| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 |
- 금리 비교 사이트
- 신용대출
- 온라인 햇살론 보증료
- 화재보험 다이렉트 보험료
- 알뜰폰 요금제 비교
- KB손해보험 주택 화재보험
- 서민 저금리 대출
- 금리 사이트 추천
- 노벨피아 추천
- 온라인 햇살론 할인
- 온라인 햇살론 취급제한
- 대출 금리 비교 추천
- KB손해보험 보험료
- 온라인 햇살론 추가대출
- 알뜰폰 요금제
- 서민 대환 대출
- 화재보험 다이렉트
- 서민 저금리
- AI 이미지 사이트
- 서민 저금리 대출 대환 프로그램
- 온라인 햇살론 금리
- 서민 대환 프로그램
- 휴대폰 번호보호 서비스
- 주택 화재보험 다이렉트
- 주택 화재보험 보험료
- KB손해보험 주택 화재보험 다이렉트 보험료 추천
- KB손해보험 다이렉트 보험료
- 온라인 햇살론 자격
- 온라인 햇살론 보증수수료
- 온라인 햇살론 재대출
- Today
- Total
아이인포
IPS와 IDS 본문
☞ IPS와 IDS는 방화벽(Firewall)이라고 알려진 침입차단 시스템의 제한적 보호 능력의 한계를 극복
하기 위해 개발된 것으로 비인가된 사용자의 침입으로부터 기업의 시스템 자원을 효과적으로
보호하기 위한 시스템.
☞ IPS와 IDS는 유사한 개념이지만, 능동적 대처 능력 측면에서 차별화.
☞ IDS의 주기능은 시스템과 네트워크 상에서 발생하는 악의적 침입 행위를 탐지하고, 이에 대해
사전에 정의된 정책에 따라 경고 메시지 전송 등을 수행.
☞ 반면 IPS는 침입을 탐지하는 것뿐만 아니라, 침입이 일어나는 것을 근본적으로 방어하는 것을
목적으로 하는 능동적 개념의 솔루션으로 IDS와 달리 탐지와 동시에 공격을 실시간으로 대응.
☞ IDS는 침입이 발생했을 때 즉각적으로 처리하지 못하지만, IPS는 공격 신호를 찾아내고
네트워크의 트래픽을 관찰해 수상한 활동을 하는 패킷에 조치를 취할 수 있음.
☞ IDS만으로 갈수록 복잡하고 지능화되는 보안 침해 방법과 기술에 대처하는데 한계가 있기
때문에점차 IPS로 대체되고 있는 추세
☞ IDS는 관리자의 업무를 덜어주기 보다 오히려 가중
☞ IDS의 오탐지(False positive) 및 미탐지(Miss detection) 문제가 신뢰도를 저하
☞ 지속적인 패턴 업그레이드 역시 용이하지 않다는 지적
1. IDS ( Intrusion Detection System )
방화벽만으로는 허가된 포트를 경유한 공격에 대한 탐지가 불가한 반면
IDS는 유해트래픽에 대한 사전 감지/관리, 내부정보유출 방지, 유해사이트 차단 등의 기능으로
네트워크 가용성을 확보 할 수 있습니다.
| 실시간 모니터링 |
|
HTTP, FTP, Telnet등 실시간 세션정보를 보여주며, 시스템 및 네트워크 부하상태 등 네트워크 트랜드를 실시간으로 모니터링합니다. |
| 탐지정책 |
|
공격 패턴별 상세 대응책을 적용한 직관적인 룰 정의가 제공되며, 사용자 정의에 따른 세부적인 탐지정책 설정도 지원합니다. |
| 알려지지 않은 공격(Anomaly) 탐지 |
|
네트워크 환경의 추이 분석을 통해 알려지지 않은 공격에 대해서도 분석/탐지하여 대응 방안을 제시합니다. |
| 오탐지(False Positive) 최소화 |
|
탐지수위 조절, 내/외부 구분 탐지기법, 예외 IP 적용 등 오탐지를 최소화 할 수 있는 다양한 방법론과 기술이 적용되어 있습니다. |
| 네트워크 추적 툴 제공 |
|
다양한 네트워크 추적 툴을 제공해 공격 및 대상시스템의 상태 정보를 확인하는 등 공격자 추적기능을 지원합니다. |
2. IPS ( Intrusion Prevention System )
IPS(침입방지시스템)는 방화벽 및 IDS와는 달리 바이러스웜이나 불법침입, DDOS등의
비정상적인 이상 신호 발생 시 인공지능적으로 적절한 조치를 취한다는 점에서
기존 IDS나 방화벽과 차별성을 갖습니다.
| 고도의 세밀한 탐지 |
| 어플리케이션 레벨까지 탐지/분석 하여 정교한 해킹에 대해서도 정확한 차단이 가능합니다. |
| 유연한 정책관리 |
| IP대역을 3개 레벨로 분류하여 가상 IPS를 작성하고 VIPS별 서로 다른 정책 설정이 가능합니다. |
| QOS(Quality Of Service) |
|
QoS 기능을 통하여 합리적인 네트워크 자원관리가 가능하며, 한정된 대역폭 내에서 트래픽 문제를 해결할 수 있습니다. |
| 실시간 모니터링(Real Time Monitoring) |
| 네트워크의 모든 상황을 한눈에 실시간으로 관리할 수 있습니다. |
| 차단관리(Dynamic Blocking List) |
| 시그니처 탐지, 이상탐지 및 DDoS 탐지 등 광범위한 방어범위를 제공합니다. |
| Fail Over |
|
시스템 장애 시 서비스 단절을 최소화 하고 신속한 복구가 가능하여 안정적인 시스템 운영을 지원합니다 |
IDS(침입 탐지 시스템), IPS(침입 방지 시스템)
1) IDS (Intrusion Detection System)
침입 탐지 시스템이다. 즉, 정보 시스템의 보안을 위협하는 침입 행위가 발생 할 경우 이름 탐지, 적극 대응하기 위한 시스템이다. 특히 침입차단을 목적으로 하는 방화벽과는 달리 각종 해킹 수법을 이미 자체에 내장하고 있어 침입 행동을 실시간으로 감지·제어·추적할 수 있다. 해킹 사실이 발견 되면 해킹에 관한 정보를 이동전화, 전자우편 등으로 즉시 전송하고, 네트워크 관리자가 없을 경우에도 24시간 시스템 보안을 유지해 준다. 내부 정보의 유출도 사전에 탐지해 미리 차단하고, 침입을 시도한 해커에 대해서는 침투경로까지 추적해 찾아내며, 데이터를 안전한 곳으로 전환시켜 놓는 등 방화벽의 수동적인 대처와는 달리 적극적인 대응을 한다.
2) IPS (Intrusion Protection System)
침입 차단 시스템이다. IPS가 왜 생겨나게 되었을까? 바로 방화벽과 IDS(침입 탐지 시스템)의 한계 때문이다. 현재는 방화벽과 침입 탐지 시스템만으로 해킹, 바이러스 웜의 공격을 막을 수 없다. 그 이유는 바로 '속도'다. 해킹, 바이러스, 웜이 공격으로 발전하는데 과거에는 반년에서 일년의 시간이 걸리던 것이, 지금은 하루 아침에 공격이 되기 때문이다. 이를 'Zero Day Attack'이라 부른다. 그렇기 때문에 이를 막을 대책이 필요해 IPS(침입 차단 시스템)이 제시된 것이다.
"그럼 침입 차단 시스템은 웜을 어떻게 막을 수 있을까?"
IPS는 침입탐지 시스템과 방화벽의 조합이라고 생각할 수 있다. 침입 탐지 시스템의 기능을 갖춘 IPS의 모듈이 패킷 하나하나를 검사해 그 패턴을 분석한 후, 정상적인 패킷이 아닌 경우 방화벽 기능을 갖춘 모듈로 하여금 해당 트래픽을 차단하게 하는 것이다.
● 정보보호시스템 왜 생겨났을까??
: 인터넷이 발달하면서 악의적인 사용자에 의한 네트워크 공격이 증가하였다. 따라서 이를 탐지하고 방지하기 위해 개발되었다.
-정보보호시스템 발생배경
· 인터넷이 발달하면서 네트워크 공격이 증가 (했기때문에 정보보호시스템이 필요하게 되었다는 내용)
· 일반적인 네트워크 장비들은 보안을 고려하지 않은 상태에서 생성 (되었기 때문에 필요하게 되었다는 내용)
· 그렇기 때문에 따라서, 침입탐지/방지 시스템, 방화벽 등이 생기게 되었다.
정보보호시스템에는 IDS, IPS, VPN, ESM, ETMS, UTM, NAC 이 있다.
● Firewall
방화벽이란 건물에 화재가 발생하였을 경우 더 이상 주변으로 화재가 번지지 않도록 하기 위해 모든 연결 경로를 차단하는 방화벽에서 기인한 용어이다.
→개념
: 네트워크를 외부망과 내부망으로 분리. 그 사이에 방화벽을 배치 시켜 정보의 악의적인 흐름, 침투 등을 방지하는 시스템
: 침입방지시스템은 비인가자, 불법침입자, 해커의 침입으로 인한 정보의 손실, 변조, 파괴 등 으로부터 최소화 시킬 수 있음
: 네트워크를 통해 흐르는 packet들에 대하여 보안 관리자가 미리 정해놓은 보안정책에 따라서 차단하거나 또는 허용 하는 기능을 수행하는 s/w 또는 h/w 기반 시스템
: 허가된 접근, 서비스, 사용자만을 통과 시키는 정책을 수립하여 외부망으로 부터 내부망 보호
주요기능 : 접근통제(Access control), 주소변환(Network Address Translation), 인증(Authenication), 감사기록/추적기능(Logging/Auditing), VPN(Virtual Private Network)
→동작방식
①Packet Filtering
패킷 필터링은 단순히 IP주소와 Port 번호를 이용해 패킷을 허용하거나 Drop 하는 방식
: IP와 Port를 통한 보안 정책
: OSI 7 Layer 모델 중 네트워크(IP address)계층과 전송 계층(TCP/UCP)에서 동작
· 출발지 주소(Source IP), 목적지 주소(Destination IP)
· 출발지 포트(Source Port), 목적지 포트(Destination Port)
: 어플리케이션 레벨 방화벽에 비하여 처리 속도가 빠름
: 어플리케이션 레벨 방화벽에 비해 적용 및 운용이 쉬움
-단점
: 바이러스에 감염된 메일과 첨부파일 등을 전송할 경우 차단 불가능
: 접속제어 규칙의 개수 및 순서에 따라 부하 가중
: 정책이 많을 수록 Delay가 생긴다
packer filtering 순서: 보안정책설정 > 패킷분석 > 패킷을 보안 정책 순서대로 적용 > 보안 정책에 따라 허용 또는 거부 > 보안정책이 정의되지 않으면 All Deny
②Application Gateway
Application Gateway 방식은 별도의 Gateway를 통해 Application 계층까지 검사하여 이를 허용하거나 차단하는 방식을 말한다
: 해당 서비스 별로 별도의 Proxy 데몬이 구동되어 클라이언트와 서버 사이에서 접속을 관리
: 외부 시스템과 내부시스템은 방화벽의 Proxy를 통해서만 연결이 허용되고, 직접 연결은 허용되지 않기 때문에 외부에 대한 내부망의 완벽한 경계선 방어 가능
-장점
: packet의 data부분까지 제어가능
: proxy 사용으로 인해 보안성이 packet filtering 방식에 비해 우수
: 외부에 대한 내부망의 완벽한 경계선 방어 및 내부 IP 주소 숨김
-단점
: 해당 Service 마다 proxy데몬이 구동되어야 함
: packet filtering 방식에 비해 처리속도가 느림
: 상위 레벨에서 동작하기 때문에 많은 부하를 유발 할 수 있음
③Stateful Inspection
: Mac Layers 와 IP 프로토콜 스택 사이에서 동작
: SYN 패킷에 의해 생성된 접속테이블의 정보를 이용하여 후속 패킷들에 대해 규칙 테이블의 검사 없이 고속으로 패킷들을 처리
: 패킷필터링과 게이트웨이 방식의 단점을 보안한 새로운 기술로서 패킷의 상태정보를 이용하여 관리자의 보안정책에 의해 좀 더 빠르고 높은 보안성을 제공
④Dynamic packet filtering
: 보안정책을 동적으로 수정 가능
: 실제 접속상태를 감시하여 상태에 따라 네트워크 패킷들이 방화벽을 통과하도록 허용 여부 결정
: IP주소와 Port번호 등과 같은 세션정보를 기록/유지 함으로서 능동적인 보안관리가 가능
⑤Hybrid
: 대부분의 firewall 채택 방식
: Packet filtering 방식 + Application Gateway방식 등의 혼합
: 사용자의 편의성과 기업환경에 따라 유연성 있게 방화벽을 구성할 수 있지만 관리상 복잡한 단점이 있음
● 가상사설망 VPN
가상 사설마은 논리적으로 경로를 확립하여 보안적 측면에서 터널링, 인증, 암호화 같은 기능을 제공한다.
-개념
: public network상에서 논리적인 usergroup을 구성, 다양한 기능의 서비스를 제공하는 network의 형태
: vpn 의 특성과 이점을 유지하면서 비용을 획기적으로 절감할 수 있는 대안
: 독점적인 사용으로 높은 수준의 보안성 제공
-장점
: 회선 비용 절감
: 암호화 통신으로 보안성 강화
: 네트워크 확장성
- ESM
: 정책 아래 보안장비 통합해 관리함
: 여러 장비 로그 관리., 로그 관리정책과 로그 검색시 많은 시간이 소요되는 단점 있음
: 로그 검색 기술 개발로 단점 커버 중임
-TMS
: 사이버 공격에 대한 침입탐지, 트래픽 분석, 상관관계 분석을 통한 종합적인 위협을 분석함
: 위협을 사전에 차단하거나 탐지하는 것이 아니라, 사전에 진입하는 위협을 탐지하고 경보를 알리는 시스템
: ips보다 직관성이 뛰어나서 현재는 ips 대용으로 많이 쓰임
- NMS
: 네트워크 장비상태, 회선 상태등 필요한 정보를 가져와서 시스템 모니터링
- UTM
: UTM은 다중 위협에 대해 보호 기능을 제공할 수 있는 포괄적 보안 제품
- NAC
: 클라이언트 하나하나 네트워크에 대한 위협을 탐지하는 장비
: 불편한 인터페이스와 낮은 퍼포먼스를 보임( 이제는 웹 인터페이스 때문에 보안이 됬음)
- 매체 제어 솔루션
: 시스템과 연결된 모든 이동 저장 매체를 관리하는 솔루션
: USB, 외장하드, CD-RW, 플로피, 블루투스 핸드폰
-내부 정보유출 방지 서버
: 이메일, FTP, 메신저, 웹하드, P2P등 네트워크를 통한 내부정보 유출 방지
: 첨부파일 제목에 특정한 키워드가 포함 되어있으면 외부로 전송 불가능
: 내부 사용자가 전송하는 모든 컨텐츠 확인 가능
●VLAN
-개요
: 브로드 캐스트 도메인을 여러 개의 네트워크로 나누기 위해서 사용
: 나누어진 VLAN간의 통신은 오직 라우터를 통해서만 가능
: VLAN은 Switch Port 단위로 VLAN ID를 할당하여 다른 VLAN ID를 갖는 PORT간에 트래픽을 차단
-장점
: 브로드 캐스트 양이 줄어둠
: 접근 제어 및 보안 관련 기능 수행
: 트래픽 종류별로 분류할 수 있음