IPS, IDS, 방화벽, UTM

IDS와 IPS

IDS (Intrusion Detection System) 침입 탐지 시스템과

IPS (Intrusion Prevention System) 침입 방지 시스템은

외부에서 부정한 접속, 평소와 다른 이상한 통신의 발생 (통신량, 통신 종류, 동작 등),

내부에서의 정보 누설 등의 감지나 대책에 이용하는 장치 또는 소프트웨어이다.

먼저 IDS는 지역 네트워크나 호스트에 위치하여 침입을 즉시 탐지하고, 이에 대처할 수 있도록 관리자에게 통보하는 시스템이다.

침입자에 대하여 불법적인 사용을 탐지하거나 합법적인 사용자의 오용 또는 남용을 탐지하는 목표를 가지고 있다.

IPS는 이상한 접속을 즉시 차단함과 동시에 관리자에게 통보한다.

DS는 차단보다는 탐지를 하고 이를 알려주는데에 촛점이 맞춰져 있기 때문에 IPS쪽이 더 괜찮은 장치로 보이지만 이상을 검출해내는 정도가 100%가 되기는 어려워서 용도나 상황에 따라 가려서 쓸 수 있다.

!https://postfiles.pstatic.net/MjAyMDAxMDdfMjcz/MDAxNTc4MzY4NzE0MDYx.3RvKdTncNHbfpFDWv7XbkIeqtcUUz1YjKfK5cIQDHD4g.Akk0-dsTrsb6B-N1A_nr7rHns7QYM2aibs-WuJ5Jlj4g.PNG.hai0416/SE-389c251a-4b46-4bdf-8020-347a7be8a88d.png?type=w966

IDS와 IPS로 이상을 감지하는 방법에는 크게 두 가지로 볼 수 있다.

첫째는 '정상적인 행위와 비교하여 비정상적인 행위를 탐지하는 방법'.

이 경우에는 미지의 공격을 검출해낼 수 있다는 장점이 있지만, 공격이 아니고 일반적으로 평소와 다른 사용법을 쓰는 등의 경우에 오검출을 해낼 가능성이 있다.

두번째는 '이미 알고 있는 지식을 바탕으로 탐지해내는 방법'이다.

이 경우에는 알고 있는 공격 패턴이나 그와 비슷한 때에 유용하게 동작을 해주지만, 패턴을 항상 갱신할 필요가 있다는 점과 모르는 공격은 검출해낼 수 없다는 약점이 있다.

최근에는 두 가지 방법을 병용

---

• IDS/IPS와 방화벽이 다른 점 -

네트워크 보안5_ 방화벽_ 패킷 필터링 방화벽 방화벽은 '외부 네트워크(인터넷)으로부터내부 시스템을 보호해주는 벽'같은 것으로사무실이... blog.naver.com

https://dthumb-phinf.pstatic.net/?src="https%3A%2F%2Fblogthumb.pstatic.net%2FMjAxOTA4MjlfMTk2%2FMDAxNTY3MDcwMzM4ODc3.2apxKssEroPkcFWnd8pKgIw7OpDituZa1y8G6jTuNvUg.nZaRR4nGkFTdJKEhTSGVbL3VXKyeiKHZkHQqYTWnMO8g.PNG.hai0416%2Fimage.png%3Ftype%3Dw2"&type=ff120

지난 번에 정리해뒀던 방화벽은 IP주소나 포트번호로 네트워크 계층과 전송계층의 영역에서 접속제한이나 방어를 한다

그래서 애플리케이션이 무언가를 주고 받는다는 사실에는 관여하지 않는다.

이때 IDS나 IPS는 응용계층(애플리케이션 계층)의 통신 상황도 포함해서 검사를 하게 된다.

!https://postfiles.pstatic.net/MjAyMDAxMDdfMTQz/MDAxNTc4MzY4NzEzNjgz.zJOlJZL9ZM-bTV1dnhml81QyX6M-sgtp7HWCaZaiBUsg.s8EfZsL92HPv5YmcKq7d0xnUBTxbVJjzNqsi4gDm27Yg.PNG.hai0416/SE-95f7cd22-d2cc-4099-8104-3f78a7db2386.png?type=w966

위 이미지에서도 언급했지만 IDS/IPS와 방화벽은 제어하는 영역이 다르다.

방화벽에서는 이상이 있다고 감지를 못하고 놓친 통신이 있더라도 IDS나 IPS의 검사에 의해 이상이 검출되기도 한다!

보안 솔루션들은 목적에 따라 방화벽, IDS(침입탐지 시스템), IPS(침입방지 시스템), 가상 사설망 등 다양한 형태가 있었다.

그런데 그 각각의 보안 솔루션 운용 방법을 익히기 위한 시간이나 운용을 위한 물리적인 공간, 인력을 확보해야한다는 것은 보통 일이 아니다.

특히 소규모의 네트워크에서는 예산이나 인력 관리를 할 인력 관점에서 보면 허용 범위를 넘어버리는 경우도 많다.

이와 같은 상황에서 그 보안 기능들을 하나로 모은 것이 바로 #UTM 이다.

UTM (United Threat Management; 통합 위협 관리)

UTM은 다양한 보안 솔루션을 하나로 묶어 비용도 절감하고 관리의 복잡성을 줄여주며, 복합적인 위협요소를 효율적으로 방어할 수 있게 해준다.

그런데 묶어서 쓰는 것이 무조건 유리하다는 것은 아니며, 개별의 기능을 하는 기기들을 사용하는 방법은 네트워크 성능이나 유연성 등의 관점에서 더 유리하기도 하다.

!https://postfiles.pstatic.net/MjAyMDA0MTlfMTYz/MDAxNTg3MjY4NDE2MDM3.DWJpVDgrMQb4rX5FV3Z53jq-RFwlzBsJb73_mkWj-IAg.tBgb-EZB4LTHVrrKO8VDp8gJB5VkBYPRlhN6XBm8Xikg.PNG.hai0416/SE-1456a256-4e9a-404b-a191-1c886c95d222.png?type=w966

!https://postfiles.pstatic.net/MjAyMDA0MTlfNjQg/MDAxNTg3MjY4NDE2NDE0.IoRkC4RudTHZF0u-l-kmLoMSl8O7WFQWCeJ4AibQzIYg.yvoDVd2WeDXry-j6uNVTs1NMkmiaGKxNuyQSQ0NDhbUg.PNG.hai0416/SE-f5b7427b-d78f-4bef-b692-e72ee45518a7.png?type=w966

---

요즘은 애플리케이션 별로 독립 포트를 사용하지 않고 굳이 HTTP와 포트 80번을 사용하는 애플리케이션이 많다

Web 접속에 사용하는 포트 80번에는 대부분 이용제한이 걸리지 않는 경우가 많았기 때문이다.

방화벽은 식별 조건 중 하나인 포트번호를 유심히 살펴보게 되는데, 어떤 애플리케이션이든 전부 80번을 사용한다면 구분을 할 수 없게 되어 박화벽은 무용지물이 되곤 했다.

요즘 세대 방화벽은 이런 문제를 거의 해결하였다.

• 차세대 방화벽-

!https://postfiles.pstatic.net/MjAyMDA0MTlfMTkg/MDAxNTg3MjY5NDQ2MzAy.Xo-iw7KaeCL0ezpBvxYXSjMg6e1F-wBPoVLBryCfNx8g.rVLvKDG-9Fv7QrfTShNt_ax2BRE6frZmgVv0jKLUXgIg.PNG.hai0416/SE-11cef3d8-57f9-4430-9cbe-19549b9d5dd2.png?type=w966