistema de detección de intrusos de red (NIDS). Estos sistemas examinan el tráfico en la red y monitorean múltiples hosts para identificar intrusiones. Los sensores se utilizan para capturar el tráfico en la red y se analiza cada paquete para identificar contenido malicioso. El segundo tipo es el sistema de detección de intrusos basado en el host (HIDS). Los HID se implementan en máquinas host o un servidor. Analizan datos locales en la máquina, como archivos de registro del sistema, pistas de auditoría y cambios en el sistema de archivos para identificar un comportamiento inusual. Los HID comparan el perfil normal del huésped con las actividades observadas para identificar anomalías potenciales. En la mayoría de los lugares, los dispositivos instalados de IDS se colocan entre el enrutador del huésped y el firewall o fuera del enrutador del huésped. En algunos casos, los dispositivos instalados de IDS se colocan fuera del firewall y el enrutador del huésped con la intensión de ver la amplitud completa de los intentos de ataques. El rendimiento es un problema clave con los sistemas IDS ya que se utilizan con dispositivos de red de alto ancho de banda. Incluso con componentes de alto rendimiento y software actualizado, las ID tienden a soltar paquetes ya que no pueden manejar el gran rendimiento.
IPS
IPS es un sistema que toma activamente medidas para evitar una intrusión o un ataque cuando identifica uno. Los IP se dividen en cuatro categorías. El primero es la prevención de intrusos basada en la red (NIPS), que monitorea toda la red para actividades sospechosas. El segundo tipo son los sistemas de análisis de comportamiento de red (NBA) que examinan el flujo de tráfico para detectar flujos de tráfico inusuales que podrían ser resultados de ataque, como la negación distribuida del servicio (DDoS). El tercer tipo son los sistemas inalámbricos de prevención de intrusiones (WIPS), que analiza las redes inalámbricas para el tráfico sospechoso. El cuarto tipo son los sistemas de prevención de intrusos basados en host (HIPS), donde se instala un paquete de software para monitorear las actividades de un solo host. Como se mencionó anteriormente, IPS toma pasos activos, como dejar caer paquetes que contienen datos maliciosos, restablecer o bloquear el tráfico proveniente de una dirección IP ofensiva.
¿Cuál es la diferencia entre IP e IDS??
Un IDS es un sistema que monitorea la red y detecta actividades inapropiadas, incorrectas o anómalas, mientras que un IPS es un sistema que detecta intrusión o un ataque y toma medidas activas para evitarlas. La deferencia principal entre los dos es diferente a las IDS, IPS toma activamente medidas para prevenir o bloquear las intrusiones que se detectan. Estos pasos de prevención incluyen actividades como lanzar paquetes maliciosos y restablecer o bloquear el tráfico proveniente de direcciones IP maliciosas. Los IPS pueden verse como una extensión de IDS, que tiene las capacidades adicionales para evitar intrusiones al detectarlas.