Sistema de prevención de intrusos (IPS)

Un sistema de prevención de intrusiones (IPS) es un dispositivo automatizado de protección de red que se utiliza para supervisar y responder a amenazas potenciales. Al igual que un sistema de detección de intrusiones (IDS), un IPS identifica posibles amenazas al examinar el tráfico de la red.

Dado que un exploit puede ejecutarse muy rápidamente después de que un atacante obtenga acceso, los sistemas de prevención de intrusiones gestionan una respuesta automatizada a una amenaza, basada en reglas establecidas por el administrador de la red.

Las funciones principales de un IPS son identificar actividades sospechosas, registrar información relevante, intentar bloquear la actividad y, finalmente, denunciarla.

Los IPS incluyen firewalls, software antivirus y software anti-spoofing. Además, las organizaciones emplearán un IPS para otros propósitos, como identificar problemas con las políticas de seguridad, documentar las amenazas existentes y disuadir a las personas de infringir las políticas de seguridad. Los IPS se han convertido en un componente esencial de todas las infraestructuras de seguridad principales en las organizaciones modernas.

Cómo funciona un IPS

Un sistema de prevención de intrusiones funciona escaneando activamente el tráfico de red reenviado para detectar actividades maliciosas y patrones de ataque conocidos. El motor IPS analiza el tráfico de la red y compara continuamente el flujo de bits con su base de datos interna de firmas para detectar patrones de ataque conocidos. Un IPS podría descartar un paquete que se determine como malicioso y seguir esta acción bloqueando todo el tráfico futuro desde la dirección IP o el puerto del atacante. El tráfico legítimo puede continuar sin que se perciba ninguna interrupción en el servicio.

Los sistemas de prevención de intrusiones también pueden llevar a cabo observaciones y análisis más complejos, como supervisar y reaccionar ante patrones de tráfico o paquetes sospechosos. Los mecanismos de detección pueden incluir:

• Coincidencia de direcciones
• Coincidencia de cadenas y subcadenas HTTP
• Coincidencia de patrones genéricos
• Análisis de conexión TCP
• Detección de anomalías en paquetes
• Detección de anomalías en el tráfico
• Coincidencia de puertos TCP/UDP

Un IPS típicamente registra información relacionada con los eventos observados, notifica a los administradores de seguridad y genera informes. Para ayudar a asegurar una red, un IPS puede recibir automáticamente actualizaciones de prevención y seguridad para supervisar y bloquear continuamente las amenazas emergentes de Internet.

Contramedidas contra intrusiones

Muchos IPS también pueden responder a una amenaza detectada impidiendo activamente que esta tenga éxito. Utilizan varias técnicas de respuesta, que incluyen:

• Modificar el entorno de seguridad, por ejemplo, configurando un firewall para incrementar las protecciones contra vulnerabilidades previamente desconocidas.
• Modificar el contenido del ataque — por ejemplo, reemplazando las partes de un correo electrónico que de otro modo serían maliciosas, como enlaces falsos, por advertencias sobre el contenido eliminado.
• Enviar alarmas automáticas a los administradores del sistema para notificarles de posibles brechas de seguridad.
• Eliminar paquetes maliciosos detectados.
• Restablecer una conexión.
• Bloquear el tráfico desde la dirección IP infractora.

Clasificaciones de IPS

Los sistemas de prevención de intrusiones se pueden clasificar en cuatro tipos principales:

• Sistema de prevención de intrusiones basado en la red (NIPS): analiza la actividad de los protocolos en toda la red, buscando cualquier tráfico no fiable.
• Sistema de prevención de intrusiones inalámbricas (WIPS): analiza la actividad del protocolo de red en toda la red inalámbrica, buscando cualquier tráfico no fiable.
• Sistema de prevención de intrusiones basado en host (HIPS): un paquete de software secundario que supervisa un solo host para detectar actividades maliciosas y analiza los eventos que ocurren dentro de dicho host.
• Análisis del comportamiento de la red (NBA): examina el tráfico de red para identificar amenazas que generan flujos de tráfico inusuales. Las amenazas más comunes son los ataques de denegación de servicio distribuido, diversas formas de malware y abusos de políticas. Coincidencia de patrones para detectar ataques. Al realizar un ligero ajuste en la arquitectura del ataque, se puede evitar la detección.

Métodos de detección de IPS

La mayoría de los sistemas de prevención de intrusiones utilizan uno de los tres métodos de detección: basado en firmas, basado en anomalías estadísticas y análisis de protocolo con estado.

• Detección basada en firmas: los IDS basados en firmas supervisan los paquetes en la red y los comparan con patrones de ataque predeterminados, conocidos como «firmas».
• Detección basada en anomalías estadísticas: un IDS basado en anomalías supervisará el tráfico de la red y lo comparará con los patrones de tráfico esperados. La línea base identificará qué es «normal» para esa red: qué tipo de paquetes generalmente pasan por la red y qué protocolos se utilizan. Sin embargo, puede generar una alarma de falso positivo para el uso legítimo del ancho de banda si las líneas de base no se configuran de manera inteligente.
• Detección de análisis de protocolos con estado: este método identifica desviaciones del protocolo comparando los eventos observados con perfiles de actividad predefinidos de actividad normal.

Los entornos empresariales en red modernos requieren un alto nivel de seguridad para asegurar una comunicación segura y fiable de la información entre diversas organizaciones. Un sistema de prevención de intrusiones actúa como una tecnología de salvaguarda adaptable para la seguridad del sistema tras las tecnologías tradicionales. La capacidad de prevenir intrusiones mediante una acción automatizada, sin necesidad de intervención de TI, implica menores costos y mayor flexibilidad en el rendimiento. Los ciberataques se volverán cada vez más sofisticados, por lo que es importante que las tecnologías de protección se adapten a las amenazas.