방화벽은 3, 4계층 보안 장비이고 IDS/IPS 는 3, 4, 5, 6, 7계층 보안장비이다.
방화벽은 네트워크 보안을 위해서 필수 솔루션이지만 3, 4계층 방어만 가능하므로 애플리케이션 계층에서 이루어지는 공격은 방어할 수 없다.
애플리케이션 공격은 서비스를 제공하는 시스템 자체의 취약점을 이용하는 경우가 많은데 예를 들면 웹서비스를 제공하려면 TCP 80 포트를 외부 사용자에게 공개해야 하는데 Apache 나 IIS 서버를 악용한 공격은 방화벽에서 필터링하고 모니터링 할 수 없다.
IDS 와 IPS
IDS(Instrusion Detection System)은 공격자가 시스템을 해킹할 때 탐지를 목적으로 개발된 시스템
- 패킷을 복제해서 검토
IPS(Instrusion Prevention System)은 공격이 발생하면 직접 차단하는 능력을 갖춘 장비
- 트래픽을 차단하고 방어
- 회피 공격을 차단하기 위한 세션 이해 기능도 가지고 있다
1️⃣ 동작방식
💠 패턴 매핑 방식
-
기존 공격이나 취약점을 통해 공격 방식에 대한 데이터베이스를 습득하고 그 최신 내용을 유지하다가 공격을 파악하는 패턴 방식
-
방어가 유효하려면 실제로 공격이 들어오기 전에 해당 공격에 대한 패턴 데이터베이스가 확보되어야 한다
- 이러한 경우 극미한 변화만 생겨도 적절한 대응이 어렵고 인터넷 상으로 빠르게 전파되는 웜 공격 변종을 막아내기가 어려움
- 초창기 웜은 인터넷에 퍼지는 속도가 한 달 정도로 충분히 데이터 베이스를 업데이트해서 방어했는데 최근에는 인터넷 웜이 4시간만에 전파됨
-
이 방식을 주로 사용.
💠 Anomaly 공격 방어
- 분명이 공격으로 파악되지 않더라도 특정 기준 이상의 행위를 이상하다고 판단해서 방어한다.
2️⃣ IPS/IDS의 한계와 극복(NGIPS)
💠 한계
-
IPS는 네트워크 상에서 빠른 속도로 애플리케이션 레벨까지 확인하기 위해서 Flow 엔진을 사용한다
- FLOW 엔진은 패킷을 모아 데이터 형태로 변환해서 검사하는 것이 아니라 패킷이 흘러가는 상황을 모니터링해서 공격을 탐지하기 때문에 IPS 장비를 쉽게 우회할 수 있게 된다.
-
IPS에서 오탐이 많이 발생
- 따라서 초기에 설정된 환경에 맞는 튜닝 작업을 오래해야 하고 별도의 관제 인력이 장비를 모니터링하고 환경에 맍는 최적화 작업을 지속적으로 수행해주어야 한다
- 너무 많은 오탐과 알람 때문에 장비가 공격을 정상적으로 방어하지 못하거나 정상적인 서비스도 차단될 수 있다
- 이 문제를 해결하기 위해서 예외처리되는 경우도 많고 설치만하고 제대로 사용하지 못하는 경우도 많다
💠 NGIPS
- 기존 IPS의 기능을 향상시켜서 문제점을 해결한 장비
- 애플리케이션을 인지하거나 다양한 시스템과 연동 가능
- APT 공격을 방어하기 위한 일부 기능이 탑재되어 있음
- APT 공격 (Advanced Persistenct Threat, 지능형 지속 위협) : 특정 목표를 위해 장기간에 걸쳐 은밀하고 지속적으로 이루어지는 사이버 공격
- 외부시스템과 연동할 수 있는 장비도 있다
