IDS/IPS란?
- IDS(Intrusion Detection System)는 침입 탐지 시스템으로 외부에서 내부로 들어오는 패킷이 정상인지 아닌지 탐지하는 솔루션
- IPS(Intrusion Prevention System)는 침입 차단 시스템으로 IDS에 차단 기능이 더해진 것
- IDS/IPS는 일반적으로 내부 네트워크로 들어오는 모든 패킷을 탐지할 수 있는 경로에 설치
구성 방식
-
미러 방식(mirror)
- 스위치나 TAP 이라는 장치를 이용하여 IDS/IPS로 패킷을 전달 받아 탐지를 진행하는 방식(단, 이 방식을 이용하는 경우 IPS도 차단이 불가능)
- 스위치나 TAP 이라는 장치를 이용하여 IDS/IPS로 패킷을 전달 받아 탐지를 진행하는 방식(단, 이 방식을 이용하는 경우 IPS도 차단이 불가능)
-
인라인 방식(inline)
- 네트워크 통로에 들어가서 패킷을 직접적으로 관리하는 방식
- IPS 를 통과하는 패킷 중 비정상적이거나 악용된 패킷은 차단
차단 방식
- 설정에 따라 일시적으로 출발지 IP를 블랙 리스트에 추가하여 접근을 차단하거나 아래 그림과 같은 방식으로 악성 데이터를 담은 패킷을 제거한 나머지 패킷만을 통과시키기도 함
