Diferencia entre IDS e IPS
Share
IDS vs IPS
Los IDS (Sistema de detección de intrusiones) son sistemas que detectan actividades que son inapropiadas, incorrectas o anómalas en una red y las reportan. Además, se puede usar IDS para detectar si una red o un servidor está experimentando una intrusión no autorizada. IPS (Sistema de prevención de intrusiones) es un sistema que desconecta activamente las conexiones o descarta paquetes, si contienen datos no autorizados. IPS puede ser visto como una extensión de IDS.
IDS
IDS supervisa la red y detecta actividades inapropiadas, incorrectas o anómalas. Hay dos tipos principales de IDS. El primero es el sistema de detección de intrusos en la red (NIDS). Estos sistemas examinan el tráfico en la red y monitorean múltiples hosts para identificar intrusiones. Los sensores se utilizan para capturar el tráfico en la red y cada paquete se analiza para identificar contenido malicioso. El segundo tipo es el sistema de detección de intrusos basado en host (HIDS). Los HIDS se implementan en máquinas host o en un servidor. Analizan los datos que son locales a la máquina, como los archivos de registro del sistema, las pistas de auditoría y los cambios del sistema de archivos para identificar comportamientos inusuales. Los HIDS comparan el perfil normal del huésped con las actividades observadas para identificar posibles anomalías. En la mayoría de los lugares, los dispositivos instalados con IDS se colocan entre el enrutador y el firewall o fuera del enrutador. En algunos casos, los dispositivos instalados con IDS se ubican fuera del firewall y el enrutador de la frontera con la intención de ver la totalidad de los intentos de ataques. El rendimiento es un problema clave con los sistemas IDS, ya que se utilizan con dispositivos de red de alto ancho de banda. Incluso con componentes de alto rendimiento y software actualizado, los IDS tienden a eliminar paquetes, ya que no pueden manejar el gran rendimiento.
IPS
IPS es un sistema que toma medidas para prevenir una intrusión o un ataque cuando lo identifica. IPS se dividen en cuatro categorías. La primera es la Prevención de intrusiones basada en la red (NIPS), que controla toda la red en busca de actividades sospechosas. El segundo tipo son los sistemas de análisis de comportamiento de la red (NBA) que examinan el flujo de tráfico para detectar flujos de tráfico inusuales que podrían ser el resultado de un ataque, como la denegación de servicio distribuida (DDoS). El tercer tipo es el Sistema Inalámbrico de Prevención de Intrusiones (WIPS), que analiza las redes inalámbricas en busca de tráfico sospechoso. El cuarto tipo es el Sistema de prevención de intrusiones basado en host (HIPS), donde se instala un paquete de software para monitorear las actividades de un solo host. Como se mencionó anteriormente, IPS toma medidas activas, como eliminar paquetes que contienen datos maliciosos, restablecer o bloquear el tráfico proveniente de una dirección IP ofensiva.
¿Cuál es la diferencia entre IPS e IDS??
Un IDS es un sistema que monitorea la red y detecta actividades inapropiadas, incorrectas o anómalas, mientras que un IPS es un sistema que detecta intrusiones o ataques y toma medidas activas para evitarlos. Deferencia principal entre los dos es a diferencia de IDS, IPS activamente toma medidas para prevenir o bloquear las intrusiones que se detectan. Estos pasos de prevención incluyen actividades como eliminar paquetes malintencionados y restablecer o bloquear el tráfico proveniente de direcciones IP maliciosas. IPS se puede ver como una extensión de IDS, que tiene capacidades adicionales para evitar intrusiones al detectarlas.
