¿Qué es un intrusion prevention system?
Añadir un sistema de prevención de intrusiones (IPS) a un firewall es una opción interesante. Este combina las capacidades de supervisión y análisis de un sistema de detección de intrusiones (IDS) y, además, contrarresta y neutraliza de forma proactiva las amenazas.
¿Qué significa IPS?
Para la mayoría de los usuarios, el firewall es un método de probada eficacia para proteger el propio sistema o red contra ataques desde el exterior. Un sistema de prevención de intrusiones (IPS) eficaz es un complemento recomendable para este mecanismo de protección. El sistema funciona en dos pasos. En primer lugar, realiza las tareas de un sistema de detección de intrusiones (IDS) y supervisa el host, la red o ambos para identificar rápidamente las actividades no autorizadas creando patrones y comparándolos con el tráfico en tiempo real. Cuando el sistema de prevención de intrusiones identifica una amenaza, se pasa al segundo paso, tomando las medidas apropiadas para contrarrestarla.
El intrusion detection system y el intrusion prevention system se diferencian en que el sistema de prevención de intrusiones solo envía un aviso al administrador. El sistema de prevención de intrusiones, en cambio, interviene activamente, bloquea paquetes de datos o interrumpe conexiones vulnerables. En primer lugar, es importante que el sistema de prevención de intrusiones esté configurado adecuadamente para que se eviten todas las amenazas sin entorpecer el flujo de trabajo. Además, la estrecha colaboración entre el IPS y el firewall es crucial para conseguir una protección óptima. Normalmente, el intrusion detection system se coloca directamente detrás del cortafuegos, utilizando sensores para evaluar a fondo los datos del sistema y los paquetes de red.
¿Qué tipos de intrusion prevention systems existen?
Existen distintos tipos de sistemas de prevención de intrusiones, que se diferencian principalmente por el lugar en el que se implantan.
- Sistemas de prevención de intrusiones basados en el host: los IPS basados en el host (HIPS) se instalan directamente en dispositivos finales individuales, donde supervisan exclusivamente los datos entrantes y salientes. Como resultado, sus capacidades de defensa activa se limitan al dispositivo específico en el que están instalados. Los HIPS se utilizan frecuentemente junto con métodos de seguridad más amplios, y el sistema de prevención de intrusiones basado en el host actúa como última línea de defensa.
- Sistemas de prevención de intrusiones basados en la red: los IPS basados en la red (NIPS) se colocan estratégicamente en varias ubicaciones dentro de una red para examinar grandes volúmenes de paquetes de datos que circulan por ella. Pueden desplegarse mediante dispositivos dedicados o dentro de los firewalls. Esta configuración permite un escaneo y protección exhaustivos de todos los sistemas conectados a la red.
- Sistemas inalámbricos de prevención de intrusiones: los WIPS (Wireless Intrusion Prevention System) están especialmente diseñados para funcionar en una red WLAN. En caso de acceso no autorizado, el IPS localiza el dispositivo correspondiente y lo expulsa del entorno.
- Sistemas de prevención de intrusiones por comportamiento: para luchar contra los ataques DDoS se recomienda el Network Behavior Analysis (NBA). Este sistema comprueba todo el tráfico de datos y así puede detectar y prevenir los ataques con antelación.
¿Cómo funciona un sistema de prevención de intrusiones?
La función de un sistema de prevención de intrusiones abarca dos aspectos principales. En primer lugar, debe detectar, prefiltrar, analizar e informar de las amenazas potenciales, básicamente como un sistema de detección de intrusiones. Además, el sistema de prevención de intrusiones toma medidas proactivas en respuesta a una amenaza, impulsando sus propias medidas de prevención. En ambos casos, el IPS tiene varios métodos a su disposición.
Métodos de análisis del IPS
- Detección de anomalías: la detección de anomalías consiste en comparar el comportamiento de la red o del dispositivo final con una norma predefinida. Las desviaciones significativas de esta norma hacen que el sistema de prevención de intrusiones tome las contramedidas adecuadas. Sin embargo, dependiendo de la configuración, este método también puede dar lugar a numerosas falsas alarmas. También por este motivo, los sistemas modernos recurren cada vez más a la IA para reducir significativamente los porcentajes de error.
- Detección de abusos: en este método, se examinan los paquetes de datos en busca de formas conocidas de ataques. Este tipo de sistema de prevención de intrusiones demuestra fuertes tasas de detección de amenazas establecidas, identificándolas con un alto grado de certeza. Sin embargo, es menos eficaz contra ataques novedosos, no identificados previamente.
- IPS basado en protocolos: Este método de prevención de intrusiones basado en políticas se emplea con menos frecuencia que los dos anteriores. Para aplicar este enfoque, primero deben configurarse unos protocolos de seguridad únicos y específicos. Estas directrices sirven de base para supervisar el sistema correspondiente.
Mecanismos de defensa del IPS
El sistema de prevención de intrusiones funciona en tiempo real sin interferir en el flujo de datos. Cuando se detecta una amenaza mediante los métodos de supervisión descritos anteriormente, el IPS ofrece varias opciones de respuesta. En situaciones menos críticas, de forma similar a un IDS, envía una notificación al administrador para que tome medidas. Sin embargo, en casos más graves, el sistema de prevención de intrusiones actúa de forma autónoma. Puede interrumpir y reiniciar las rutas de transmisión, bloquear fuentes o destinos, o incluso rechazar completamente paquetes de datos.
¿Cuáles son las ventajas de un sistema de un intrusion prevention system?
El despliegue estratégico de un sistema de prevención de intrusiones ofrece numerosas ventajas a los usuarios. La más notable es que mejora la seguridad general al detectar riesgos que podrían pasar desapercibidos a otras herramientas. Mediante el prefiltrado, el sistema de prevención de intrusiones también alivia la carga de otros mecanismos de seguridad, salvaguardando toda la infraestructura. Las opciones de configuración permiten personalizar con precisión el IPS para cumplir requisitos específicos. Una vez configurado correctamente, el sistema funciona de forma autónoma, lo que supone un importante ahorro de tiempo.
¿Cuáles son los inconvenientes de un intrusion prevention system?
Utilizado correctamente, un sistema de prevención de intrusiones mejora sustancialmente la seguridad de la red. Sin embargo, también hay algunos inconvenientes potenciales asociados a este enfoque. Además de las limitaciones ya mencionadas de la detección de anomalías y usos indebidos, existe una preocupación notable en relación con los requisitos de hardware. Los sistemas de prevención de intrusiones suelen exigir recursos considerables, que aumentan proporcionalmente según el tamaño de la red. Por tanto, su valor real se obtiene cuando sus capacidades se alinean con las demandas de la red. Además, la configuración puede ser un reto, sobre todo para las personas no expertas. Las configuraciones ineficaces pueden provocar problemas en la red.
DenyHosts: el mejor IPS contra la fuerza bruta
En la guerra contra los ataques de fuerza bruta, DenyHosts es una opción que merece la pena tener en cuenta. El sistema de prevención de intrusiones está escrito en Python y es de código abierto. Monitoriza los intentos de inicio de sesión SSH y bloquea las direcciones correspondientes si tienen demasiados intentos fallidos. Este es el repositorio GitHub oficial de DenyHosts.