IDS/IPS 란 무엇일까요 ?

2019년 새해가 밝았습니다

황금 돼지의 해, 

올해는 또 얼마나 즐거운 일이 가득할까요

아이 죠항

2019년 첫번째 글, IDS/IPS 란 무엇일까 ?  시작하겠습니다

렛츠 고고고 ~

1. IDS/IPS 란?

IDS + 차단 기능 = IPS

IDS(Intrusion Detection System: 침입 탐지 시스템)은 외부에서 내부로 들어오는 패킷이 

정상인지 아닌지를 탐지하는 네트워크계의 CCTV 같은 솔루션입니다. (여기서 차단 기능이 더해지면 IPS 라고 할 수 있죠)

그렇기 때문에 IDS/IPS는 일반적으로 내부 네트워크로 들어오는 모든 패킷을 탐지할 수 있는 경로에 설치됩니다.

Q. IDS/IPS와 방화벽 중 어떤 솔루션이 더 상단에 설치될까요?

A. 방화벽은 IP/Port 기반으로 패킷을 차단하는 네트워크계의 경비원 !

    IDS/IPS는 비정상 행위 및 악용을 탐지하는 네트워크계의 CCTV ! (IPS는 차단도 가능)

  

   허용되지 않은 IP/Port의 접근을 차단 한 나머지의 행위를 탐지/차단 할 것이냐

   비정상 행위를 차단 한 나머지에 대한 IP/Port  접근을 탐지/차단 할 것이냐

   사실 상 이 문제는 닭이 먼저냐, 계란이 먼저냐의 문제입니다.

   즉, 정답은 없습니다. 장비의 성능 및 구성도에 따라 알맞게 설치하면 됩니다 ㅎㅎ   

 

2. 구성방식

최상단에 설치되는 IDS/IPS 설치 방식은 미러방식과 인라인 방식 이렇게 2가지가 있습니다.

(1) 미러 방식(mirror)

스위치나 TAP 이라는 장치를 이용하여 IDS/IPS로 패킷을 전달 받아 탐지를 진행하는 방식입니다.

단, 이 방식을 이용하는 경우 IPS도 차단이 불가능합니다.

구성도에 있는 IDS는 TAP이라는 장비를 통해 패킷을 받아 패킷을 탐지합니다.

(2) 인라인 방식 (Inline)

네트워크 통로에 들어가서 패킷을 직접적으로 관리하는 방식입니다.

IPS 를 통과하는 패킷 중 비정상적이거나 악용 된 패킷은 차단됩니다.

3. 차단 방식

비정상적인 패킷을 탐지한 IPS는 다양한 방식으로 패킷을 차단합니다.

설정에 따라 일시적으로 출발지 IP를 블랙 리스트에 추가하여 접근을 차단한다던지, 

그림과 같은 방식으로 악성 데이터를 담은 패킷을 제거한 나머지 패킷만을 통과시키기도 합니다.

 

IDS/IPS 에 대한 이야기는 여기서 끝 !

다음편에는 IDS/IPS가 탐지하는 방식에 대해 좀 더 자세히 다루도록 할게요 ! 

새해 복 많이 받으세요  ><