IDS (Intrusion Detection System)
개념
- 침입탐지시스템
- 네트워크 내에서 발생하는 모든 트래픽을 모니터링하고, 비정상적인 행동이나 침입 시도를 탐지
- 트래픽을 실시간으로 모니터링하며, 문제를 탐지하면 경고를 발생시켜 관리자가 대응할 수 있도록 함
- 작동 방식: IDS는 네트워크의 모든 트래픽을 분석하는 패킷 스니핑 기법을 사용하여, 패킷의 내용을 검사하고, 미리 정의된 패턴(서명)이나 비정상적인 행동(행위 기반 탐지)을 기반으로 침입을 탐지
종류
- 호스트 기반 (HIDS : Host-based IDS)
- 개별 호스트(서버, 워크스테이션 등)의 활동을 모니터링하고, 침입 시도를 탐지하는 시스템
- 운영체제에 설치된 사용자 계정에 따라 어떤 사용자가 어떠한 접근을 시도하고 작업을 했는지에 대한 기록을 남기고 추적
- 네트워크에 대한 침입탐지는 불가능하며, 스스로가 공격 대상이 될때만 침입을 탐지하는 방식
- 특정 시스템에서 발생하는 공격을 탐지하는 데 효과적
- 내부자의 공격이나 특정 애플리케이션 레벨의 침입 시도를 탐지하는 데 유리
- 네트워크 기반 (NIDS : Network-based IDS)
- 네트워크 트래픽을 실시간으로 모니터링하여 침입 시도를 탐지하는 시스템
- 네트워크 경계 또는 내부의 특정 지점에 설치되며, 패킷 데이터를 분석해 비정상적인 트래픽을 식별
- 감지기를 사용하며, 무차별모드(Promiscuos mode)에서 동작하는 네트워크 인터페이스에 설치되어있음
- IP 주소를 소유하지 않아 직접적인 해커 공격은 거의 완벽하게 방어 가능
- 네트워크 전체를 커버할 수 있으며, 다양한 프로토콜의 트래픽을 분석 가능
한계
- IDS는 단지 탐지 역할만 수행하며, 침입이 발견되면 관리자에게 알리는 역할
- 실제 위협을 차단하지는 않음
IPS (Intrusion Prevention System)
개념
- 침입방지시스템
- IPS는 IDS의 탐지 기능을 확장하여, 탐지된 위협을 즉각적으로 차단하는 시스템
- IPS는 네트워크의 보안 정책을 적용하여 위협이 감지되면 이를 실시간으로 차단하거나, 특정 트래픽을 수정 또는 차단할 수 있음
- IPS는 네트워크의 인라인 장치로 작동
- 트래픽이 네트워크를 통과하기 전에 이를 검사하고 악성 트래픽을 식별하면 자동으로 차단
- 일반적으로 IPS는 방화벽 내부에 설치
한계
- 잘못된 설정이나 오탐(false positive)의 경우, 정상적인 트래픽이 차단될 수 있어 서비스 중단을 초래할 수 있음
방화벽 (Firewall)
개념
- 네트워크의 경계에서 내부와 외부 간의 트래픽을 필터링하여 불법적이거나 악의적인 트래픽이 네트워크에 접근하지 못하도록 하는 시스템
- 네트워크 보안의 1차 방어선으로, 네트워크 접근을 허용하거나 차단하는 규칙을 기반으로 동작
- 방화벽은 패킷 필터링, 상태기반 필터링(Stateful Inspection), 애플리케이션 레벨 필터링을 사용해 트래픽을 검사
- 트래픽의 출발지와 목적지 IP, 포트 번호, 프로토콜 등을 기반으로 필터링을 수행
종류
- 패킷 필터링 방화벽: 기본적인 트래픽 필터링 제공
- 상태 기반 방화벽: 연결 상태를 추적하여 더 정밀한 제어 가능
- 애플리케이션 레벨 방화벽: 특정 애플리케이션 트래픽을 세밀하게 제어
- 차세대 방화벽 (NGFW): 통합 보안 기능 제공
- 가상 방화벽: 가상화 및 클라우드 환경에서 동작
- 호스트 기반 방화벽: 개별 호스트 보호
- 클라우드 기반 방화벽: 클라우드 환경에 최적화된 보호 제공
한계
- 방화벽은 주로 알려진 공격에 대한 방어만 가능하며, 새로운 위협이나 내부에서 발생하는 공격을 탐지하는 데 한계가 있음
| IDS | IPS | 방화벽 | |
| 기능 | 침입 탐지 및 경고 발생 | 침입 탐지 후, 실시간으로 위협을 차단 | 트래픽을 필터링하여 접근을 허용 또는 차단 |
| 동작계층 | 네트워크 계층(Layer 3)부터 응용 계층(Layer 7) |
네트워크 계층(Layer 3)부터 응용 계층(Layer 7) |
네트워크 계층(Layer 3)부터 전송 계층(Layer 4), 일부는 응용 계층(Layer 7) |
| 위치 | 네트워크 내부 또는 특정 호스트 | 네트워크 경계 또는 내부 | 네트워크 경계 (내부와 외부 네트워크 사이) |
| 트래픽 제어 | 트래픽을 모니터링하여 비정상적인 활동을 탐지 | 트래픽을 모니터링하고, 악성 트래픽을 실시간으로 차단 | 출발지/목적지 IP, 포트, 프로토콜 등을 기준으로 트래픽 제어 |
| 반응 방식 | 탐지 후 경고만 발생, 위협을 직접 차단하지 않음 | 탐지 후 위협을 자동으로 차단 | 규칙에 따라 트래픽을 허용하거나 차단 |
| 보호 범위 | 알려진 및 알려지지 않은 위협을 탐지 가능 | 알려진 및 알려지지 않은 위협을 탐지하고 차단 가능 | 알려진 위협(정책 기반)에 대해 보호 제공 |
| 구성 요소 | 시그니처 기반 또는 이상 행동 기반 탐지 엔진 | IDS 기능에 실시간 위협 차단 기능 추가 | 패킷 필터링, 상태 기반 검사, 애플리케이션 레벨 필터링 등 |
| 주요 목적 | 침입 시도를 탐지하고 관리자에게 알림 | 침입 시도를 실시간으로 탐지하고 차단 | 네트워크 경계를 보호하고, 내부 네트워크를 외부로부터 차단 |
| 장점 | - 알려지지 않은 위협 탐지 가능 - 네트워크 성능에 영향 없음 |
- 실시간 위협 차단 - 탐지 및 대응 일원화 |
- 기본적인 보안 제공 - 트래픽 필터링 속도 빠름 |
| 단점 | - 오탐지로 인한 경고 빈번 - 위협에 대한 대응 불가 |
- 오탐지 시 정상 트래픽 차단 가능 - 네트워크 성능 저하 가능 |
- 새로운 위협 탐지 한계 - 복잡한 트래픽 필터링 어려움 |
'보안기초' 카테고리의 다른 글
| 스니핑(Sniffing), 스누핑(Snooping), 스푸핑(Spoofing) (0) | 2024.08.24 |
|---|---|
| OWASP TOP 10 - WEB(2021) & Mobile(2024) (0) | 2024.08.24 |