Prevención de intrusos


Los sistemas de prevención de intrusos* son el resultado de unir las capacidad de bloqueo de los mecanismos de prevención (encaminadores con filtrado de paquetes y pasarelas) con las capacidades de análisis y monitoritación de los sistemas de detección de intrusos. Como ya hemos visto en el primer apartado de este módulo didáctico, los sistemas de detección de intrusos pueden llegar a ser sistemas de seguridad proactivos. Pero generalmente los productos de detección más ampliamente implantados suelen ser únicamente reactivos, es decir, esperan a que tenga lugar un ataque para emitir una alarma. Por el contrario, los sistemas de prevención de intrusos son sistemas con capacidad de detener un ataque o intrusión antes de que éste pueda llegar a causar daños.
La mayor parte de especialistas consideran que estos sistemas de prevención son un caso especial de sistema de detección de intrusos, puesto que ambos sistemas comparten la misma metodología básica de detección. En realidad, la mayoría de expertos los considera una evolución directa de los sistemas de detección de intrusos e se llegan a considerar como la siguiente generación de estos sistemas**.
Así pues, el comportamiento de un sistema de prevención de intrusos es similar al de un sistema de detección de intrusos de respuesta activa (los que disponen de unidad de respuesta capaz de responder ante los ataques detectados), de forma que se encargan de descartar o bloquear los paquetes sospechosos tan pronto como son identificados. Así, todos los paquetes que pertenezcan a una misma sesión sospechosa (detectada a partir de los sensores y los procesadores de eventos del sistema de prevención) serán eliminados de la misma forma.

Algunos sistemas de prevención de intrusos también contemplan la posibilidad de detectar anomalías en el uso de protocolos, como paquetes manipulados malintencionadamente.
Atendiendo a la fuente de datos que utilicen, los sistemas de prevención de intrusos se podrían clasificar en las dos categorías que la mayor parte de los elementos de detección que hemos visto hasta ahora: basados en máquina* y basados en red**.

En el primer caso, los sistemas de prevención de intrusos basados en equipo (HIPS) suelen utilizar aplicaciones instaladas directamente en la máquina que hay que proteger. Estas aplicaciones suelen estar muy relacionadas con el sistema operativo del sistema y sus servicios. El segundo grupo, sistemas de prevención de intrusos basados en red, suelen ser dispositivos de red con al menos dos interfaces (una de monitorización interna y otra de monitorización externa), integrando en el mismo producto las capacidades de filtrado de paquetes y motor de detección.
A continuación haremos un breve repaso sobre los modelos existentes más relevantes para construir un sistema de prevención tal como acabamos de definir.

Califica este Artículo

Categoría: Conectividad y Redes.




Deja una respuesta