IPS와 IDS

IPS,IDS

IPS와 IDS는 어플리케이션 계층에서 이루어지는 공격을 탐지하고 방어하는 역할을 맡습니다. 어플리케이션 계층에서의 방어를 위해서 하위 계층까지 검사를하기도 합니다. 보통 방화벽이 L3,L4에서 작동하는데 IPS,IDS는 L7부터 L3까지 다 검사합니다.

IDS는 Intusion Detection System의 약자로 시스템 해킹 탐지를 목적으로 개발된 시스템입니다. 탐지가 주 목적인 만큼 방어 보다는 트래픽을 복제해 검토하고 침입여부를 판단합니다.

IPS는 Intrusion Prevention System의 약자입니다. 시스템 해킹 방어를 목적으로 개발되었습니다. 만약 공격이 발견될 경우 트래픽을 차단하는 역할을 맡습니다. 그렇기 때문에 트래픽이 지나가는 인라인에 배치됩니다. 최근에 만들어지는 대부분의 솔루션들은 IPS의 일종입니다.

IPS는 네트워크 기반 IPS와 호스트 기반 IPS로 나뉘는데 대부분은 네트워크 기반의 IPS입니다.

IPS는 공격을 탐지, 방어하기 위해 패턴매칭 방식, 프로토콜 어노말리, 프로파일 어노말리 방식으로 작동합니다.

우선 패턴 매칭 방식은 기존 공격이나 취약점을 통해 공격 방식에 대한 정보를 습득해서 데이터베이스에 저장해 놓았다가 공격이 올 경우 데이터베이스에 저장된 방식인지 확인하여 방어하는 기술입니다.

하지만 패턴 매칭 방식의 경우 빠르게 변화하는 공격에 대해서 데이터베이스를 실시간으로 최신화하기가 힘들어서 공격 방어에 한계가 있습니다. 그 결과 어노말리 방식의 방어 방식이 만들어졌습니다. 기존의 패턴 매칭은 데이터베이스에 블랙리스트들을 저장해 놓고 블랙리스트에 해당하는 공격을 막는 방식이었다면 어노말리 방식은 화이트리스트 기반의 공격 방식으로 특정 기준을 두고 그 기준을 넘어가면 어노말리로 판단하고 방어하는 방식입니다.

어노말리 기법은 프로파일 어노말리랑 프로토콜 어노말리로 구분됩니다.

프로파일 어노말리는 평소 관리자가 정해놓은 기준 또는 IPS장비가 가지고 있는 기준과 다른 행위가 일어나면 공격으로 판단합니다. 프로토콜 어노말리는 감염된 내부 PC가 외부 서버와 통신하는 것을 막기 위해 만들어진 방어 방식입니다. 프로파일 어노말리는 실제 해당 서비스에서 동작하는 프로토콜이 아닌데 해당 서비스의 포트를 쓰는 경우를 파악해서 PC를 적절히 제어하는 방식입니다.

이러한 IPS 또한 단점이 존재합니다. 바로 우회가 쉽다는 점과 오탐이 많이 발생하기 때문에 초기에 환경에 맞는 튜닝작업이 필요하고 관리 인력이 많이 필요하다는 점입니다. 그래서 NGIPS와 같은 어플리케이션 인지가 가능하고 다양한 시스템과 연동되고 APT공격을 방어할 수 있는 장비로 대체되고 있습니다.

출처: IT엔지니어를 위한 네트워크 입벽