보안 장비의 핵심은 침입 탐지 장비(IDS)와 침입 방지 장비(IPS)다. IDS와 IPS 특징을 설명하기에 앞서 두 가지 내용을 고려할 필요가 있다.
먼저 IDS와 IPS는 독립적으로 사용할 수 있는 장비가 아니다. 바이러스 백신이 수행하는 탐지 후 차단 기능을 별도로 분리해 구현한 장치라고 할 수 있다. 이렇게 각각의 기능을 별도의 방식으로 구현하면 모든 전산 자원을 오직 탐지 또는 방지에 집중할 수 있기 떄문에 보안의 효과를 극대화할 수 있는 장점이 있다.
IDS 이해
IDS란 일정한 탐지 규칙에 따라 기존의 공격 유형을 탐지하면 정보를 안전한 공간으로 전환하면서 이동 전화 또는 전자 우편 등으로 관리자에게 해당 내용을 즉시 전송하고 공격자에게 경고를 통보하지만 방화벽과 달리 접근 권한 제어 또는 인증 기능이 없는 소프트웨어 또는 하드웨어 장비다.
공격 유형을 정의한 탐지 규칙을 지속적으로 갱신해야 IDS가 제대로 동작할 수 있다.
공격 유형을 탐지하는 방법에는 서명 기반 탐지 기법과 정책 기반 탐지 기법과 이상 기반 탐지 기법과 유인 기반 참지 기법 등으로 구분할 수 있다.
서명 기반 탐지 기법: 공격 유형을 탐지하는 데 있어 가장 일반적인 기법이다. 서명 기반 탐지 기법은 기존의 공격 유형을 IDS 엔진에 미리 등록해 탐지를 수행하기 때문에 정확한 탐지가 가능하다.
정책 기반 탐지 기법: 외부로부터 접속이 들어오는 경로를 정해 놓고 미허가 경로를 통한 좀속이 들어올 때 탐지하는 기법이다. 외부에서 21번 포트 번호로 접속이 들어올 경우 침입으로 판단할 수 있다.
이상 기반 탐지 기법: 정량적 또는 통계적 분석에 따라 일정한 임계값을 설정한 뒤 해당 임계값을 초과하는 접속이 들어올 때 침입으로 탐지하는 기법을 의미한다.
유인 기반 탐지 기법: 유인 서버에 추적 소프트웨어를 설치해 공격자의 활동을 감시하는 기법이다.
IDS를 구현하는 방식에는 네트워크 기반의 IDS 방식과 호스트 기반의 IDS 방식이 있다.
IPS 이해
IPS는 일정한 차단 규칙에 따라 차단 규칙에 해당하는 공격 유형을 방지하는 기능을 수행한다. IDS와 연동해 동작하지만 경우에 따라서는 IPS 내부에 IDS 기능을 탑재해 운영하기도 한다.
IPS에도 네트워크 기반의 IPS 방식과 호스트 기반의 IPS 방식이 있다. 장점과 단점 역시도 동일하다.
IPS는 응용 서버 전면에 위치한다. 입출력 패킷을 직접 제어하는 구조임을 알 수 있다. 이런 점에서 혹자는 IPS를 방화벽으로 간주하기도 한다.
방화벽: 외부에서 내부로 접근하는 패킷을 대상으로 제어를 수행하거나 로깅 또는 감사 등을 추적하며 TCP/IP 응용 계층 수준에서 인증 기능을 수행하기도 한다. ACL 방식과 ALG 방식으로 구분할 수 있다.
출처: 우분투 리눅스 기반의 IDS/IPS 설치와 운영_ 오동진, 추다영 지음
'Network Security > 우분투 리눅스 기반의 IDS IPS 설치와 운영' 카테고리의 다른 글
| [침탐] 8장, 스노트 설치와 설정 (0) | 2021.05.06 |
|---|---|
| [침탐] 7장, 랜 카드 인터페이스 명칭 변경 (0) | 2021.04.10 |
| [침탐] 5장, 전송 계층 기반의 주요 공격 유형 (0) | 2021.04.04 |
| [침탐] 4장, 전송 계층의 헤더 기능 (0) | 2021.04.04 |
| [침탐] 3장, 네트워크 계층 기반의 주요 공격 유형 (0) | 2021.03.29 |
