침입 방지, 탐지 시스템 정리

IPS - 침입이 일어나기 전 그러니까 악성 트래픽을 식별하고 네트워크에 유입되는 것을 사전에 차단할 수 있도록 도와주는 것

IDS - 침입이 일어난 후 탐지하는 것으로 허가되지 않은 사용자로부터 접속, 정보의 조작, 오용, 남용 등
컴퓨터 시스템 또는 네트워크 상에서 시도됐거나 진행 중인 불법적인 예방에 실패한 경우 취할 수 있는 방법으로
의심스러운 행위를 감시해 가능한 침입자를 조기에 발견해서 실시간 처리가 목적

 

IDS 장점

• 해킹에 대해 침입차단시스템보다 적극정인 방어가 가능
• 내부 사용자의 오 남용 탐지 및 방어가 가능
• 해킹사고 발생 시 어느 정도의 근원지 추적이 가능

IDS 단점

• 대규모 네트워크에 사용하기 어려움
• 관리 및 운영이 어려움
• 새로운 침입 기법에 대한 즉각적 대응이 어려움
• 보안사고에 대한 근본적 해결책은 제시되지 못함

Promiscuous mode

• 일반적으로 스위치에서 브로드 캐스트를 하면 자기에게 맞는 패킷만 허용 후 나머지는 폐기한다.
• Promiscuous mode는 자기에게 온 것이 아님에도 일단 받아서 유지하게 된다.
• 위의 기능 때문에 시스템에 부하를 주기 때문에 해당 기능은 디폴트(Disabled)로 되어 있다.
• 그럼에도 불구하고 사용한다면 패킷을 유지하기 때문에 해당 데이터를 조합하여 다른 정보를 가져올 수 있다.
• 이것을 스니핑이라고 부른다.

In-line mode (인라인 모드)

• 모든 패킷이 보안 장비를 거쳐 목적지로 도달하는 방식
•  

출처 : https://m.blog.naver.com/ster098/221995060127

• 보안 정책에 따라 패킷을 Pass/Drop이 가능.
• 침해 위협이 있는 패킷은 자동 차단이 가능해 보안성을 높이는 방법 중 하나
• 단, 모든 패킷을 받아들이기 때문에 부하로 인한 장비 장애가 발생할  수 있음.
• IDS도 인라인 모드로 구성이 가능하다.

UTM

• 하나의 장비에서 여러 보안 기능을 통합적으로 제공해 다양하고 복잡한 보안 위협에 대응
• 관리 편의성과 비용절감의 장점이 부각되면서, 네트워크 보안 시장의 거스를 수 없는 흐름

IPS 센서의 구성 요소 -- 정리 예정

탐지 및 시행 엔진 -- 정리 예정
공격 시그니처 패키지 -- 정리 예정

 

SNORT 

• 트래픽 탐지와 패킷 로딩이 실시간으로 가능

----- 추가 예정