Las 9 mejores herramientas de software IPS para 2022 y guía

Sistemas de prevención de intrusiones, también conocido comoIPS, ofrece protección continua para los datos y recursos TI de su empresa. Estos sistemas de seguridad funcionan dentro de la organización y compensan los puntos ciegos en las medidas de seguridad tradicionales que implementan los cortafuegos y sistemas antivirus.

Proteger los límites de su red evitará una gran cantidad de ataques de piratas informáticos. La instalación de firewalls y antivirus sigue siendo importante. Estas medidas de protección se han vuelto muy efectivas para evitar que código malicioso ingrese a una red. Sin embargo, han tenido tanto éxito queLos piratas informáticos han encontrado otras formas de acceder a la infraestructura informática de una empresa..

Aquí está nuestra lista de las mejores herramientas IPS:

1. Monitoreo de amenazas en tiempo real de Datadog ELECCIÓN DEL EDITORUna combinación de monitoreo de red basado en la nube y un sistema SIEM que trabajan juntos para vigilar el rendimiento de la red y al mismo tiempo detectar comportamientos anómalos que podrían indicar una amenaza interna o un intruso. Inicie una prueba gratuita de 14 días.
2. Administrador de eventos de seguridad de SolarWinds (PRUEBA GRATUITA)Esta potente herramienta de seguridad utiliza métodos de detección de intrusiones basados ​​en la red y en el host y toma medidas preventivas. Los ajustes preestablecidos preinstalados lo pondrán en funcionamiento en poco tiempo. Se instala en Windows Server o mediante la nube. Inicie una prueba gratuita de 30 días.
3. CrowdStrike Falcon XDR (PRUEBA GRATUITA) Este paquete de seguridad ofrece detección de amenazas y respuestas automatizadas. Este es un sistema basado en la nube con agentes basados ​​en dispositivos. Inicie una prueba gratuita de 15 días.
4. SplunkHerramientas de análisis de red ampliamente utilizadas que tienen funciones de prevención de intrusiones. Disponible para Windows, Linux y en la nube.
   
5. saganSistema gratuito de prevención de intrusiones que extrae archivos de registro en busca de datos de eventos. Se instala en Unix, Linux y Mac OS, pero puede recopilar mensajes de registro de sistemas Windows.
6. OSSECLa seguridad HIDS de código abierto es muy respetada y de uso gratuito. Se ejecuta en Windows, Linux, Mac OS y Unix, pero no incluye una interfaz de usuario.
7. Abrir WIPS-NGUtilidad de línea de comandos de código abierto para Linux que detecta intrusiones en redes inalámbricas.
8. Fail2BanIPS liviano y gratuito que se ejecuta en la línea de comandos y está disponible para Linux, Unix y Mac OS.
9. seaSistema de detección de intrusos basado en red que opera con datos de tráfico en vivo. Esta herramienta se instala en Linux, Unix y Mac OS y es de uso gratuito.

Debilidades de seguridad

Cualquier sistema es tan fuerte como su eslabón más débil. En la mayoría de las estrategias de seguridad de TI,La debilidad reside en el elemento humano del sistema.. Puede imponer la autenticación de usuario con contraseñas seguras, pero si los usuarios escriben las contraseñas y mantienen la nota cerca de un dispositivo que tenga acceso a la red, es mejor que no se moleste en aplicar la autenticación de usuario.

Hay muchas formas en que los piratas informáticos pueden atacar a los empleados de una empresa y engañarlos para que revelen sus datos de inicio de sesión.

Suplantación de identidad

Suplantación de identidad se ha vuelto común. Todo el mundo ha aprendido a desconfiar de los correos electrónicos de advertencia de bancos o plataformas comerciales como eBay, PayPal o Amazon. Una campaña de phishing implicauna página web falsa de un servicio en línea. El hacker envía correos electrónicos en masa a todos los correos electrónicos de una lista comprada en Internet. No importa si todas esas direcciones de correo electrónico pertenecen a clientes del servicio imitado. Siempre que algunas de las personas alcanzadas tengan cuentas en el sitio web engañado, el hacker tiene una posibilidad.

En intentos de phishing,a la víctima se le presenta un enlace dentro de un correo electrónicoeso conduce a una página de inicio de sesión falsa que se parece a la pantalla de entrada habitual del servicio imitado. Cuando la víctima intenta iniciar sesión, ese nombre de usuario y contraseña ingresan a la base de datos del pirata informático y la cuenta queda comprometida sin que el usuario se dé cuenta de lo sucedido.

Phishing de lanza

Los piratas informáticos se dirigen a los empleados de la empresa con estafas de phishing. ellos tambien practican phishing , que es un poco más sofisticado que el phishing. Con el Spear phishing, el correo electrónico falso y la página de inicio de sesión se diseñarán específicamente para parecerse al sitio de la empresa que está siendo pirateada y los correos electrónicos se dirigirán específicamente a los empleados de la empresa. Los intentos de phishing se utilizan a menudo como la primera fase de un intento de robo. El paso inicial de un hack es conocer detalles sobre algunos de los empleados de una empresa.

Doxxing

La información recopilada en la fase de phishing se puede combinar con la investigación de individuos examinando sus páginas de redes sociales o revisando los detalles de su carrera. Esta investigación dirigida se llama doxing . Con la información recopilada, un hacker objetivo puede crear perfiles de actores clave en un negocio y mapear las relaciones de esas personas con otro personal de la empresa.

El doxxer intentará obtener suficiente información para poder imitar con éxito a un empleado.. Con esta identidad, puede ganarse la confianza de otros en la empresa objetivo. Mediante estos trucos, el hacker puede conocer los movimientos del personal de contabilidad de la empresa, sus ejecutivos y su personal de soporte de TI.

Ballenero

Una vez que el hacker se ha ganado la confianza de varios miembros del personal, puede robar los datos de inicio de sesión de cualquier persona en la empresa. Con mucha confianza y conocimiento de la forma en que las personas trabajan juntas en un negocio, un estafador puede inclusorobar grandes cantidades de dinerode una empresa sin siquiera tener que iniciar sesión en el sistema; Las órdenes de transferencias falsas se pueden realizar por teléfono. Esta focalización en el personal clave de una empresa se denomina ballenero .

Estrategias de ataque

Los piratas informáticos han aprendido a utilizar el phishing, el Spear phishing, el doxxing y la caza de ballenas para eludir los cortafuegos y el software antivirus. Si un hacker tiene la contraseña de administrador, puedeinstalar software, configurar cuentas de usuario y eliminar procesos de seguridady obtenga acceso a toda la red, sus equipos, servidores, bases de datos y aplicaciones sin obstáculos.

Estas nuevas estrategias de ataque se han vuelto tan comunes que los administradores de seguridad de la red empresarial deben planificar defensas que asumir que las medidas de seguridad de los límites del sistema se han visto comprometidas .

En los últimos años, elAmenaza Persistente Avanzada(APTO) se ha convertido en una estrategia común para los piratas informáticos. En este escenario,un hacker puede pasar años con acceso a la red de una empresa, accediendo a los datos a voluntad, utilizando recursos de la empresa para ejecutar VPN de cobertura a través de la puerta de enlace de la empresa. El hacker puede incluso utilizar los servidores de la empresa para actividades intensivas como la minería de criptomonedas.

o más tarde, las APT pasan desapercibidas porqueel hacker está en el sistema como usuario autorizadoy también se asegura de eliminar cualquier registro que muestre su actividad maliciosa. Estas medidas significan que incluso cuando se detecta la intrusión, puede resultar imposible rastrear y procesar al intruso.

Sistema de deteccion de intrusos

Un elemento esencial de los sistemas de prevención de intrusiones es la Sistema de detección de intrusos (IDS). Un IDS está diseñado para buscar actividad inusual. Algunas metodologías de detección imitan las estrategias empleadas por firewalls y software antivirus. estos se llaman detección basada en firmas métodos. Buscan patrones en los datos para detectar indicadores conocidos de actividad intrusa.

Un segundo método IDS se llamadetección basada en anomalías. En esta estrategia, el software de monitoreo busca actividades inusuales que no se ajustan al patrón lógico de comportamiento del usuario o del software o que no tienen sentido cuando se examinan en el contexto de las tareas esperadas de un usuario en particular. Por ejemplo, no esperaría ver a un usuario del Departamento de Personal iniciado sesión alterando la configuración de un dispositivo de red.

Un intruso no tiene por qué ser necesariamente un extraño. Los empleados pueden invadir áreas de su red explorando más allá de las instalaciones a las que se espera que necesiten acceso. Otro problema radica en los empleados que explotan su acceso autorizado a datos e instalaciones para destruirlos o robarlos.

Prevención de intrusiones

Los sistemas de prevención de intrusiones funcionan al máximo”mejor tarde que nunca.” Lo ideal sería que nadie externo tuviera acceso no autorizado a su sistema. Sin embargo, como se explicó anteriormente, este no es un mundo perfecto y existen muchas desventajas que los piratas informáticos pueden aprovechar para engañar a los usuarios autorizados para que revelen sus credenciales.

En concreto, los sistemas de prevención de intrusiones sonAmpliaciones a los sistemas de detección de intrusos.. Las IPS actúan una vez identificada la actividad sospechosa. Por lo tanto, es posible que ya se haya producido algún daño en la integridad de su sistema cuando se detectó la intrusión.

El IPS puede realizar acciones para acabar con la amenaza. Estas acciones incluyen:

• Restaurar archivos de registro desde el almacenamiento
• Suspensión de cuentas de usuario
• Bloquear direcciones IP
• Procesos de matanza
• Apagar sistemas
• Iniciando procesos
• Actualización de la configuración del firewall
• Alertar, registrar y reportar actividades sospechosas

La responsabilidad de las tareas administrativas que hacen posibles muchas de estas acciones no siempre está clara. Por ejemplo, la protección de archivos de registro con cifrado y la copia de seguridad de los archivos de registro para que puedan restaurarse después de una manipulación son dos actividades de protección contra amenazas que generalmente se definen como tareas del sistema de detección de intrusiones.

Limitaciones de los sistemas de prevención de intrusiones

Hay muchos puntos potenciales de debilidad en cualquier sistema de TI, pero un IPS, aunque muy eficaz para bloquear a los intrusos, esno está diseñado para cerrar todas las amenazas potenciales. Por ejemplo, un IPS típico no incluye gestión de parches de software ni control de configuración para dispositivos de red. El IPS no gestionará las políticas de acceso de los usuarios ni impedirá que los empleados copien documentos corporativos.

Los IDS e IPS ofrecen remediación de amenazas sólo una vez que un intruso ya ha iniciado actividades en una red. Sin embargo, estos sistemas deben instalarse para proporcionar un elemento en una serie de medidas de seguridad de la red para proteger la información y los recursos.

Los mejores Sistemas de Prevención de Intrusiones

Hay una cantidad notablemente grande de herramientas IPS disponibles en este momento.Muchos de estos son gratis.. Sin embargo, te llevaría mucho tiempo estudiar y probar todos y cada uno de los IPS del mercado. Por eso hemos elaborado esta guía de sistemas de prevención de intrusiones.

Nuestra metodología para seleccionar una herramienta IPS

Revisamos el mercado de IPS y analizamos herramientas en función de los siguientes criterios:

• Procedimientos para detectar estafas vinculadas al correo electrónico, como el phishing
• Pasos de mitigación de ataques automatizados
• La capacidad de interactuar con otros sistemas de seguridad de TI.
• Configuraciones para permitir que el usuario permita la respuesta automática
• Almacenamiento de datos para análisis históricos más herramientas analíticas en el tablero
• Protección contra ataques a los procesos y logs propios del IPS
• Una garantía gratuita, demo, de prueba o de devolución de dinero
• Valor por dinero

1. Monitoreo de amenazas en tiempo real de Datadog (PRUEBA GRATUITA)

Monitoreo de amenazas en tiempo real de Datadoges parte de su sistema de monitoreo de red que incluye una plataforma de detección de amenazas incorporada . Datadog es un servicio basado en la nube que se entrega en módulos para cubrir el monitoreo de redes y dispositivos, el monitoreo de aplicaciones y el monitoreo del rendimiento web.

Características clave:

• Basado en la nube
• Monitoreo de amenazas de red
• Gestión de la postura de seguridad en la nube
• Seguridad de la carga de trabajo en la nube

Las características de seguridad del monitor de tráfico de red se basan en Reglas de detección de amenazas . Estos se suministran, pero es posible crear nuevas reglas. Establecen un patrón de tráfico que el sistema busca y, si se detecta una de las combinaciones de eventos que describe una regla, el servicio activa una alerta. El servicio también incluye Reglas de seguridad , que son similares a las reglas de detección de amenazas pero especifican búsquedas en varias fuentes de datos diferentes.

Ventajas:

• Seguimiento de actividad en vivo a través de redes y enlaces de Internet.
• Herramientas analíticas para análisis manual e identificación de amenazas.
• Un menú de opciones de seguridad en la nube
• Proteja los sistemas locales y en la nube
• Caza de amenazas unificada
• Adaptación para el cumplimiento de estándares

Contras:

• Una colección de servicios en lugar de un solo producto.

El servicio de Monitoreo de seguridad es un complemento de los módulos estándar de Monitoreo de infraestructura o Monitoreo del rendimiento de la red de Datadog y tiene un precio por GB de datos analizados. Datadog ofrece unaPrueba gratuita de 14 díasdel servicio de Monitoreo de Seguridad.

SELECCIÓN DEL EDITOR

El monitoreo de amenazas en tiempo real de Datadog es nuestra elección número unopara una solución IPS porque le permite configurar políticas de seguridad que cruzan plataformas, de modo que sus procedimientos de prevención de pérdida de datos y detección de amenazas no bloqueen a los usuarios que necesitan acceso a recursos externos. La plataforma Datadog es capaz de trazar un límite invisible alrededor de recursos y usuarios dispersos para crear un espacio de monitoreo unificado. Luego se puede rastrear este entorno virtual en busca de amenazas a la integridad y privacidad de los datos a través de técnicas basadas en SIEM que incluyen respuestas automatizadas para mantener a su empresa cumpliendo con los estándares que debe seguir. Esta herramienta es flexible y ampliable con opciones para integrar otros módulos, como un APM y un monitor de red para implementar un monitoreo unificado de rendimiento y seguridad.

Descargar:Comience la prueba GRATUITA de 14 días

Sitio oficial:https://www.datadoghq.com/threat-monitoring/

TÚ:Basado en la nube

2. Administrador de eventos de seguridad de SolarWinds(PRUEBA GRATIS)

ElAdministrador de eventos de seguridad de SolarWindscontrola el acceso a los archivos de registro, como su nombre indica. Sin embargo, la herramienta también tiene capacidades de monitoreo de red. El paquete de software no incluye una función de monitoreo de red, pero puede agregar esta capacidad utilizando la herramienta gratuita Snort para la recopilación de datos de red. Esta configuración le ofrece dos perspectivas sobre la intrusión. Hay dos categorías de estrategias de detección utilizadas por los IDS:basado en red y basado en host.

Características clave:

• UN TÚ
• Servidor de registro y administrador de archivos de registro
• Introducir datos de red
• Reglas de correlación de eventos
• Respuestas activas para la remediación de amenazas

Un sistema de detección de intrusos basado en host examina los registros contenidos en los archivos de registro; el sistema basado en red detecta eventos en datos en vivo.

Las instrucciones para detectar signos de intrusión se incluyen con el paquete de software SolarWinds; se denominan reglas de correlación de eventos. Puede optar por dejar el sistema para que solo detecte intrusiones y bloquee las amenazas manualmente. También puede activar las funciones IPS de SolarWinds Security Event Manager para que la corrección de amenazas se realice automáticamente.

La sección IPS de SolarWinds Security Event Manager implementa acciones cuando se detectan amenazas. Estos flujos de trabajo se llamanRespuestas activas. Una respuesta se puede vincular a una alerta específica. Por ejemplo, la herramienta puede escribir en tablas de firewall para bloquear el acceso a la red a una dirección IP que se haya identificado como que realiza actos sospechosos en la red. También puede suspender cuentas de usuario, detener o iniciar procesos y apagar el hardware o todo el sistema.

El administrador de eventos de seguridad de SolarWinds solo se puede instalar enServidor de windows. Sin embargo, sus fuentes de datos no se limitan a los registros de Windows: también puede recopilar información sobre amenazas deUnixylinuxsistemas conectados a sistemas host Windows a través de la red.

Ventajas:

• Registrar búsquedas para detección de eventos.
• Recopila eventos de Windows, Syslog y registros de aplicaciones.
• Búsquedas automatizadas de detección de amenazas
• Remediación automatizada de amenazas
• Escaneos en vivo y auditorías bajo demanda

Contras:

• No versión SaaS

Puedes obteneruna prueba gratuita de 30 díasdelAdministrador de eventos de seguridad de SolarWindspara probarlo usted mismo.

Administrador de eventos de seguridad de SolarWindsviene con cientos de reglas de correlación durante la instalación que le alertan sobre cualquier comportamiento sospechoso en tiempo real. Es bastante fácil configurar nuevas reglas gracias a la normalización de los datos de registro. Nos gusta especialmente el nuevo panel que le brinda un asiento de primera fila cuando se trata de identificar posibles vulnerabilidades de la red.

Descargar:Obtenga una prueba GRATUITA de 30 días

Sitio oficial:solarwinds.com/security-event-manager

TÚ:Windows 10, Windows Server 2012 y posterior, basado en la nube: hipervisor, AWS y MS Azure

3. CrowdStrike Falcon XDR (PRUEBA GRATUITA)

CrowdStrike Falcon XDR es un sistema de respuesta y detección de terminales con interacción adicional con herramientas de seguridad de terceros. El sistema utiliza Orquestación, automatización y respuesta de seguridad. (SOAR) para mejorar tanto la caza como la mitigación de amenazas.

Características clave:

• Sistema híbrido
• Coordina las herramientas de seguridad locales
• Orquesta respuestas a amenazas

Halcón CrowdStrike es una plataforma en la nube de módulos de seguridad y el XDR se basa en un par de otros productos del sistema SaaS. El primero de ellos es un sistema de protección de terminales llamado CrowdStrike Halcón Prevenir – un antivirus de última generación. La herramienta Prevent se instala en cada terminal. Existen versiones de este sistema para ventanas , Mac OS , y linux . Este sistema puede continuar protegiendo los puntos finales incluso cuando la red no funciona.

La siguiente capa en la solución XDR es Perspicacia del halcón . Este es un sistema de detección y respuesta de puntos finales (EDR) que coordina la actividad de cada instalación de Falcon Prevent en la empresa. Esto brinda una visión de todo el sistema y crea una red privada de inteligencia sobre amenazas. El módulo de nube de Falcon Insight recibe datos de actividad de cada instancia de Falcon Prevent, agrupa estos feeds y escanea en busca de información. indicadores de compromiso (IoC). Si se detecta una amenaza, Insight envía instrucciones de solución a las unidades de Prevención.

Ventajas:

• Detección y respuesta de endpoints con funciones adicionales
• Orquestación, automatización y respuesta de seguridad
• La protección del endpoint continúa si el dispositivo está aislado de la red

Contras:

• Requiere la instalación de Falcon PRevent en cada terminal

Halcón XDR agrega SOAR, lo que significa que puede recopilar datos de eventos de herramientas de terceros y dispositivos desprotegidos, como conmutadores y enrutadores que no tienen un servicio Falcon Prevent disponible. El sistema también puede enviar instrucciones a productos que no sean Falcon, como firewalls. Empezar unPrueba gratuita de 15 días.

CrowdStrike Falcon XDR comienza una prueba GRATUITA de 15 días

4. Salpicar

Splunk es un analizador de tráfico de red que tiene capacidades de detección de intrusiones y IPS.

Características clave:

• Herramienta de procesamiento de datos flexible
• Opción SIEM
• Respuestas automatizadas

Hay cuatro ediciones de Splunk:

• Libre de salpicaduras
• Splunk Light (prueba gratuita de 30 días)
• Splunk Enterprise (prueba gratuita de 60 días)
• Splunk Cloud (prueba gratuita de 15 días)

Todas las versiones, excepto Splunk Cloud, se ejecutan enventanasylinux. Splunk Cloud está disponible en unSoftware como servicio(SaaS) a través de Internet. Las funciones IPS de Splunk solo están incluidas en las ediciones Enterprise y Cloud. El sistema de detección opera tanto en el tráfico de la red como en los archivos de registro. El método de detección busca anomalías, que son patrones de comportamiento inesperado.

Ventajas:

• Adecuado para una variedad de funciones de análisis de datos
• Módulo especializado en caza de amenazas
• Elección de local o SaaS

Contras:

• La versión gratuita ahora solo dura 60 días

Se puede obtener un mayor nivel de seguridad optando por el complemento Splunk Enterprise Security. Esto está disponible en una prueba gratuita de siete días . Este módulo mejora las reglas de detección de anomalías con IA e incluye más acciones ejecutables para la resolución de intrusiones.

5. Sagán

sagan es un sistema de software de detección de intrusos gratuito que tiene capacidades de ejecución de scripts. La posibilidad de conectar acciones con alertas lo convierte en un IPS.

Características clave:

• Sistema de detección de intrusiones basado en host
• Gratis para usar
• Respuestas automatizadas

Los principales métodos de detección de Sagan implican el monitoreo de archivos de registro, lo que significa que se trata de un sistema de detección de intrusos basado en host. Si también instala Snort y envía la salida de ese rastreador de paquetes a Sagan, también obtendrá funciones de detección basadas en red de esta herramienta. Alternativamente, puede alimentar los datos de la red recopilados con sea (anteriormente hermano) o Blanca en la herramienta. Sagan también puede intercambiar datos con otras herramientas compatibles con Snort, incluyendo Snorby , Squil , anal , y BASE .

Ventajas:

• Un paquete local gratuito
• Se combina con IDS basados ​​en red
• Sistema histórico y muy respetado

Contras:

• Requiere habilidades técnicas para configurar

Sagan se instala enUnix,linux, yMac OS. Sin embargo, también puede recibir mensajes de eventos de dispositivos conectados.ventanassistemas. Las características adicionales incluyen rastreo de ubicación de direcciones IP y procesamiento distribuido.

6. OSSEC

OSSECEs un sistema IPS muy popular. Sus metodologías de detección se basan en el examen de archivos de registro, lo que lo convierte en un sistema de detección de intrusiones basado en host . El nombre de esta herramienta significa ' Seguridad HIDS de código abierto ' (a pesar de la falta de una 'H' allí).

Características clave:

• Gratis para usar
• Muy estimado
• Basado en host

El hecho de que este sea un proyecto de código abierto es fantástico porque también significa que el software es de uso gratuito. A pesar de ser de código abierto, OSSEC en realidad es propiedad de una empresa:Tendencia Micro. La desventaja de utilizar software gratuito es que no recibe soporte. La herramienta se utiliza ampliamente y la comunidad de usuarios de OSSEC es un excelente lugar para obtener consejos y trucos sobre el uso del sistema. Sin embargo, si no quiere arriesgarse a depender del asesoramiento de aficionados para el software de su empresa, puede comprarun paquete de soporte profesionalde Trend Micro.

Las reglas de detección de OSSEC se denominan ' políticas .’ Puede escribir sus propias políticas de monitoreo u obtener paquetes de ellas de forma gratuita de la comunidad de usuarios. También es posible especificar acciones que deben implementarse automáticamente cuando surgen advertencias específicas.

Ventajas:

• Gran comunidad de usuarios
• Reglas de detección disponibles de forma gratuita
• Personalizable con un lenguaje de reglas de detección.

Contras:

• Un paquete de soporte profesional está disponible por una tarifa

OSSEC sigue funcionandoUnix,linux,Mac OS, yventanas. No existe una interfaz para esta herramienta, pero puede interactuar con ellakibanaotronco gris. Visita su página de descargas .

Ver también: Las mejores herramientas HIDS

7. Abra WIPS-NG

Si necesita específicamente un IPS para sistemas inalámbricos, debería probar Open WIPS-NG. Esto es unherramienta gratuitaque detectará intrusiones y le permitirá configurar respuestas automáticas.

Características clave:

• herramienta gratuita
• Escanea canales inalámbricos
• Proporciona detección de intrusiones

Open WIPS-NG es un proyecto de código abierto . El software sólo se puede ejecutar en linux . El elemento clave de la herramienta es un rastreador de paquetes inalámbrico . El elemento rastreador es un módulo sensor que funciona como recopilador de datos y como transmisor de soluciones para bloquear la intrusión . Esta es una herramienta muy competente porque fue diseñada por las mismas personas que escribieron Idioma Aircrack , que es conocida como una herramienta de hackers.

Ventajas:

• Escrito por los creadores de una herramienta hacker
• Detecta intrusos
• Instalación para expulsar a los intrusos

Contras:

• Sistema de línea de comandos que sólo se ejecuta en Linux

Otros elementos de la herramienta son un programa de servidor, que ejecuta las reglas de detección, y una interfaz. Puede ver información de la red wifi y posibles problemas en el tablero. También puede configurar acciones para que se activen automáticamente cuando se detecte una intrusión.

8. Fail2Ban

Fail2Ban es una opción IPS liviana. Esteherramienta gratuitadetecta intrusión pormétodos basados ​​en host, lo que significa que examina los archivos de registro en busca de signos de actividades no autorizadas.

Características clave:

• herramienta gratuita
• Detección basada en host
• Bloquea direcciones IP

Entre las respuestas automatizadas que la herramienta puede implementar se encuentrauna prohibición de dirección IP. Estas prohibiciones generalmente solo duran unos minutos, pero puedes ajustar el período de bloqueo en el panel de la utilidad. Las reglas de detección se llaman 'filtros' y puedes asociaruna acción de remediacióncon cada uno de ellos. Esa combinación de un filtro y una acción se llama 'celda’.

Ventajas:

• Escaneo rápido de archivos de registro
• Crea una cárcel combinando filtros con acciones
• Se ejecuta en Linux, macOS y Unix

Contras:

• Sin interfaz GUI

Fail2Ban se puede instalar enUnix,linux, yMac OS.

9. Zeek

sea(anteriormente llamado Bro hasta 2019) es otro granIPS gratis. Este software se instala enlinux,Unix, yMac OS. Usos zeekmétodos de detección de intrusiones basados ​​en la red. Mientras rastrea la red en busca de actividad maliciosa, Zeek también le brinda estadísticas sobre el rendimiento de sus dispositivos de red yAnálisis de tráfico.

Características clave:

• herramienta gratuita
• Escanea el tráfico de red
• Selecciona y almacena paquetes sospechosos

Las reglas de detección de Zeek operan en el Capa de aplicación , lo que significa que es capaz de detectar firmas en paquetes de red. Zeek también tiene una base de datos de relacionado con anomalías reglas de detección. La etapa de detección del trabajo de Zeek la lleva a cabo el ' motor de eventos .’ Esto escribe paquetes y eventos sospechosos para archivar. Guiones de políticas Busque en los registros almacenados signos de actividad intrusa. Puede escribir sus propios scripts de políticas, pero también se incluyen con el software Zeek.

Ventajas:

• Puede funcionar como monitor de red y como paquete de seguridad.
• Protección de configuración del dispositivo
• Detecta intentos de escaneo de puertos

Contras:

• Sin soporte profesional

Además de observar el tráfico de la red,Zeek estará atento a las configuraciones de los dispositivos. Las anomalías de la red y el comportamiento irregular de los dispositivos de la red se rastrean mediante el monitoreo deTrampas SNMP. Además del tráfico de red habitual, Zeek presta atención a la actividad HTTP, DNS y FTP. La herramienta también le avisará si detecta escaneo de puertos, que es un método de piratas informáticos utilizado para obtener acceso no autorizado a una red.

Elegir una herramienta del sistema de prevención de intrusiones

Cuando lea las definiciones de las herramientas IPS de nuestra lista, su primera tarea seráreduce tu selecciónsegún el sistema operativo del servidor en el que desea instalar su software de seguridad.

Recordar,Estas soluciones no reemplazan los firewalls ni el software antivirus.– brindan protección en áreas que estos métodos tradicionales de seguridad del sistema no pueden vigilar.

Tu presupuesto será otro factor decisivo. La mayoría de las herramientas de esta lista son de uso gratuito.

Sin embargo, los riesgos de ser demandadosi los piratas informáticos se apoderan de los datos de clientes, proveedores y empleados almacenados en el sistema informático de su empresa, su empresa perderá mucho dinero. En ese contexto, el costo de pagar por un sistema de prevención de intrusiones no es tan alto.

Haz una auditoría de las habilidades que tienes en sitio. Si no cuenta con personal que pueda encargarse de la tarea técnica de configurar reglas de detección, probablemente sea mejor que seleccione una herramienta que cuente con soporte profesional.

¿Actualmente ejecuta un sistema de prevención de intrusiones? ¿Cuál usas? ¿Estás pensando en cambiar a un IPS diferente? Deja un comentario en elComentariossección a continuación para compartir su experiencia con la comunidad.

Preguntas frecuentes sobre las herramientas de software IPS

¿En qué se diferencia un IPS de un firewall?

Un firewall se ubica en el límite de un sistema, ya sea una red o una computadora individual, mientras que un IPS examina los paquetes que viajan por la red. Una de las estrategias de bloqueo que puede implementar una IPS es actualizar las reglas de un firewall para bloquear el acceso a una dirección IP sospechosa.

¿Qué es mejor, IDS o IPS?

Un sistema de detección de intrusos busca comportamientos anómalos y notifica al administrador de la red cuando se detecta actividad sospechosa. Un sistema de prevención de intrusiones activa automáticamente flujos de trabajo de remediación para bloquear actividades sospechosas. La decisión sobre cuál es mejor depende de las preferencias personales. ¿Quiere que le den la opción de decidir si tomar medidas o quiere que esa decisión se tome por usted?

¿Puede una IPS prevenir un ataque DDoS?

Los servicios IPS no son adecuados para la defensa contra ataques DDoS. Esto se debe a que una estrategia DDoS nunca llega a la red donde operan los IPS. Un ataque DDoS envía una avalancha de solicitudes de conexión con formato incorrecto sin ninguna intención de establecer una conexión. Los servicios perimetrales son un mecanismo más apropiado para absorber el tráfico DDoS.