티스토리 뷰

Skill/기반기술

IPS (침입방지시스템)

진열사랑 2020. 7. 1. 13:59

출처 : https://blog.naver.com/PostView.nhn?blogId=kgjoong1&logNo=60196688120

 

 IPS(침입방지시스템)

 IPS(Intrusion Prevention System)란 용어 그대로 침입방지시스템이다.

차세대 능동형 보안솔루션이라고도 불리는 IPS는 인터넷 웜 등의 악성코드 및 해킹 등에 기인한 유해트래픽을 차단해 주는 솔루션이다. IDS(Intrusion Detection System)는 특정 패턴을 기반으로 공격자의 침입을 탐지하는 반면 IPS는 공격탐지를 뛰어넘어 탐지된 공격에 대해 웹 연결을 끊는 등 적극적으로 막아주는 솔루션이라고 할 수 있다.

 

 IPS의 기술요소에 대해서는 여러 논란이 분분하지만 먼저 IPS를 구분하자면 네트워크 기반 IPS와 호스트 기반 IPS로 크게 나눌 수 있다. 네트워크 기반 IPS는 방화벽처럼 네트워크에 인라인 모드로 설치돼 공격을 차단해주는 기능을 하고 호스트 IPS는 서버 애플리케이션을 담당하며 시큐어 OS 등과 비슷한 기능을 수행한다.

 

 일반적으로 네트워크 기반 IPS에 대한 수요가 많고 제품도 많이 출시돼 있으며, 호스트 기반 IPS 제품은 드물다. 따라서 통상적으로 IPS라고 하면 네트워크 IPS NIPS를 지칭하고 여기서도 대부분의 제품이 NIPS이므로 IPS로 통칭하기로 한다.

 

 IPS IDS에서 한발 나아가 공격이 실제 피해를 주기 전에 미리 능동적으로 공격을 차단함으로써 공격 피해를 최소화할 수 있는 능동적 보안대책이라는 점이 가장 큰 장점이다.

IPS OS나 애플리케이션의 취약점을 능동적으로 사전에 보완하고 웜이나 버퍼오버플로우, 특히 비정상적인(Ano-maly) 트래픽이나 알려지지 않은 공격까지 차단할 수 있기 때문에 한층 높은 보안을 제공해준다.

 

  IPS의 가장 큰 특징은 기업 외부에서 내부 네트워크로의 침입을 방지하는 것이다.

IPS의 도입을 원하는 대부분의 기업들 목표 역시 외부 침입방지이며 효과 역시 유해 트래픽의 원천적인 차단이다.

 

 그렇다면 외부 트래픽을 차단하는 방화벽과 역시 외부 침입을 방지하는 IPS는 어떤 차이가 있는 것일까? 기존 보안시스템인 방화벽은 단순 차단 기능, 알려진 공격패턴 감시 등을 통해 공격을 감지하지만, 님다나 코드레드 같은 새로운 공격을 막기에는 역부족이다. IDS 또한 알려지지 않은 공격에 대한 탐지가 곤란하고 내부 공격자를 막기에도 어려움이 있다. 침입탐지의 오판에 따른 시간, 인적, 재정 낭비도 문제점으로 지적된다. 이에 반해 IPS는 알려지지 않은 공격에 대해서 적절하게 대응을 하며 명백한 공격은 사전 방어를 취한다. 또 웜과 바이러스 등의 침입을 네트워크단에서 차단시킴으로 보안 인프라와 네트워크 영향을 제거하며 공격에 대한 사후 조사로 인해 소요되는 관리자 운영 부담을 없애주는 장점이 있다.

 

 이처럼 IPS는 웜 바이러스와 해킹으로부터 유발되는 네트워크 서비스 장애로부터 벗어날 수 있고 부가적으로 유해한 트래픽을 사전 차단함으로써 인터넷 및 네트워크 자원의 효율적 사용을 통한 비용절감을 도모할 수 있다.

 

 IPS가 보다 지능적으로 작동되기 위한 중요한 특징은 위험 인지 시스템 인지 기능이다.

IPS 가 내부 시스템들에 대한 보안 취약성을 통한 위협 전파 가능성과 해당 시스템의 보안 패치 유무까지 알고 있다면 단순하게 보안 침입 경보만을 알려주는 것이 아니라, 상관 분석을 통해 취약한 시스템에 이러한 공격이 실제로 관련이 있음을 통보, 보안 담당자로 하여금, 즉시 조치할 수 있도록 해줄 것이다.

 

 이러한 기능들이 통합돼 IPS 네트워크 보안 플랫폼으로 진화 발전하고 있다.

, 네트워크 경계에서부터 내부 백본망에 IPS가 설치 운영돼 위험관리 프로세스상의 보호(protection)’뿐 아니라 보안 정책의 강제 시행에 해당되는 인포스(enforce)’ 역할까지 수행하고 있는 것이다.

 

 네트워크 보안 플랫폼이 가져야 할 특징

첫 번째 특징으로는 호스트 격리 ‘NAC와의 연동을 통한 보안정책 강제준수 .

호스트 격리란 특정 호스트로부터 비정상 트래픽 혹은 공격 등이 탐지될 경우에 일정기간 해당 호스트의 모든 트래픽을 동적으로 차단함으로써 관리되지 않는 시스템으로 인해 전체 네트워크 및 다른 시스템들이 피해를 입지 않게 하는 것이다.

 호스트 격리 기능은 사전에 공격 시그너처로 격리할지 여부를 미리 정의할 수 있으며, 수작업에 의한 ACL 방법에 비해 자동화된 보다 지능화된 방법이라고 할 수 있다. 이러한 호스트 격리기능은 행위 기반의 포스트 어드미션 NAC라고도 불리워진다. 호스트 격리 사실은 관리자 및 해당 호스트를 사용하고 있는 사용자에게도 자동적으로 통보돼 보안 정책에 위배된 사항들을 스스로 조치할 수 있도록 유도해줄 수도 있다.

 IPS 단독으로 호스트 격리 기능을 사용할 수도 있지만, 이미 NAC가 구축돼 있다면, 행위 기반의 NAC 시스템으로 통합 운영시킬 수 있다. , IPS 가 특정 호스트의 악의적인 트래픽을 탐지해 NAC 서버에 전송하게 되고, NAC 서버는 IPS로 하여금 해당 호스트의 모든 트래픽을 격리, 네트워크로 강제 이송해 적절한 조치를 수행하도록 할 수 있다.

 

 두 번째로는 트래픽 제어 관리.

업무와 상관없거나 P2P, IM과 같은 보안 위험성이 있는 애플리케이션들에 대해 사전에 보안 정책을 수립해 강제로 시행시킬 수 있도록 도움을 줄 수 있다.  이러한 트래픽 제어 관리는 애플리케이션별, 프로토콜 유형별 뿐만 아니라, 포트별로 설정할 수 있어야 보다 효과적으로 운영될 수 있다.

세 번째로는 위험 인지  시스템 인지 기능이다.

IPS로 하여금 내부 시스템 호스트들의 상세 정보, 바이러스 백신 소프트웨어의 이벤트들과의 연동을 통해 보호/해결에 이르는 시간을 단축시킬 수 있을 뿐만 아니라 내부 취약성 관리 시스템 혹은 위험관리 시스템과의 연동을 통해 주문형 스캔 나우(scan now)’ 기능과 위협 관련성 분석을 제공함으로써 실시간 위험 인지를 제공할 수 있다.

 

▶ 침입방지 시스템의 이해

 

1. IPS의 개요

  유해정보차단 시스템? / 능동형 차단시스템 ? / Worm, DoS 차단 시스템 ? / IDS + Prevention ?

 

  Packet header + content field 를 검사하여 침입 혹은 유해정보 여부를 자체적으로 판단하고, 침입 혹은 유해정보 packet은 즉시 차단을, (Operating in in-line mode) 경보가 필요한 경우에는 경보를 해 주는 시스템으로 WORM이나 DDOS 와 같이 알려지지 않은 공격에 대비하기 위해서 비정상 traffic의 흐름을 탐지하고 차단(Anomaly detection & prevention) 할 수 있는 기능을 제공하여야 하며, 이들 공격에 의해 발생될 수 있는 대규모 traffic을 견뎌내기 위해서 small packet 에서도 wire speed를 제공하는 고성능 시스템

 

2. IPS의 종류

  1) Switch 기반

    (1) WORM / (D) DOS 등 알려지지 않은 공격 차단에 중심

    (2) 성능적인 측면을 강조

    (3) 알려진 공격 차단 및 대응 기능 미비

  2) Firewall 기반

    (1) 기존의 ACL에 기반한 침입차단 기능에 알려진 WORM이나 DOS 공격   탐지 모듈 추가

    (2) 유해정보차단 측면을 강조

    (3) 알려진 WORM 이나 DOS 이외의 공격 차단 및 대응 기능 미비

  3) IDS 기반

    (1) 기존 IDS in-line mode로 동작하도록 일부 수정

    (2) 알려진 공격 차단 및 대응 기능 강조

    (3) 기존의 IDS가 가지는 높은 오탐율 및 관리의 어려움 상존

    (4) 성능 측면의 한계 보유

 

3. IDS+방화벽과 IPS의 차이

 

 


 

 

 IPS/IDS/FW의 비교

구 분

침입방지시스템(IPS)

(Intrusion Prevention System)

침입탐지시스템(IDS)

(Intrusion Detection System)

침입차단시스템

(FireWall)

연결방법

In-Line

Mirror(TAP, Switch)

In-Line

차단방법

자체

Reset Signal, 방화벽 연동

자체

One-Way Attack

탐지/차단

탐지

불가능

Ddos, Dos 차단

탐지/차단

탐지

일부 지원

서비스 중단시 장애극복

FOD를 통한 장애 극복

무관

HA, Fail Over를 통한 극복

실시간 Network

Session 감시

지원함

지원함

지원안됨

Worm Virus

탐지/차단

탐지

불가능

NAT

지원 안됨

지원 안됨

지원함

다중 포트

2개 구간

8개 구간

NIC 연결시 추가 지원

장점

모든 패킷에 대해 자체 탐지 및 차단 모듈 지원으로 네트워크 보호

모든 패킷에 대해 자체 탐지  모듈 지원으로 네트워크 이상징후 경고

서비스 및 객체에 대한 접근 권한 정책을 구체적 규정 가능하여 불필요 서비스 사용 제한

단점

Transparent mode로 운영되며NAT등 방화벽 고유 기능 지원 불가로 사설 네트워크 구성 불가

방화벽과의 연동 방어를 통해 차단 가능함(독립적 차단 제한적)

IP Port이외의 복합적이고

정교한 공격 탐지 불가

 

 

▶ 일반적인 보안장비 설치 과정(보안 전문가 입장)

1) 칩입방지 시스템을 필요로 하는 Site 담당자의 요구사항 분석

2) 담당자의 요구사항 분석결과를 바탕으로 Site에 대한 보안 컨설팅 실시

3) Site 환경에 적합한 보안장비를 담당자에게 권유(※특정 회사 제품을 지정해서는 안 됨)

4) Site 담당자가 결정한 보안장비 확인

5) 보안장비 설치를 위한 Site 환경 파악

  - 서버 : /외부에 제공하는 서비스 내역 파악

  - 네트워크 : 네트워크 장비 / IP사용에 대한 내역 파악

6) Site 담당자를 통한 내/외부 User에게 설치에 따른 서비스 장애 공지

7) Site 담당자 입회하에 보안장비 설치

8) 설치 후 네트워크/서비스 TEST를 통하여 설치완료

9) Default 정책으로 모니터링 / 담당자 보안장비 운영 교육

  - IPS : by pass mode -> in_line mode -> 기본정책 설정 -> 정책 customizing의 지속

  - IDS : 기본정책 설정 -> 정책 customizing의 지속

  - FW : 기본정책 설정(any any all_svc 허용) -> 내부에서 외부로 all_svc 허용(※종종 보안이 중요한 Site에서는 내부에서 외부로 나가는 Port도 지정하여 사용하기도 함) -> 내부에서 외부로 서비스 하는 port 허용 -> 안정화 기간 -> 보안정책 customizing -> 보안정책 유지

10) 보안 장비에 대한 유지 보수 담당자와 Site 담당자의 지속적인 관리

11) 보안 전문가를 통해 정기적인 보안 컨설팅 및 취약점 분석을 하고 최신 해킹기술에 대한 대비책을 지속적으로 강구

 

▶ 일반적으로 침입방지시스템이 설치되는 과정

제품설치 : 침입방지시스템이 필요한 네트워크 구간에 물리적으로 설치

엔진등록 : 일반적으로 엔진 혹은 센서등을 등록 함을 말함

사용권한 분리 : 관리자와 모니터링요원과의 권한 분리

보안정책 수립 : 기본적인 정책과 고객 요구사항에 맞는 보안정책 수립

엔진환경 설정 : IP와 여러 가지 엔진의 환경 설정

 

콘솔환경 설정 : 엔진을 관리할 콘솔에 대한 환경 설정

 

엔진구동 및 연결 : 물리적/논리적으로 실망에 연결

 

정상구동 : 정상구동 확인

  

보안정책 업데이트 : 최신 보안 정책 및 패턴 업데이트

 

정상구동 : 정책 적용시 정상구동 되는지 확인

  

운영준비 완료 : 설치가 완료된 상태

 

 

 

▶ 참고

 

님다(틀:Langen) 2001 9월에 발생한 컴퓨터 바이러스이다.

미국, 유럽, 라틴아메리카에서 동시에 발생하였고,  22분만에 인터넷에 가장 넓게 확산된 악성 바이러스로 막대한 경제적 손실을 발생시켰다. 님다 바이러스는 윈도 계열의 서버(Windows 95, 98, Me. NT, 2000)을 사용하는 PC를 공격대상으로 하고 파일을 통해 서버를 감염시킨다.

님다(nimda)라는 명칭은 관리자를 의미하는 ‘admin’을 거꾸로 한 것으로 보이며 만든 이는 밝혀지지 않았다.

감염경로[편집]

·         이메일 - 님다 바이러스에 감염된 이메일은 첨부파일을 실행하지 않고 본문을 읽기만 해도 감염된다. 바이러스 메일은 의미없는 문자 20-30개의 조합의 제목이고 첨부파일은 readme.exe 또는 .wav, .com등의 확장자이다.

·         공유 폴더를 통한 파일 공유

·         감염된 웹 사이트에 접속하는 것만으로도 감염된다.

·         마이크로소프트 IIS 웹서버의 취약점을 이용해서 확산.

·         새드마인드(Sadmind)/IIS나 코드레드(Codered)II와 같은 바이러스와 관련하여 확산.

 

코드 레드(Code Red) 웜은 2001 7월 13 처음 관찰된  바이러스, 마이크로소프트 인터넷 정보 서비스(IIS) 버퍼 오버플로 취약점을 이용하였다. 또한 감염된 후 20~27일 동안 잠복한 후, 미국 백악관 홈페이지 등 몇몇 IP 서비스 거부 공격(DoS)을 하는 루틴도 포함되어 있었다. 

 

- IPS의 주요 기능과 구성
 IPS도 크게 호스트 기반 IPS와 네트워크 IPS로 나눌 수 있다.

호스트 IPS는

▲커널과 함께 동작해 커널 이벤트를 가로채 처리하는 방식과

▲커널과 독립적으로 작동하는 방식으로 구분된다. 커널의 이벤트를 가로채는 방식은 대부분 액세스 컨트롤의 기능을 가지고 트러스트 운영체제 제품군이고, 커널과 독립적으로 작동하는 방식은 차폐(Shielding) 기술 또는 시그니처와 행동 기반 분석 알고리즘을 탑재해, 이벤트를 관찰해 특정 규칙에 위배하는 이벤트를 필터링하는 제품으로 선보였다. 
 이같은 기술이 일반적인 IDS나 바이러스 백신 제품과 차이점은 규칙이나 시그니처 기반의 방어뿐만 아니라, 패킷의 행동에 의해 자동적으로 반응을 한다는 것이다. 자동적인 반응의 형태는 각 이벤트의 위험 수위에 따라 달라지며, 결정된 반응의 형태는 관리자가 조절할 수 있다. 이런 선조치 후처리 방식은 악의적인 이벤트로 인한 시스템의 피해를 최소화할 수 있다. 또한 기존의 방식인 선탐지 후조치의 관리 방식을 개선해 보안 관리자의 업무를 줄여줄 수 있다. 
 네트워크 기반 IPS의 핵심은 실시간 패킷 처리 속도, 오탐지를 최소화하는 기술, 변형 공격과 오용공격의 탐지 기술, 그리고 각 상황에 맞는 실시간 반응 기술이 주요하다.  

- IPS를 구성하는 주요 기술은 다음과 같다.

 

·오탐지 또는 미탐지를 최소화하며 자동적으로 한계영역을 조절하는 실시간 적응형 알고리즘
·모든 네트워크의 활동과 애플리케이션 취약점에 대한 침입을 탐색해, 침입여부를 판단하는 결정(Deterministic)과 퍼지(FUZZY) 등의 확률 또는 인공지능 알고리즘
·DDoS 공격에 대한 방어와 감내 알고리즘
·성능이 향상된 행동 분석 알고리즘
·변형 침입 탐지와 오용 탐지의 고유 알고리즘
·다양한 종류의 방지 방법과 방식
·방지하는 방법이 정확함을 입증할 수 있는 자동화된 피드백 메커니즘
·방지 능력과 빠른 반응 속도를 위한 네트워크상의 위치 제품
·탐지와 방지 로그의 최소화 혹은 빠른 분석 속도를 위한 분류된 로그의 사용으로 향상된 로그 관리
·내부에서 외부 혹은 내부에서 내부의 침입을 막기위한 접근 권한 알고리즘
·패킷 캡처와 분석 시간, 반응 시간의 실시간 처리를 위한 성능
·하드웨어 일체형, ASIC 기반 등

 

 IPS의 설치 위치는 보호하고자 하는 네트워크의 전단에 배치하는 것이 일반적이다. DMZ나 내부 서버팜, 그리고 내부 네트워크 적용하는 것이다. 그러나 네트워크 관리자나 보안 관리자에 의해 특정 세그먼트에 적용할 수도 있다.
 IPS가 DMZ 내에 위치하게 되면 웹서버나 메일 서버를 외부 악성 공격을 방어할 수 있으며, 파이어월 앞단에 위치하면 악성공격을 실시간으로 차단함으로서 파이어월의 부하를 줄여준다. 또한 서버 팜과 연결해 외부의 공격으로부터 중요 서버들을 보호하며, 내부 네트워크에서는 내부 공격에 대응해 해킹사고를 미연에 방지할 수 있다.

 

댓글
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today
Yesterday
링크
«   2024/11   »
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
글 보관함