Qué es IPS en informática

Un sistema de prevención de intrusos o IPS (Intrusion Prevention System) vigila y detecta las posibles amenazas cibernéticas en redes, así como las actividades maliciosas que puedan vulnerar la seguridad en la red. Te contamos cuáles son las características de este importante elemento de la seguridad informática.

¿Qué es un sistema de prevención de intrusos?

Un sistema de prevención de intrusos o IPS (por sus siglas en inglés, Intrusion Prevention System) es un sistema de prevención y detección de intrusiones. Un IPS vigila la red con la finalidad de detectar posibles actividades maliciosas o acciones que puedan vulnerar la seguridad en la red y tomar el control de un sistema.

El IPS tiene como función principal la de identificar actividades sospechosas. De esta forma, puede actuar a tiempo para prevenir las amenazas cibernéticas. Entre estas amenazas se encuentran ataques a la seguridad de la red y ataques de denegación de servicio (DoS). Cuando se emite una alerta por la presencia de una amenaza o vulnerabilidad de seguridad, por lo general, existe una oportunidad para que los atacantes ingresen al sistema. Es entonces cuando un sistema de prevención de intrusos actúa y bloquea lo más rápido posible dichas amenazas o ataques.

¿Cómo funciona un sistema de prevención de intrusos?

La tecnología involucrada en un IPS vigila flujos de paquetes y, en ellos, se implementa como un sistema de detección de intrusos de red (NIDS) o de host (HIDS). El IPS de red tiene una vista amplia de la red y puede funcionar tanto en línea como fuera de línea. Si se implementa fuera de línea, lo hace como un sensor privado capaz de recibir paquetes.

La detección que realiza un IPS puede comparar flujos de paquetes con la finalidad de identificar coincidencias y patrones de ataques de red ya conocidos. También puede realizar una comparación entre una muestra del tráfico y una línea de base ya conocida, de esta forma, puede detectar anomalías y, por lo tanto, posibles amenazas.

¿Cuál es mejor: IDS o IPS?

Un IPS, como hemos dicho, se trata de un sistema de prevención, detección y protección contra las intrusiones. Mientras que un IDS (Intrusion Detection System o sistema de detección de intrusiones) solo reconoce e informa acerca de las intrusiones.

Hay dos características principales que distinguen a un IDS de un IPS:

1. El IPS se localiza en línea dentro de la red IPS y no solo escucha de manera pasiva a la red como un IDS (tradicionalmente colocado como un rastreador de puertos en la red).
2. El IPS tiene la habilidad de bloquear inmediatamente las intrusiones sin importar el protocolo de transporte empleado y sin reconfigurar un dispositivo externo.

Esto significa que el IPS puede filtrar y bloquear paquetes de manera nativa al utilizar técnicas como la caída de una conexión, la caída de paquetes ofensivos y el bloqueo de un intruso, entre otros.