Si se debe hacer una decisión al seleccionar un modo de falla para un IPS en línea que está protegiendo los servidores, ¿cuáles son los criterios que deben considerarse para seleccionar uno de los modos de falla?
1- Error al cerrar: si el IPS falla, desconectará el servidor que está protegiendo.
2- Error al abrir: si el IPS falla, pasará a través del tráfico al servidor, incluidos los posibles ataques.
¿Cuáles son los riesgos y beneficios involucrados en ambos escenarios?
La manera de ver qué es mejor para usted es determinar cuál es su apetito por el riesgo.
Si debe tener el servicio a toda costa, entonces no quiere fallar, ya que cualquier problema con ese IPS causará una denegación de servicio. Sin embargo, ese es un escenario muy raro: la mayoría de las implementaciones están configuradas para proteger el servidor y los datos que contiene.
Aquí es donde la defensa en profundidad entra en su propia cuenta. Filtra parte del tráfico (por ejemplo, todo menos los puertos 80/443) usando un dispositivo de hardware, lo que le brinda velocidad y la capacidad de eliminar la gran mayoría del tráfico que puede afectarle.
Luego use un firewall para limitar las conexiones solo a las que necesita. Si puede realizar una inspección de estado, se puede usar para limitar los tipos de tráfico.
Luego fortalece su servidor web y lo localiza en una DMZ que está segregada de su red interna y bases de datos mediante otros cortafuegos o controles de acceso en los enrutadores.
etc etc etc
Las capas le brindan la capacidad de hacer frente a la falla de un componente, por lo que en su caso, si su IPS falla, puede hacer una llamada según la seguridad de sus otras capas en cuanto a si no puede abrir y hacer frente a una reducción. Nivel de protección hasta que se solucione, o se cierre, y sufra una interrupción del servicio.
Lea otras preguntas en las etiquetas protection risk-analysis ip ids