Seguridad en redes: Diferencias entre IDS e IPS Destacado

744 0 0 0

Diferencias entre IDS e IPS

 

1.    Sistema de detección de intrusiones (IDS)

 

El sistema de detección de intrusiones (IDS) es corto para los sistemas de detección de intrusiones. De manera profesional, el sistema monitorea el estado de funcionamiento de la red y el sistema de acuerdo con ciertas políticas de seguridad para detectar diversos intentos de ataque, comportamientos de ataque o resultados de ataques para garantizar la confidencialidad, integridad y disponibilidad de los recursos del sistema de red.

Hacemos una metáfora -si el cortafuegos es la cerradura de la puerta de un edificio, IDS es el sistema de monitoreo en el edificio. Una vez que el ladrón entra en el edificio, o si el personal interno tiene un comportamiento transfronterizo, sólo el sistema de monitoreo en tiempo real puede detectar la situación y enviar una advertencia.

Diferente del firewall, el sistema de detección de intrusiones IDS es un dispositivo de interceptación de bypass. No tiene que estar conectado a ningún enlace y puede funcionar sin tráfico de red. Por lo tanto, los requerimientos únicos para el despliegue de IDS son los siguientes: Los IDS deben ser montados en los enlaces que todo el tráfico afectado debe pasar. El tráfico afectado se refiere al tráfico de acceso desde las áreas de red de alto riesgo y los paquetes de red que deben ser recolectados y monitoreados.

Las ubicaciones de IDS en una red conmutada son las siguientes: Trate de estar lo más cerca posible de la fuente de ataque y lo más cerca posible de los recursos protegidos.

 

Las ubicaciones son las siguientes:

 

Cambiar en el área del servidor                                             

El Internet accede al primer interruptor después del router.                       

Enfocarse en los switches LAN, en el segmendo de red..

 

 

2.    Sistema de prevención de intrusiones (IPS)

 

Intrusion Prevention System (IPS) es corto para el Sistema de Prevención de Intrusión.

Con la mejora continua de las tecnologías de ataque a la red y el continuo descubrimiento de vulnerabilidades de seguridad de red, las tecnologías tradicionales de cortafuegos y las tecnologías tradicionales de IDS no pueden hacer frente a algunas amenazas de seguridad. En este caso, se desarrolla la tecnología IPS. La tecnología IPS puede detectar y detectar el tráfico de datos de forma profunda, descartar paquetes maliciosos para bloquear ataques y limitar el tráfico de paquetes de abuso para proteger los recursos de ancho de banda de la red.

 

El IPS que se implementa en la ruta de reenvío de datos puede realizar detección en profundidad en cada paquete (rastreo de análisis de protocolos, comparación de características, análisis de estadísticas de tráfico y análisis de correlación de eventos) de acuerdo con una política de seguridad preestablecida, si un ataque de red está oculto, puede tomar medidas basadas en el nivel de amenaza del ataque. Las medidas incluyen: Reportes alarmas al centro de gestión. Descarta el paquete. Desconecte la sesión de aplicación. Desconecte la conexión TCP.

 

Después del análisis anterior, podemos concluir que en la red de oficinas, al menos el IPS debe ser implementado en las siguientes áreas, es decir, la red de oficinas y la red externa (ingreso/egreso). Front-end of important server clusters Internal access layer of the office network. Otras áreas pueden ser desplegadas según la situación y la importancia reales.

 

 

3.    Diferencias entre IPS e ID

 

El IPS es un dispositivo entre el firewall y el dispositivo de red. De esta manera, si se detecta un ataque, el IPS bloquea la comunicación maliciosa antes de que el ataque se extienda a otros lugares de la red. Y IDS sólo existe fuera de su red para servir como una alarma, no como una defensa delante de su red.

El método de ataque de detección IPS es diferente al del IDS. En general, el sistema IPS detecta paquetes de datos. El IPS comprueba el paquete de datos del network entry determina el propósito del paquete y determina si permite que el paquete entre en su red.

 

Actualmente, tanto los usuarios profesionales como los comunes en la industria de la seguridad de la información creen que el sistema de detección de intrusiones y el sistema de prevención de intrusiones son dos tipos de productos. No hay posibilidad de que el sistema de prevención de intrusiones reemplace el sistema de detección de intrusiones. Sin embargo, la aparición de productos de prevención de intrusiones plantea nuevos desafíos a los usuarios: ¿en qué circunstancias debería elegir los productos de detección de intrusiones, cuándo elegir los productos de prevención de intrusiones?

 

Desde la perspectiva del valor del producto: El sistema de detección de intrusiones se centra en la supervisión de la situación de seguridad de la red. El sistema de prevención de intrusiones se centra en el control de comportamientos de intrusión. Diferentes de los productos de firewall y los productos de detección de intrusiones, los sistemas de prevención de intrusiones pueden implementar políticas de defensa profunda para detectar y bloquear ataques en la capa de aplicación, que no es compatible con el firewall, por supuesto, los productos de detección de intrusiones no pueden hacerlo.

 

Desde la perspectiva de la aplicación del producto: Para detectar de forma integral la seguridad de la red, el sistema de detección de intrusiones debe ser implementado en el punto central de la red, y todos los datos de la red deben ser observados. Si el sistema de información contiene múltiples subredes aisladas lógicamente, todo el sistema de información debe ser desplegado en modo distribuido. Es decir, se implementa un motor de detección y análisis de intrusiones en cada subred, y la gestión de la política del motor y el análisis de eventos se realizan de manera unificada, de esta manera, se puede controlar el estado de seguridad de todo el sistema de información.

 

Para defenderse de ataques externos, el sistema de prevención de intrusiones debe desplegarse en el borde de la red. De esta manera, todos los datos externos deben ser transmitidos a través del sistema de prevención de intrusiones en modo serie. El sistema de prevención de intrusiones puede analizar los datos de la red en tiempo real y bloquear el ataque inmediatamente para asegurarse de que los datos de ataque externos no pueden entrar en la red a través del borde de la red.

 

 

El valor básico del sistema de detección de intrusiones es entender el estado de seguridad del sistema de información analizando la información de toda la red y guiando el establecimiento y ajuste del objetivo de construcción de seguridad del sistema de información y la política de seguridad. El valor central del sistema de prevención de intrusiones radica en la implementación de la política de seguridad -bloqueando el comportamiento del hacker. El sistema de detección de intrusiones debe ser implementado en la red. El alcance de monitoreo abarca toda la subred, incluyendo datos externos y datos transmitidos entre terminales internos. El sistema de prevención de intrusiones debe ser implementado en el borde de la red para defenderse de la intrusión externa, no hay nada que ver con ataques internos. El IPS puede considerarse como un firewall profundo.

 


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba