이번 시간에는 보안장비들 중에서 기본이라고 불리는 방화벽 , IPS , IDS 3가지 장비들에 대한 개념 및 차이점에 대해서 알아보도록 하겠습니다.
1. IDS ( Intrusion Detection System ) : 침입탐지 시스템
컴퓨터 시스템의 비정상적인 사용 , 오용 , 남용 등을 실시간으로 탐지하는 시스템 보통 Application의 Layer의 탐지
① 기능
- 패킷 및 세션 분석 탐지
- 서명 탐지
- 프로토콜 이상 탐지
- 시그니처 및 이상 징후 탐지
- 비정상 행위 및 비정상 트래픽 탐지
② 단점
- 공격에 대한 대응 능력 부족
- 높은 오 탐지율 문제
▶ IDS는 CCTV 같은 거라고 보시면 됩니다. 비정상적인 행동에 대해서 지켜만 볼뿐 대응하는 행위는 따로 하지 않습니다. 담당자한테 경보 메시지 정도는 보냅니다. 그리고 요즘은 IDS를 사용하지 않는 추세입니다. 왜냐면 한 단계 더 발전된 IPS가 나왔으니까요.
2. IPS ( Intrusion Prevention System ) : 침입방지 시스템
: IDS , 공격 탐지와 방지의 통합 기능을 가지는 장비이며 , 네트워크에서 공격 찾아내어 자동으로 모종의 조치를 취함으로써 비정상적인 트래픽을 중단시키는 보안 시스템 침입이나 공격 패킷이 유입되면 자체적으로 제거해야 하기 때문에 반드시 인라인 모드로 설치해야 본래의 기능 수행
① 기능
- 시그니처 및 이상 징후 차단
- 비정상 행위 및 비정상 트래픽 탐지 후 차단
- 패킷 필터링
- Application Layer(바이러스 , 웜 , 안티스팸) 탐지 및 차단
▶ 침입방지 시스템은 바이러스 , 웜 , 불법침입 , DDoS 등의 비정상적인 이상신호를 발견 즉시 인공지능적으로 적절한 조치를 취한다는 점
3. Firewall ( 방화벽 ) : 침입차단시스템
: IP , PORT 프로토콜 등으로 패킷 필터링을 하는 시스템 두 네트워크를 흐르는 패킷을 미리 정해놓은 규칙에 따라서 차단하거나 허용해주는 기능을 수행
① 기능
- IP 필터링
- Port 필터링
- 접근 제어 (Access Control)
- 로깅 및 감사 추적 (Logging & Auditing)
- 인증 (Authentication)
- 기타 - integrity Check , Virus Filtering , Dual DNS
② 단점
- 패킷에서 헤더 정보 이상을 조사하지 않음
- 다른 선택보다 상대적으로 낮은 보안
- 내부의 악의적인 사용자
▶ 외부로 연결되는 내부의 네트워크는 보안의 수준이 저하되지 않게 유지하는 것이 중요합니다. 방화벽을 이용하여 기밀정보가 외부로 나가는 것과 외부의 불법적인 침입을 막는 것이 가능 악의적인 공격 , 산업스파이 , Data의 우발적인 노출 등에 대한 위험이 감소된다.
★ 방화벽 & IPS의 차이점 ★
▶ IPS는 OSI 7 Layer의 3~7 계층을 모두 검사하고 , 방화벽은 3~4 계층만 검사합니다. 방화벽의 검사 영역이 더 좁은 것이죠. IPS는 패킷의 데이터까지 전부 검사하고 , 방화벽은 패킷의 헤더만 검사한다는 큰 차이점이 있습니다. 보안 취약점을 위해 여러 보안 장비를 설치하지만 , 보안장비의 구축이 더 이상 내부 호스트의 보안이 필요 없음을 의미하는 것은 아닙니다. 대부분의 성공적인 공격의 형태가 내부자에 의해서 발생된다는 것을 알 수 있습니다.
저의 글을 읽어 주셔서 감사합니다. 오늘도 즐거운 하루 보내세요.
댓글