¿Qué son IDS y SPI?

¿Qué son IDS y SPI?

La detección de intrusiones es el proceso de monitorear su tráfico de red y analizarlo para detectar señales de posibles intrusiones, como intentos de explotación e incidentes que pueden ser amenazas inminentes para su red. Por su parte, la prevención de intrusiones es el proceso de realizar la detección de intrusiones y luego detener los incidentes detectados, típicamente realizados por la caída de paquetes o la terminación de sesiones. Estas medidas de seguridad están disponibles como sistemas de detección de intrusiones (IDS) y sistemas de prevención de intrusiones (SPI), que son parte de las medidas de seguridad de red adoptadas para detectar y detener posibles incidentes y se incluyen funcionalidad dentro de los firewalls de última generación (NGFW).

 

¿Cuáles son las ventajas de IDS e SPI?

IDS e SPI monitorean el tráfico en la red para identificar cualquier comportamiento malicioso conocido. Una de las formas en que un atacante intentará comprometer una red es al explotar una vulnerabilidad dentro de un dispositivo o software. IDS en SPI identifica esos intentos de explotación y los bloquean antes de que comprometan con éxito cualquier terminal dentro de la red. IDS o SPI son tecnologías de seguridad necesarias, tanto en el borde de la red como dentro del centro de datos, precisamente porque pueden detener a los atacantes mientras están recopilando información sobre su red.

 

¿Cómo funciona el sistema IDS?

Generalmente, se utilizan tres metodologías de detección IDS para detectar incidentes:

  • La detección basada en firmas compara las firmas con los eventos observados para identificar posibles incidentes. Este es el método de detección más sencillo porque compara solo la unidad actual de actividad (como un paquete o una entrada de registro con una lista de firmas) usando operaciones de comparación en cadena.
  • La detección basada en anomalías compara las definiciones de lo que se considera actividad normal con eventos observados para identificar desviaciones significativas. Este método de detección puede ser muy eficaz para detectar amenazas desconocidas anteriormente.
  • El análisis de protocolo de estado compara perfiles predeterminados de definiciones generalmente aceptadas de actividad protocolaria benigna en cada estado protocolario con los eventos observados para identificar desviaciones.
What is IDS and IPS diagram

 

 

¿Qué puede hacer con los sistemas IDS/SPI?

Los sistemas de detección de intrusiones (IDS) y los sistemas de prevención de intrusiones (SPI) observan su red constantemente, identifican posibles incidentes y registran la información correspondiente, detienen los incidentes y entregan los informes a los administradores de seguridad. Además, algunas redes usan los sistemas IDS/SPI para identificar problemas relacionados con las políticas de seguridad e impedir que las personas infrinjan dichas políticas. Los sistemas IDS/SPI se han vuelto otro elemento necesario para la infraestructura de seguridad de la mayoría de las organizaciones, precisamente porque pueden detener a los atacantes mientras recopilan información sobre su red.

 

IDS y SPI de Juniper

Los firewalls de la serie SRX de Juniper Networks, incluyendo vSRX y cSRX, vienen completamente equipados para servicios de detección y prevención de intrusiones (IDP). Puede aplicar selectivamente varias técnicas de detección y prevención de ataques en el tráfico de red que pasa a través de su dispositivo de la serie SRX de elección o servicio de Secure Edge, que proporciona firewall como servicio. Puede definir reglas de políticas correspondientes a una sección del tráfico basado en una zona, una red o una aplicación; posteriormente, puede adoptar medidas preventivas activas o pasivas para ese tráfico. La serie SRX y el servicio de Secure Edge contienen firmas de SPI robustas y continuamente actualizadas para proteger redes contra ataques. La serie SRX puede reenviar registros de DPI a cualquier sistema de gestión de incidentes de seguridad y eventos (SIEM), como Juniper Secure Analytics (JSA).

Preguntas frecuentes de IDS y SPI

¿Es un firewall IDS o SPI?

Sí. Los verdaderos firewalls de última generación contienen la funcionalidad de IDS y SPI. Sin embargo, no todos los firewalls son de última generación. Además, un firewall bloquea y filtra el tráfico de red, mientras que IDS y SPI detectan y alertan, o bloquean, un intento de explotación, según la configuración. IDS y SPI actúan sobre el tráfico después de que el firewall lo filtra, de acuerdo con la política configurada.

¿Cómo se implementan IDS y SPI?

Un sistema de detección de intrusiones (IDS) es responsable de identificar ataques y técnicas, y a menudo se despliega fuera de banda, en un modo de solo escucha, de modo que pueda analizar todo el tráfico y generar eventos de intrusión de tráfico sospechoso o malicioso. 

Un sistema de prevención de intrusiones (SPI) se despliega en la ruta del tráfico, de modo que todo el tráfico debe pasar por el aparato para continuar hasta su destino. Tras detecctar tráfico malicioso, SPI rompe la conexión y descomprime la sesión o el tráfico.

¿Puede SPI bloquear el tráfico?

Sí. SPI monitorea constantemente el tráfico en busca de explosiones conocidas, para proteger la red. SPI después compara el tráfico con las firmas existentes. Si se produce una coincidencia, SPI tomará una de estas tres acciones: 1) detectar y registrar el tráfico, 2) detectar y bloquear el tráfico, o 3) (la opción recomendada) detectar, registrar y bloquear el tráfico. 

¿Qué puede detectar IDS?

IDS detecta amenazas basadas en patrones de explosiones conocidas, comportamientos maliciosos y técnicas de ataque. Un IDS eficaz también detecta técnicas evasivas que los atacantes usan para ocultar explotaciones, como la fragmentación de llamadas de procedimiento remoto (RPC), el relleno de HTML y otros tipos de manipulación de TCP o IP.

Obtenga más información sobre lo que IDS y SPI de Juniper pueden detectar y bloquear en nuestra página de Firmas.

¿Puede SPI evitar ADDS?

SPI puede evitar ciertos tipos de ataques ADDS (denegación de servicio distribuido). Por ejemplo, los ataques de denegación de servicio de aplicaciones (AppDoS) son una de las categorías de amenazas que la funcionalidad de SPI puede identificar y proteger. Sin embargo, las amenazas de ADDS volumétricas requieren una solución dedicada, como la oferta de DDoS Corero de Juniper.

¿Qué tecnologías, soluciones y productos de IDS y SPI ofrece Juniper?

Juniper ofrece soluciones de IDS y SPI a través de una suscripción única de software que se despliega en cualquiera de los productos y servicios de firewall de última generación de Juniper: firewalls de SRX en contenedores, físicos y virtuales, o como servicio dentro de Juniper Segure Edge.