IPS vs IDS

By Ellen Messmer , NetworkWorld.com, 07/27/04 PorEllen Messmer , NetworkWorld.com, 07/27/04

Related links Enlaces relacionados

E-mail Ellen MessmerE-mail Ellen Messmer Security Notes archive . Notas sobre la seguridad de archivos . Security forumForo de Seguridad Discuss Security Notes and other Security topics. Notas de Seguridad y discutirotrostemas de seguridad.

Intrusion-prevention systems are in the news, with eEye Digital Security, Symantec and NFR Security each casting a hat into the IPS ring with a range of new products . Prevencin de intrusiones en las noticias, con eEye Digital Security, Symantec y Seguridad NFR cada uno lanzando un sombrero en el anillo IPS con una gama de nuevos productos . As the number of IPS grows and products gain acceptance, the question continues to be, what's the future for passive-monitoring intrusion-detection systems? Como el nmero de IPS y la aceptacin de productos crece la ganancia, la pregunta sigue siendo, cul es el futuro de los pasivos de monitoreo de sistemas de deteccin? Will IDS sensors, which watch for attacks but can't block them, be seen as obsolete, as Gartner has suggested ? Ser sensores IDS, que atento a los ataques, pero no pueden bloquear, se consideran obsoletas, como Gartner ha sugerido?Is IDS "dead"? IDS es "muerto"? Some think IDS will live on, even if IPS manage to gain the top spot as the equipment at the gateway or inside the network to stop computer worms, denial-of-service attacks and other attacks. Algunos piensan que viven en IDS, IPS, incluso si consiguen ganar el primer lugar como el equipo a la entrada o dentro de la red para detener gusanos, ataques de denegacin de servicio y otros ataques. The University of North Carolina at Charlotte is testing IPS equipment from McAfee, TippingPoint and NFR Security with an eye toward deployment of selected equipment later this year. La Universidad de Carolina del Norte en Charlotte es la prueba de equipos de IPS de McAfee, TippingPoint y Seguridad NFR con la mirada puesta en el despliegue de los equipos seleccionados a finales de este ao. The university uses the NFR Security IDS and

has begun testing NFR Security's first IPS, which is called Sentivist. La universidad utiliza los identificadores de seguridad NFR y ha comenzado a probar primero IPS de NFR Security, que se llama Sentivist. Carter Heath, information technology security officer there, last week told me the university doesn't plan to retire the older NFR Security IDS when it puts an IPS in place. Carter Heath, tecnologa de la informacin oficial de seguridad que, la semana pasada me dijo que la universidad no tiene planes de retirarse del IDS NFR mayor seguridad cuando se pone a IPS en su lugar. "We want the IPS as the front-line device, but our strategy is to use IDS sensors to look at the scrubbed traffic and see if anything slips through," said Heath. "Queremos que el IPS como el dispositivo de primera lnea, pero nuestra estrategia es el uso de sensores de IDS para ver el trfico ha borrado y ver si se desliza a travs de cualquier cosa", dijo Heath. That would make the IDS a check on the accuracy of the IPS since the IDS might notice something the IPS missed. Eso hara que el IDS un control sobre la exactitud de la IPS desde el IDS puede notar algo que el IPS se perdi. This is one reason to continue using passive-monitoring IDS even if an IPS is put in place in the network. Esta es una razn para continuar con vigilancia pasiva-IDS, incluso si una IPS se pone en marcha en la red. Are there other reasons? Hay otrasrazones? Or is IDS a poor allocation of limited funds if an IPS is used? Let me knowwhatyouthink. O es IDS una mala asignacin de los fondos limitados, si una IPS se utiliza? Dime lo que piensas. Back to Security Notes

IPS vs. IDS: Mejor prevenir que curar

Versin impresora Votar art?culo (191 votos)

Entre los responsables de seguridad TIC empresariales se est produciendo un cambio de enfoque importante a la hora de buscar soluciones que les protejan de gusanos informticos y ataques de hackers. En general, tienden a considerar que una actitud defensiva frente a este tipo de riesgos, basada en la monitorizacin pasiva de sus redes, ha dejado de ser suficiente, si es que alguna vez lo fue. En consecuencia, prefieren implementar soluciones que permitan el bloqueo activo y preventivo de las amenazas, an a riesgo de que a veces, el trfico legtimo pueda tambin quedar bloqueado. La evolucin de los sistemas IDS (InstrusionDetectionSystems) convencionales basados en libreras de firmas hacia la nueva generacin de IPS (IntrusionPreventionSystems) constituyen un ejemplo paradigmtico del cambio de enfoque defensivo a una aproximacin preventiva a la seguridad en red. Los IPS combinan mltiples funcionalidades, como firewall, IDS, inspeccin statefull y deteccin de anomalas de protocolo, antivirus, valoracin de vulnerabilidades, filtrado de contenidos, etc. De esta forma, consiguen proteger automticamente de los ataques antes de que hayan impactado en la red, poniendo el nfasis en la prevencin y en la automatizacin. En algunos casos, los sistemas IPS empiezan a ofrecer tambin capacidades antispyware y de deepinspection para una seguridad a nivel de aplicacin, lo que les permite analizar el contenido de los paquetes, pudiendo actuar como un segundo filtro sobre el trfico que los

firewall perifricos han dejado pasar. Unas prestaciones que resultan especialmente interesantes para la proteccin de las vulnerabilidades DNS a nivel de dominio o de los ataques Web que explotan los agujeros de HTTP y FTP. Capacitados para analizar los protocolos de aplicacin individuales -como HTTP para aplicaciones Web, SMTP para el correo electrnico o DNS para el hosting-, estos IPS aseguran que slo los tipos de trfico y las peticiones con los protocolos adecuados pasan a cada servidor. En general, todas estas capacidades cobran una especial importancia teniendo en cuenta que la ms reciente generacin de ataques DoS, as como las infecciones de spyware y malware estn diseados para burlar los cortafuegos y explotar las brechas de seguridad en el nivel de las aplicaciones. A estas ventajas se aade la capacidad para actuar de forma coordinada con mecanismos de autenticacin basada en directorios sobre servidores de polticas y servidores LDAP (LeightweighDirectory Access Protocol). Eligiendo el IPS corporativo Los beneficios de los sistemas de prevencin de intrusiones (IPS) son, pues, innegables. Se trata de soluciones de proteccin globales que, desplegadas correctamente y con las configuraciones adecuadas, ofrecen al gestor una potente herramienta; muchos usuarios aseguran haber registrado reducciones de hasta un 70% en las alertas por virus y gusanos en comparacin con la utilizacin de IDS tradicionales. No obstante, pese a las ventajas de los IPS para el administrador de red, presentan algunas peculiaridades que deben ser tenidas en cuenta a la hora de elegir un determinado producto. Al trabajar, a diferencia de los sistemas IDS, en modo in-line, analizando todo el trfico que pasa por la red en tiempo real, su rendimiento debe ser lo ms cercano posible a la velocidad de cable; de lo contrario se constituiran en enojosos cuellos de botella. En segundo lugar, para protegerse frente a los nuevos ataques informticos resulta fundamental contar con sistemas de seguridad capaces de actuar en el nivel de aplicaciones, como los IPS con inspeccin de Nivel 2 (red) /7 (aplicacin). No basta ya la instalacin de firewalls cuyo funcionamiento se limita al anlisis de los paquetes a Nivel de Red en la frontera de la infraestructura. Incluso si la empresa est haciendo bien las cosas, sus socios o clientes, dotados de acceso a los recursos, pueden no estarlo. Adems, los trabajadores en movimiento, que se conectan con sus porttiles en hotspots u otras instalaciones, pueden despus introducir sin saberlo, por ejemplo, un gusano en la red corporativa, provocando una infeccin masiva, saltndose as el sistema perimetral incluso de manera involuntaria. Por otra parte, cualquier gestor de seguridad que apueste por la introduccin de IPS en su organizacin deber asumir el inconveniente de que en ocasiones puedan bloquear trficos legtimos. Este handicap es en realidad una caracterstica heredada de sus predecesores, los IDS; el problema es que, al realizarse el bloqueo de manera automtica, los falsos positivos quedan de forma igualmente automtica bloqueados. Para muchos, sin embargo, merece la pena asumir este riesgo. Segn Chris Hoff, responsable de Seguridad de la Informacin en la compaa estadounidense Western Corporate Federal Credi

t Union (WesCorp), se trata de un riesgo calculado, y con total conocimiento del cual, la organizacin decidi hace seis meses migrar de plataformas IDS a IPS. El problema de los falsos positivos WesCorp, que cuenta con activos valorados en 25.000 millones de dlares y proporciona servicios de gestin de backoffice a unas 1.000 entidades financieras, despleg appliances Internet Security Systems (ISS) Proventia G-100 IPS para automatizar el bloqueo de trficos de ataque. Incluso una nica incidencia provocada por el creciente nmero de gusanos y ataques de hackers podra resultar un precio demasiado caro de pagar para su negocio, segn Hoff, por lo que se requera un potente sistema de proteccin. Sin embargo, Hoff reconoce que ocasionalmente, el trfico legtimo es bloqueado junto con el maligno. El trfico legtimo puede ser bloqueado. Dedicamos mucho tiempo y esfuerzos a realizar el seguimiento de los falsos positivos y los falsos negativos, asegura, subrayando que es necesario mejorar la tecnologa de bloqueo de los IPS dotndola de mayor capacidad de precisin a la hora de discriminar el trfico legtimo del maligno. Pero Hoff asegura que, a pesar de experimental los problemas causados principalmente por los falsos positivos emitidos por los IPS, no se plantea la posibilidad de abandonar las tecnologas de prevencin de intrusiones. De hecho, est llevando un paso ms all su enfoque activo de la seguridad potenciando la implementacin de sistemas de anlisis de vulnerabilidades; en

concreto, est desplegando productos de Skybox Technologies y Qualys para determinar qu servidores y desktops requieren parches y actualizaciones. Adems, Hoff est interesado tambin en la introduccin de productos IPS basados en host, aunque, de momento, prefiere esperar a que los precios actualmente de algunos cientos de dlares por el software para cada servidor que haya de ser protegido- bajen.

01/12/2005 CIO

IDS vs. IPS Explained IDS IPS vs Explicacin

ByFocusEditors Los editores de Enfoque Share Compartir Layered security is the key to protecting any size network, and for most companies, that means deploying both intrusion detection systems (IDS) and intrusion prevention systems (IPS). Capas de seguridad es la clave para proteger redes de cualquier tamao, y para la mayora de las empresas, lo que significa el despliegue de los sistemas de deteccin de intrusos (IDS) y los sistemas de prevencin de intrusiones (IPS). When it comes to IPS and IDS, it's not a question of which technology to add to your security infrastructure both are required for maximum protection against malicious traffic. Cuando se trata de IPS e IDS, que no es una cuestin de que la tecnologa para agregar a su infraestructura de seguridad ambos son necesarios para una mxima proteccin frente al trfico malicioso. In fact, vendors are increasingly combining the two technologies into a single box. De hecho, los fabricantes estn cada vez ms la combinacin de las dos tecnologas en una sola caja. At its most basic, an IDS device is passive, watching packets of data traverse the network from a monitoring port, comparing the traffic to configured rules, and setting off an alarm if it detects anything suspicious. En su forma ms bsica, un dispositivo IDS es pasiva, viendo los paquetes de datos recorrer la red de un puerto de supervisin, comparando el trfico de reglas configuradas, y activar una alarma si detecta algo sospechoso. An IDS can detect several types of malicious traffic that would slip by a typical firewall, including network attacks against services, data-driven attacks on applications, host-based attacks like unauthorized logins, and malware like viruses, Trojan horses, and worms. Un IDS puede detectar varios tipos de trfico malicioso que se deslizaba por un firewall tpico, incluidos los ataques contra los servicios de red, basada en datos ataques a aplicaciones basadas en host ataques como inicios de sesin no autorizado, y el malware como virus, troyanos y gusanos. Most IDS products use several methods to detect threats, usually signature-based detection, anomaly-based detection, and stateful protocol analysis. La mayora de los productos IDS utilizar varios mtodos para detectar las amenazas, por lo general la deteccin por firmas, deteccin de anomalas basado en el anlisis de estado y de protocolo. The IDS engine records the incidents that are logged by the IDS sensors in a database and

generates the alerts it sends to the network administrator. El motor IDS registros de los incidentes registrados por los sensores de IDS en una base de datos y genera las alertas que enva al administrador de la red. Because IDS gives deep visibility into network activity, it can also be used to help pinpoint problems with an organization's security policy, document existing threats, and discourage users from violating an organization's security policy. Debido a IDS ofrece una profunda visibilidad de la actividad de red, tambin se puede utilizar para ayudar a identificar problemas con la poltica de seguridad de una organizacin, en el documento las amenazas existentes, y desalentar a los usuarios de violar la poltica de seguridad de una organizacin. The primary complaint with IDS is the number of false positives the technology is prone to spitting out some legitimate traffic is inevitable tagged as bad. La queja principal con IDS es el nmero de falsos positivos de la tecnologa tiende a escupir - una parte del trfico legtimo es inevitable etiquetados como malos. The trick is tuning the device to maximize its accuracy in recognizing true threats while minimizing the number of false positives; these devices should be regularly tuned as new threats are discovered and the network structure is altered. El truco est en sintona el dispositivo para maximizar su precisin en el reconocimiento de las amenazas reales a la vez que minimiza el nmero de falsos positivos, estos dispositivos deben estar sintonizados con regularidad, como las nuevas amenazas son descubiertas y la estructura de la red se altera. As the technology has matured in the last several years, it has gotten better at weeding out false positives. A medida que la tecnologa ha madurado en los ltimos aos, se ha mejorado en eliminar a los falsos positivos. However, completely eliminating them while still maintaining strict controls is next to impossible even for IPS, which some consider the next step in the evolution of IDS. Sin embargo, eliminar por completo, manteniendo los estrictos controles es casi imposible incluso para IPS, que algunos consideran el siguiente paso en la evolucin de los IDS.

The IPS Advantage La ventaja de IPS

At its most basic, an IPS has all the features of a good IDS, but can also stop malicious traffic from invading the enterprise. En su forma ms bsica, un IPS tiene todas las caractersticas de un IDS bueno, pero tambin puede detener el trfico malicioso de la invasin de la empresa. Unlike an IDS, an IPS sits inline with traffic flows on a network, actively shutting down attempted attacks as they're sent over the wire. A diferencia de un IDS, un IPS se sita en lnea con los flujos de trfico en una red, de forma activa el cierre de los intentos de ataques a medida que se envan por la red. It can stop the attack by terminating the network connection or user session originating the attack, by blocking access to the target from the user account, IP address, or other attribute associated with that attacker, or by blocking all access to the targeted host, service, or application. Se puede detener el ataque de terminar la conexin de red o una sesin de usuario de origen del ataque, bloqueando el acceso a los blancos de la cuenta de usuario, direccin IP, o cualquier otro atributo asociado con el atacante, o mediante el bloqueo de todos los accesos al host de destino, el servicio , o la aplicacin. In addition, an IPS can respond to a detected threat in two other ways. Adems, un IPS puede responder a una amenaza detectada en otras dos formas. It can reconfigure other

security controls, such as a firewall or router, to block an attack. Se puede configurar otros controles de seguridad, tales como un firewall o un router, para bloquear un ataque. Some IPS devices can even apply patches if the host has particular vulnerabilities. Algunos dispositivos IPS, incluso se pueden aplicar parches si el host tiene vulnerabilidades particulares. In addition, some IPS can remove the malicious contents of an attack to mitigate the packets, perhaps deleting an infected attachment from an email before forwarding the email to the user. Adems, algunos IPS puede eliminar el contenido malicioso de un ataque para mitigar los paquetes, tal vez la eliminacin de un archivo adjunto infectado de un correo electrnico antes de enviar el correo electrnico al usuario.

TwicetheProtection El doble de la proteccin

Because IDS and IPS devices sit in different spots on the network, they can and should be used concurrently. Dado que los dispositivos IDS e IPS se sientan en diferentes puntos de la red, pueden - y deben - ser utilizados simultneamente. An IPS product installed at the perimeter of the network will help stop zero day attacks, such as worms and viruses, in their tracks even the newest threats can be blocked with rigorous tuning. Un producto de IPS instalados en el permetro de la red ayudar a detener los ataques de da cero, tales como gusanos y virus, en su camino - incluso las amenazas ms recientes se pueden bloquear con un ajuste riguroso. An IDS product installed inside the firewall will monitor internal activity, guarding against the ever-present insider threat, and lend greater visibility into security events, past and present. Un producto de IDS instalado dentro del firewall controlar la actividad interna, la proteccin contra las amenazas internas siempre presente, y dar una mayor visibilidad en los eventos de seguridad, pasado y presente. Choosing a product that offers both technologies can be the most cost-effective and efficient approach. La eleccin de un producto que ofrece ambas tecnologas pueden ser el enfoque ms rentable y eficiente. With one device that does IDS and IPS, you can enable IDS on part of the network and enable IPS on a different part. "Con un dispositivo que se IDS e IPS, IDS se puede habilitar en una parte de la red y permite a IPS en una parte diferente. It's almost a virtual device, says Sanjay Beri, senior director of product management at Juniper Networks, a network infrastructure vendor based in Sunnyvale, Calif. Es casi un dispositivo virtual ", dice SanjayBeri, director senior de gestin de productos de Juniper Networks, un proveedor de infraestructura de red con sede en Sunnyvale, California