IDS e IPS
Sistemas que vigilan el tráfico de red: el IDS alerta cuando ve algo sospechoso; el IPS, además, lo bloquea automáticamente.
Qué es IDS e IPS
Un IDS (Intrusion Detection System) inspecciona el tráfico o los registros en busca de patrones de ataque y avisa al equipo de seguridad. Un IPS (Intrusion Prevention System) hace lo mismo pero se sitúa "en línea" y puede cortar la conexión maliciosa al instante. Muchos firewalls modernos integran un IPS.
Cómo funciona
Analizan paquetes comparándolos con firmas de ataques conocidos y/o con un modelo de comportamiento normal (detección por anomalías). El IDS genera una alerta; el IPS decide en tiempo real: dejar pasar, descartar el paquete, resetear la conexión o bloquear la IP de origen.
Cómo protegerte
Es tecnología corporativa y de servidores. En el ámbito doméstico, algunos routers de gama media-alta incluyen una función IPS básica con suscripción. Lo más útil para el usuario es saber que detrás de muchos servicios online hay sistemas así filtrando ataques constantemente.
Datos curiosos
- Snort y Suricata son los IDS/IPS de código abierto más conocidos.
- El gran reto del IDS es el "ruido": demasiadas alertas que nadie revisa.
- El IPS bien afinado puede frenar exploits de día cero si detecta el comportamiento, aunque no conozca la firma exacta.
Preguntas frecuentes
¿IDS o IPS?
IDS solo avisa (no rompe nada si se equivoca). IPS actúa solo (más protección, pero un falso positivo puede cortar tráfico legítimo).
¿Sustituye al firewall?
No. El firewall decide qué conexiones se permiten; el IDS/IPS inspecciona el contenido de las que pasan en busca de ataques.
¿Lo necesito en casa?
No es imprescindible. Más importante: router actualizado, contraseñas fuertes y dispositivos al día.