Me gustaría saber si un Sistema de prevención de intrusos en la red [IPS] se puede usar como un Sistema de detección de intrusos en la red [IDS] y viceversa.
Por lo general, un IDS solo significa que está diseñado para no estar en línea, o está configurado para estar en un "modo de monitor". Hay IPS fuera de línea, pero no funcionan como usted esperaría.
Por ejemplo, si tenía un IPS fuera de línea y detectó algún tipo de comunicación que desea detener entre dos dispositivos, lo que la mayoría de los proveedores hacen es simular dos paquetes TCP con el indicador RST a ambos lados ( Para obtener más detalles, vaya a aquí ). Usted pensaría que los dispositivos luego dejarían de comunicarse debido al RST, pero a menudo verá que el servidor consultado (normalmente su servidor) todavía proporcionará la respuesta debido a algún tipo de supervisión con el paquete TCP (en el enlace que proporcioné , fue debido a un error que el proveedor cometió con el número de secuencia en el paquete TCP RST al servidor web).
Hay algunos productos en el mercado que están hechos para ser uno y no el otro. Un ejemplo que puedo dar es el TippingPoint de HP; Está diseñado para ser un NIPS en línea pero no un dispositivo NIDS. Todo sobre el dispositivo está hecho para ser rápido y feroz, tomando decisiones en segundos. Esto significa que no compite bien (aunque puede funcionar como un dispositivo NIDS) en el espacio NIDS porque otros proveedores de NIDS pueden hacer cosas como agregar contexto (SourceFire y McAfee hacen esto) como Información importada desde escáneres de vulnerabilidad.
¿Se puede utilizar el IPS basado en host como un IDS basado en host y viceversa?
Esta es una pregunta muy diferente.
Una cosa que debe tener en cuenta es que IDS / IPS no son los únicos mecanismos de seguridad basados en host disponibles. También hay application whitelisting , que es extremadamente (y posiblemente más) eficaz, encriptación en reposo (si está preocupado por la exfiltración de datos, esto no es cifrado de disco completo ), anti-virus (que es notablemente obsoleto y cada vez menos efectivo), TCP Wrappers , HBSSs , y más .
Pero para responder a su pregunta, generalmente existe una funcionalidad de "modo monitor" integrada en los productos HIPS. No siempre hay un "modo de prevención" integrado en los productos HIDS (y en algunos, hay un modo de prevención, pero no es muy bueno).
¿Es necesario tener tanto IPS como IDS?
Normalmente no, pero depende de lo que quieras decir con IPS e IDS. ¿Te refieres a HIPS y NIDS? Si es así, tendría sentido tener ambos. Suponiendo que te refieres a NIDS y NIPS, podría ayudar pero solo en situaciones de alta seguridad de nicho. Por ejemplo, podría ayudar cuando no quiera confiar en las firmas de un solo proveedor. Esto sigue la mejor práctica general de defensa en profundidad , aunque diría que estás lanzando el error Tipo de tecnología en la solución.
Con muchos proveedores de IDPS de red, puede crear sus propias firmas e importarlas si la firma no existe, pero esto requiere mucho tiempo y conocimiento que muchos equipos simplemente no tienen.
Por esta razón, está comenzando a ver a los proveedores en un espacio creado para defenderse de las "Amenazas persistentes avanzadas" o APT. Algunas personas llaman a esta red protección contra malware y los proveedores comunes incluyen Damballa , Fidelis y FireEye .
Cuál es el IPS / IDS basado en la red más confiable o el IPS / IDS basado en el host
Esta no es realmente una pregunta fácil de responder de manera general. Depende del proveedor, la arquitectura y la razón por la que está implementando sus diferentes mecanismos de seguridad. La confiabilidad es relativa a lo que estás tratando de lograr.
Si la pregunta es, es una mejor que la otra, entonces eso depende del mecanismo que utilicen para la detección (firmas, heurísticas, anomalías, etc.) y cómo se aplica a su tráfico individual y patrones de ataque.