[알쓸신잡] IDS, IPS의 모든 것

[IDS/IPS]

IDS(Intrusion Detection System)

- 침입 탐지 시스템

- 외부에서 내부로 들어오는 패킷이 정상인지 아닌지를 탐지하는 솔루션

HIDS(Host-based Intrusion Detection System)

- 호스트 기반 침입 탐지 시스템

- 네트워크에 대한 침입탐지는 불가능하며 스스로가 공격 대상이 될 때만 침입을 탐지 할 수 있다. (Tripwire)

NIDS(Network Intrusion Detection System)

- 네트워크 기반 침입 탐지 시스템

- Promiscuos Mode에서 동작하는 네트워크 인터페이스에 설치

- 암호화된 내용 탐지 불가

*Tripwire : 자신의 시스템 전체에 대해 디지털 방식으로 스냅사진을 찍어 보관 후 Tripwire를 실행 할 때마다 전에 찍어둔 원본 스냅 사진과 현재의 파일을 비교하면서 자신의 파일시스템의 변경 사항을 알아 낼 수 있게 해준다. _ 보안 프로그램(무결성 검사)

IPS(Intrusion Prevention System)

- 침입 방지 시스템

- IDS와 방화벽의 조합으로 생각할 수 있다.

- 패킷들의 패턴을 분석한 뒤, 정상적인 패킷이 아니면 방화벽 기능을 가진 모듈로 패킷을 차단한다.

IDS/IPS 탐지 방식

- 시그니처 기반 탐지 방식

- 이미 알려진 공격에 대한 시그니처와 비교하여 탐지

- 행위 기반 탐지 방식

- 네트워크에 흐르는 데이터를 학습하여 비정상적으로 흐르는 트래픽이나 패킷의 임계치로 이상 현상을 탐지

- 새로운 공격 유형을 탐지 할 수 있지만, 오탐이 많이 생길 수 있다.

- 룰 기반 탐지 방식(Snort)

- 정의된 규칙을 활용하여 탐지하는 방식

*Snort : 내가 정한 룰대로 탐지하는 솔루션, 헤더와 옵션을 나눌 수 있고, IDS/IPS는 문자열 패턴을 검사할 수 있는 룰 옵션 구조를 이용할 수 있어 패킷의 데이터 영역까지 검사함으로써 방화벽과 차별화가 이루어진다.

- 룰 헤더 : 송/수신 방향이 주어진 룰 헤더

- 룰 옵션 : 공격방식을 검사하는 값, IDS/IPS는 문자열 패턴 검사로 룰옵션 구조를 이용해서 패킷 데이터를 검사

IDS/IPS 네트워크 구성

- In-Line 방식

- NIDS의 차단 기능을 이용하려 할 때 구축하는 방식

- IDS에서 공격으로 탐지되는 경우 해당 공격을 차단할 수 있다.

- IDS 하드웨어 장애가 발생하면 네트워크 장애까지 발생 할 수 있다.

- Span 방식(Mirroring)

- Mirroring 기능을 지원하는 스위치 허브를 통해 네트워크의 트래픽을 복사한뒤 공격을 탐지하는 방식

- 네트워크 트래픽이 과도하게 발생하는 경우 일부 패킷이 누수되는 일이 발생

- 네트워크 서비스 구성의 변경 없이 모니터링 가능

- TAP(Test Access Port) 방식

- Mirroring 기능을 하는 네트워크 전용 장비로 네트워크 장비에서 수집되는 패킷들을 복제하여 전달 하는 역할을 한다.

- TAP 장비를 통해 다양한 보안 장비의 테스트망을 구성할 수 있어 네트워크망 구성의 변경 없이 테스트 가능하다.

- TAP 전원이 꺼져도, 기능상에 결함이 발생해도 네트워크에 영향을 주지 않는다.

- 규모가 큰 기업이나 여러 네트워크 보안 장비 BMT(Benchmarking Test)등을 수행하는 경우 TAP 방식을 사용

- UTP TAP, Fiber TAP, WAN TAP등이 있다.

Port Mirroring(포트 미러링)

- 하나 이상의 포트의 트래픽 정보를 그대로 복사시켜 다른 포트로 복사시키는 기법

- 미러링 방식중 하나이다.