IPS & IDS

 

안녕들 하시죠 !

 

오늘은 보안솔루션 IPS 와 IDS에 대해 알아보겠습니다.

 

1. 방화벽의 한계

 

일반적으로 방화벽을 도입하면 모든 종류의 위협을 차단할 수 있다고 생각합니다.

방화벽은 필수적인 보안솔루션임에는 틀림없지만 실질적으로 IP와 포트( TCP/IP 프로토콜 상에서 Network Layer 의 IP address 및 Transport Layer 의 Service port ( HTTP : 80 포트) )를 기반으로하는 차단 솔루션 이기에, 외부에서 내부로 반드시 들어와야 하는 서비스 ex) 이메일, 웹 서비스 와 같은 경우 악의적인 사용자에 대한 식별이 불가능합니다.

이를 보안하기 위한 솔루션의 필요성이 생겨났습니다.

 

2.  IDS ( Intrusion Detection System )

 

IDS는 자체적으로 내장된 각종 해킹수법을 기반으로 한 룰과 트래픽 ( TAP 이라는 원본 트래픽을 손실이나 변조없이 복사해주는 이라는 장비를 이용)을 비교하여 컴퓨터시스템의 비정상적인 사용, 오용, 남용 등을 실시간으로 탐지하는 네트워크 기반의 보안솔루션입니다.

 

트래픽 ?

트래픽(traffic)은 '교통' 이라는 영단어이다. 컴퓨터 용어에서 트래픽은 전화나 인터넷 연결선으로 전송되는 데이터의 양을 말한다.

트래픽 양이 많다는 것은 전송되는 데이터의 양이 많다는 것을 뜻한다.

트래픽이 너무 많으면 서버에 과부하가 걸려서 기능에 문제가 생기기도 한다.

참고 「네이버 지식백과」

2.1. 기능

 

ㆍ 침입 탐지 시스템

ㆍ 시스템에 대한 인가되지 않은 행위와 비정상적인 행동을 탐지

ㆍ 탐지된 불법 행위를 구별하여 실시간으로 침입 탐지

ㆍ 정상 트래픽의 흐름을 간섭하지 않고 단지 감시하는 기능을 제공

- TAP을 이용한 원본 데이터를 복사하여 검사하여 보안상의 위협 찾기

ㆍ 데이터 수집, 데이터 필터링 및 축약, 침입 탐지, 책임 추적성과 대응

 

2.2. 사용 목적

 

ㆍ 단순 접근 제어나 방화벽 등의 침입차단 시스템의 탐지 기능 한계

ㆍ 인증된 사용자나 이를 가장한 침입자의 공격 대비

ㆍ 침입 경로의 다양화, 해킹 수법의 고도화에 대한 대비

참고 「K-Shield Jr. 기술보안 운영」

 

 

침입 탐지 시스템( IDS )는 90년대 말부터 방화벽과 함께 많이 도입이 됬지만, 정상적인 트래픽임에도 불구하고 악성트래픽으로 오인하는 경우가 있고 대규모 네트워크에서 사용하는데 곤란하고 새로운 침입기법에 대한 즉각적인 대응이 곤란합니다.

IDS는 보안사고에 근본적인 해결책이 되지 못하며, 정비성능이 안정화되고 수준이 올라감에 따라 탐지만 하는것이 아닌 사전에 침입을 방지하는 시스템의 필요성이 대두되었습니다.

그런 필요성으로 인해 침입탐지, 안티 바이러스와 같은 Signature 기반의 기술들과 방화벽과 같은 네트워크 기반의 차단 솔루션을 논리적으로 결합한 방식의 솔루션( IPS )이 나오게 됩니다.

 

 

 

 

 

3. IPS ( Intrusion Protection System )

 

침입 방지 시스템으로써 자체적으로 내장된 각종 해킹수법을 기반으로 비정상적인 트래픽에 대해 능동적으로 해당 트래픽을 차단, 격리 등 방어조치를 취하는 보안 솔루션이다.

 

3.1. 기능

 

ㆍ 침입 차단 시스템

ㆍ OS나 Application의 취약점을 능동적으로 사전에 예방

ㆍ 외부에서 내부 네트워크로의 침입 방지

ㆍ 위험 인지와 시스템 인지를 통해 능동적인 방어 제공

ㆍ 비정상적인 트래픽 차단

 

 

IPS는 방화벽이 검사할 수 없는 Application 상위 계층까지 검사할 수 있습니다.

방화벽에서 검사할 수 없는 영역인 패킷의 Application Data영역을 좀 더 심도있게 분석한다는 의미로 DPI( Deep Packet Inspection) 이라는 용어가 사용되고 있습니다.

상위계층을 검사하면서 성능 유지 및 트래픽의 지연이 발생하지 않도록 하기위해 상대적으로 고사양 하드웨어를 사용하고, 지속적인 악성코드 탐지 시그니쳐를 업데이트해야 하기 때문에 방화벽에 비해 값이 비쌉니다.

 

IPS의 주요기능은 방화벽으로 차단할 수 없는 트래픽의 Application Data에 포함된 해킹/악성코드/비정상 트래픽을 추출하여 차단하는 것입니다.

 

이러한 기능은 시그니쳐 기반 과 비정상 탐지 기술로 나누어 집니다.

 

시그니쳐 기반 기술의 개념은 V3같은 안티바이러스와 유사한 방식이며, 이미 발견되고 정립된 공격패턴을 미리 입력 및 DB화 해두고, 거기에 해당하는 패턴을 탐지하게 되었을때 이를 알려주는 것입니다. 

탐지 오판율이 낮고 효율적이나, 알려지지 않은 공격에는 효과적이지 않으며 대량의 자료를 분석하는데에는 부적합하고 어떤 순서로 공격했는지에 대해 알기 어렵습니다.

 

비정상 탐지 기술은 정상적이고 평균적인 상태를 기준으로 하여, 이에 상대적으로 급격한 변화를 일으키거나 확률이 낮은 일이 발생할 경우 침입 탐지를 알리는 것입니다.

평균적인 상태에 대비한 이상상태를 추정하여 탐지하는 것이므로 오탐율이 높은 단점이 있습니다.

이부분은 오탐율을 낮출 수 있는 인공지능을 적용한 형태로 발전중입니다.

 

실 환경에서는, 시그니쳐 기반 기술로 탐지 및 차단 정책을 적용하고 있으며 비정상 탐지기술은 탐지기능만을 적용하여 관리자가 탐지된 정보를 기반으로 분석 및 수동 조치하는 식으로 운영한다고 합니다.

 

IDS/IPS의 설치 구간 제약은 없으나, 일반적으로 인터넷 구간의 방화벽 뒷단에 설치하여 방화벽 차단정책으로 필터링할 수 없는 트래픽을 좀더 자세하게 탐지하여 차단하는 형식으로 구성하여 사용자 및 서버를 보호하는 역할을 수행합니다.

 

 

국내의 대표적인 IPS 제품으로는 AhnLab의 TrusGuard IPX, 맥아피의 NSP, 시스코의 NGIPS, 시큐아이의 SECUI MFI New Edition, 포티넷의 포티게이트, 윈스의 스나이퍼 IPS 등이 있습니다.

 

 

오늘은 여기까지입니다 감사합니다 !

 

 

 

참고 AhnLab 전문가 칼럼 조육왕 「방화벽이 모든 것을 차단할 수 없다면 ?」

「K-Shield Jr. 기술보안 운영」