Skip to main content

IDS|IPS

IDS e IPS son muy similares y forman parte de la misma esfera de protección, pero poseen responsabilidades diferentes.

El Intrusion Detection System (IDS) tiene la responsabilidad de detectar actividades maliciosas (invasiones) en el ambiente. Este ambiente puede ser un host (máquina, endpoint) o incluso la red entera, dependiendo del tipo de IDS y dónde fue instalado. Si algo sospechoso es detectado, solo alerta para que un administrador analice y tome una acción manual, si es necesario.

Por otro lado, el Intrusion Prevention System (IPS) actúa de modo muy similar en cuanto a monitorización con el IDS, pero ya posee condiciones de actuar automáticamente sobre algunas actividades maliciosas para intentar bloquear o mitigar el ataque. El IPS puede utilizar las alertas del IDS para actuar, pero su principal función es la prevención automática — no necesariamente generar alertas detalladas para análisis humano. No siempre consigue actuar 100% solo, principalmente en ataques nuevos o desconocidos (zero-day), pudiendo exigir intervención manual o actualización de reglas.

Ejemplos de acciones que un IPS puede tomar:

  • Matar un ejecutable malicioso.
  • Parar un servicio o proceso sospechoso.
  • Derribar una conexión de red anómala.
  • otros.

Por ser una solución activa, el IPS puede generar falsos positivos, principalmente cuando detecta nuevas conexiones o servicios todavía desconocidos.

HIDS/HIPS vs NIDS/NIPS

Cuando un IDS/IPS está enfocado en proteger una máquina específica (host), se usan las siglas:

  • HIDS: Host-based Intrusion Detection System
  • HIPS: Host-based Intrusion Prevention System

Ya cuando el enfoque es proteger el tráfico de una red entera, las siglas son:

  • NIDS: Network-based Intrusion Detection System
  • NIPS: Network-based Intrusion Prevention System

Muchos antivirus corporativos del mercado ya integran funciones de HIDS y HIPS, ofreciendo detección y respuesta directamente en el endpoint.

Ejemplos de ataques detectados por IDS/IPS:

  • Exploits de vulnerabilidades (en software o SO desactualizados).
  • Actividad de Botnet (máquinas zombis).
  • Scans de puertos no autorizados.
  • Ataques ARP Cache Poisoning.
  • Conflicto de IP en la red.
  • Y muchos otros.

IDS/IPS en EDR

Los EDRs (Endpoint Detection and Response) modernos normalmente traen funcionalidades que recuerdan HIDS/HIPS — como monitorización de comportamiento, bloqueo de procesos maliciosos y detección de explotaciones de vulnerabilidades locales.

Pero, vale la diferencia:

EDR es más avanzado que HIDS/HIPS tradicional, pues involucra análisis comportamental, respuesta automatizada, recopilación de telemetría continua e integración con SIEM/SOAR.

Ya HIDS/HIPS se enfoca en la detección y bloqueo local de amenazas, sin (necesariamente) tener capacidad de respuesta centralizada o visión de todo el ambiente.

O sea, un EDR puede tener IDS/IPS como parte de la solución, pero entrega mucho más que un simple sistema de detección/prevención.

Tabla Comparativa

TecnologíaDónde actúaAcción principal¿Automatización?Ejemplo de uso
IDSHost o RedDetecta y alerta actividades sospechosasNo (solo alerta)Detectar scan de puertos en la red
IPSHost o RedDetecta y bloquea actividades maliciosasSí (bloquea automáticamente)Derribar conexión maliciosa de IP externa
HIDSHost (máquina/endpoint)Detecta y alerta comportamiento anómalo en el hostNo (alerta local)Detectar modificación sospechosa en archivos del sistema
HIPSHost (máquina/endpoint)Detecta y bloquea amenazas localesSí (bloquea procesos o conexiones)Impedir ejecución de malware en el endpoint
NIDSRedDetecta ataques en el tráfico de redNo (solo alerta)Identificar ataque ARP spoofing en la red
NIPSRedDetecta y bloquea ataques en la redSí (bloquea tráfico malicioso)Bloquear exploit de vulnerabilidad vía red
EDRHost (máquina/endpoint)Detecta, responde e investiga incidentes (con telemetría y análisis comportamental)Sí (respuesta automatizada y manual)Aislar endpoint infectado, recopilar forense, matar proceso sospechoso
  • IDS/IPS son sensores más "tontos" y directos, normalmente sin análisis comportamental avanzado.
  • HIDS/HIPS/NIDS/NIPS definen el alcance de protección: host o red.
  • EDR es la navaja suiza del endpoint moderno — une detección, prevención, respuesta, análisis forense e integración con SIEM/SOAR — pero no sustituye IPS de borde de red (NIPS), que todavía es necesario para proteger el perímetro.

Soluciones de Mercado

IDS / IPS (Red y Host)

ProductoTipoVendorObservaciones
Palo Alto Networks NGFWNIPS/IPSPalo AltoFirewall de última generación con IPS embebido
Cisco FirepowerNIPS/IPSCiscoIntegra con firewall, NGFW e IPS de red
Fortinet FortiGateNIPS/IPSFortinetNGFW + IPS en el mismo appliance
Trend Micro TippingPointNIPS/IPSTrend MicroIPS dedicado para redes corporativas grandes
Check Point IPSNIPS/IPSCheck PointIPS embebido en el appliance firewall
SnortNIDS/IPSCiscoOpen Source, muy usado en firewalls y routers
SuricataNIDS/IPSOISF (Open Source)Soporta detección y prevención simultánea
Zeek (ex-Bro)NIDS (IDS)Open SourceExcelente para análisis de tráfico y logs

Casi todo NGFW (Firewall de Nueva Generación) ya viene con IPS embebido (tipo Palo Alto, Fortigate, Cisco Firepower).

HIDS / HIPS (Host)

ProductoTipoVendorObservaciones
WazuhHIDSOpen SourceFork de OSSEC con dashboard y SIEM integrado
OSSECHIDSOpen SourceUno de los más usados en Linux y Windows; ligero
Trend Micro Apex OneHIPSTrend MicroHIPS enfocado en endpoint corporativo

  • EDRs(Consulta) modernos generalmente traen HIPS embebido (ej: CrowdStrike, SentinelOne, Defender). En la mayoría de las veces acabamos usando un buen EDR que ya resuelve mucho de IPS|IDS para hosts y nos enfocamos más en IPS|IDS para network (NIDS|NIPS).

  • Para grandes redes corporativas: Palo Alto NGFW, Fortigate, Cisco Firepower + EDR tipo Falcon o SentinelOne.

Todavía es aquella vieja historia, en seguridad, las mejores soluciones son de pago.