Firewall / IDS / IPS 개념 및 차이점

오용 탐지: 공격 패턴을 정해놓고 딱 맞은 패턴이 들어온다면 탐지하고 사용자에게 알림

이상 탐지:  정상 패턴을 정해놓고 이것에 벗어나면 탐지하고 사용자에게 알림

 

 

Firewall(방화벽 - 침입차단시스템)

 

방화벽 개념

• 가장 1차적 방법으로 신뢰하지 않는 외부 네트워크와 신뢰하는 내부 네트워크 사이를 지나는 패킷을 미리 정한 규칙에 따라 차단하거나 통과시키는 기능을 하는 H/W, S/W를 통칭함
• 외부에서 발생되는 트래픽은 차단되며, 내부에서 외부로 발생된 트래픽의 반환(리턴)은 허용
• 관리자는 방화벽을 통과시킬 접근과 그렇지 않은 접근을 명시해야 함

 

방화벽 기능

-접근제어(Acess Control)

• 통과 시킬 접근과 그렇지 않은 접근을 결정해 허용 또는 차단

-로깅(Logging)과 감사추적(Auditing)

• 허용 또는 거부된 접근에 대한 기록을 유지
• 감사추적: 추적이 가능하도록(변경 불가, 권한자만 볼 수 있음) 변경

-인증(Authentication)

• 메시지 인증, 사용자 인증, 클라이언트 인증 가능

-데이터 암호화

• 방화벽에서 다른 방화벽까지 전송되는 데이터를 암호화해서 보내는 것으로, 보통 VPN의 기능을 이용

 

방화벽 한계

-바이러스를 막을 수 없음

• 방화벽은 패킷의 IP주소와 포트 번호로 접근 제어를 하는 것이 보통
• 일반적으로 패킷의 페이로드는 검사하지 않음 why? 두 네트워크 사이에 존재하는 방화벽은 높은 트래픽을 처리해야 하므로 데이터 내용까지 검사하면, 큰 오버헤드가 발생하고 네트워크 대역폭에 큰 손실을 가져오기 때문

 

 

IDS(Intrusion Detection System - 침입탐지시스템)

 

IDS 개념

• 컴퓨터 또는 네트워크에서 발생하는 이벤트들을 모니터링하고 비정상적 행위를 탐지 및 대응하는 시스템
• 설치 위치와 목적에 따라 호스트 기반과 네트워크 기반의 침입탐지시스템으로 나뉨

 

호스트 기반(HIDS)

• 컴퓨터 시스템 내부를 감시하고 분석하는 것에 중점을 둠
• 운영체제에 부가적으로 설치되어 운용되거나 일반 클라이언트에 설치됨
• 운영체제에 설정된 사용자 계정에 따라 어떤 사용자가 어떤 접근을 시도하고, 어떤 작업을 했는지에 대한 기록을 남기고 추적
• 전체 네트워크에 대한 침입 탐지는 불가능, 스스로가 공격 대상이 될 때만 침입 탐지 가능

 

네트워크 기반(NIDS)

• 네트워크를 통해 전송되는 패킷 정보 수집 및 분석해 침입을 탐지하는 시스템
• HIDS로는 할 수 없는 네트워크 전반의 감시를 할 수 있으며, 감시 영역이 상대적으로 아주 넓음
• IP주소를 소유하지 않기 때문에 해커의 직접적인 공격에는 거의 완벽하게 방어할 수 있으며, 존재 사실도 숨길 수 있음
• 공격당한 시스템의 공격에 대한 결과는 알 수 없으며, 암호화된 내용을 검사할 수 없음

 

 

IPS(Intrusion Preventing System - 침입방지시스템)

 

IPS 개념

• IDS + 방화벽 차단 기능
• 침입 탐지 기능을 수행하는 모듈이 패킷을 일일히 검사하여 해당 패턴을 분석 후, 정상적 패킷이 아니면 방화벽 기능을 가진 모듈로 차단
• 일반적으로 IPS는 방화벽 내부에 설치 (방화벽과 연동해서 공격을 탐지할 수 있기 때문)
• 패킷에 대한 검사 수준이 높아 방화벽 밖에 설치할 경우 방화벽보다 높은 수준의 성능이 필요해 일반적으로 방화벽 다음에 설치
• 높은 성능을 내기 위해 소프트웨어를 하드웨어 칩으로 만든 ASIC를 많이 이용

 

IPS 도입 이유

• 방화벽은 공격 차단이 가능하지만 새로운 패턴의 공격에 대한 적응력이 낮고, 대부분 IP나 포트를 통한 차단만 가능. 실시간 대응 불가능
• 반면, IDS는 실시간 탐지는 가능하지만, 그에 대한 대응책 제시 불가능
• 속도 때문에 현재 방화벽과 IDS만으로는 해킹, 바이러스, 웜의 공격을 막을 수 없음
• 이를 위한 대책이 IPS

 

 

방화벽 / IDS / IPS 차이