📝 IPS 와 IDS
📌IPS, IDS
📍IDS (Intrusion Detection System)
IDS란 침입 탐지 시스템을 말하며, 공격자가 시스템을 해킹할 때 탐지를 목적으로 개발되었다.
방어보다 탐지에 초점을 맞추어 개발되었으며 공격에 직접 개입하거나
방어하는 것이 아닌 트래픽을 복제해 검토하고 침입 여부를 판별한다.
➕자체 방어기능은 없거나 세션을 리셋하는 일부 기능이 있을 수 있다
📍IPS (Intrusion Prevention System)
IDS와 달리 공격이 발견되면 직접 차단하는 능력을 갖춘 장비이다.
트래픽을 복제하여 검토만 하는 것이 아니라 트래픽이 지나가는
인라인 상에 장비를 배치한다.
IDS와 IPS는 적극적으로 통신에 개입하며 유해 트래픽을 차단,
방어하는 것 외에도 회피 공격을 차단하기 위한 세션 이해 가능 여부,
능동적 방어를 위한 어노말리(Anomaly) 등 다양한 기능으로 구분한다.
IPS는 호스트 기반, 네트워크 기반으로 나누어진다.
엔드포인트 보안이 강조될 때는 호스트 기반,
네트워크 보안이 강조될 때는 네트워크 기반이 많아지지만,
일반적으로 네트워크 기반 IPS인 NIPS(Network based IPS)를 말한다.
클라우드 내부 네트워크에서 NIPS 배포가 어려워 HIPS(Host based IPS) 의
사용 빈도가 늘었으나, 서비스와 리소스 공유, 장애 발생 시 주체 파악의 어려움 등
여러 불편한 점으로 인해 클라우드 내부에서도 NIPS로 바뀌는 추세이다.
📍IPS의 동작방식
기본적으로 공격 데이터베이스를 사용한 패턴 매칭 방식으로 운영되나,
프로토콜 어노말리, 프로파일 어노말리 등의 다른 기법으로 방어하기도 한다.
🔸패턴 매칭 방식
기존 공격이나 취약점을 통해 공격 방식에 대한 데이터베이스를 습득하고
그 최신 내용을 유지하다가 공격을 파악하는 기술이다.
패턴 방식, 시그니처 방식, 데이터베이스 방식 방어라고 한다.
이 방식의 방어가 IPS 기능의 상당 부분을 차지하므로
IPS는 많은 공격 데이터베이스를 보유해야 하며
최신 공격 방식을 데이터베이스에 신속하게 반영해야 한다.
🔸어노말리 공격 방어
패턴 기반의 방어는 극미한 변화만 생겨도 적절한 대응이 어려웠고
인터넷으로 빠르게 전파되는 변종을 적절한 타이밍에 막아내기 어려웠다.
기존 블랙리스트 기반의 방어 방식인 패턴 기반 방어의 한계 때문에
IPS에서도 화이트리스트 기반의 방어 기법인 어노말리가 개발되었다.
어노말리 기법은 분명한 공격으로 파악되지 않더라도
특정 기준 이상의 행위를 이상하다고 판단하고 방어한다.
-
프로파일 어노말리
평소 관리자가 정해놓은 기준이나 IPS 장비가
모니터링해 정해진 기준과 다른 행위가 일어나면 공격으로 판단한다.
(ex. 평소 1MB 이하의 트래픽이 발생하던 시스템에서 갑자기 수십MB 이상의
트래픽이 발생한 경우) 이 기능은 동적 프로파일 기능이 강화되면서 향후
DDoS 방어 장비로 진화했다. -
프로토콜 어노말리
방화벽을 우회하기 위해 내부 사용자가 악성 코드를
내려받아 직접 실행하도록 유도하는 환경 (즉, 좀비 PC) 에서 방어하기
위한 기법이다. 감염된 내부 PC 에서는 잘 알려진 서비스 포트에서
동작하는 프로토콜이 아닌, 다른 프로토콜을 사용하는 경우가 흔하다.
이처럼 잘 알려진 포트와 실제로 통신하는 프로토콜이 다를 때,
이것을 파악하여 적절히 제거하는 기법을 말한다.
📍IPS의 한계와 극복
네트워크상에서 빠른 속도로 애플리케이션 레벨까지 확인하기 위해 플로(Flow)
엔진을 사용한다. 이는 패킷을 모아 데이터 형태로 변환해 검사하는 것이 아닌,
패킷이 흘러가는 상황을 모니터링해 공격을 탐지하므로, 비교적 쉽게 우회가 가능하다.
IPS는 오탐이 많이 발생하여 초기 환경에 맞게 튜닝작업을 오래 해주어야 하며,
별도의 관제 인력이 장비를 모니터링하고 환경에 맞는 최적화 작업을 지속적으로 해야한다.
예외 처리되는 경우가 많으며 제대로 사용하지 못하는 경우 또한 많다.
이를 해결한 NGIPS(Next Generation IPS)은 애플리케이션을 인지하거나
다양한 시스템과 연동하여 APT (지능형 지속공격)을 방어하기 위한 기능이 탑재되어 있다.
