IPS (Intrusion Prevention System)

- IDS/IPS 장비 개념

IDS/IPS에 대해 알아보자. 이름 그대로 외부의 침입을 탐지하거나 차단하는 시스템이다.

KISA에서는 IDS/IPS를 이렇게 정의한다.

 

사용자 및 외부침입자가 컴퓨터 시스템, 네트워크 자원을 권한 없이 불법으로 사용하기 위한 시도 

또는 내부사용자가 권한을 오용하여 권한 이외의 자원을 사용하기 위한 시도를 탐지하여 그 피해를 

최소화하는 시스템.

 

라고 한다.. 보통은 방화벽과 함께 사용한다.

방화벽과의 가장 큰 차이점은, 방화벽은 일정한 규칙에 의해 아예 접근을 차단하는 것이고, 

IPS는 특정 패턴 기반 탐지 및 차단 기능을 한다.

 

 

 

IDS/IPS는 목적에 따라 여러가지 종류로 나뉜다.

1. 호스트 기반 IDS/IPS

각 호스트 내에서 OS 감사자료와 시스템 로그 분석, 프로세스 모니터링을 통해 침입탐지하는 시스템.

시스템 로그보다 자세하지만 가독성이 떨어진다.

요즘은 HIDS같은 경우 사용되지 않는다. 제품으로 나오지도 않고.

- 장점 : 암호화 세션, 스위치 환경에서도 식별 가능 / 로컬BOF 탐지 가능 / 하드웨어가 필요없어 비용싸다.

- 단점 : CUP 점유 / 네트워크 스캔은 탐지못함 / OS 자체가 취약하면 무결성 보장 안됨.

 

2. 네트워크 기반 IDS/IPS

Promiscuous mode 로 동작하는 NIC를 통해 패킷 캡쳐 후, 분석을 통해 침입탐지하는 시스템.

네트워크 세그먼트의 모든 패킷을 감시하고 독립된 서버에 설치한다.

이게 보통 많이 쓰는 IDS. 스위치에 포트 미러링으로 달아놓는다.

- 장점 : 호스트의 성능에 영향X / OS 독립적 / 실시간 대응이 가능 / 기존 네트워크 환경 변화시킬 필요없음

- 단점 : 트래픽에 영향 받음 / 암호화 세션 분석 불가능 / 공격의 성공, 실패여부 식별 못함.

 

3. 하이브리드 IDS/IPS

호스트와 네트워크 IDS를 결합시킨 형태다.

 

 

* IPS 보안장비

개인 PC에서 IPS 세팅해서 사용할 일은 없을 것이다.

그럼 결국에는 IDS/IPS같은 보안 솔루션들은 기업망 같은 대규모 네트워크에 도입된다는 말인데..

소프트웨어적으로 구현되어있는 솔루션들은 사용하기 부적합하다. 대부분의 기업들은 웹서비스를 제공하는데, 하루에도 수만명의 사용자가 오고간다.

이런 엄청난 트래픽에 대한 침입 탐지/차단을 하려면 하드웨어로 구현된 별도의 장비가 필요하다. 그래서 기업망에서는 별도로 IDS/IPS 장비를 배치하여 사용한다.

 

IBM Proventia, 윈스 Sniper IPS, Cisco 파이어파워, 티핑포인트 등의 제품이 있다.

 

요즘 하도 장비들이 잘나와서 UTM, 차세대 방화벽 등에서도 IDS/IPS 기능이 충분히 가능하긴 하지만

이런 통합장비들에서 IPS 기능까지 사용하게 되면 CPU 점유율이 비정상적으로 증가한다던지, 많은 문제들이 생긴다.

 

이런 의미에서 IDS/IPS 또한 차단기능 이외 다른기능을 사용하지 않는다. (물론 케이스 마다 다르다.)

예를 들어, IDS/IPS장비로 Routing mode(L3)로 구성하는 경우는 거의 없다. TP로만 동작시킨다는 말.

차단 장치에 라우팅 기능이 들어가면 네트워크 상의 문제가 발생할 수 있기 때문이다.

 

그리고 최근에는 차세대 IPS라고 하여 암호화된 트래픽을 볼 수 없었던 기존의 IPS에서 업그레이드되어 SSL 통신을 감시할 수 있는 새로운 IPS들도 모습을 드러내고 있다.

 

 

* IPS 장비의 기능

이런 IDS/IPS에는 여러가지 기능들이 있다.

* Auto Blocking : 룰셋에 따라 자동으로 패킷을 차단하는 기능이다.

 

* Bypass : 차단될 패킷을 우회하여 통과시키는 것이다. H/W, S/W Bypass 두가지가 있다. 주로 장애발생 포인트를 찾을 때 쓴다.

 - S/W Bypass : 장비 커널레벨까지 올라가지 않고 전기적으로 제어하여 우회한다.

 - H/W Bypass : 장비 커널레벨까지 올라간 후 우회한다.

 

* UDF (User Defined) Rule : 말 그대로 벤더사가 제공하는 룰 외에 사용자 정의하는 룰이다.

 

* LLCF : up link 또는 down link가 끊어졌을 때, 나머지 하나의 링크도 끊어주어 장애발생을 빠르게 대처할 수 있도록 하는 기술이다.

 

* Asymetric Structure : 비대칭구조를 말한다. 예를 들어, 1번 방화벽으로 유입된 패킷이 2번 방화벽으로 나가는 것을 비대칭이라고 한다.

기본적으로 방화벽에서는 이런 비대칭구조의 패킷을 차단하지만 IPS에서는 차단하지 않게 할 수 있다. 실제로 장애가 많이 나는 부분이다.

 

* Behavior Detection : 이상행위 탐지를 말한다. 현재 활동과 행동모델을 비교하여 탐지하는 것으로 변천적인 상황대처에 용이하다.

 

* Misuse Dectection : 오용탐지를 말한다. 알려진 공격법 또는 보안정책을 위반하는 행위로부터 패턴을 추출해 시그니쳐를 생성하고

그 시그니쳐를 기반으로 차단하는 것. 이상행위 탐지에 비해 오탐이 적다. 다만 알려진 공격에만 대응할 수 있다는 단점이 있다.

 

 

* IDS/IPS의 위치

그럼 IPS는 수많은 보안장비들 사이에서 어디에 위치할까? IPS장비로 탐지기능만 사용할 경우에는 스위치에 포트미러링을 하고, 

차단 기능을 사용할 때는 Inline 구조로 설치한다.

그치만 Inline 구성하고 차단모드 동작안시키면 IDS 되는 것임