Aitana Security Lab | Enterprise Vulnerability Assessment Platform

IDS vs IPS: ¿Qué diferencia hay?

IDS — Intrusion Detection System

Solo detecta y alerta. El tráfico pasa sin interrupción. El IDS analiza una copia del tráfico (out-of-band / passive tap).

✅ No introduce latencia
✅ No puede interrumpir el tráfico legítimo
❌ No bloquea ataques en tiempo real

IPS — Intrusion Prevention System

Detecta Y bloquea inline (in-band). El tráfico pasa por el IPS antes de llegar al destino. Puede descartar paquetes o resetear conexiones.

✅ Bloquea ataques en tiempo real
❌ Introduce latencia (aunque mínima)
❌ Falsos positivos pueden bloquear tráfico legítimo

NIDS vs HIDS

NIDS — Network-based

Monitoriza el tráfico de red en un segmento. Se conecta a un puerto SPAN del switch o a un TAP de red.

Herramientas: Snort, Suricata, Zeek (Bro)

✅ Visibilidad de todo el segmento de red
✅ No requiere agente en cada host
❌ No ve tráfico cifrado E2E (sin TLS inspection)
❌ No detecta ataques locales en el host

HIDS — Host-based

Agente en el host que monitoriza logs del sistema, llamadas al sistema, integridad de ficheros y actividad de procesos.

Herramientas: OSSEC/Wazuh, AIDE, Tripwire, osquery

✅ Detecta ataques locales: escalada de privilegios, rootkits
✅ Verifica integridad de ficheros (FIM)
❌ Requiere agente en cada host
❌ No ve tráfico E2E entre hosts

Métodos de Detección

Detección por Firmas (Signature-based)

Compara el tráfico contra una base de datos de patrones de ataques conocidos. Muy preciso para ataques conocidos, cero false positives en firmas buenas.

# Regla Snort: detectar SQLi básico

alert http any any -> $HTTP_SERVERS any (

msg:"SQL Injection Attempt";

content:"union select";

nocase;

sid:1000001; rev:1;

)

✅ Alta precisión para ataques conocidos

❌ Ciega ante ataques 0-day

Detección por Anomalías (Anomaly-based / Behavioral)

Construye un baseline del comportamiento normal y alerta cuando hay desviaciones estadísticas significativas.

✅ Ventajas

• Puede detectar ataques 0-day
• Detecta movimiento lateral inusual

❌ Desventajas

• Alto ratio de falsos positivos
• Necesita tiempo de entrenamiento
• Atacante lento puede "entrenar" el baseline

Herramientas Open Source

Snort 3

NIDS/IPS

El IDS más conocido. Open source de Cisco. Miles de reglas comunitarias (VRT, ET). Ideal para aprender.

Suricata

NIDS/IPS

Multi-hilo, más rápido que Snort en hardware moderno. Compatible con reglas Snort. Integra con ELK.

Wazuh (OSSEC fork)

HIDS + SIEM

Agente en hosts, FIM, auditoría, compliance (PCI-DSS, GDPR). Stack completo con OpenSearch.

Zeek (Bro)

NSM

Network Security Monitor. Genera logs semánticos de sesiones, DNS, HTTP, TLS — excelente para threat hunting.

AIDE

FIM (HIDS)

Advanced Intrusion Detection Environment. Verifica integridad de ficheros con hashes SHA-256.

osquery

HIDS

Expone el SO como base de datos SQL. Ideal para hunting: SELECT * FROM processes WHERE name="nc".

Buenas Prácticas

Desplegar NIDS en los puntos de entrada: borde Internet, DMZ, y tráfico norte-sur del datacenter.

Desplegar HIDS en todos los servidores críticos: BD, controladores de dominio, bastiones.

Integrar alertas con el SIEM para correlación y reducción de ruido.

Actualizar las firmas automáticamente (Emerging Threats, Snort VRT Ruleset).

Tunear las reglas para el entorno: desactivar firmas ruidosas no relevantes.

Poner el IPS en modo IDS primero → afinar falsos positivos → activar modo inline.

Siguiente Paso

Aprende cómo IPsec, WireGuard y TLS protegen las comunicaciones

VPN: IPsec, WireGuard y TLS →

IDS/IPS: Detección y Prevención de Intrusiones