방화벽 IPS와 IDS

이 블로그는 제가 공부한 것을 바탕으로 정리 목적으로 사용되고 있습니다.

작성 내용중 부족한 부분이나 잘못된 부분을 지적해주시면 감사하겠습니다 (꾸벅)

방화벽 - 네트워크 패킷에서 3계층과 4계층을 기반으로 IP와 PORT 정보를 기반으로 방어를 하는 개념

IDS, IPS - 3계층부터 7계층까지의 패킷 내용을 문자열 비교에 의해 침입 시도를 감시하고 차단하는 역할

차이점은 문자열을 비교할 때 비교하는 DATA의 종류가 다르다는 것

IDS, IPS에서 검사하는 문자열은 Application Layer에 쌓여있는 상태의 데이타이다.

어플리케이션 층에서 암호환된 데이터를 IDS, IPS에서는 기존의 문자열 비교를 통해서는 침입 패턴을 검출해 낼수 없다는 것이다. 

IPS, IDS는 Dos나 DDos를 탐지 및 차단을 하고 방화벽은 일부 지원한다고 한다.

IPS, IDS는 바이러스나 웜은 탐지 및 차단이 가능하고 방화벽을 불가능한다.

IPS, IDS

-IDS(탐지) : 탐지 대상 시스템이나 네트워크를 감시하여 비인가 되거나 비정상적인 행동을 탐지하여 구별

한계성 1. 침입에 대한 자동 대응 2. 근원적인 차단 3. 우회공격 기법 증가

                

- IPS(방지) : IDS와 마찬가지로 네트워크 트래픽을 감시, 위협을 인지한 후 이에 즉각적인 대응을 위한 네트워크 보안 기술 

침입 탐지 시스템 IDS(Insrtrusion Detection System)

컴퓨터 또는 네트워크세어 발생하는 이벤트들을 모니터링하고, 침입 발생 여부를 탐지하고, 대응하는 자동화된 시스템이다.

IDS는 원본 트래픽을 손실이나 변조없이 복사해주는 장비인 TAP로 트래픽을 검사하는 구조이다. 즉 IDS는 트랙픽 유통에는 전혀 관여하지 않는 OUT OF PATH방식이다.

IDS는 방화벽과 연동하여 공격을 차단하는 소극적인 방어가 가능하다.

IDS와 IPS의 핵심 기능 사전에 정의된 룰과 트래픽의 비교를 통해서 보안 위협을 찾아내는 것이다.

IDS의 실행 단계

     1) 데이터 수집

     2) 데이터 가공 및 축약

     3) 침입 분석 및 탐지 단계

     4) 보고 및 대응

                                   

탐지 방법에 의한 분류

분류	특징	장점	단점
지식기반/오용 침입 탐지 (Mususe Detection) M.D	특정 공격에 관한 분석 결과를 바탕으로 패턴을 설정 비정상 -> 비정상 Case로 트래픽을 보냄 Signature Pattern Knowledage-Base Expert System	오탐률이 낮음 트로이 목마, 백도어 공격 탐지 가능	패턴에 없는 새로운 공격에 대해서는 탐지 불가능 (기록에 없기 때문에) False Negative (미탐 : 탐지율이 낮다)
행위 기반/ 비정상행위 침입 참지 (Anomaly Detection) A.D	급격한 변화가 발견되면 불법침입으로 탐지하는 방법 정량적인 분석, 통계적 분석을 사용 Beahavior, Profile 작성 (통계 임계차 -> 공격 간주 수치) 인공지능 : 학습 능력이 있다.	알려지지 않은 새로운 공격 탐지 기능 인고지능 알고리즘	Flase Positive (오탐률이 높음)

데이터 수집원에 의한 분류

네트워크 기반 IDS (Network-Based IDS)

NIDS는 감지기를 이용하여, 이것은 소프트웨어가 설치된 컴퓨터나 혹은 전용 어플라이언스 장비일 수 있다.

무차별 모드에서 동작하는 네트워크 인터페이스(NIC)에 설치되어 있다.

NIDS는 네트워크 트래픽을 모니터링하며 자신으로 향하는 트래칙을 관찰할 수 없다. (호스트 기반 IDS가 필요하다.)

호스트 기반 IDS(HOST-Based IDS)

NIDS는 네트워크 트래픽을 분석하고 모니터링 하는데 반해, HIDS의 목적은 컴퓨터 자체를 제한하는 것이다.

탐지 시점에 따른 분류

사후 분석 시스템 : IDS에서 수집된 데이터를 분석하여 침입 여부를 판정하는 시스템 침입이 발생하더라도 즉시 대응하지 못하는 한계가 있다.

실시간 탐지 시스탬 : 실시간 정보수집과 동시에 감시 테이터 발생과 침입 탐지가 이루어진다.

IDS의 장/ 단점

장점 

1) 내부 사용자의 오/ 남용 탐지 및 방어 가능

2) 해킹 사고 발생 시 어느 정도의 근원지 추적 가능

단점

1) 대규모 네트워크에 사용 곤란

2) 관리 및 운영이 어렵다.

3) 새로운 침입기법에 대한 즉각적인 대응이 곤란하다.

4) 보안 사고에 대한 근본적인 해결책을 못한다.

침입 방지 시스템 IPS(Intrusion Prevention System)

다양한 방법의 보안 기술을 이용하여 침입이 일어나기 전에 실시간으로 침입을 막고, 유해 트래픽을 차단하기 위한 능동형 보안 솔루션 

IPS는 예방적이고 사전에 조치를 취하는 기술이며, 반면에 IDS는 탐지적이고 사후에 조치를 취하는 기술

IPS는 기존의 트래픽 유통에 직접 관여해야만 한다. 트래픽은 IPS를 거쳐야만 유통이 가능하며 이런한 방식을 InLine 방식이라 한다.

IPS의 종류

공격 패턴 인지 방식에 의한 분류

Signature Based IPS[지식 기반] M.D

각각의 공격에 대하여 정확한 Signature을 정의 하고 해당 공격 패턴에 매칭이 되어야만 차단을 시행

알려지지 않은 공격의 경우 정확한 Signature List가 업데이트되어 있지 않으면 차단이 불가능한 단점이 있으나 오탐 가능성은 적다.

 

Heuristics Based IPS[행위 기반] A.D

Anomaly Detection/ Prevention 방식이라고도 한다.

알려지지 않은 공격을 수집하여 정보를 이용하여 오탐을 줄이고 능동적으로 대처하는 방식

적용 범위

방화벽의 룰은 TCP/IP 2개 계층에 적용되는데 반해, IDS/IPS 룰은 3개 계층에 적용된다. IDS/IPS는 IP조소와 PORT 번호는 물론 TCP/IP 응용계층의 데이터까지 검사가 가능하다. 이러한 방식을 패턴 매치 기법이라고 한다.

TCP/IP 4게층	동작 주체	패킷 구조	적용 범위
응용 계층	Web, Mail, Telnet	Data	적용
전송 제어 계층	TCP, UDP	TCP/UDP 헤더	적용
인터넷 계층	IP, ICMP, IGMP	IP 헤더	적용
네트워크 엑세스 계층	ARP, NIC	이더넷 헤더	비적용

일반적인 보안 장비 설치 과정

방화벽의 룰은 TCP/IP 2개 계층에 적용되는데 반해, IDS/IPS 룰은 3개 계층에 적용된다. IDS/IPS는 IP조소와 PORT 번호는 물론 TCP/IP 응용계층의 데이터까지 검사가 가능하다. 이러한 방식을 패턴 매치 기법이라고 한다. 

1. 침입 방지시스템을 필요로 하는 SITE 담당자의 요구 사항 분석

2. 담당자의 요구사항 분석결과를 바탕으로 SITE 에 대한 보안 컨설팅 실시

3. SITE 환경에 적합한 보안 장비를 담당자에게 권유 (*특정 회사 제품을 지정해서는 안된다.)

4. SITE 담당자가 결정한 보안장비 확인

5. 보안장비 설치를 위한 SITE 환경 파악 - 서버 : 내, 외부에 제공하는 서비스 내역 파악

         - 네트워크 : 네트워크 방비 /IP 사용에 대한 내역 파악

6. SITE 담당자를 통한 내,외부 User 에게 설치에 따른 서비스 장애 공지

7. SITE 담당자 입회하에 보안장비 설치

8. 설치 후 네트워크, 서비스 TEST를 통하여 설치 완료

9. Default 정책으로 모니터링, 담당자 보안장비 운영 교육

- IPS : By Pass Mode -> In_Line Mode -> 기본 정책 설정 -> 정책 Customizing의 지속

- IDS : 기본 정책 설정 -> 정책 Customizing의 지속

- FW : 기본 정책 설정 ( Any any all_svc 허용) -> 내부에서 외부로 all_svc 허용 -> 내부에서 외부로 서비스 하는 PORT 허용 ->

안정화 기간 -> 보안 정책 Customizing의 지속 -> 보안 정책 유지

10. 보안 장비에 대한 유지 보수 담당자와 SITE 담당자의 지속적인 관리

11. 보안 전문가를 통해 정기적인 보안 컨설팅 및 취약점 분석을 하고 최신 해킹기술에 대한 대비책을 지속적으로 강구