Las amenazas cibernéticas a las que tienen que hacer frente las empresas son cada vez más sofisticadas y esto implica la necesidad de implementar medidas y sistemas de seguridad capaces no solo de reaccionar ante un ciberataque cuando este se está produciendo, sino de prevenirlos antes de que ocurran. Esa es una de las principales características del sistema de prevención de intrusiones (IPS).
En este artículo explicaremos qué es un IPS, cómo funciona y qué ventajas tiene como sistema de seguridad.
En este artículo hablamos de:
¿Qué es el sistema de prevención de intrusiones (IPS)?
Un sistema de prevención de intrusiones o IPS (por sus siglas en inglés, intrusion prevention system) es un programa de seguridad que se encarga de proteger los sistemas de ataques e intrusiones de manera preventiva. Es decir, se trata de un sistema de seguridad proactivo, que lleva a cabo un monitoreo y análisis en tiempo real de las conexiones y los protocolos para determinar si se va a producir un ataque o ha comenzado a producirse y proceder a detenerlo y enviar una alarma a los responsables de la seguridad del sistema.
Tipos de sistemas IPS
Existen diferentes tipos de sistemas de prevención de intrusiones en la red, aunque lo habitual es clasificarlos en función del método que emplean para detectar los ataques o en función de la tecnología que usan para controlar los flujos y paquetes de datos que llegan a la red.
Sistema de prevención de intrusiones por método de detección
Los sistemas de protección contra intrusos por método de detección se pueden clasificar en:
- Basados en firmas: Trabaja de forma similar a los antivirus tradicionales, ya que analiza el tráfico y los paquetes de datos de la red en busca de patrones específicos (firmas) de intentos de intrusión. Estas firmas están cargadas en el programa de seguridad, de manera que busca y compara al monitorear la red y cuando reconoce una de estas firmas en el tráfico de red, responde en consecuencia, es decir, procede a bloquear el ataque.
- Basado en anomalías: En vez de buscar firmas o patrones conocidos, aquí el sistema trata de identificar acciones que no están definidas como normales dentro de la red o sistema, para detectar comportamientos sospechosos que puedan indicar el comienzo de un ataque. Resulta útil, por ejemplo, para protegerse contra ataques de día cero, ya que explotan vulnerabilidades no conocidas.
- Basado en políticas de seguridad: El sistema reconoce el tráfico o paquetes datos que se hayan definido en las políticas de seguridad del sistema, de manera que solo dejará pasar aquellos que coincidan y rechazará los que no. En ese sentido funciona de forma muy similar a un firewall.
- Basado en estrategia de Honey Pot: Se trata de crear una trampa, honey pot, para atraer a posibles atacantes, lo que sirve para comprobar la forma en que se lleva a cabo el ataque y así poder integrar estos patrones en las políticas de seguridad, para identificarlos en el futuro.
Sistema de prevención de intrusiones por tecnología usada
Los IPS también pueden clasificarse en dos tipos diferentes según la tecnología que emplean:
- Basado en host: Este sistema de prevención de intrusiones analiza, tanto las conexiones por cable como por WiFi, el acceso de usuarios, las modificaciones de archivos, los registros del sistema y la ejecución de procesos en busca de acciones sospechosas, para poder bloquearlas a tiempo. Se emplea sobre todo en la protección de servidores.
- Basado en la red: El sistema monitorea todo el tráfico que circula por la red para buscar actividades sospechosas, para ello analiza en tiempo real los paquetes de datos que llegan y circulan por la red, los protocolos de la red, los de transporte y los de aplicación.
¿Cómo funciona un sistema de prevención de intrusiones?
Vistos los diferentes tipos en que podemos clasificar los IPS, veamos cómo funciona un sistema de prevención de intrusos.
Un IPS es un sistema basado en filtros, es decir, un conjunto de instrucciones que permiten analizar de manera completa los paquetes de datos que intentan entrar en la red o viajan ya por ella. Los filtros se ocupan de inspeccionar y clasificar estos paquetes, analizando la información de cabecera de los mismos, los puertos y direcciones IP de origen y destino y los campos de aplicación.
Si los filtros detectan actividad sospechosa en los paquetes de datos, proceden a bloquearlos y detener su progreso y realizar alguna de las siguientes acciones, en función de la amenaza detectada:
- Bloquear la dirección IP de la que procede la amenaza.
- Detener un proceso, si la actividad maliciosa proviene de uno específico.
- Suspender o desactivar cuentas de usuario.
- Cerrar sistemas completos para limitar el daño que pueda producirse.
- Enviar una alerta a los administradores del sistema, registrar el incidente e informar sobre la actividad sospechosa detectada.
Los IPS son sistemas automatizados, que en muchos casos incluyen sistemas a prueba de errores para evitar la caída completa de la red y así poder seguir manteniendo activo el servicio.
Beneficios de implantar un sistema de prevención de intrusiones
La implantación de un sistema de prevención de intrusiones tiene las siguientes ventajas:
- Prevención de ataques gracias al uso de filtros con instrucciones prefijadas, que permiten detectar las amenazas o las actividades sospechosas antes de que se materialice completamente el ataque.
- Es fácil de configurar y administrar, ya que se basa en configuraciones predefinidas.
- Es capaz de detectar diferentes tipos de ciberataques y bloquearlos, como ataques de fuerza bruta, introducción de malware, intento de extracciones o modificaciones de archivos, etc.
- Permite gestionar los diferentes dispositivos conectados a una misma red, además de ser escalable.
H2 IPS vs. IDS. Diferencias
Es habitual que cuando se habla del IPS también se mencione el sistema de detección de intrusos (IDS), puesto que muchas soluciones de seguridad se basan en productos mixtos IDS/IPS, pero ¿en qué se diferencian estos dos sistemas contra intrusos de nombre tan similar?
La principal diferencia entre un IPS y un IDS está en cómo enfrentan las amenazas; si el sistema de prevención de intrusiones es preventivo y proactivo (detecta y bloquea los posibles ataques antes de que comiencen), el sistema de detección de intrusiones es reactivo, ya que solo pueden detectar accesos sospechosos al comparar la firma con las que tiene registrada en su base de datos.
Además, si el IPS puede poner en marcha acciones para frenar el ataque o reducir su impacto, el IDS lo que hace es enviar una alerta de un intento de acceso sospechoso, para que los administradores del sistema tomen las medidas oportunas.