un sistema de prevención de intrusiones (IPS) es una tecnología de prevención de amenazas y seguridad de red que examina los flujos de tráfico de red para detectar y prevenir vulnerabilidades. Los exploits de vulnerabilidad generalmente vienen en forma de entradas maliciosas a una aplicación o servicio de destino que los atacantes utilizan para interrumpir y obtener el control de una aplicación o máquina., Después de un exploit exitoso, el atacante puede deshabilitar la aplicación de destino (lo que resulta en un estado de denegación de servicio), o potencialmente puede acceder a todos los derechos y permisos disponibles para la aplicación comprometida.

prevención

El IPS a menudo se encuentra directamente detrás del firewall y proporciona una capa complementaria de análisis que selecciona negativamente el contenido peligroso., A diferencia de su predecesor, el sistema de detección de intrusos (IDs), que es un sistema pasivo que escanea el tráfico e informa sobre las amenazas, el IPS se coloca en línea (en la ruta de comunicación directa entre el origen y el destino), analizando activamente y tomando acciones automatizadas sobre todos los flujos de tráfico que ingresan a la red., Específicamente, estas acciones incluyen:

  • enviar una alarma al administrador (como se vería en un IDS)
  • eliminar los paquetes maliciosos
  • bloquear el tráfico desde la dirección de origen
  • restablecer la conexión

como un componente de seguridad en línea, las IPS deben funcionar de manera eficiente para evitar degradar el rendimiento de la red. También debe funcionar rápido porque los exploits pueden ocurrir casi en tiempo real. Los IPS también deben detectar y responder con precisión, a fin de eliminar amenazas y falsos positivos (paquetes legítimos malinterpretados como amenazas).,

Detection

El IPS tiene una serie de métodos de detección para encontrar exploits, pero la detección basada en firmas y la detección basada en anomalías estadísticas son los dos mecanismos dominantes.

la detección basada en firmas se basa en un diccionario de patrones (o firmas) identificables de forma única en el código de cada exploit. A medida que se descubre un exploit, su firma se registra y almacena en un diccionario de firmas en continuo crecimiento. La detección de firmas para IPS se divide en dos tipos:

  1. 1., Las firmas orientadas a exploits identifican exploits individuales activando los patrones únicos de un intento de exploits en particular. Las IPS pueden identificar exploits específicos encontrando una coincidencia con una firma orientada a exploits en el flujo de tráfico
  2. 2. Las firmas que enfrentan vulnerabilidades son firmas más amplias que se dirigen a la vulnerabilidad subyacente en el sistema al que se dirige. Estas firmas permiten que las redes estén protegidas de variantes de un exploit que pueden no haber sido observadas directamente en la naturaleza, pero también aumentan el riesgo de falsos positivos.,

La detección estadística de anomalías toma muestras de tráfico de red al azar y las compara con un nivel de rendimiento base pre-calculado. Cuando la muestra de actividad de tráfico de red está fuera de los parámetros de rendimiento de referencia, el IPS toma medidas para manejar la situación.

IPS fue originalmente construido y lanzado como un dispositivo independiente a mediados de la década de 2000., Sin embargo, esto ocurrió con la llegada de las implementaciones actuales, que ahora se integran comúnmente en soluciones de gestión unificada de amenazas (UTM) (para pequeñas y Medianas Empresas) y firewalls de próxima generación (a nivel empresarial).