침입 탐지 시스템(Intrusion Detection System, IDS)란 ?
방화벽과 함께 활용되는 네트워크 보안 솔루션으로 시스템과 네트워크에서 송수신되는 모든 데이터의 움직임을 감시하고, 악의적인 동작들을 탐지한다.
네트워크 기반 IDS (NIDS)
네트워크에 위치해 있으며 하나의 독립된 시스템으로 운용된다. NIDS는 무차별 모드(Promiscuous mode)로 동작하는 NIC를 통해 네트워크 패킷을 캡처하여 분석을 통해 탐지하는 시스템이다. 설치할때 기존 네트워크의 환경을 변경할 필요가 없으며, 관리가 쉽다는 장점이 있다. 하지만 많은 양의 트래픽은 성능에 영향을 주고, 암호화된 패킷은 분석할 수 없다는 단점이 있다.
호스트 기반 IDS (HIDS)
HIDS는 NIDS가 탐지할 수 없는 침입을 탐지하며, 시스템 이벤트 감시를 통한 정확한 침입 탐지가 가능하다. 호스트에 설치함으로써 호스트별 상세 분석이 가능하며 사용자 단위 분석도 가능하다. 하지만 개별로 설치 및 관리해야 하며, 네트워크 패킷은 탐지 불가하다. 또한 해커에 의해 호스트 침해가 발생하면 HIDS을 장악할 수 있다.
침입 방지 시스템(Intrusion Prevention System, IPS)란 ?
다양한 보안기술로 침입이 일어나기 전에 실시간으로 침입을 차단, 방어하는 능동형 보안 솔루션이다. 쉽게 말하면 침입 탐지 시스템(IDS)에 차단 기능이 추가된 시스템이라 보면 된다. IPS의 일반적인 설치 위치는 방화벽 뒤에 설치한다. 1차적으로 방화벽에서 패킷을 필터링하기 때문에 IPS의 성능 부하를 줄여준다. 하지만 반드시 방화벽 뒤에 설치해야 하는 것은 아니다. IPS를 어떻게 사용하느냐에 따라서 위치 디자인이 달라지기 때문에 환경에 맞는 위치에 설치하면 된다.
◆ Firewall, IDS, IPS 비교
| 구분 | Firewall | IDS | IPS |
| 목적 | 접근통제 및 인가 | 침입 여부의 감지 | 참입 이전의 방지 |
| 특징 | 수동적 차단, 내부망 보호 | 로그, 시그니처 기반의 패턴 매칭 | 정책, 규칙DB 기반의 비정상 행위 탐지 |
| 패킷 차단 | O | X | O |
| 패킷 내용 분석 | X | O | O |
| 오용 탐지 | X | O | O |
| 오용 차단 | X | X | O |
| 이상 탐지 | X | O | O |
| 이상 차단 | X | X | O |
| 장점 | 엄격한 접근 통제, 인가된 트래픽 허용 | 실시간 탐지, 사후분석 대응기술 | 실시간 즉석 대응, 세션 기반 탐지 가능 |
| 단점 | 내부자 공격 취약, 네트워크 병목현상 | 변형된 패턴에 대해서는 탐지 어려움 | 오탐 현상 발생 가능, 장비 고가 |
'공부 > 네트워크' 카테고리의 다른 글
| 3-Way Handshake, 4-Way Handshake (0) | 2020.06.06 |
|---|---|
| TCP/UDP (0) | 2020.06.05 |
| OSI 7계층 장비(리피터, 허브, 브리지, 스위치, 라우터) (0) | 2020.06.03 |
| 방화벽(Firewall) / 웹 방화벽(Web Application Firewall) (0) | 2020.05.14 |
| OSI 7계층 모델(OSI 7 Layer Model) (0) | 2020.05.10 |