IDS, IPS란?
IDS, IPS란?
침입 탐지는 네트워크 트래픽을 모니터링하고 해당 정보를 분석하여 혹시 모를 침입 징후를 파악하는 과정입니다. 이러한 침입에는 공격 시도 및 네트워크에 시급한 위협이 될 수 있는 인시던트가 포함됩니다. 침입 방지는 침입 탐지를 수행한 다음 감지된 인시던트를 중지하는 과정입니다. 이러한 인시던트는 보통 패킷 손실 또는 세션 종료의 형태로 이루어집니다. 보안 조치는 잠재적 사건을 탐지하고 중지하기 네트워크 보안 조치의 일부인 Intrusion Detection Systems (IDS) 및 침입 방지 시스템(IPS) 으로 사용할 수 있으며 차세대 차세대 방화벽 (NGFW)에서 기능을 포함합니다.
IDS/IPS의 이점
IDS/IPS는 네트워크 상의 모든 트래픽을 모니터링하여 알려진 악의적인 행동을 식별합니다. 공격자가 시도할 수 있는 공격 방법 중 하나는 디바이스 또는 소프트웨어 내의 취약점을 공격하여 네트워크를 손상시키는 것입니다. IDS/IPS는 이러한 공격 시도를 식별하고, 해당 공격이 네트워크 내의 엔드포인트를 손상시키기 전에 차단합니다. IDS/IPS는 공격자가 네트워크 정보를 수집하는 도중에 이를 중단시킬 수 있으므로 네트워크 에지와 데이터센터 내부 모두에 필요한 보안 기술입니다.
침입 탐지 시스템 작동 방식
인시던트 탐지에 일반적으로 사용되는 IDS 탐지 방법은 크게 3가지가 있습니다.
- 서명 기반 탐지(Signature-Based Detection)는 관측된 이벤트와 서명을 비교하여 잠재적인 인시던트를 식별합니다. 서명 기반 탐지는 문자열 비교 연산을 사용하여 당시의 활동 단위(예: 패킷 또는 로그 항목)를 비교하는 가장 단순한 탐지 방법입니다.
- 이상 징후 기반 탐지(Anomaly-Based Detection)는 정상적인 활동이라 간주되는 활동을 관측된 이벤트와 비교하여 중대한 차이점을 식별합니다. 이 탐지 방법은 이전까지 알려지지 않은 위협을 식별하는 데 효과적입니다.
- 상태 유지 프로토콜 분석(Stateful Protocol Analysis)은 각 프로토콜 상태별로 정상 프로토콜 활동에서 일반적으로 허용되는 정의의 사전 정의된 프로필을 관측된 이벤트와 비교하여 차이점을 식별합니다.
IDS/IPS로 할 수 있는 작업
침입 탐지 시스템(IDS)과 침입 방지 시스템(IPS)은 네트워크를 지속적으로 감시하여 잠재적인 인시던트를 파악하고 관련 정보를 로깅할 뿐 아니라, 인시던트를 차단하고 이를 보안 관리자에게 보고합니다. 일부 네트워크에서는 보안 정책상의 문제를 파악하고 사용자들이 보안 정책을 위반하지 않도록 감시하기 위해 침입 탐지 및 방지 시스템(IDS/IPS)을 사용하기도 합니다. 침입 탐지 및 방지 시스템(IDS/IPS)은 공격자들이 네트워크에 대한 정보를 수집하는 중에 공격을 막아내기 때문에 대부분의 조직에서 보안 인프라의 필수적인 요소로 자리매김했습니다.
주니퍼의 침입 탐지 서비스(IDS) 및 침입 방지 시스템(IPS)
주니퍼 주니퍼 네트웍스 SRX 시리즈 방화벽 vSRX 및 cSRX를 포함한 주니퍼 네트웍스 SRX 시리즈 방화벽은 cSRX (Intrusion Detection and Prevention, 침입 탐지 및 방지 (IDP) 서비스를 완벽하게 갖추고 있습니다. 사용자는 자신이 선택한 SRX 시리즈 디바이스 또는 Secure Edge 서비스를 통과하는 네트워크 트래픽에 여러 공격 탐지 및 방지 기술을 선택적으로 시행할 수 있습니다. 이러한 디바이스 및 서비스는 서비스형 방화벽을 제공합니다. 또한 일정 영역, 네트워크 또는 애플리케이션별로 트래픽 정책을 정의한 다음 해당 트래픽에 대해 능동 또는 수동적으로 방어 조치를 취할 수 있습니다. SRX 시리즈 및 Secure Edge 서비스는 지속적으로 업데이트되는 강력한 IPS 서명이 포함되어 공격으로부터 네트워크를 보호합니다. SRX 시리즈는 IDP 로그를 주니퍼 보안 분석(JSA)과 같은 보안 인시던트 및 이벤트 관리 시스템(SIEM)에 전달할 수 있습니다.
IDS 및 IPS 관련 FAQ
방화벽은 IDS와 IPS 중 무엇에 해당합니까?
그렇죠. 진정한 차세대 방화벽에는 IDS 및 IPS 기능이 포함됩니다. 하지만, 모든 방화벽이 차세대 방화벽인 것은 아닙니다. 또한 방화벽은 네트워크 트래픽을 차단하는 데 그치지만, IDS 및 IPS는 구성에 따라 공격 시도를 탐지하고 경고하거나 차단합니다. IDS 및 IPS는 구성된 정책에 따라 방화벽 필터가 트래픽을 필터링한 이후 작동합니다.
IDS 및 IPS는 어떻게 구현 됩니까?
침입 탐지 시스템(IDS)는 공격 및 기술 식별을 담당하며, 모든 트래픽을 분석하고 수상하거나 악의적인 트래픽에서 침입 이벤트를 생성할 수 있도록 대역 외에서 청취 전용 모드로 작동되는 경우가 많습니다.
침입 방지 시스템(IPS)은 모든 트래픽이 목적지에 도착하기 전 어플라이언스를 반드시 통과하도록 트래픽 경로에 구축됩니다. 악의적인 트래픽이 탐지되면 IPS는 연결을 끊고 해당 세션 또는 트래픽을 중단합니다.
IPS는 트래픽을 차단할 수 있습니까?
그렇죠. IPS는 알려진 공격으로부터 네트워크를 보호하기 위해 트래픽을 지속적으로 모니터링합니다. 이후 IPS는 해당 트래픽을 기존 서명과 비교합니다. 만약 일치할 경우 IPS는 다음 3가지 조치 중 하나를 진행합니다. 1) 트래픽 탐지 및 로그, 2) 트래픽 탐지 및 차단, 3) 트래픽 탐지, 로그 및 차단(권장 옵션)
IDS는 무엇을 탐지할 수 있습니까?
IDS는 알려진 공격, 악의적인 행동 및 공격 기술의 패턴에 기반하여 위협을 탐지합니다. 효과적인 IDS는 원격 프로시저 호출(RPC) 단편화, HTML 패딩 및 기타 유형의 TCP/IP 조작 등과 같이 공격자가 공격을 숨기는 데 사용하는 회피 기술도 탐지합니다.
서명 페이지를 통해 주니퍼 IDS/IPS가 탐지 및 차단할 수 있는 공격에 대해 자세히 알아보십시오.
IPS는 디도스(DDoS) 공격을 방지할 수 있습니까?
IPS는 특정 유형의 디도스(DDoS) 공격을 방지할 수 있습니다. 예를 들어, 애플리케이션 서비스 거부(AppDoS) 공격은 IPS 기능으로 식별 및 대응이 가능한 공격 범위 중 하나입니다. 하지만, 대규모 디도스 공격에는 주니퍼의 Corero DDoS와 같은 전용 솔루션이 필요합니다.
주니퍼가 제공하는 IDS 및 IPS 기술, 솔루션 및 제품
주니퍼는 주니퍼의 모든 차세대 방화벽 제품 및 서비스에 구축된 단일 소프트웨어 구독을 통해 IDS 및 IPS 솔루션을 모두 제공합니다. 이러한 솔루션은 물리, 가상 및 컨테이너형 SRX 방화벽 또는 주니퍼 Secure Edge에 포함된 서비스 형태로 제공됩니다.