IDS, IPS란?

IDS, IPS란?

침입 탐지는 잠재적인 인시던트, 정책 위반 또는 보안 정책에 대한 시급한 위협 요인을 파악하기 위해 네트워크에서 발생하는 이벤트를 모니터링하고 분석하는 프로세스입니다. 침입 방지는 침입 탐지를 수행하여 탐지된 인시던트를 차단하는 프로세스입니다. 이러한 보안 수단은 네트워크의 일부로서 잠재적인 인시던트를 탐지하고 차단하는 IDS(침입 탐지 시스템) 및 IPS(침입 방지 시스템)로 제공됩니다.

IDS/IPS로 해결할 수 있는 문제

비즈니스 네트워크에는 일반적으로 다른 공용 및 사설 네트워크와 연결되는 여러 액세스 포인트가 존재합니다. 해결과제는 이러한 네트워크의 보안을 유지하는 동시에 고객이 액세스할 수 있도록 개방하는 것입니다. 오늘날의 공격은 최상의 보안 체계, 개중에서도 특히 암호화나 방화벽으로 네트워크를 보호할 수 있다는 가정하에 운영되고 있는 시스템을 우회할 수 있을 만큼 정교해졌습니다. 불행이도 이러한 기술만으로는 오늘날의 공격을 막아내기에 역부족입니다.

 

 

IDS/IPS로 할 수 있는 작업

침입 탐지 시스템(IDS)과 침입 방지 시스템(IPS)은 네트워크를 지속적으로 감시하여 잠재적인 인시던트를 파악하고 관련 정보를 로깅할 뿐 아니라, 인시던트를 차단하고 이를 보안 관리자에게 보고합니다. 일부 네트워크에서는 보안 정책상의 문제를 파악하고 사용자들이 보안 정책을 위반하지 않도록 감시하기 위해 침입 탐지 및 방지 시스템(IDS/IPS)을 사용하기도 합니다. 침입 탐지 및 방지 시스템(IDS/IPS)은 공격자들이 네트워크에 대한 정보를 수집하는 중에 공격을 막아내기 때문에 대부분의 조직에서 보안 인프라의 필수적인 요소로 자리매김했습니다.

침입 탐지 시스템 작동 방식

인시던트를 탐지하는 데는 일반적으로 세 가지 IDS 탐지 방법이 사용됩니다.

  • 서명 기반 탐지(Signature-Based Detection)는 관측된 이벤트와 서명을 비교하여 잠재적인 인시던트를 식별합니다. 서명 기반 탐지는 문자열 비교 연산을 사용하여 당시의 활동 단위를 비교(패킷 또는 로그 항목을 서명 목록에 비교)하는 가장 단순한 탐지 방법입니다.
  • 이상 징후 기반 탐지(Anomaly-Based Detection)는 정상적인 활동이라 간주되는 활동을 관측된 이벤트와 비교하여 중대한 차이점을 식별합니다. 이 탐지 방법은 이전까지 알려지지 않은 위협을 식별하는 데 효과적입니다.
  • 상태 유지 프로토콜 분석(Stateful Protocol Analysis)은 각 프로토콜 상태별로 정상 프로토콜 활동에서 일반적으로 허용되는 정의의 사전 정의된 프로필을 관측된 이벤트와 비교하여 차이점을 식별합니다.

주니퍼 네트웍스 구현

주니퍼 네트웍스는 침입 탐지 및 방지(IDP) 서비스에 자사의 SRX 시리즈 서비스 게이트웨이를 사용합니다. 사용자는 선택한 SRX 시리즈 디바이스를 통과하는 네트워크 트래픽에 대해 다양한 공격 탐지 및 방지 기법을 선택적으로 적용할 수 있습니다. 또한 일정 영역, 네트워크 또는 애플리케이션별로 트래픽 정책을 정의한 다음 해당 트래픽에 대해 능동 또는 수동적으로 방어 조치를 취할 수 있습니다. SRX 시리즈 디바이스에는 공격으로부터 네트워크를 보호하기 위한 통합 침입 방지 시스템(IPS) 시그니처 세트가 포함되어 있습니다. 주니퍼 네트웍스는 사전 정의된 공격 데이터베이스를 정기적으로 업데이트합니다. SRX 시리즈 디바이스는 PCAP Syslog Combination 프로토콜을 사용하여 트래픽으로부터 패킷 캡처(PCAP) 데이터를 JSA(Juniper Secure Analytics) 어플라이언스로 전달합니다.