Diferencia entre IDS e IPS y Firewall

La línea se está difuminando definitivamente a medida que aumenta la capacidad tecnológica, las plataformas se integran y el panorama de amenazas cambia. En su núcleo tenemos

• Cortafuegos : un dispositivo o aplicación que analiza los encabezados de paquetes y aplica una política basada en el tipo de protocolo, dirección de origen, dirección de destino, puerto de origen y / o puerto de destino. Los paquetes que no coinciden con la política se rechazan.
• Sistema de detección de intrusiones : un dispositivo o aplicación que analiza paquetes completos, tanto el encabezado como la carga útil, en busca de eventos conocidos. Cuando se detecta un evento conocido, se genera un mensaje de registro que detalla el evento.
• Sistema de prevención de intrusiones : un dispositivo o aplicación que analiza paquetes completos, tanto el encabezado como la carga útil, en busca de eventos conocidos. Cuando se detecta un evento conocido, se rechaza el paquete.

La diferencia funcional entre un IDS y un IPS es bastante sutil y a menudo no es más que un cambio de configuración. Por ejemplo, en un módulo IDP de Juniper, cambiar de Detección a Prevención es tan fácil como cambiar una selección desplegable de LOG a LOG / DROP. A nivel técnico, a veces puede requerir un rediseño de su arquitectura de monitoreo.

Dada la similitud entre los tres sistemas, ha habido cierta convergencia en el tiempo. El módulo de Juniper IDP mencionado anteriormente, por ejemplo, es efectivamente un componente adicional a un firewall. Desde el punto de vista administrativo y de flujo de red, el firewall y el IDP son funcionalmente indistinguibles incluso si técnicamente son dos dispositivos separados.

También hay mucha discusión en el mercado sobre algo que se llama un cortafuegos de próxima generación (NGFW). El concepto aún es lo suficientemente nuevo como para que cada proveedor tenga su propia definición de lo que constituye un NGFW, pero en su mayor parte, todos están de acuerdo en que es un dispositivo que aplica la política de manera unilateral a través de más que solo información de encabezado de paquetes de red. Esto puede hacer que un solo dispositivo actúe como un Firewall tradicional e IPS. Ocasionalmente, se recopila información adicional, como a partir de qué usuario se originó el tráfico, lo que permite un cumplimiento de políticas aún más completo.

explicación para los maniquíes

• firewall - > portero; mantiene a todos fuera que intentan colarse a través de ventanas abiertas del sótano, etc., pero una vez que alguien entra por la puerta oficial, deja entrar a todos, especialmente. cuando el dueño de la casa trae invitados; * un firewall nunca previene el tráfico malicioso * , solo permite o bloquea el tráfico, basado en el puerto / ip

• IDS (pasivo) / IPS (activo): el tipo que busca armas en los invitados, etc. Si bien no puede correr y evitar que la gente se infiltre, puede buscar lo que la gente está trayendo

• IDS activo vs pasivo: en modo activo - > patea culos y es capaz de bloquear durante una cierta cantidad de tiempo, en modo pasivo - > solo envía alertas

la única razón por la que a algunos les gustaría llamar a un IPS diferente de IDS activo es para fines de marketing.

Un IDS activo se llama básicamente un IPS.

El IDS es un sistema de detección de intrusiones. Un IPS es un sistema de prevención de intrusiones.

El IDS solo monitorea el tráfico. El IDS contiene una base de datos de firmas de ataque conocidas. Y compara el tráfico entrante con la base de datos. Si se detecta un ataque, entonces el IDS informa del ataque. Pero queda entonces en manos del administrador tomar medidas. El principal defecto es que producen muchos falsos positivos.

el IPS se encuentra entre su firewall y el resto de su red. Debido a esto, puede evitar que el tráfico sospechoso llegue al resto de la red. El IPS supervisa los paquetes entrantes y para qué se utilizan realmente antes de decidir dejar los paquetes en la red.

Un firewall bloqueará el tráfico según la información de la red, como la dirección IP, el puerto de red y el protocolo de red. Tomará algunas decisiones basadas en el estado de la conexión de red.

Un IPS inspeccionará el contenido de la solicitud y podrá eliminar, alertar o potencialmente limpiar una solicitud de red maliciosa basada en ese contenido. La determinación de lo que es malicioso se basa en el análisis de comportamiento o mediante el uso de firmas.

Una buena estrategia de seguridad es hacer que trabajen juntos como un equipo. Ambos dispositivos se complementan entre sí.

Además de las respuestas existentes, estoy pensando en tres diferencias adicionales:

• Un firewall (generalmente) se encuentra en el perímetro de la red del sistema, donde un IDS / IPS no solo puede funcionar a nivel de red, sino que también funciona a nivel de host . Estos sistemas IDS / IPS se denominan IDS / IPS basados en host. Pueden monitorear y tomar medidas contra procesos en ejecución, intentos de inicio de sesión sospechosos, etc. Los ejemplos incluyen OSSEC y osquery. Quizás el software antivirus también se pueda considerar como un tipo de IDS / IPS.

• Es probable que un firewall sea más fácil de entender y de implementar. También puede funcionar por su cuenta. Pero un IDS / IPS es más complejo y probablemente deba integrarse con otros servicios. Por ejemplo, el resultado de IDS entrará en SIEM para el análisis de correlación, para analistas humanos, etc.

• Al menos para el firewall "tradicional", el núcleo es un motor basado en reglas. Pero IDS / IPS también puede usar métodos basados en la detección basada en anomalías para detectar la intrusión.