¿Por qué necesitamos IDS / IPS si hay un servidor de seguridad presente?
Funcionalmente, son dos aplicaciones diferentes, pero a menudo están interconectadas porque el proceso de monitoreo tiende a estar al borde de la red. Muchas veces ve UTM (Unified Threat Management), que son firewalls con servicios IPS / IDS integrados como una suscripción.
Los firewalls sirven para controlar las conexiones entrantes / salientes en un entorno basado en reglas estáticas (firewalls de estado). Sus firewalls más avanzados pueden funcionar en el nivel de la aplicación (Application Firewalls), razón por la cual en algunas empresas puede navegar FB, pero no jugar ninguno de sus juegos.
IPS / IDS sirve para monitorear conexiones para actividades maliciosas, principalmente a través de detección basada en firmas (similar a AV). Los ataques tienen ciertos patrones y, dependiendo de su configuración, puede recibir una alerta o hacer que el sistema actúe en esos patrones.
Se puede generalizar, supongo, a que los cortafuegos limitan los tipos de conexiones que permitirá en la red basándose en reglas estáticas, e IPS / IDS monitorea esas conexiones para detectar actividades maliciosas basadas en firmas y comprensión de ataques.
Como dijeron CoverosGene y Xander, es parte de usar Defensa en profundidad, pero técnicamente son dos servicios diferentes que tienden a operar en conjunto.
Firewall, IDS e IPS no son las mismas criaturas. Y como se dijo, la defensa en profundidad es lo que estás buscando proporcionar.
Un Firewall es un mecanismo de control utilizado para restringir los protocolos que se desplazan entre dos redes en las capas 3 y 4, esa es su función principal (vea la respuesta de Shane). En algunos casos, el cortafuegos puede realizar una inspección limitada de las capas 5, 6 y 7. Pero en esos casos, simplemente intenta realizar una doble función, lo que puede no funcionar bien porque los cortafuegos no tienen el músculo de procesamiento para realizar el análisis de protocolo . Al final, puede pensar en un firewall como una herramienta para controlar los protocolos.
Un IDS no es un mecanismo de control. Tiene mucho más poder de procesamiento que un firewall típico, pero en general tiene menos rendimiento, ya que está realizando mucho más trabajo. Un IDS puede detectar intrusiones pero no puede controlarlas. No puede funcionar como un cortafuegos y no puede funcionar como un IPS. Un IDS puede realizar la detección en las capas 2 a 7.
Un IPS es un mecanismo de control, es un "Sistema de prevención de intrusiones". Es un IDS con la capacidad de controlar marcos y paquetes en las capas 2 a 7. Una vez más, tiene mucho más poder de procesamiento que un Firewall, pero generalmente menos rendimiento debido a la inspección que debe realizar. Un IPS puede tener la capacidad de realizar muchas funciones similares a un Firewall, pero el IPS es generalmente más difícil de administrar cuando se implementa para esa función ya que está diseñado para detectar ataques y prevenir ataques, no actuar como un firewall.
Una implementación típica podría tener este aspecto:
internet < - > cortafuegos < - > IPS < - > DMZ < - > Cortafuegos < - > IPS < - > red corporativa
Presumiblemente, su firewall permitirá que entre y salga algo de tráfico. De lo contrario, simplemente desconecte de la red y tendrá mucho menos de qué preocuparse.
Una vez que el tráfico llegue a su red más allá del firewall, sería prudente vigilarlo para asegurarse de que no sea malicioso.
A menos que las reglas de tu firewall sean perfectas, vas a dejar entrar algo que no pretendías o, lo más probable, no anticipaste. Rasque eso, incluso con reglas de firewall perfectas, también necesitaría tener usuarios internos perfectos.
Confía, pero verifica . Confía en que tu firewall te mantiene seguro. Pero verifica que te esté manteniendo a salvo.