Saltar al contenido

Diferencia entre IDS e IPS y Firewall

Solución:

La línea definitivamente se está difuminando un poco a medida que aumenta la capacidad tecnológica, las plataformas se integran y el panorama de amenazas cambia. En su esencia tenemos

  • Cortafuegos – Un dispositivo o aplicación que analiza los encabezados de los paquetes y aplica la política según el tipo de protocolo, la dirección de origen, la dirección de destino, el puerto de origen y / o el puerto de destino. Los paquetes que no cumplen con la política se rechazan.
  • Sistema de detección de intrusos – Un dispositivo o aplicación que analiza paquetes completos, tanto de encabezado como de carga útil, en busca de eventos conocidos. Cuando se detecta un evento conocido, se genera un mensaje de registro que detalla el evento.
  • Sistema de Prevención de Intrusión – Un dispositivo o aplicación que analiza paquetes completos, tanto de encabezado como de carga útil, en busca de eventos conocidos. Cuando se detecta un evento conocido, el paquete se rechaza.

La diferencia funcional entre un IDS y un IPS es bastante sutil y, a menudo, no es más que un cambio de configuración. Por ejemplo, en un módulo IDP de Juniper, cambiar de Detección a Prevención es tan fácil como cambiar una selección desplegable de LOG a LOG / DROP. A nivel técnico, a veces puede requerir el rediseño de su arquitectura de monitoreo.

Dada la similitud entre los tres sistemas, ha habido cierta convergencia a lo largo del tiempo. El módulo IDP de Juniper mencionado anteriormente, por ejemplo, es efectivamente un componente complementario de un firewall. Desde una perspectiva administrativa y de flujo de red, el firewall y el IDP son funcionalmente indistinguibles incluso si son técnicamente dos dispositivos separados.

También hay mucha discusión en el mercado sobre algo llamado Firewall de próxima generación (NGFW). El concepto es todavía lo suficientemente nuevo como para que cada proveedor tenga su propia definición de lo que constituye un NGFW, pero en su mayor parte todos están de acuerdo en que es un dispositivo que aplica políticas unilateralmente a través de más que solo información de encabezado de paquete de red. Esto puede hacer que un solo dispositivo actúe como un Firewall e IPS tradicionales. Ocasionalmente, se recopila información adicional, como de qué usuario se originó el tráfico, lo que permite una aplicación de políticas aún más completa.

explicación para los maniquíes

  • cortafuegos -> portero; mantiene fuera a todos los que intentan colarse a través de las ventanas abiertas del sótano, etc., pero una vez que alguien entra por la puerta oficial, deja entrar a todos, esp. cuando el dueño de la casa trae invitados; *un firewall nunca evita el tráfico malicioso *, solo permite o bloquea el tráfico, según el puerto / ip

  • IDS (pasivo) / IPS (activo): el tipo que busca a los invitados en busca de armas, etc. si bien no puede correr y evitar que la gente entre a escondidas, puede buscar lo que la gente está trayendo

  • IDS activo vs pasivo: en modo activo -> patea traseros y es capaz de bloquear durante una cierta cantidad de tiempo, en modo pasivo -> solo envía alertas

la única razón por la que a algunos les gustaría llamar a un IPS diferente de un IDS activo es por motivos de marketing.

Un IDS activo se denomina básicamente IPS.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)



Utiliza Nuestro Buscador

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *