침입탐지시스템(IDS)/침입방지시스템(IPS)/방화벽 차이
- 자격증,이론/보안이론
- 2020. 5. 3. 23:34
침입탐지시스템(IDS)/침입방지시스템(IPS)/방화벽 정의
침입탐지시스템(IDS)/침입방지시스템(IPS)는 거의 동일한 탐지엔진을 갖고 있고 검사 영역도 거의 동일한데, 탐지기능만 수행하는지 탐지+차단기능까지 수행하는지의 여부에 차이가 있다(이 외의 차이는 하단에 추가 설명). 이름을 보면 알 수 있듯이, IDS는 침입 발생 시 관리자에게 경고창을 띄우는 등의 방식으로 탐지 사실만 알리고 IPS는 침입 발생 전 실시간으로 침입을 차단하는 시스템이다.
방화벽 또한 미리 정해진 룰에 기반해 트래픽을 모니터링하고 제어하는 보안시스템인 것은 거의 동일하지만 IDS/IPS와는 검사 영역에서 큰 차이를 보인다.
침입탐지시스템(IDS)/침입방지시스템(IPS) vs 방화벽 차이
시기적으로 보면 IDS가 먼저 나왔고 차단 기능 부재를 개선하기 위해 IPS가 등장했다. 그리고 IDS/IPS와 방화벽은 검사 영역에서 큰 차이를 보이게 되는데 IDS/IPS는 네트워크~어플리케이션 계층을 전부 검사하고 방화벽은 네트워크~전송 계층을 검사한다. 방화벽의 검사영역이 더 좁다.
즉, IDS/IPS는 패킷의 헤더부터 페이로드 내의 데이터까지 전부 검사를 하는 것에 반해 방화벽은 패킷의 헤더만 검사하게 되는 것이고 이 뜻은 방화벽의 경우 IP/Port를 기반으로 차단을 수행하는 시스템이라는 뜻이다.
그럼 여기서 IDS/IPS의 필요 이유를 알 수 있는데 외부에서 내부로 반드시 들어와야 하는 웹/메일 서비스의 경우 방화벽은 외부에서 누가 들어올지 모르므로 관련 서비스 포트를 모두 허용으로 설정해야 하고 그렇게 되면 일반 유저뿐 아니라 악의적인 의도를 가진 악성코드 등도 여과없이 들어오게 된다. 따라서 이런 방화벽의 한계점을 보완하기 위해 나온게 IDS/IPS이다.
그리고 이런 방화벽, IDS/IPS의 특징 때문에 보안시스템 설계 상 IDS/IPS는 보통 방화벽 뒤에 위치하게 된다. IDS/IPS가 검사 영역이 더 크기 때문에 방화벽보다 더 많은 성능을 필요로 하기 때문이다. 방화벽이 더 앞에 있어야 쓸데없는 패킷을 먼저 필터링하고 허용된 트래픽만이 IDS/IPS의 검사 대상이 된다.
따라서 IDS/IPS는 방화벽과는 달리 패킷의 내용을 분석해 특정 조건일 경우의 처리를 결정하는 정책(혹은 룰)을 생성하게 되는데 해당 룰들을 어떻게 구성해놓았느냐에 따라 성능을 좌우하게 된다. 또한, 알려진 공격 패턴에 대한 매칭을 수행하므로 최신 공격에 대한 탐지/방어에 제한적일 수 있다는 단점이 존재한다.
|
IDS/IPS |
방화벽 |
|
|
검사 영역 |
네트워크~어플리케이션 계층 |
네트워크~전송 계층 |
|
장점 |
패킷 내부 검사 내부 사용자에 대한 방어/탐지 가능 사고 발생 시, 어느정도의 근원지 추적 가능 |
성능 부하가 덜함 호스트 시스템 접근 제어 기능 |
|
단점 |
대규모 네트워크에 사용 곤란 관리 및 운영의 어려움 |
패킷 내부 검사 X 우회하는 트래픽 제어 불가 새로운 형태의 위험에 대한 방어 곤란 |
침입탐지시스템(IDS) vs 침입방지시스템(IPS)
사실, IDS는 탐지만 하고 IPS는 탐지+방어까지 하니까 IPS가 무조건적으로 더 좋아보이지만 장단점이 있다. IPS는 지나가는 패킷을 실시간으로 처리해야하기 때문에 신속히 처리해야 서비스가 느려지지 않는다. 그렇기 때문에 네트워크 부하 발생이 있을 수 있고 탐지만 하는 것이 아니라 실제 대응을 수행하기 때문에 오탐 발생 시 매우 곤란하다는 단점이 있다.
반면, IDS는 지나간 패킷을 복사하여 검사하기 때문에 네트워크 부하를 유발하지는 않지만 공격패킷을 실시간으로 제어할 수 없고 오탐에도 큰 영향을 받지 않기 때문에 룰최적화가 잘 이루어지지 않을 수 있다는 단점이 있다.
|
IDS(미러링장비) |
IPS(인라인장비) |
|
|
장점 |
네트워크 부하가 덜함 |
실시간으로 공격패킷 차단 가능 |
|
단점 |
공격 패킷을 실시간으로 차단 못함 룰최적화가 잘 이루어지지 않을 수 있음 |
네트워크 부하 발생 가능 오탐 발생 시 매우 곤란 |
리눅스 오픈소스 침입탐지시스템인 snort에 대한 내용은 아래 포스팅에서 추가로 확인해볼 수 있다.
관련포스팅
[네트워크] 스노트(snort) threshold를 사용한 nmap 포트스캐닝 탐지
[네트워크] 스노트(snort) threshold를 사용한 nmap 포트스캐닝 탐지
nmap은 대표적인 포트스캐닝 도구로 공격자가 정보수집을 할 때 주로 nmap을 이용해 target pc에 대한 포트스캔을 수행한다. nmap을 사용하면 열린 포트를 찾거나 OS, 네트워크 장치의 버전과 같은 정보를 혹인할..
liveyourit.tistory.com
[네트워크] 스노트(snort) TCP SYN Flooding(DDoS) 공격 탐지
[네트워크] 스노트(snort) TCP SYN Flooding(DDoS) 공격 탐지
저번 포스팅에서 포트스캐닝을 탐지해보았는데 이번엔 DDoS 공격 유형 중 하나로 TCP SYN Flooding을 선택해 snort 룰을 생성하여 탐지해본다. TCP SYN Flooding (DDoS) 공격이란 TCP SYN Flodding은 DDoS 공격 중..
liveyourit.tistory.com
[네트워크] 스노트(snort) content를 사용한 XSS 공격 탐지
[네트워크] 스노트(snort) content를 사용한 XSS 공격 탐지
실습환경 설명 웹서버로 사용하기 위해 Ubuntu 16.04에 apache2, MySQL, PHP를 설치했고 XSS를 테스트할 목적으로 간단하게 'xss_test.php'와 'xss_test_server.php'를 넣어놓았다. xss_test.php는 클라이언트가..
liveyourit.tistory.com
참고자료
[1] 알기쉬운 정보보안기사
[2] https://keefojifo.tistory.com/61
[3] https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=15403
[4] https://saysecurity.tistory.com/m/9
'자격증,이론 > 보안이론' 카테고리의 다른 글
| [네트워크] 분산 서비스 거부 공격 (DDoS)의 정의, 유형 (0) | 2020.05.07 |
|---|---|
| [암호학] 양방향 vs 단방향 암호화 (해시함수, 메시지 인증코드란) (0) | 2020.05.05 |
| [암호학] 대칭키 vs 공개키(비대칭키) 암호화 차이 (5) | 2020.05.02 |
| [네트워크] IPSecVPN의 정의와 두가지 모드(전송모드, 터널모드) (1) | 2020.01.17 |
| [네트워크] VPN이란 ? 정의/ 터널링/터널링 프로토콜(IPSecVPN, MPLSVPN, SSL 등) (0) | 2020.01.16 |