Un Sistema de Detección de Intrusos (IDS) es una tecnología de seguridad de red creada originalmente para detectar explotaciones de vulnerabilidad contra una aplicación u ordenador objetivo. Los sistemas de prevención de intrusiones (IPS) ampliaron las soluciones IDS añadiendo la capacidad de bloquear amenazas además de detectarlas y se han convertido en la opción de despliegue dominante para las tecnologías IDS/IPS. Este artículo explicará la configuración y las funciones que definen el despliegue de los IDS.
Un IDS sólo necesita detectar amenazas y, como tal, se coloca fuera de banda en la infraestructura de red, lo que significa que no está en la verdadera ruta de comunicación en tiempo real entre el emisor y el receptor de la información. En su lugar, las soluciones IDS suelen aprovechar un puerto TAP o SPAN para analizar una copia del flujo de tráfico en línea (y así garantizar que el IDS no afecte al rendimiento de la red en línea).
El IDS se desarrolló originalmente de esta manera porque en su momento la profundidad de análisis requerida para la detección de intrusos no podía realizarse a una velocidad que pudiera seguir el ritmo de los componentes en la ruta de comunicación directa de la infraestructura de la red.
Como se ha explicado, el IDS es también un dispositivo de sólo escucha. El IDS supervisa el tráfico e informa de sus resultados a un administrador, pero no puede actuar automáticamente para evitar que un exploit detectado se apodere del sistema. Los atacantes son capaces de explotar las vulnerabilidades muy rápidamente una vez que entran en la red, haciendo que el IDS