반응형
IDS (intrustion Detection System)
- 침입 탐지 시스템
- 공격 또는 위협이 되는 통신을 탐지/보고(Reporting)/기록(Logging)
- 탐지 된 통신을 통제하지는 않는다.
장/단점
- 장점 : 탐지를 하지만 보고만 하므로 차단을 못한다.
- 단점 : 네트워크에 영향을 미치지 않는다, 오탐이 발생해도 문제가 되지 않음
IPS(Intrusion prevention System)
- 침입 방지 시스템
- 공격 또는 위협이 되는 통신을 탐지/기록/통제
장/단점
- 장점 : 탐지와 동시에 차단까지 수행할 수 있다.
- 단점 : 네트워크 속도가 저하된다.
- 과부화 상태인 경우는 검사없이 bypass하는 경우가 많다.
- 탐지 룰(rule)을 작성할 때 정밀한 검사를 하도록 하기 어렵다.(즉, 확실한 공격만 탐지/차단)
- 오용탐지(misuse Detection) 에 집중.. 이상탐지를 강화하면 오탐으로 인한 차단이 폭증..
- 오용 탐지(Misuse Detection)
- 이미 발견되어 분석되어있는 공격이나 악성코드를 탐지
- 정확도가 높고, 잘 못 탐지할 확률이 낮다
- 하지만 zero day attack에 대해서 취약하다.
- 이상 탐지(Anomaly Detection)
- 분석되지 않은 공격기법이나 악성코드 탐지 방식
- 위험한 행위를 미리 정해 놓고 위험한 행위가 발생하면 탐지
- 분석되지 않은 것도 탐지할 수 있다. (오탐지률이 높아질 수도 있다.)
- IDS 설치 위치
- inline 으로 IDS를 설치
- 사용 할 수는 있으나 네트워크 영향을 미침으로 접합하지 않은 방식
- Port Mirroring 활용
- 스위치에 포트미러 기능이 있어야 가능
- 스위치 성능 저하 유발
- 포트미러는 패킷 분석을 위해 잠시 사용하기에는 매우 좋은 기술이지만 IDS처럼 상시 운용하는 제품에는 적합하지 않음
- TAP 장비 활용
- 통신(네트워크)에 영향을 최소화하면서 패킷을 복제하여 IDS나 패킷분석장비 등으로 전송하는 전문장비
- inline 으로 IDS를 설치