# 22. Seguridad perimetral y detección de intrusos (IDS/IPS)

Propósito del apartado
Describir sistemas de detección y prevención de intrusiones, su despliegue, tipos de detección (firma vs anomalía) y respuesta operativa.

IDS vs IPS
- IDS: monitorización pasiva y alertas; IPS: inline y capacidad de bloquear tráfico.

Técnicas de detección
- Basadas en firmas (Snort, Suricata) vs análisis de anomalías y machine learning.

Despliegue y tuning
- Colocación: inline, tap/SPAN; tuning de reglas para reducir falsos positivos y uso de whitelists.

Respuesta y correlación
- Integración con SIEM para correlación y orquestación de respuesta (SOAR).

Puntos de estudio
- Configurar reglas básicas en Snort/Suricata y analizar logs; comprender workflow de un SOC.

Lecturas internas recomendadas
- Guías de Snort/Suricata y documentación sobre SOAR/SIEM.