Tema 12

12. Introducción a IDS e IPS: diferencias, ubicación, capacidades y limitaciones

Un IDS aporta visibilidad y alerta sobre actividad sospechosa. Un IPS puede ir un paso más allá y bloquear tráfico peligroso. Ambos son controles valiosos, pero necesitan buena ubicación, ajuste y operación.

Objetivo Comprender qué hacen IDS e IPS
Enfoque Diferencias, despliegue, alertas y límites
Resultado Elegir dónde observar y dónde bloquear con criterio

12.1 Introducción

Hasta ahora nos enfocamos principalmente en firewalls, reglas, segmentación, publicación segura y monitoreo. Ahora empezamos el bloque de IDS/IPS, que agrega una capacidad fundamental: detectar actividad que puede indicar intrusión, abuso o comportamiento anómalo.

Un firewall decide si una comunicación está permitida por política. Un IDS/IPS intenta determinar si esa comunicación, aun estando permitida, contiene señales de ataque o actividad sospechosa.

Por ejemplo, una regla puede permitir HTTPS hacia una aplicación web pública. Eso no significa que todo lo que llegue por HTTPS sea seguro. Un IDS/IPS puede analizar ese tráfico y alertar o bloquear intentos de explotación.

12.2 Qué significa IDS

IDS significa Intrusion Detection System, que en español se traduce como sistema de detección de intrusos.

Su función principal es observar actividad y generar alertas cuando detecta indicios de ataque, abuso, anomalía o violación de política. Un IDS normalmente no bloquea por sí mismo; informa para que una persona, proceso o plataforma responda.

Ejemplos de eventos que puede detectar:

  • Escaneo de puertos.
  • Intentos de explotación contra un servicio.
  • Patrones asociados a malware.
  • Conexiones hacia dominios sospechosos.
  • Tráfico anómalo entre segmentos internos.
  • Uso de protocolos no esperados.

12.3 Qué significa IPS

IPS significa Intrusion Prevention System, que en español se traduce como sistema de prevención de intrusos.

Un IPS también detecta actividad sospechosa, pero puede actuar automáticamente para prevenir o interrumpir el ataque. Puede descartar paquetes, cerrar conexiones, bloquear una IP, aplicar una acción sobre una sesión o integrarse con otros controles.

La capacidad de bloqueo es poderosa, pero también introduce riesgo operativo. Si una firma o regla genera falsos positivos, el IPS puede bloquear tráfico legítimo. Por eso debe configurarse, probarse y ajustarse con cuidado.

IDS prioriza visibilidad. IPS agrega prevención automática. La diferencia principal está en la capacidad de bloquear.

12.4 Diferencias principales entre IDS e IPS

Aspecto IDS IPS
Acción principal Detectar y alertar. Detectar y bloquear o prevenir.
Ubicación típica Fuera de línea, observando una copia del tráfico. En línea, en el camino del tráfico.
Impacto operativo Menor riesgo de interrumpir servicios. Puede interrumpir tráfico legítimo si está mal ajustado.
Uso común Monitoreo, investigación, generación de alertas. Bloqueo de ataques conocidos o actividad de alto riesgo.
Riesgo principal Generar alertas que nadie atiende. Bloquear de más o afectar rendimiento.

12.5 Sensor fuera de línea y sensor en línea

Un sensor fuera de línea observa una copia del tráfico. Suele recibir datos desde un puerto espejo, TAP de red o integración equivalente. Como no está en el camino directo, puede alertar pero no bloquear el tráfico por sí mismo.

Un sensor en línea está colocado en el camino del tráfico. Todo lo que se comunica entre dos puntos pasa por él. Esto le permite bloquear, pero también lo convierte en un componente crítico: si falla o se configura mal, puede afectar la comunicación.

Modo Ventaja Riesgo
Fuera de línea Observa sin interrumpir tráfico. No bloquea automáticamente.
En línea Puede prevenir ataques en tiempo real. Puede afectar disponibilidad si falla o bloquea de más.

12.6 Ubicación de IDS/IPS

La ubicación define qué tráfico puede ver el IDS/IPS. Un sensor mal ubicado puede dejar ciegas zonas importantes o generar demasiadas alertas poco útiles.

Puntos habituales de despliegue:

  • Entre internet y la DMZ.
  • Entre DMZ y red interna.
  • Entre usuarios y servidores críticos.
  • En segmentos de bases de datos o aplicaciones sensibles.
  • En la salida a internet para observar tráfico saliente.
  • En hosts críticos mediante agentes o HIDS.
  • En nube mediante sensores virtuales, mirroring de tráfico o servicios nativos.

12.7 NIDS, NIPS, HIDS y HIPS

Los IDS/IPS pueden clasificarse según dónde observan y actúan.

Tipo Significado Qué observa
NIDS Network Intrusion Detection System Tráfico de red para detectar actividad sospechosa.
NIPS Network Intrusion Prevention System Tráfico de red y puede bloquear en línea.
HIDS Host Intrusion Detection System Eventos dentro de un sistema: archivos, procesos, logs, integridad.
HIPS Host Intrusion Prevention System Actividad del host y puede bloquear acciones locales.

12.8 Capacidades comunes

Las capacidades dependen de la herramienta, licencias y configuración, pero muchas soluciones IDS/IPS pueden incluir:

  • Detección por firmas conocidas.
  • Detección de anomalías.
  • Reputación de IP, dominios o URLs.
  • Identificación de protocolos y aplicaciones.
  • Alertas por explotación de vulnerabilidades conocidas.
  • Integración con SIEM, SOAR o firewall.
  • Bloqueo automático en modo IPS.
  • Generación de evidencias para investigación.

12.9 Firmas y reglas

Una firma describe un patrón asociado a una amenaza o comportamiento. Puede buscar cadenas, secuencias, encabezados, comandos, características de protocolo o combinaciones de condiciones.

Por ejemplo, una firma puede detectar un intento de explotación contra una versión vulnerable de un servidor web. Si el sistema está en modo IDS, genera alerta. Si está en modo IPS y la política lo permite, puede bloquear.

Las firmas deben actualizarse, pero también ajustarse. Una firma útil en un entorno puede generar ruido en otro.

12.10 Falsos positivos y falsos negativos

Un falso positivo ocurre cuando el IDS/IPS alerta o bloquea algo legítimo. Un falso negativo ocurre cuando no detecta actividad maliciosa.

Concepto Ejemplo Impacto
Falso positivo Bloquear una petición legítima de una aplicación. Afecta operación y genera desconfianza en la herramienta.
Falso negativo No detectar un ataque real. Permite que la actividad maliciosa continúe.

El objetivo no es eliminar por completo ambos casos, porque eso no es realista. El objetivo es ajustar la herramienta para reducirlos y responder mejor.

12.11 Tuning o ajuste

El tuning es el proceso de ajustar reglas, firmas, umbrales y acciones para que el IDS/IPS sea útil en un entorno concreto. Sin tuning, puede generar demasiadas alertas o bloquear tráfico legítimo.

Actividades de tuning:

  • Deshabilitar firmas irrelevantes para tecnologías que no existen en el entorno.
  • Ajustar severidad según criticidad del activo.
  • Crear excepciones justificadas y documentadas.
  • Pasar firmas de alerta a bloqueo solo después de validar impacto.
  • Revisar falsos positivos frecuentes.
  • Actualizar firmas y volver a validar.
Un IDS/IPS sin ajuste puede convertirse en ruido. Un IDS/IPS ajustado se vuelve una fuente de señales útiles.

12.12 Limitaciones de IDS/IPS

IDS e IPS son controles importantes, pero no resuelven todo. Tienen limitaciones técnicas y operativas.

  • No reemplazan hardening ni parches.
  • No corrigen una arquitectura mal segmentada.
  • Pueden tener visibilidad limitada si el tráfico está cifrado.
  • Dependen de reglas, firmas, modelos o inteligencia actualizada.
  • Requieren personas o procesos que atiendan alertas.
  • Pueden generar falsos positivos o falsos negativos.
  • Un IPS mal configurado puede afectar disponibilidad.

12.13 Tráfico cifrado

El cifrado protege confidencialidad, pero también puede limitar la inspección. Si el IDS/IPS no puede ver el contenido de una conexión cifrada, tal vez solo observe metadatos: origen, destino, puerto, certificados, SNI, volumen o comportamiento.

Algunas organizaciones implementan inspección TLS en puntos controlados, pero esto requiere mucho cuidado: certificados, privacidad, rendimiento, cumplimiento y excepciones para servicios sensibles.

Aunque no se inspeccione contenido, los metadatos siguen aportando valor defensivo.

12.14 Integración con firewall y SIEM

Un IDS/IPS genera más valor cuando se integra con otros controles. Puede enviar eventos a un SIEM, alimentar reglas de firewall, activar respuestas automáticas o enriquecer investigaciones.

Ejemplos de integración:

  • Enviar alertas IDS/IPS al SIEM.
  • Correlacionar alertas con logs de firewall y EDR.
  • Bloquear una IP temporalmente si se confirma actividad maliciosa.
  • Generar tickets para investigación.
  • Crear tableros por severidad, zona y activo afectado.

12.15 Ejemplo práctico: IDS en DMZ

Una empresa publica una aplicación web en DMZ. Coloca un IDS observando tráfico hacia esa zona. El IDS alerta sobre intentos repetidos de explotación contra la aplicación.

Acciones defensivas posibles:

  • Verificar si la aplicación es vulnerable.
  • Correlacionar con logs del WAF y del servidor web.
  • Revisar origen, frecuencia y patrón de ataque.
  • Aplicar regla de bloqueo si el riesgo es claro.
  • Actualizar la aplicación o aplicar mitigación.
  • Monitorear si el atacante cambia de IP o técnica.

12.16 Ejemplo práctico: IPS entre usuarios y servidores

Una organización coloca un IPS entre la red de usuarios y la red de servidores. El objetivo es reducir movimiento lateral y bloquear intentos de explotación interna.

Este diseño puede ser útil, pero requiere cuidado:

  • Primero se observa tráfico normal.
  • Se activan firmas relevantes en modo alerta.
  • Se ajustan falsos positivos.
  • Se habilita bloqueo para eventos de alta confianza.
  • Se monitorea impacto en aplicaciones internas.

12.17 Errores frecuentes

  • Instalar sensores sin plan: si nadie revisa alertas, el valor defensivo cae.
  • Activar bloqueo demasiado rápido: puede afectar tráfico legítimo.
  • No ajustar firmas: genera ruido y fatiga de alertas.
  • Ubicar sensores en puntos poco útiles: deja zonas críticas sin visibilidad.
  • Confiar solo en IDS/IPS: no reemplaza parches, hardening ni segmentación.
  • No actualizar reglas: reduce capacidad de detectar amenazas recientes.
  • No medir rendimiento: un IPS saturado puede degradar la red.

12.18 Lista de verificación inicial

  • Definir qué tráfico se necesita observar o bloquear.
  • Elegir ubicación según visibilidad y riesgo.
  • Diferenciar sensores IDS fuera de línea e IPS en línea.
  • Activar firmas relevantes para el entorno.
  • Comenzar con modo alerta cuando haya riesgo operativo.
  • Ajustar falsos positivos antes de bloquear ampliamente.
  • Enviar alertas a SIEM o plataforma central.
  • Definir responsables de revisión y respuesta.
  • Monitorear rendimiento y disponibilidad del sensor.
  • Documentar excepciones y cambios de política.

12.19 Ideas clave para recordar

  • IDS significa sistema de detección de intrusos y alerta sobre actividad sospechosa.
  • IPS significa sistema de prevención de intrusos y puede bloquear tráfico peligroso.
  • La ubicación del sensor define qué tráfico puede observar o detener.
  • Un IPS en línea aporta prevención, pero también riesgo operativo si está mal ajustado.
  • El tuning reduce ruido, falsos positivos e impacto sobre servicios legítimos.
  • IDS/IPS complementan firewalls y hardening, no los reemplazan.

12.20 Conclusión

IDS e IPS agregan una capa importante de defensa porque permiten observar y, en algunos casos, bloquear actividad maliciosa que atraviesa comunicaciones permitidas. Su valor depende de una buena ubicación, reglas adecuadas, integración con monitoreo y respuesta operativa.

En el próximo tema estudiaremos detección basada en firmas, anomalías, reputación, comportamiento e inteligencia de amenazas.

Volver al índice