[기술] IDS와 IPS

일반적인 경우, 방화벽이 있으면 외부에서 들어오는 공격들을 다 차단할 수 있다고 생각할 수 있습니다..

물론 방화벽으로 어느정도의 공격을 막을 수 있지만, 모든 공격들을 막을 수 없습니다.

공격 방법은 날이 갈수록 진화하고, 양과 질이 좋아지고 있습니다.

 

 

 

방화벽은 IP와 PORT를 기반으로 정책을 수행합니다. 그러므로, 상위 계층의 서비스는 정책을 설정하기 어렵습니다.

그 때문에 나온 기술 중 하나가 IDS와 IPS입니다.

먼저 두 단어의 정의에 대해 알아보겠습니다.

IDS(Intrusion Detection System) :  IDS는 각종 공격들을 실시간으로 탐지하기 위해 사용합니다. 

IPS(Instrusion Prevention System) : IPS는 각종 공격들을 실시간으로 감지하여 차단하거나 통과시킵니다.

 

 

 

두 기술의 가장 큰 차이는 차단하는가 안하는가로 이해하면됩니다.

조금더 자세히 설명하자면 IDS는 각종 네트워크의 이벤트들을 모니터링 하고, 침입에 대한 여부를 탐지하고, 대응하는 자동화된 시스템입니다.

보통 IDS는 트래픽을 TAP장비로 미러링하여 검사를 하는 구조입니다.

즉, 실질적인 트래픽에대해서는 전혀 관여하지 않습니다.

 

 

IPS는 미러링 방식을 사용하지 않고, 인라인 방식을 사용하여 실제 장비들 사이에 들어가게 됩니다.

그렇기 때문에 트래픽에 대해 관여를 하고, 침입이 이루어지면, 그 즉시 트래픽을 처리하게 됩니다.

각종 장비에 인라인으로 들어가기 떄문에, 최악의 경우는 서비스가 중지(인터넷 안됨)될 수 있습니다.

오늘 포스팅은 여기까지입니다.

감사합니다.