네트워크 보안 솔루션 – IDS / IPS 특징 장단점 (1)

by

네트워크 보안 솔루션 IDS / IPS는 네트워크 진입 경로 또는 Host에 직접 설치되어 지식기반, 이상징후 기반 침입탐지 차단 솔루션입니다. 이 문서에서는 IDS / IPS 장치의 특징과 방식 그리고 유형별 장단점에 대해 알아보겠습니다.

네트워크 보안솔루션 

IDS / IPS 특징

IDS는 외부망의 패킷이 들어오는 길목에 설치되어 방화벽에서 탐지가 어려운 트래픽의 악의적인 공격을 사전에 차단하는 네트워크 보안 솔루션의 한 종류입니다.

IDS / IPS 네트워크 보안 솔루션의 유형을 네트워크 구성도로 나타낸 그림입니다.
IDS / IPS 솔루션의 유형

이 솔루션은 설치 형태에 따라 위의 그림에서 보는 바와 같이 Host 방식과 Network 방식으로 분류할 수 있습니다.

IDS 유형

IDS는 분석방식에 따라 크게 다음 2가지 유형으로 구분할 수 있습니다. 프로토콜의 상태정보를 기반으로 비정상적 상태를 체크하는 Stateful 분석 방식도 있습니다.

지식기반(Signature Based) IDS이상징후 기반(Anomaly Based) IDS
공격의 패턴을 사전에 학습하여 이에 따른 공격의 유형을 감지한다. 사전에 학습되지 않은 패턴을 인식하지 못하는 것은 단점이다.사전에 알려지지 않은 공격패턴을 수집하여 보다 빠르고 능동적인 대응이 가능하다.

1. 네트워크 기반 IPS

아래의 그림과 같이 외부망에서 들어오는 모든 패킷이 지나가는 길목에 설치되어, 트래픽 흐름을 캡처하여 특이사항을 분석하는 방식입니다.

네트워크 기반 IDS 장치 구성을 나타낸 이미지입니다.
네트워크 기반 IDS 장치 구성도

패킷분석 포인트인 센서는 DMZ나 네트워크 경계의 choke point 에 위치하여 포트 미러링이나, 네트워크 탭을 사용하여 패킷을 체크합니다. 최근에 나오는 솔루션들은 IDS 기능을 기본 탑재하고 방화벽 기능까지 통합한 제품들도 나와 있으므로 통합 보안솔루션이 필요한 경우 다음의 정보를 참고 바랍니다.

장점

별도의 SW 설치 필요없이 저렴한 IPS 하드웨어를 설치하는 방식으로 간편히 구성이 가능합니다. 또한 빠르게 실시간 탐지할 수 있는 점도 장점입니다.

  • 다양하고 넓은 기반의 감시가 가능하다
  • IP 기반의 Tear drop 공격, DoS 기반공격의 탐지 가능
  • 패킷의 실시간 탐지만 대응가능 (방화벽 앞단에 위치)
  • 네트워크상의 각 Host 에게 아무런 영향을 주지 않는다.
  • 실시간 탐지가 가능하다.
  • Host 기반의 탐지가 어려운 공격(스캐닝 등)의 탐지가 가능하다

단점

호스트 기반 IDS가 지원하는 암호화 패킷의 분석이 불가능합니다. 또한 다양한 호스트들을 동시에 모니터링 하기 때문에 상대적으로 호스트 방식에 비해 분석범위가 적으며, 오탐의 확률 또한 높아질 수 있습니다.

  • 암호화 패킷 분석불가
  • 호스트 기반방식 대비 부정확한 분석
  • 트래픽의 양에 영향을 받는다.
  • 공격 탐지 시 연결종료, 프로세스 종료와 같은 즉각적인 대응이 어렵다.
  • 별도의 IDS 장비(서버)가 필요하다

2. 호스트기반 IPS

서버나 PC와 같은 호스트 내에 별도의 소프트웨어로 설치되는 형태입니다. 악의적인 트래픽의 패턴을 분석하는 시그니처기반 방식 및 비정상 행위기반 방식으로 분류합니다. 주로 시스템 콜, 애플리케이션 로그 및 파일시스템의 수정사항 감시 등을 분석하여 비정상적인 행동이나 패턴을 분석합니다.

장점

Host 에 바로 설치되는 형태이므로 별도의 장치를 구성할 필요가 없다는 점입니다. 그리고 네트워크 기반 IDS의 경우 암호화된 패킷의 분석이 어렵지만, 호스트는 해당 패킷도 분석이 가능한 이점이 있습니다.

  • Network 기반 IDS가 놓치는 패킷탐지 가능 (버퍼 오버플로 공격 등)
  • Network 기반 대비 저렴한 솔루션 
  • 추가적인 HW 불필요
  • 암호화 세션에 영향을 받지 않음
  • 대역폭이 빠르고 고속인 환경에서도 사용이 가능하다

단점

패킷을 분석하는데 시스템 리소스를 소모하기에 이를 위한 별도의 자원이 할당되어야 한다는 것입니다. 가령, 메모리나 CPU 소모 그리고 파일 시스템 접근 등 서버의 리소스가 사용되는 한계점이 있습니다.

  • 툴의 유지보수에 별도의 리소스 필요
  • 툴의 설치 및 업데이트, 배포관리 필요
  • 시스템 자원(CPU, RAM, 네트워크)을 소모 (5~10%)
  • IDS 툴 자체의 취약성에 의한 툴 공격 가능성이 존재한다.

3. 하이브리드 IPS

위의 Host와 Network 기반 솔루션의 장점을 결합한 방식입니다. 따라서 네트워크와 호스트 둘 다 한꺼번에 감시가 가능하다는 장점을 가집니다. 하지만 업계 표준이 없어 솔루션 마다 사용법이 상이하여 설치 및 관리가 어렵다는 점은 단점입니다.

Leave a Comment