Uno podría preguntarse ¿para qué necesitamos un IDS si ya tengo un cortafuegos?, ¿no bloquea éste todos los ataques? En realidad, los cortafuegos están más orientados a proteger una red de ataques externos que de ataques procedentes de la propia red.

Un cortafuegos bien configurado bloquea el acceso por puertos y protocolos excepto a unos cuantos especificados por el administrador, en los cuales se desea ofrecer ciertos servicios, como por ejemplo el servicio web en el puerto TCP 80. Esto significa que se permitirá la entrada de tráfico dirigido a esos puertos, dándolo por bueno.

El primer problema reside en la capacidad de atacar un servidor a través de puertos permitidos. Por ejemplo, el gusano Nimda se propagó por un agujero de IIS en servidores Windows 2000, enviando comandos para su ejecución en el servidor ¡a través del puerto 80! Por tanto, estaba permitido su paso a través del cortafuegos. Un IDS se habría dado cuenta de que algo estaba ocurriendo.

El segundo problema radica en que, normalmente, las reglas del cortafuegos bloquean tráfico de entrada, pero no el de salida. Precisamente, Nimda establece sesiones de TFTP desde dentro de la red protegida por el cortafuegos hacia fuera, burlando la protección de éste. Según estadísticas de ataques, alrededor del 80% de ataques se producen desde el interior de la empresa (p.e. empleados desleales, descontentos o topos), circunstancia en el que el cortafuegos resulta de poca ayuda, ya que no se entera de nada de lo que está pasando dentro de la red que protege. No ocurre así con un IDS, que habría alertado puntualmente de esta actividad.

Por consiguiente, un buen IDS responderá eficientemente ante ataques internos y ataques externos a través de las rutas legítimas que explotan reglas permitidas por el cortafuegos.

A continuación se examinan los dos tipos más importantes de IDS: los basados en red (NIDS) y los basados en hosts (HIDS).