Explica la diferencia entre un IDS y un IPS.
Respuesta breve
Un IDS (sistema de detección de intrusiones) monitoriza el tráfico y genera alertas pero no bloquea — suele estar fuera de banda. Un IPS (sistema de prevención de intrusiones) se sitúa en línea en la ruta del tráfico y puede descartar o bloquear activamente el tráfico malicioso. El IPS previene, pero un falso positivo puede romper tráfico legítimo.
Estas dos tecnologías parecen casi idénticas sobre el papel — ambas inspeccionan el tráfico en busca de patrones maliciosos — pero una observa y la otra actúa, y esa diferencia determina dónde y cómo se despliegan.
IDS — Sistema de detección de intrusiones
Un IDS monitoriza y alerta. Normalmente recibe una copia del tráfico fuera de banda (mediante un puerto SPAN o un tap de red), por lo que no está en la ruta de datos en vivo. Cuando detecta algo sospechoso, genera una alerta para que un humano la investigue. Como no puede descartar paquetes, un falso positivo es inofensivo — solo crea ruido. La desventaja es que no detiene nada por sí mismo; para cuando reaccionas, el tráfico ya ha pasado.
IPS — Sistema de prevención de intrusiones
Un IPS se sitúa en línea, directamente en la ruta del tráfico, de modo que puede bloquear, descartar o reiniciar conexiones en tiempo real. Esto significa que puede detener realmente un ataque mientras ocurre. El coste es el riesgo: un falso positivo puede descartar tráfico legítimo y causar una caída, y como está en línea, puede convertirse en un cuello de botella de rendimiento o un punto único de fallo.
Métodos de detección
Ambos pueden usar detección basada en firmas (coincidencia con patrones conocidos como maliciosos — rápida y precisa pero ciega ante ataques novedosos) y detección basada en anomalías (señalando desviaciones de lo normal — detecta nuevas amenazas pero genera más falsos positivos).
Cómo los usan los equipos
Muchas organizaciones primero afinan las reglas del IDS en modo solo alerta para medir los falsos positivos, y luego promueven las reglas de confianza al modo bloqueo del IPS una vez que tienen confianza. Esto equilibra la prevención frente al riesgo de romper producción.
Por qué esto importa
Los entrevistadores quieren la distinción central — detectar/alertar frente a en línea/bloquear — más la conciencia del compromiso. Mencionar que probarías las reglas en modo detección antes de habilitar el bloqueo demuestra madurez operativa, no solo recuerdo de manual.
Posibles preguntas de seguimiento
- ¿Cuál es el riesgo de ejecutar un IPS en modo bloqueo?
- Compara la detección basada en firmas frente a la basada en anomalías.
- ¿Dónde colocarías cada uno en la red?