infopub
10 months ago5,000+ Views
‘IDS(Intrusion Detection System, 침입 감지 시스템)’과 ‘IPS(Intrusion Prevention System, 침입 방지 시스템)’은 통신의 움직임을 보고 서버에 대한 DoS(서비스 방해) 공격이나 부정 침입을 감지하거나 방어하는 기기(기능)입니다. 예전에는 IDS/IPS를 기기로 따로 도입하는 경우가 많았지만 최근에는 방화벽이나 UTM(Unified Threat Management) 내의 한 기능으로서 포함시키고 있어서 기기를 단독으로 도입하는 일은 줄어들었습니다.

IDS로 침입을 감지
IDS는 통신의 움직임으로부터 침입을 감지하는 기능입니다. IDS는 수상한 통신의 움직임이나 공격 패턴을 ‘시그니처’라는 형태로 저장하고 있습니다. 시그니처는 바이러스 대책 소프트웨어에서 말하는 패턴 파일과 같은 것입니다. 지정한 시간에 자동으로 갱신되거나 수동으로 갱신됩니다. IDS는 서버에 대한 통신을 받으면 시그니처와 대조해서 부정 통신으로서 식별되면 관리자에게 경고를 합니다. 경고를 받은 관리자는 서버의 액세스 로그를 보거나 방화벽의 필터를 변경하는 등의 대처를 합니다.

IPS로 침입을 방어
IPS는 통신의 움직임으로부터 공격이나 부정 침입을 방어하는 기능입니다. IPS는 IDS를 향상시킨 것으로, 서버에 대한 부정 통신을 시그니처로 감지하면 즉시 차단합니다. 이로써 IDS에서 발생했던 관리자의 수고를 경감시킬 수 있습니다. 최근에는 공격 수법이나 침입 수법이 날로 복잡하고 교묘해져서 부정 통신인지 아닌지를 기계적으로 판단하기가 어려워졌습니다. 그래서 일단 IDS로는 감지만 하고 서버의 상태를 확인한 후에 IPS로 차단하는 경우가 많습니다. 또한 IDS/IPS는 운용 관리가 관건입니다. 도입하기만 한 것으로 만족할 것이 아니라 그 후에도 환경에 맞춰 설정을 제대로 커스터마이징해 가는 것이 중요합니다.

IDS와 IPS
IDS와 IPS는 네트워크를 흐르는 수상한 통신을 식별하여 관리자에게 통지하거나 통신을 차단하는 기능입니다.

최근에는 방화벽이나 UTM의 기능 중 하나로 탑재되고 있습니다.

예를 들어 통신의 시작을 가리키는 SYN 패킷을 연속해서 보내서 서버의 서비스를 방해하는 공격(DoS 공격)이 있습니다.

IDS/IPS는 그러한 수상한 통신 패턴을 시그니처로 갖고 있어서 통신 내용을 체크합니다.

실제로는 무엇을 부정한 통신이라고 판단할지가 어렵기 때문에 운용해 가면서 설정을 커스터마이징할 필요가 있습니다.

그림 한 장으로 보는 최신 서버 가이드북

작가 | Masahiro Kihashi
출판 | 정보문화사
infopub
5 Likes
10 Shares
0 comments
Suggested
Recent
5
Comment
10