[정보보안기사 PART 05] 네트워크 보안 - IDS/IPS

[정보보안기사 PART 05] 네트워크 보안 - IDS/IPS

---

Section 28 IDS/IPS

 

1. 침입탐지시스템(IDS)

 

(1) IDS(Intrusion Detection System) 개요

1) 기본 개념

 네트워크에서 사용되는 자원의 무결성, 비밀성, 가용성을 저해하는 비정상적인 사용과 오용, 남용 등의 행위를 가능한 한 실시간으로 탐지하여 관리자에게 경고 메시지를 보내주고 대응하는 시스템

 즉, 외부침입에 대한 정보를 수집하고, 분석하여 침이활동을 탐지해 이에 대응하도록 보안 담당자에게 통보하는 기능을 수행하는 네트워크 보안 시스템이다.

 

2) 특징

 내, 외부망의 접속점에 위치하여 방화벽의 부족한 부분을 보강하기 위해 사용되는 것

 네트워크상에서 발생하는 의심스러운 행동 발견하고 메시지 전달, 경고음 발생

 

3) IDS의 장,단점

장점	단점
- 해킹에 대한 침입탐지시스템보다 적극적인 방어 가능 - 내부 사용자의 오, 남용 탐지 및 방어 기능 - 해킹사고 발생 시 어느 정도의 근원지 추적 가능	- 대구모 네트워크에 사용 곤란 - 관리 및 운영 어려움 - 새로운 침입기법에 대한 즉각적인 대응 곤란 - 보안사고에 대한 근본적인 해결책은 되지 못함

 

4) IDS의 실행단계

 - 데이터 수집

 - 데이터 가공 및 축약

 - 침입분석 및 탐지 단계

 - 보고 및 대응

 

(2) IDS의 종류

1) 탐지방법에 의한 분류

- 규칙-기반 침입탐지(오용 침입탐지)

 시스템 로그, 네트워크 입력정보, 알려진 침입방법, 비정상적인 행위 패턴 등의 특징 비교하여 탐지하는 방법

 기존의 침입방법을 데이터베이스에 저장해 두었다가 사용자 행동 패턴이 기존의 침입 패턴과 일치하거나 유사한 경우에 침입이라 판단

 DB는 기존의 공격이나 침입 시에 나타났던 패턴의 특징을 저장하고 새로운 공격이나 침입 방법이 출현하였을 경우에는 그에 맞는 공격 패턴을 생성하여 추가한다.

 오용 침입 탐지방법은 DB에 저장되어 있는 기존의 공격 패턴을 정확하게 유지하고 있다면 비정상 행위 탐지 방법보다 False-Positive 확률을 감소시킬 수 있다.

 ex) 전문가 시스템, 상태전이 모델, 패턴 매칭

 

- 통계적 변형 탐지(비정상 침입탐지)

 관찰된 사건들을 정상적인 행위에 대한 정의들과 비교하여 심각한 수준의 일탈 행위를 식별하는 과정

 시스템과 사용자의 정상적인 행위 패턴을 프로파일로 생성하고 실제 시스템상에서의 행위가 프로파일 범위를 벗어날 경우를 탐지하는 방법

 오용 탐지방법보다 DB 관리가 용이하고 알려지지 않은 공격도 탐지가 가능하며 침입 이외의 시스템 운용상의 문제점도 발견

 반면에 프로파일과 실제 입력정보를 비교하는 시간의 지연으로 실시간 탐지가 어렵고 탐지 정확성을 높이기 위한 기준 조정이 어렵다.

 ex) 통계적 분석 방법, 예측 가능한 패턴 생성 방법, 신경망 모델

 

2) 대응방법에 따른 분류

 - 수동적 대응방법

 - 능동적 대응방법

 

3) 데이터 수집원에 의한 분류

 - 네트워크 기반 IDS(Network-based IDS)

   패킷 헤더, 데이터 및 트래픽 양, 응용프로그램 로그 등을 분석하여 침입 여부를 판단한다.

   시스템의 감사 자료가 아닌 네트워크를 통해 전송되는 패킷 정보를 수집 분석하여 침입을 탐지하는 시스템

 

 장점

  트래픽을 감시할 수 있는 몇몇 위치에만 설치하므로 초기 구축 비용 저럼

  OS에 독립적이므로 구현 및 관리 쉽다.

  캡처된 트래픽에 대해서는 침입자가 흔적을 제거하기 어렵다.

 

단점

  암호화된 패킷을 분석할 수 없다.

  스위칭 환경에서는 호스트 기반 침입 탐지 시스템보다 구축비용이 오히려 더 많이 든다.

  호스트 상에서 수행되는 세부 행위에 대하여는 탐지 불가

 

 - 호스트 기반 IDS(Host-based IDS)

   호스트 시스템으로부터 생성되고 수집된 감사 자료를 침입 탐지에 사용하는 시스템

   사용자 명령어와 기본 로그 파일만을 사용하는 것부터 시스템 콜 레벨의 감사 자\료를 사용

   시스템 이벤트 감시를 통한 정확한 침입 탐지 가능

 

장점

 정확한 탐지 가능, 다양한 대응책 수행

  암호화 및 스위칭 환경에 적합

  추가적인 하드웨어가 필요하지 않음

 

단점

  각각의 시스템마다 설치해야 하므로 다양한 OS를 지원해야 한다.

  침입 탐지 시스템으로 인해 시스템에 추가적인 부하가 걸린다.

  구현이 용이하지 않다.

 

4) 탐지시점에 따른 분류

 - 사후분석 시스템

 - 실시간 탐지 시스템

 

(3) IDS의 응용

1) 긍정오류(false positives)와 부정오류(false negatives)

 긍정오류 : 합법적 사용자를 침입자로 판단하는 경우

 부정오류 : 침입자를 합법적 사용자로 판단하게 되는 경우

 

2) 허니팟(Honeypot)

 실제로 자료를 가진 호스트인 것처럼 인터넷상에 존재하면서, 해커, 악의적인 내부자 등을 속여 그들로부터 침해당함으로써 그들의 행동, 공격기법, 목적 등을 분석하는 데 사용

 

(4) 스노트(Snort)

1) 개요

 실시간 트래픽 분석, 프로토콜 분석, 내용검색/매칭, 침입탐지 Rule에 의거하여 오버플로우 , 포트스캔, CGI 공격 OS확인 시도 등의 다양한 공격과 스캔을 탐지 가능

 

2) snort 룰(시그니처) 형식

 크게 헤더 부분과 바디 부분으로 구성

 헤더 부분은 처리방식, 프로토콜, IP주소, 포트번호 등 처리할 패킷을 판단하는 기준 명시

 바디 부분은 alert message나 패킷 데이터를 조사하기 위한 내용을 기술

 

 

 

2. 침입방지시스템(IPS)

 

1) IPS(Intrustion Prevention System) 개요

 다양하고 지능적인 침입기술에 대항해 다양한 방법의 보안기술을 이용하여 침입이 일어나기 전에 실시간으로 침입을 막으며, 인터넷 웜, 악성코드 및 해킹에 기인한 유해 트래픽을 차단하기 위한 능동형 보안 솔루션

 

2) IPS의 필요성

 IP 주소 또는 포트에 의한 네트워크 공격을 차단할 수 있지만, 응용 프로그램 수준의 공격과 새로운 패턴을 공격에 대한 적응력이 무척 낮고, 실시간 대응을 할 수 없다.

 침입탐지시스템은 실시간 탐지는 가능하지만, 대응책을 제시해 주지는 못했기 때문에 그 대안이 요구되었다.

 예전에는 이런 한계점이 큰 문제가 아니었지만 지금은 방화벽과 침입탐지시스템만으로는 해킹이나 바이러스, 웜에 대한 공격을 막을 수 없다. 가장 큰 이유는 바로 속도 때문이다.

 

 

 

 

*출처:[알기사] 2019 정보보안기사&산업기사

*해당 블로그는 개인적인 공부와 정보 공유를 위해 만들었습니다.