반응형
ி 침입탐지시스템(IDS)
방화벽이 보안할 수 있는 영역의 한계점이 드러나 이를 보완해줄 장비가 나오게 되었다.
시스템의 침입을 실시간으로
그리고 자신의 존재를 숨기기 위해서 패킷이 보안 장비를 거치지 않고,
IDS는 기업 네트워크 환경 및 구성의 목적에 맞는 구간에 설치해야 한다.
위 사진은 일반적으로 사용하는 네트워크 구성이며,
사진에서 라인 번호 ①~⑤는
IDS 설치 위치에 따른 특징은 다음과 같다.
방화벽을 집이라고 하면 침입 탐지 시스템은 방 안에 있는 CCTV 역할이며,시스템의 침입을 실시간으로
모니터링하는 보안 시스템이다.
동작 방식
IDS는 지나가는 패킷을 복사하여 가져오는 스니핑 모드를 이용한다.그리고 자신의 존재를 숨기기 위해서 패킷이 보안 장비를 거치지 않고,
미러링 장비인 TAP을 이용하여 사본 패킷을 수신한다. 설치 위치
위 사진은 일반적으로 사용하는 네트워크 구성이며,
사진에서 라인 번호 ①~⑤는
IDS 설치 구간을 나타낸 것이다.IDS 설치 위치에 따른 특징은 다음과 같다.
① 외부에서 들어오는 모든 패킷을 검사하므로 장비 부담이 크지만, 공격 의도를 쉽게 파악 할 수 있다. 주로 관제를 목적으로 할 때 이 위치에 설치한다.
② 라우터의 패킷 필터링을 거친 후의 패킷을 검사한다. ③ (사진) 일반적으로 설치되는 위치, 방화벽을 통과한 패킷을 검사한다. ④ 내부망으로 유입되는 패킷을 검사한다. ⑤ DMZ로 유입되는 패킷을 검사한다.방화벽 앞단에 설치할 경우 방화벽의 부하를 줄여준다.
ி 탐지 방식
| 오용 탐지(Misuse) | 이상탐지(Anomaly) | |
| 정의 | DB에 등록된 침입 패턴 정보를 침입자의 활동기록과 비교하여 동일하면 침입으로 간주한다. |
DB에 등록된 정상 패턴을 침입자의 활동기록과 비교하여 다르면 침입으로 간주한다. |
| 동작 방식 | 시그니처(Signature,knowledge) | Profile(설정), Behavior(행동), Statistical(통계) |
| 탐지 기법 | ㆍ 시그니처 분석 ㆍ 상태 전이 ㆍ 페트리넷 |
ㆍ 통계적 방법 ㆍ 데이터 마이닝 ㆍ 기계학습 |
| 기술 | 패턴 비교 | 신경망 - 인공지능을 통한 학습 |
| 장점 | ㆍ오탐율(False Positive) 낮음 ㆍ빠른 속도 |
ㆍ사전 침입 탐지 |
| 단점 | ㆍ알려지지 않은 공격 탐지 불가 | ㆍ오탐율(False Positive) 높음 |
시그니처(지식기반) - 패턴으로 탐지해서 늘 최신의 패턴을 유지해야 한다.이상 탐지-휴리스틱(행위기반) - 정상 범주를 벗어난 패턴을 찾아서 알려지지 않은 공격을 탐지한다. 오탐(False Positive) = false(+) = 정상인데 공격이라고 판단하는 것 미탐(False Negative) = false(-) = 공격인데 정상이라고 판단하는 것ி 탐지 시스템 분류
| NIDS(Network based IDS) | HIDS(Host based IDS) | |
| 동작 방식 | 네트워크를 통해 전송되는 패킷을 수집 및 분석하여 침입을 탐지한다. |
컴퓨터 시스템의 내부를 감시하고 분석하는 데 중점을 둔 호스트 기반 IDS다. |
| 특징 | ㆍ 방화벽 외부의 DMZ 혹은 내부 네트워크에 배치가 가능하다. ㆍ PromisPromiscuous 모드로 동작하는 NIC나 스위치에 설치된다. |
주로 웹서버, DB 서버등의 중요서버에 배치한다. 시스템 로그나 이벤트 로그를 바탕으로 탐지한다. |
| 탐지 가능 공격 | 스캐닝, DOS | 바이러스, 웜, 트로이 목마, 백도어 |
| 장점 | ㆍ 패킷을 캡처만 하기 때문에 패킷의 손실 및 변조가 없다. ㆍ 감시 대상 네트워크의 범위를 조절할 수 있다. ㆍ IP 주소를 갖지 않으므로 존재 사실을 외부로부터 숨길수 있다. |
ㆍ 공격의 성공 유무를 확인할 수 있다. ㆍ 서버 시스템에 설치되며 관리가 간단하다. |
| 단점 | ㆍ 암호화된 패킷은 분석이 안된다. ㆍ 오탐(False Positive)율이 높다. ㆍ 스위치 등의 부가 장비가 필요하다. |
ㆍ 감시 영역이 하나의 시스템으로 한정된다. ㆍ 오탐으로 인해 정상적인 사용자가 계정 사용이 막힐 수도 있다. ㆍ 호스트 OS에 부하가 발생한다. |
Hybrid IDS(NIDS + HIDS)
ி 침입방지시스템(IPS)
IPS는 IDS + 차단 수행까지 하는 보안 시스템이다. 인라인(inline) 구성 방식을 사용하며, 네트워크 라인 내 중간에 삽입된 보안 시스템이다.
장비의 장애가 발생할 경우에
서비스 가용성 보장을 위해 Fail-Open(Bypass)를 구성할 수 있다. 설치 위치
2대 이상의 장비를 설치해서 한 장비가 동작하지 않으면
다른 장비로 트래픽을 전달하는
fail-over(이중화) 기능도 필요하다.
일반적으로 방화벽 다음에 설치하며,
때에 따라 방화벽 없이 IPS만 설치하기도 한다.
때에 따라 방화벽 없이 IPS만 설치하기도 한다.
반응형
'네트워크' 카테고리의 다른 글
| 파일 전송 프로토콜 - FTP(File Transfer Protocol) (0) | 2019.10.13 |
|---|---|
| 네트워크 접근 제어 NAC(Network Access Control) (2) | 2019.10.10 |
| ipsec(Internet Protocol Security) (0) | 2019.09.30 |
| 네트워크 방화벽(Firewall) (0) | 2019.09.25 |
| 패킷 트레이서 ACL(Access Control List) (0) | 2019.09.21 |
