Los sistemas de prevención de intrusos (IPS) están estrechamente relacionados con los IDS y están diseñados no sólo para detectar ataques, sino también para evitar que los anfitriones (host) de las victimas proyectadas sean afectados por los ataques.
Si un programa malicioso contiene comandos que, al ejecutarse, causan que un sistema elimine todos los archivos de su directorio, un IPS debe evitar que esto ocurra.
En otras palas, un IPS actúa sobre un patrón predeterminado o un comportamiento en la red, para evitar un posible ataque. Por ejemplo. Es posible agregar IPS en las autenticación del servicio SSH sobre un Servidor GNU/Lunux indicando diferentes patrones como las contraseñas no válidas, número de intentos fallidos, cantidad de conexiones por IP, etc. De cumplirse alguna de esas reglas, el IPS debe actual bloqueando la dirección IP con la que se está intentando acceder.
El enfoque de impedimento de intrusos parece ser efectivo para limitar daños o interrupciones a los sistemas atacados. Sin embargo, al igual que con un IDS, el IPS debe estar debidamente configurado y ajustado para ser efectivo. Los valores de configuración del umbral que sean demasiados altos o demasiados bajos conducirán a una efectividad limitada del IPS.
Adicionalmente, causa cierta preocupación que los IPS por si mismos puedan constituir una amenaza, ya que un atacante astuto podría enviar comandos a un gran números de anfitriones (hosts) protegidos por un IPS para ocasionar que funcione mal. Esa situación sería un resultado potencialmente catastrófico en el típico ambiente de computación corporativo de hoy en día, en el cual la continuidad del servicio es crítica.
Saludos!
Fuente | Manual de Preparación al Examen CISA
No hay comentarios.:
Publicar un comentario