Definición: ¿Qué significa Sistema de prevención de intrusiones basado en red (NIPS)?
Un sistema de prevención de intrusiones basado en la red (NIPS) es un sistema que se utiliza para monitorear una red, así como para proteger la confidencialidad, integridad y disponibilidad de una red. Sus funciones principales incluyen proteger la red de amenazas, como la denegación de servicio (DoS) y el uso no autorizado.
El NIPS monitorea la red en busca de actividad maliciosa o tráfico sospechoso mediante el análisis de la actividad del protocolo. Una vez que el NIPS está instalado en una red, se utiliza para crear zonas de seguridad físicas. Esto, a su vez, hace que la red sea inteligente y distingue rápidamente el tráfico bueno del tráfico malo. En otras palabras, el NIPS se convierte en una prisión para el tráfico hostil como troyanos, gusanos, virus y amenazas polimórficas.
Un sistema de prevención de intrusiones (IPS) se encuentra en línea en la red y monitorea el tráfico. Cuando ocurre un evento sospechoso, toma medidas basadas en ciertas reglas prescritas. Un IPS es un dispositivo activo y en tiempo real a diferencia de un sistema de detección de intrusos, que no está en línea y es un dispositivo pasivo. Los IPS se consideran la evolución del sistema de detección de intrusos.
Techinfo explica el sistema de prevención de intrusiones basado en red (NIPS)
Los NIPS se fabrican utilizando circuitos integrados específicos de aplicaciones (ASIC) de alta velocidad y procesadores de red, que se utilizan para el tráfico de red de alta velocidad, ya que están diseñados para ejecutar decenas de miles de instrucciones y comparaciones en paralelo, a diferencia de un microprocesador, que ejecuta una instrucción a la vez.
La mayoría de los NIPS utilizan uno de los tres métodos de detección siguientes:
- Detección basada en firmas: las firmas son patrones de ataque predeterminados y preconfigurados. Este método de detección monitorea el tráfico de la red y lo compara con las firmas preconfiguradas para encontrar una coincidencia. Al localizar con éxito una coincidencia, el NIPS toma la siguiente acción apropiada. Este tipo de detección no identifica las amenazas de error de día cero. Sin embargo, ha demostrado ser muy bueno contra los ataques de un solo paquete.
- Detección basada en anomalías: este método de detección crea una línea de base sobre las condiciones promedio de la red. Una vez que se ha creado una línea de base, el sistema muestrea de forma intermitente el tráfico de la red sobre la base del análisis estadístico y compara la muestra con la línea de base creada. Si se encuentra que la actividad está fuera de los parámetros de línea de base, NIPS toma las medidas necesarias.
- Detección del análisis del estado del protocolo: este tipo de método de detección identifica las desviaciones de los estados del protocolo comparando los eventos observados con los perfiles predefinidos.