[이론 정리] IDS와 IPS란?

 

2023 알기사 정보보안기사(산업기사) 필기+핵심기출 1200제:2013~2022년 기사/산업기사 기출문제 완벽

"이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다."

 

 

 

 

🚀 침입 방지와 탐지

    🔽  IDS(Intrusion Detection System)

        📦 개요

침입 탐지 시스템이라고도 불리는 IDS는 네트워크에서 사용되는 자원의 무결성, 비밀성, 가용성을 저해하는 비 정상적 사용과 오용, 남용 등의 행위를 가능한 실시간으로 탐지하여 관리자에게 경고 Message를 보내주고, 대응하는 System이에요.

즉, 침입 탐지 시스템은 외부 침입에 대한 정보를 수집, 분석하여 침입 활동을 탐지해 이에 대응하도록 보안 담당자에게 통보하는 기능을 수행하는 네트워크 보안 시스템이에요.

 

 

 

        📦 특징

내, 외부망의 접속점에 위치 시켜 방화벽의 부족한 부분을 보강하기 위해 사용되는 것이 침입 탐지 시스템이에요.
IDS 도구의 기본 목적은 네트워크 상에서 발생하는 의심스러운 행동을 발견하고, 네트워크 관리자의 스크린으로 깜박이는 Message를 전달하며, 경고음을 발생시키거나, 방화벽의 ACL 값을 변경 시키는 재 설정 File 전송을 해 준답니다.

전통적 IDS는 공격의 증거를 찾기 위한 네트워크 트래픽 분석의 역할을 수행했지만, 점차 IDS는 시스템의 침해 여부를 보기 위해 Access Log들을 조사하여 File을 분석하는 것으로 변하였고, 또한, 허니팟(Decoy 기반 침입 탐지 시스템) 개념으로 점차 확장/변화하고 있다고 해요.

 

 

        📦 IDS 장, 단점

장    점	단     점
∙ 해킹에 대하여 침입 차단 시스템보다 적극적 방어 가능 ∙ 내부 사용자의 오, 남용 탐지 및 방어 가능 ∙ 해킹사고 발생 시 어느 정도의 근원지 추적 가능	∙ 대규모 Network 사용 어려움 ∙ 관리 및 운영 어려움 ∙ 새로운 침입 기법에 대한 즉각적인 대응 어려움 ∙ 보안 사고에 대한 근본적 해결책을 제시하기 어려움

 

728x90

 

💡 IDS와 IPS
1. IDS
∙ 침입 여부 탐지
∙ 보안관리자에게 경보
∙ 방화벽 등과 연계한 차단
∙ 분류
  ㄱ. 오용(-) - 비정상적 행위에 대한 Data 축적 / 비정상 (+) - 정상 행위 Data 축적
  ㄴ. Host - 청원 경찰 / Network 내 음주 단속 경찰
  ㄷ. 수동 / 능동
  ㄹ. 사투 / 실시간

2. IPS (IDS + F/W + Secure OS)
∙ 침입 탐지 및 차단
∙ Active and Proactive
∙ 자체적으로 직접 차단 처리

3. Honeypot - 낚시대 (해커들을 낚기 위해 사용)

 

 

 

 

        📦 IDS 실행 단계

1. Data 수집(Row Data Collection) 단계: 탐지대상(시스템 사용내역, 패킷 등)으로부터 생성되는 Data 수집 감사 데이터(Audit Data) 수집 단계

2. Data 가공 및 축약(Data Reduction and Filtering) 단계: 수집된 감사 데이터를 침입 판정이 가능하도록 의미 있는 정보로 전환 시키는 단계

3. 침입 분석 및 탐지 단계: Data를 분석하여 침입 여부를 판단하는 침입 탐지 시스템의 핵심 단계로 여러 탐지 기법이 있는데, 시스템의 비정상적 사용을 탐지하는 비정상적 행위 탐지 혹은 시스템의 취약점, 응용 프로그램 Bug 등을 탐지하는 오용 탐지 기법이 있다. 최근 비정상적 행위 탐지 기법과 오용 탐지 기법을 혼합하여 사용되는 하이브리드형 탐지 기법이 많다.

4. 보고 및 대응(Reporing and Response) 단계: 시스템의 침입 여부가 침입으로 판정된 경우 이에 대한 적절한 대응을 자동으로 하거나, 보안 관리자에게 침입 사실을 보고 하여 보안 관리자가 조치를 취하게 한다.

💡 참고 사항
Data 가공 및 축약
보안 감사에서 Loging 시 '보지 않을 거면 모으지도 말라'라는 말이 있는데, 매우 방대한 Data는 효과적인 대응을 방해 하기 때문에 침입 탐지 시스템은 Data의 효과적인 필터링과 축약이 필수이다.

 

반응형

 

 

 

 

        📦 종류

출처: 알기사 정보보안기사 필기 그림 5.9.1

 

 

 

    🔽  IPS(Intrusion Prevention System)

        📦 개요

다양하고, 지능적인 침입 기술에 대항해 다양한 방법의 보안 기술을 이용하여 침입이 일어나기 전 실시간으로 침입을 막고, 인터넷 웜, 악성코드 및 해킹에 기인한 유해 트래픽을 차단하기 위한 능동형 보안 솔루션이에요.

침입 탐지가 목적인 IDS 기능을 넘어 침입을 탐지 했을 시에 대한 대처까지 수행하는 친구랍니다.
즉, IPS는 예방적이고, 사전에 조치를 취하는 기술이에요. 반면 IDS는 탐지적이고, 사후에 조치를 취하는 기술이랍니다.

Firewall, IDS, Secure-OS 등의 보안 기술에 기반을 둔 IPS는 취약점을 능동적으로 사전에 보완하고, 웜이나, 버퍼 오버플로우, 특히 비 정상적 트래픽, 알려지지 않은 공격까지 차단하기 때문에 한층 높은 보안을 제공해 주고 있어요.

        📦 IPS의 필요성

방화벽은 IP 주소 또는 Port에 의한 Network 공격을 차단할수는 있지만, 응용 프로그램 수준의 공격과 새로운 Pattern의 공격에 대한 적응력이 무척 낮고, 실시간 대응을 할 수 없어요.

침입 탐지 시스템은 실시간 탐지는 가능하나, 대응책을 제시하지 못하기 때문에 그 대안이 요구 되었답니다.

예전에는 이런 한계점이 큰 문제가 되지 않았으나, 요즘은 방화벽과 침입 탐지 시스템만으로 공격을 막을 수 없는 지경까지 와 버렸어요. 가장 큰 이유는 바로 엄청나게 빨라져버린 컴퓨터 속도에요.

구  분	내  용
침입 차단 시스템	∙ 대규모 네트워크에서 사용 어려움 ∙ 신뢰/비신뢰 구간을 명확히 분리 할 수 있는 환경에 적용 ∙ 비인가된 사용자 정보 및 시스템 접근을 효율적 차단 ∙ 인가된 사용자 / 시스템의 악의적 행동 차단 어려움
침입 탐지 시스템	∙ 인가된 사용자의 악의적인 행동 감시가 필요한 환경 적용 ∙ 세션 기반의 악의적인 행동에 대한 효율적 탐지 및 차단 ∙ 탐지 이후 방화벽 연동에 의한 차단 외 적절한 차단 대책 없음
Virus Wall	∙ 특정 File에 기생하여 이동하는 악성 프로그램 제거 ∙ Mail, File 공유 등을 통해 전파되는 악성 코드 효과적 제거 ∙ 취약점을 통해 전파(technical Attack)되는 공격에 대응 불가
L7 Switch	∙ 방화벽 전단에 위치하여 DoS/DDoS 공격 mitigation 용으로 사용 ∙ 최종적 Session 기반 탐지 / 차단 및 세밀한 차단 정책 적용 불가

 

 

💡 참고 사항
Virus Wall
Virus에 대한 백신 제품의 일종으로 방화벽과 동일한 개념

 

IPS는 단순한 Network 단에서 탐지를 제공할 수 없는 각 종 서버를 위해 알려지지 않은 공격까지도 방어할 수 있는 실시간 침입 방지 시스템으로, OS 차원에서 실시간 방어와 탐지 기능을 제공하고 있어요.

 

        📦 IPS, F/W, IPS 비교

구   분	F/W	IDS	IPS
목  적	접근 통제 및 인가	침입 여부 감지	침입 이전 방지
특  징	∙ 수동적 차단 ∙ 내부망 보호	Log, Signature 기반 패턴 매칭	정책, 규칙 DB 기반 비정상 행위 탐지
패킷 차단 기능	O	X	O
패킷 내용 분석 기능	X	O	O
오용 탐지 기능	X	O	O
오용 차단 기능	X	X	O
이상 탐지 기능	X	O	O
이상 차단 기능	X	X	O
장  점	∙ 엄격한 접근 통제 ∙ 인가된 트래픽 허용	∙ 실시간 탐지 ∙ 사후 분석 대응	∙ 실시간 즉각 대응 ∙Session 기반 탐지 기능
단  점	∙ 내부자의 의한 공격 방어 불가 ∙ 네트워크 병목 현상	변형된 패턴 탐지 불가	∙ 오탐 발생 가능 ∙ 장비 고가

🧐 참고 자료

2023 알기사 정보보안기사(산업기사) 필기+핵심기출 1200제:2013~2022년 기사/산업기사 기출문제 완벽

"이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다."