IDS vs IPS vs Firewall

✔︎ IDS란?
침입탐지시스템(Intrusion Detection Systems)으로 네트워크 트래픽을 모니터링하고 의심스러운 활동을 발견하면 경보를 발령하는 시스템

✔︎ IDS 시스템 작동 방식(인시던트 탐지에 일반적으로 사용되는 IDS 탐지방법)
① 서명 기반 탐지(Signature-Based Detection)

• 관측된 이벤트와 서명을 비교하여 잠재적인 인시던트를 식별
• 문자열 비교연산을 사용하여 당시의 활동단위(예: 패킷 또는 로그 항목)를 비교하는 가장 단순한 탐지 방법

② 이상 징후 기반 탐지(Anomaly-Based Detection)

• 정상적인 활동이라 간주되는 활동을 관측된 이벤트와 비교하여 중대한 차이점을 식별
• 이 탐지 방법은 이전까지 알려지지 않은 위협을 식별하는 데 효과적

③ 상태 유지 프로토콜 분석(Stateful Protocol Analysis)

• 각 프로토콜 상태별로 정상 프로토콜 활동에서 일반적으로 허용되는 정의의 사전 정의된 프로필을 관측된 이벤트와 비교하여 차이점을 식별

✔︎ IPS란?
침입방지시스템(Intrusion Prevention System)으로 IPS 기술은 무차별 대입 공격, DoS(서비스 거부) 공격 및 취약성 악용과 같은 네트워크 보안 공격을 탐지하거나 방지 가능한 시스템

IPS 기술은 패킷 흐름을 감시하기 때문에 보안 프로토콜의 사용을 강제하고 이전 버전의 SSL 또는 취약한 암호를 사용하는 프로토콜과 같은 안전하지 않은 프로토콜의 사용을 거부하는 데에도 사용할 수 있습니다.

✔︎ IPS 시스템 작동 방식
IPS 기술은 네트워크 침입 탐지 시스템(NIDS) 또는 호스트 침입 탐지 시스템(HIDS)으로 배포된 패킷에 액세스할 수 있음.
Network IPS는 전체 네트워크에 대한 더 큰 보기를 가ㅣㅈ며 네트워크 TAP 또는 SPAN 포트에서 패킷을 수신하는 수동 센서로 네트워크에 인라인으로 배치되거나 네트워크에 오프라인으로 배치될 수 있음

사용되는 검색 방법 → 서명 또는 변칙기반
사전 정의된 서명은 잘 알려진 네트워크 공격의 패턴 IPS는 패킷 흐름을 서명과 비교하여 패턴 일치가 있는 지확인함
이상 징후 기반 침입 탐지 시스템은 휴리스틱을 사용하여 위협을 식별함

✔︎ 방화벽(Firewall)이란?

• 서로 다른 네트워크를 지나는 데이터를 허용 및 거부하거나 검열 또는 수정
• 네트워크에서 보안을 높이기 위한 1차적인 방법
• 신뢰하지 않는 외부 네트워크와 신뢰하는 내부 네트워크 사이를 지나가는 패킷들에 대한 미리 정한 규칙에 따라 차단하거나 보내주는 기능을 하는 하드웨어 또는 소프트웨어를 뜻함
• 관리자는 방화벽을 통과시킬 접근과 그렇지 않은 접근을 명시해야 함
• 기본적인 기능은 접근 제어를 룰셋(Role Set)을 통해 이루어짐

★ Rule Set
방화벽을 기준으로 보호하고자 하는 네트워크의 외부와 내부에 존재하는 시스템들의 IP와 PORT 단위로 이루어지는 것

✔︎ IDS vs IPS vs Firewall