IPS란 Intrusion Prevention System의 약자로, 침입 방지 시스템이다.
IDS란 Instrusion Detection System의 약자로, 침입 탐지 시스템이다.
IPS와 IDS는 동일한 탐지엔진을 갖고 검사 영역도 거의 동일하지만 탐지기능만 수행하는지 탐지기능에 차단기능까지
수행하는지의 여부에 차이가 있다.
예를 들어 IDS는 침입 발생시 관리자에게 경고창을 띄우는 등의 방식으로 탐지 사실만 알리고
IPS는 침입 발생 전 실시간으로 침입을 차단하는 시스템이다.
그렇다면 이 IPS와 IDS는 어떤 구조에서 어떻게 사용되는지 그림을 통해 알아보자.
위의 그림을 간단히 설명하자면, KT와 연결된 E600은 관문스위치가 달려있다. 관문을 지나고나면 KT회선을 타고 인터넷을 나가도록 되어있다.
또한 아래의 C300은 백본스위치가 달려있다. 그릐고 웹방화벽을 지나 4개의 내부시스템으로 이루어져 있다.
예를 들어 그림과 같은 구조에서 네트워크를 타고 데이터가 들어온다고 가정해보자. KT회선을 통해 관문스위치를 지나 NGFW를 거친다. NGFW란 New Generation Fire Wall의 약자로 차세대 방화벽이라는 뜻이다. 차세대 방화벽은 일반방화벽에 비해 더비싸다, 일반방화벽은 포트까지만 보는, 즉 네트워크 4계층까지만 보지만, 차세대방화벽은 프로토콜까지보는, 즉 네트워크 6~7계층까지 보기때문이다. 따라서, 차세대방화벽이 볼 수 있는 레이어가 더 많기 때문에 컴퓨팅 리소스가 많이소요되고 차세대 방화벽만 사용되는 경우 딜레이가 많이된다. 하지만, 차세대방화벽은 프로토콜까지 보기 때문에 더 보안성이 뛰어나다. 따라서 보통은 딜레이해소를 위해 일반방화벽을 차세대방화벽 전에 세워서 1차필터링을 거치고, 차세대 방화벽을 거치도록 한다. 예로들어 데이터가 들어올때 443포트 HTTPS만 통과시키는 시스템이라면, 포트가 443포트라고 하더라도 프로토콜이 HTTPS가 아니면 차세대 방화벽에서 통과를 못시키게 하는 것이다.
이후 IPS에서 HTTPS의 경우 암호화가 되어있는데 이를 복호화하고 자기가 가지고 있는 시그니처 중에 침해가 가능한 악성코드의 시그니처가 있는지 살펴본다. 즉, IPS와 IDS는 악성코드를 탐지하기 위해 시그니처가 내부에서 동작한다.
그렇다면 IPS/IDS와 일반방화벽과의 차이는 무엇이 있을까?
IPS/IDS는 3~7계층인 네트워크~어플리케이션 계층을 전부 검사한다. 일반방화벽은 3~4계층만 검사한다.
즉, IPS/IDS는 패킷의 헤더부터 페이로드 내의 데이터까지 전부 검사를 하지만 방화벽은 패킷의 헤더만 검사하는 것이고 방화벽은 IP/Port를 기반으로 차단을 수행한다.
IPS와 IDS의 주요 기능들에 대해 좀 더 자세히 알아보자.
먼저 IDS의 주요 기능들로는 첫번째로 네트워크 증적 자료 확보 기능이다.
인라인 혹은 미러링으로 구성되어 네트워크 트래픽을 모두 모니터링 할 수 있는 위치에서 구성되므로, 보안상 필요로 하는 모든 네트워크 트래픽을 수집한다. 하지만 저장용량의 한계로 정말 필요한 것만 저장하기 위해 두번째 기능인 데이터 필터링과 축약을 사용해 필터링해서 저장하거나 축약해서 저장한다. Storage를 활용할 수도 있다.
세번째로는 침입을 탐지하는 기능인 침입 탐지이다.
네번째로는 이미 발견되고 정립된 공격 패턴을 미리 입력해두었다가 해당하는 패턴이 탐지되면 알려주는 오용 탐지 기법이다.
다섯번째로는 정상적이고 평균적인 상태를 기준으로 급격한 변화를 일으키거나 확률이 낮은 일이 발생하면 알려주는 이상 탐지 기법이다. 잘못 잡아 내는 오탐, 잡아내야 하는데 못잡아내는 미탐, 잡아내면 안되는 것까지 잡아내는 과탐을 줄이기 위해 행위 기반 분석을 위한 AI기법을 활용한다.
IPS의 주요 기능들로는 위에서 설명한 IDS의 기능들에 추가로 막을거냐 말거냐에 대한 고민을 한다.
위와 같은 그림에서 알아보자면, 들어오는 패킷들을 IPS에서는 여러개의 필터를 사용해서 결함 패킷이나 유해 패킷들을 거를 수 있다. 무결성 검사 필터에서 먼저 결함 패킷을 거르고, 공격 검사 필터에서 유해 패킷을 거른다.
혹은, 가상 머신을 활용해 방지 할 수도 있다.
가상머신을 만들어 놓고 이 가상머신에서 악성코드를 실행시켜보고 반응을 한번 보는 것이다.
그렇다면 IPS와 IDS의 차이점은 무엇일까? IPS는 탐지+방어를 하고 IDS는 탐지만 한다.
IPS가 좋아보이지만 장단점이 있다. IPS는 지나가는 패킷을 실시간으로 처리해야 하기 때문에 신속히 처리해야 서비스가 느려지지 않는다. 따라서, 네트워크 부하 발생이 있을 수가 있고, 실제 대응을 하기 때문에 오탐 발생 시 곤란할 수 있다.
IDS는 지나간 패킷을 복사하여 검사하기 때문에 네트워크 부하를 유발하지는 않지만 공격패킷을 실시간으로 제어할 수 없고 오탐에도 큰 영향을 받지 않기 때문에 룰최적화가 잘 이루어지지 않을 수 있다는 단점이 있다.
'Dev > Network' 카테고리의 다른 글
[Network] 네트워크 접근제어(NAC)의 모든 것 (0) | 2022.06.05 |
---|---|
[Network] OSI 7 계층의 Session Layer(세션 계층), Presentation Layer(표현 계층)에 대한 개념 정리 (0) | 2022.01.10 |
[Network] OSI 7 계층의 Top Layer(전송 계층)에 대한 개념 정리 (0) | 2022.01.10 |
[Network] OSI 7 계층의 Network Layer(네트워크 계층)에 대한 개념 정리 (0) | 2022.01.10 |
[Network] SOAP, REST의 개념과 차이점 정리 (0) | 2022.01.10 |