network / / 2016. 5. 4. 09:50

Firewall/IDS/IPS

Firewall(침입차단시스템)은 네트워크에서 방화벽(firewall)은 보안을 높이기 위한 1차적인 것으로, 신뢰하지 않는 외부 네트워크와 신뢰하는 내부 네트워크 사이를 지나가는 패킷을 미리 정한 규칙에 따라 차단하거나 보내주는 기능을 하는 하드웨어나 소프트웨어를 말한다. 

 

- 관리자는 방화벽에 통과시킬 접근과 그렇지 않은 접근을 명시해야한다.

- 방화벽의 가장 기본적인 기능인 접근 제어는 룰셋 (Role set)을 통해서 이루어지는데, Rule Set은 방화벽을 기준으로 보호하고자 하는 네트워크의 외부와 내부에 존재하는 시스템들의 IP 와 PORT 단위로 이루어진다.

 

(rule set이란 ? http://blog.fasoo.com/80197344567)

 

 

IDS/IPS는 Intrucsion Detection System/Instrusion Prevention System 의 약자로 KISA에서 "사용자 및 외부 침입자가 컴퓨터 시스템, 네트워크 자원을 권한 없이 불법으로 사용하기 위한 시도 또는 내부 사용자가 권한을 오용하여 권한 이외의 자원을 사용하기 위한 시도를 탐지하여 그 피해를 최소화하는 시스템" 이라 정의 되어있다. 


개념은 외부의 침입을 탐지/차단하는 시스템인데 방화벽이랑 다른점은 방화벽은 일정한 규칙에 의해 아예 접근을 차단하는 것이고, IDS는 차

직접 차단하는 기능이 없고 탐지하여 경고를 해주는 기능을 하고, IPS는 차단을하지만 L7까지 볼 수 있다.


IDS(침입탐지시스템)는 설치 위치와 목적에 따라 호스트 기반의 침입탐지시스템과 네트워크 기반의 침입탐지시스템으로 나뉜다.

 

호스트 기반의 침입탐지시스템 (HIDS : Host-based IDS)

- 운영체제에 설치된 사용자 계정에 따라 어떤 사용자가 어떤 접근을 시도하고 어떤 작업을 했는지에 대한 기록을 남기고 추적한다. 네트워크에 대한 침입탐지는 불가능하다. 스스로가 공격대상이 될 때만 침입을 탐지할 수 있다. (ex. Tripwier)

 

네트워크 기반의 침입탐지시스템(NIDS : Network-based IDS)

- 네트워크에서 독립된 시스템으로 운용한다. 감사와 로깅을 할 때 네트워크 자원이 손실되거나 데이터가 변조되지 않는다.(ex. snort)

 

 

IPS(침입방지시스템)은 IDS와 firewall을 합친 것이라고 볼 수 있다. 침입탐지 기능을 수행하는 모듈이 패킷 하나 하나를 검사하여 그 패턴을 분석, 정상적인 패킷이 아니면 방화벽 기능을 가진 모듈로 이를 차단한다.

 

- 일반적으로 IPS는 방화벽 다음에 설치한다.

- 방화벽이 네트워크의 앞부분에서 불필요한 외부 패킷을 한번 걸러주어 침입차단 시스템이 더 효율적으로 패킷을 검사할 수 있다.

 

 

 

 

 

 

 

 

 

 

 

Firewall

IDS 

IPS 

패킷 차단 

 O

 X

 O

패킷 내용 분석 

 X

 O

 O

오용 탐지 

 X

 O

 O

오용 차단 

 X

 X

 O

이상 탐지 

 X

 O

 O

이상 차단 

 X

 X

 O

 

오용 탐지란 알려진 침입행위를 탐지하는 것이다. 즉, 정해진 공격 모델과 일치하면 침입으로 간주하는 방법 시그니쳐 베이스라고 보면 된다.

 

Expert system / State transition analysis / Key stroke Monitoring / Model Based Approach 등이 있다.

 

장점 : 오탐률 낮음 / 침입에 사용된 도구, 기술 분석 가능 / 신속함

단점 : 다양한 우회가능성 / 새로운 유형 탐지 못함 / 안티바이러스와 유사 / 오탐을 줄이기 위해 세밀한 정의

 

비정상행위 탐지란 비정상행위나 CPU를 사용하는 것을 탐지하는 방법이다. 정해진 모델을 벗어나는 경우 침입으로 간주

 

Statistical approach / Predictive pattern modeling AI / neural network 등이 있다.

 

장점 : 새로운 침입유형 탐지 가능 / 특정침입이 아닌 '정상이 아님' 으로 탐지

단점 : 정상적인 행위를 예측 힘듬 / 방대한 사용자 네트워크에 대한 학습 필요 / 오탐율 높음

 

 

 

 

 

 

 

 

 

 

R.1 : http://blog.naver.com/minki0127/220678113392

R.2 : http://s2kiess.blog.me/220480205333

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

저작자표시 비영리 변경금지

'network' 카테고리의 다른 글

회선교환방식, 패킷교환방식  (0) 2017.03.13
PSTN, PSDN  (0) 2017.03.13
NIC(Network Interface Card), 네트워크 인터페이스 [랜 카드]  (0) 2016.04.25
DHCP(Dynamic Host Configura-tion Protocol)  (0) 2016.04.23
프로토콜(Protocol)  (0) 2016.04.23
  • 네이버 블로그 공유
  • 네이버 밴드 공유
  • 페이스북 공유
  • 카카오스토리 공유
network 관련 글
글 더보기

티스토리툴바