네트워크

방화벽/IDS/IPS 정의 및 차이 - 성실한 보안바라기

윤맨1 2021. 7. 5. 14:59

[ 방화벽 (Firewall) - 침입차단시스템 ]

- 서로 다른 네트워크를 지나는 데이터를 허용 및 거부하거나 검열 또는 수정

- 네트워크에서 보안을 높이기 위한 1차적인 방법

- 신뢰하지 않는 외부 네트워크와 신뢰하는 내부 네트워크 사이를 지나가는 패킷들에 대한 미리 정한 규칙에 따라 차단하거나 보내주는 기능을 하는 하드웨어 또는 소프트웨어를 뜻함

- 관리자는 방화벽을 통과시킬 접근과 그렇지 않은 접근을 명시해야 함

- 기본적인 기능은 접근 제어를 룰셋(Role Set)을 통해 이루어짐

 

* Rule Set이란?

- 방화벽을 기준으로 보호하고자 하는 네트워크의 외부와 내부에 존재하는 시스템들의 IP와 PORT 단위로 이루어지는 것

 

[ 침입탐지시스템 (IDS : Intrusion Detection System) ]

- 시스템에 대한 원치 않은 조작을 탐지

- 설치 위치와 목적에 따라 호스트 기반과 네트워크 기반의 침입탐지시스템으로 나뉨

 

* 호스트 기반 ( HIDS : Host-based IDS )

- 컴퓨터 시스템의 내부를 감시하고 분석하는 데 중점을 둠

- 개인의 워크스테이션, 서버에 설치될 수 있으며, 컴퓨터 자체를 제한

- 운영체제에 설치된 사용자 계정에 따라 어떤 사용자가 어떠한 접근을 시도하고 작업을 했는지에 대한 기록을 남기고 추적

- 네트워크에 대한 침입탐지는 불가능하며, 스스로가 공격 대상이 될때만 침입을 탐지하는 방식

- 트로이목마, 논리폭탄, 백도어 탐지

( ex) Tripwire )

 

* 네트워크 기반 ( NIDS : Network-based IDS )

- 네트워크를 통해 전송되는 패킷 정보 수집 및 분석하여 침입을 탐지하는 시스템

- 감지기를 사용하며, 무차별모드(Promiscuos mode)에서 동작하는 네트워크 인터페이스에 설치되어있음

- IP 주소를 소유하지 않아 직접적인 해커 공격은 거의 완벽하게 방어 가능

- 설치 위치에 따라 감시 대상 네트워크 범위 조절 가능, 별도 서버를 스위치에 연결

- 공격당한 시스템의 공격에 대한 결과는 알 수 없으며, 암호화된 내용 탐지 불가

( ex) Snort )

 

* Snort란?

- 무료 오픈 소스 네트워크 침입 탐지 시스템이자, 침입 방지 시스템으로 실시간으로 트래픽 분석 및 패킷을 기록 (  IDS & IPS )

■ 패킷 스니퍼 모드

- Tcpdump와 같은 네트워크의 TCP/IP 패킷을 읽어 보여주는 기능

■ 패킷 로거 모드

- 모니터링한 패킷을 저장하고 로그를 기록하는 기능

- 트래픽 디버깅에 매우 유용하게 사용

■ 네트워크 IDS 모드

- 네트워크 트래픽(패킷) 분석 및 공격 탐지 기능을 제공

■ Snort Inline

- 침입방지시스템으로, 패킷 분석, 공격 차단 기능을 제공

 

[ 침입방지시스템 (IPS : Intrusion Preventing System) ]

- 공격탐지를 뛰어넘어 탐지된 공격에 대한 웹 연결 등을 적극적으로 막아주는 솔루션

- 침입탐지 기능을 수행하는 모듈이 패킷을 일일히 검사하여 해당 패턴을 분석한 후, 정상적인 패킷이 아니면 방화벽 기능을 가진 모듈로 차단

- 일반적으로 IPS는 방화벽 내부에 설치 ( 방화벽과 연동하여 공격을 탐지할 수 있기 때문 )

 

[ 방화벽/IDS/IPS 차이 ]

 

 

출처 : https://catchingitsecure.tistory.com/4