• IDS 2010.03.27
  • IPS 2010.03.27
  • IPS 2010.03.27
■ IDS 침입탐지시스템
   IDS는 Intrusion Detection System 의 약자로 한글로 "침입탐지시스템"이라고 불립니다.
   침입탐지를 하기 위해 관찰하고 있는 대상에 따라 H-IDS와 N-IDS의 두가지 분류로 나누고 있습니다.

   Host(컴퓨터)에서 일어나고 있는 일련의 활동들을 감시하고 침입 발생에 대해
   탐지를 하는 IDS를 H-IDS(Host-based IDS)라고 부르며,
   Network 상에서 일어나는 활동들을 감시하고 침입 시도를 탐지하는
   IDS를 N-IDS(Network-based IDS)라고 합니다.

   H-IDS는 감시 대상이 되는 host(컴퓨터)에 탑재가 되며, N-IDS는 지나가는 트래픽들을 볼 수 있는
   감시 대상이 되는 네트워크단에 설치가 됩니다. 
 
■ 기능
   - 일반적으로 시스템에 대한 원치 않는 조작을 탐지하여 준다. 
     ? 침입 탐지 시스템은 전통적인 방화벽이 탐지할 수 없는 모든 종류의 악의적인 
        네트워크 트래픽 및 컴퓨터 사용을 탐지하기 위해 필요하다. 
        이것은 취약한 서비스에 대한 네트워크 공격과 에플리케이션에서의 데이터 처리 공격(data driven attack) 
        그리고 권한 상승(privilege escalation) 및 침입자 로그인 / 침입자에 의한 주요 파일 접근 / 
        멀웜(컴퓨터 바이러스, 트로이 목마, 웜)과 같은 호스트 기반 공격을 포함한다.
 
     ? IDS는 여러개의 컴포넌트들로 구성된다: 

        센서는 보안 이벤트를 발생시키며, 

        콘솔은 이벤트를 모니터하고 센서를 제어하거나 경계시키며(alert), 

        중앙 엔진은 센서에 의해 기록된 이벤트를 데이터베이스에 기록하거나, 시스템 규칙을 사용하여 

        수신된 보안 이벤트로부터 경고를 생성한다. 

 

        IDS를 분류하는 방법은 센서의 종류와 위치 그리고 엔진이 경고를 만드는데 사용하는 방법론에 따라 여러가지가 있다. 

        많은 간단한 IDS들은 위의 세개의 컴포넌트들을 하나의 장치 또는 설비로 구현하고 있다.


 
악용 탐지(Misuse Detection) 대 비정상 탐지(Anomaly Detection)
■ 악용탐지시스템(Misuse Detection System)

   시그니쳐 기반 침입 탐지 시스템으로도 알려진 악용 탐지 시스템은 악의적인 것으로 

   추정되는 트래픽 또는 애플리케이션 데이터의 패턴을 감시하여 침입을 식별한다. 

   이러한 종류의 시스템은 오직 '알려진' 공격만 탐지할 수 있다고 여겨진다. 

   그러나 그들의 규칙 집합에 따라, 시그니쳐 기반 IDS들은 때때로 알려진 공격들과 서로 특징을 공유하는 

   (예를 들어 HTTP GET 요청을 통한 'cmd.exe' 접근과 같은) 새로운 공격들을 탐지할 수 있다.

   IDS는 채집된 정보를 분석하여, 공격 시그니쳐를 저장하는 거대한 데이터베이스를 통해 그것을 비교한다. 

   IDS는 본질적으로 이미 문서화된(알려진) 특정 공격을 찾는 것이다. 

   바이러스 탐지 시스템에서처럼, 악용 탐지 소프트웨어는 단지 패킷을 비교하기 위해 사용되는 

   공격 시그니쳐 데이터베이스나 마찬가지이다.

 

■ 변칙기반침입탐지 시스템(Anomaly Based Intrusion Detection System)

   변칙 기반 침입 탐지 시스템은 네트워크 또는 호스트의 일반적인 동작과 다른것으로 추정되는 트래픽 또는 

   애플리케이션 컨텐트를 시스템 운영자에게 알리는 것으로 침입을 식별한다.

   변칙 기반 IDS는 일반적으로 이것을 스스로 학습하여 이룬다.

   변칙 탐지에서, 시스템 관리자는 네트워크의 트래픽 로드, 고장(breakdown), 프로토콜, 

   그리고 일반적인 패킷 크기에 대한 기준선 또는 일반 상태를 정의한다. 

   변칙 탐지자(anomaly detector)는 네트워크 세그먼트를 모니터하여 정의된 기준과 그들의 상태를 비교하고 변칙을 찾는다.


 
네트워크 기반 시스템 대 호스트 기반 시스템
■ 네트워크기반 시스템

   네트워크 기반 시스템(또는 N-IDS)에서 센서는 모니터할 네트워크 또는 종종 DMZ나 

   네트워크 경계의 초크 지점(choke point)에 위치한다. 

   센서는 악의적 트래픽 탐지를 위해 모든 네트워크 트래픽의 흐름을 캡쳐하여 각각의 패킷 내용을 분석한다. 

   호스트 기반 시스템에서 센서는 보통 그것이 설치된 호스트의 모든 활동을 감시하는 소프트웨어 에이전트로 구성된다.

   이 두가지 형식이 혼합된 하이브리드 시스템 역시 존재한다.

 

   - 네트워크 침입 탐지 시스템은 네트워크 트래픽을 검사하고 여러 호스트들을 모니터하여 침입을 식별하는 독립된 플랫폼이다. 

      네트워크 침임 탐지 시스템은 포트 미러링 또는 네트워크 탭(network tap)을 위해 설정된 허브, 네트워크 스위치에 연결하여 

      네트워크 트래픽에 접근한다.

   - 호스트 기반 침입 탐지 시스템은 호스트에서 시스템 콜, 애플리케이션 로그, 파일 시스템의 수정사항(이진 파일, 패스워드 파일, 

      capability/acl 데이터베이스) 그리고 호스트의 동작과 상태등을 분석하여 침입을 식별하는 에이전트로 구성된다.

   - 하이브리드 침입 탐지 시스템은 위의 두가지 방식을 결합한 것이다. 호스트 에이젼트 데이터는 네트워크의 종합적인 관점을 위해 

      네트워크 정보와 결합된다. 하이브리드 IDS 중 하나로 Prelude가 있다.

 


수동적 시스템 대 반응적 시스템
■ 수동적 시스템

   수동적 시스템에서의 IDS 센서는 가능성 있는 보안 침해 사항을 탐지하여, 정보를 로그로 기록하고 콘솔을 통해 경고 신호를 보낸다. 

 

■ 반응적 시스템

   반응적 시스템에서의 IDS 센서는 의심스러운 동작에 대해 자율적으로 또는 시스템 운영자에 의해 사용자를 로그 오프 시키거나, 

   방화벽을 다시 프로그래밍하여 의심스러운 악의적 출처로부터 네트워크 트래픽을 차단하도록 응수한다.

 

비록 둘다 네트워크 보안과 관련되지만, IDS는 침입 발생 자체를 막기 위한 방화벽과는 다르다. 

방화벽은 침입을 막기 위해 네트워크 사이의 접근을 제한하며, 네트워크 내에서 공격 신호를 보내지 않는다

(does not signal an attack from inside the network). 

반면에 IDS는 일단 의심스러운 침입이 발생하면 그것을 평가하고 경보 신호를 보낸다. 

IDS는 또한 현 시스템 내부에서 발생한 공격에 대해서도 감시한다.

이것은 전통적으로 네트워크 통신을 검사하고, 일반적인 컴퓨터 공격에 대한 휴리스틱과 (시그니쳐로도 알려진) 패턴을 식별하며, 

시스템 운영자에게 경고하기 위한 동작을 취하는 것으로 성취된다. 

네트워크 연결을 끝내는 시스템은 침입 차단 시스템이라 불리며, 이것은 애플리케이션 계층 방화벽의 또 다른 형태이다.

 

 



--------------------------------------------------------------------------------


요약정리

 

IDS 개요

1. 방화벽이 내부망 보안을 수행하는데 있어 그 적용의 한계가 드러나 이를 보완 해줄 시스템의 필요

2. 침입의 패턴 데이터베이스와 Expert System을 사용해 네트워크나 시스템의 사용을 실시간 모니터링 하고 침입을 탐지하는 역할

 

IDS 정의

1. IDS는 단순한 접근제어 기능을 넘어 침입의 패턴 데이터베이스와 Expert system을 사용해 네트워크나 시스템의 사용을 

    실시간 모니터링 하고 침입을 탐지하는 보안 시스템을 의미

2. IDS는 허가되지 않은 사용자로부터 접속, 정보의 조작, 오용, 남용 등 컴퓨터 시스템 또는 네트워크상에서 시도 됐거나 

    진행중인 불법적인 예방에 실패한 경우 취할 수 있는 방법으로 의심스러운 행위를 감시하여 가능한 침입자를 조기에 발견하고

    실시간 처리를 목적으로 하는 시스템

 

IDS의 주요 목적

1. 시스템 자원의 보호

2. 공격 대응 및 복구

3. 통계적 분석 보고

4. 증거 수집 및 역추적

5. 정보 유출 방지

 

IDS 주요 기능

1. 저 수준 필터링, 고 수준 필터링을 이용한 감시자료 수집 기능

2. Misuse(오용) 침입 탐지 기능

3. Anomaly(비정상) 침입 탐지 기능

4. 서비스 거부 탐지 기능

5. 자동 침입 분류 기능

6. 침입 탐지 경보 및 대응

7. 시스템 취약점 점검 및 복구 기능

8. 편리한 사용자 인터페이스 기능

9. 침입자 역추적 기능

 

탑지영역에 따른 IDS 분류

1. H-IDS(Host based IDS)

   - 개별 호스트의 O/S가 제공하는 보안감사 로그, 시스템 로그, 사용자 계정 등의 정보를 이용해서 호스트에 대한 공격을 탐지

   - 각 호스트에 상주하는 Agent 와 이들을 관리하는 Agent Manager로 구성

   - 중요한 시스템 파일이나 실행코드에 대한 무결성 검사 기능이나 시스템의 취약점들을 탐지해 주는 취약성 스캐너(Vulerability Scanner)

      등과 결합되어 사용

   - 특정 시스템과의 O/S와 밀접히 결합되어 각종 행위를 분석하므로 정교한 모니터링과 로깅이 가능

   - IDS 문제 발생 시 해당 호스트에 영향을 미치며 IDS로 인해 시스템에 부하를 크게 함.

2. N-IDS(Network based IDS)

   - 네트워크 기반의 공격을 탐지하여 네트워크 기반 구조를 보호하는 것을 목적으로 함

   - 호스트 기반의 IDS처럼 호스트에 대한 공격을 탐지하거나 상세한 기록을 남길 수는 없으며, 네트워크가 분할되어 있는 경우 

      제 기능을 발휘하지 못하거나 적용 범위가 제한되어 실용성이 없는 경우도 있음

   - NIC를 통해 패킷을 수집하여 수동적인 분석을 하기 때문에 기존 네트워크에 영향을 주지 않고 설치가 편리

 

침입 모델에 따른 분류

1. 비정상적인 침입탐지 기법

   - 감시되는 정보 시스템의 일반적인 행위들에 대한 프로파일을 생성하고 이로부터 벗어나는 행위를 분석하는 기법

     ? 통계적인 자료 근거 : 통계적으로 처리된 과거의 경험 자료를 기준으로 특별한 행위 또는 유사한 사건으로 이탈을 탐지

     ? 특징 추출에 의존 : 경험적인 침입탐지 측정 도구와 침입의 예측 및 분류 가능한 침입도구의 집합으로 구성된 침입 탐지 방법

     ? 예측 가능한 패턴 생성 : 이벤트 간의 상호관계와 순서를 설명하고 각각의 이벤트에 시간을 부여하여 기존에 설정된 

                                           침입 시나리오와 하여 침입을 탐지하는 방법

2. 오용(misuse) 침입탐지 기법

   - 과거의 침입 행위들로부터 얻어진 지식으로부터 이와 유사하거나 동일한 행위를 분석하는 기법

   - 방법이 간단하고 효율적이어서 상용제품에 널리 이용되지만 조금만 변형된 공격에도 Signature가 달라 침입을 

      탐지하지 못하는 경우가 있음

     ? 조건부 확률 이용 : 특정 이벤트가 침입일 확률을 조건부 확률을 이용하여 계산하는 방법

     ? 전문가 시스템 : 축약 감사 사건과 일치하는 사건을 명시하며, 공격 패턴을 탐지하고 이미 설정된 규칙에 따라 처리하는 방법

     ? 상태전이 분석 : 공격패턴을 상태전이의 순서로 표현하며, 초기의 상태에서 최종 상태로의 전이 과정

                               즉 침입과정을 규칙 기반으로 탐지 하는 방법

     ? 키스트로크 관찰 방법 : 사용자의 키스트로크를 감시하여 공격패턴을 나타내는 특정 키 스트로크 순서를 패턴화 하여 침입을 방지

     ? 모델에 근거한 방법 : 공격 패턴을 DB화 하고 특정 공격패턴에 대해 DB를 참조하여 침입 여부를 탐지

 

IDS의 장점

1. 해킹 방법을 기반으로 해커의 침입을 감지 하므로 신기술의 적용이 빠름.

   - 외부로부터의 공격뿐만 아니라 내부자에 의한 해킹도 차단할 수 있으며, 이에따라 기존 방화벽이 지원하지 못하는 ID도용을 통한

      내부 공격자의 해킹도 차단

2. 접속하는 IP에 상관없이 침입을 차단할 수 있음

   - 기존 방화벽은 인증된 IP로의 공격은 막지 못하므로 해커들이 인증된 IP로 공격이 성공하면 방화벽이 무용지물이 되었으나

     IDS는 IP에 상관없이 모든 패킷에 대한 검사를 수행하므로 더욱 안전

3. 시스템 침입에 즉시 대응이 가능

   - 해킹 사실이 발견 되었을 때 해킹에 관한 정보를 휴대전화, 무선호출기, 전자우편 등으로 즉시 전송, 

     네트워크 관리자가 부재시에도 시스템 보안을 유지할 수 있으며, 탐지에 그치지 않고 침투경로까지 추적해 해커를 적발하며, 

     데이터를 안전한 곳으로 전환시켜 놓는 등 방화벽의 수동 적인 대처와는 달리 적극적인 보안 기능을 갖출 수 있음.

 

H-IDS의 장점

1. 정확한 탐지가 가능.

   - 실제로 일어난 이벤트를 포함하는 로그를 사용하므로 보다 정확하다.

2. 시스템 이벤트 감시

   - 사용자와 파일의 접근활동, 파일의 허용의 변화, 새로운 실행 파일을  설치하려는 시도 그리고 특정한 서비스의 접근을 감시

   - 공격자가 어떤 명령을 실행시켰는지, 어떤 파일을 open 시켰는지, 어떤 system call을 실행시켰는지, 어떤 위험한 명령어를 실행시켰는지 

     정확히 관리자에게 통보할 수 있다.

3. N-IDS이 놓치는 공격 탐지

   - 중요한 서버의 터미널로부터의 공격

   - 시스템 내부에서 공격

 4. 암호화 / 스위치 환경에서 적합

   - H-IDS는 중요한 호스트에 직접 탑재되므로 스위치된 환경의 Network와 무관

   - N-IDS는 암호화 통신을 하는 구간에서는 많은 제한을 받을 수 있다.

5. 추가적인 하드웨어 불필요

   - 별도의 시스템이나 네트워크 장비가 추가 요구되지 않음.

 

H-IDS의 단점

1. 특정 기기 또는 기관의 정확한 시스템 구성을 알아야 함

2. 툴의 기능 향상이나 다른 시스템에 적용이 어렵다.

3. 네트워크와 관련된 행위는 분석할 수 없다.

4. 감시자료의 보관 및 처리를 위해 디스크, 처리시간 등의 자원이 필요하다.

5. 운영체제가 취약할 경우 툴의 무결성 모장이 어렵다.

6. 특정 기기에 의존하므로 설치 비용이 많이 든다.

7. 다른 방법에 비하여 유지관리 비용이 많이 든다.

 

N-IDS의 장점

1. 저렴한 투자비용

   - Network traffic을 감시할 수 있는 전략적인 위치에만 설치(효과적인 침입탐지 가능)

   - 다양한 호스트를 관리하는 SW필요 없음

2. H-IDS이 놓치는 공격 탐지

   - H-IDS는 모든 패킷의 헤더를 볼 수 없으므로 모든 종류의 공격을 탐지할 수 없다.(TearDrop, IP 기반의 DOS공격)

   - Payload를 검사 함으로써 특별한 공격에 사용되는 Command 와 Syntax를 찾아냄

3. 공격 흔적 제거의 난이

   - Network traffic을 이용하므로 공격자는 흔적을 제거할 수 없다.

   - Capture 된 데이터는 공격의 방법 뿐 아니라 사후 조사에 사용될 많은 정보를 포함하고 있다.

4. 실시간 탐지와 대응

   - TCP Dos 동격을 당하는 시스템이 감지되면 곧바로 TCP reset으로 공격을 중지

   - H-IDS는 공격을 인식 못하기 때문에 공격 행위가 실행된 후에 조치를 취한다.

5. 실패한 공격의 탐지

   - N-IDS를 방화벽 앞단에 설치하면 방화벽이 차단하는 공격도 탐지할 수 있다.

6. 운영체제 독립적

 

N-IDS 단점

1. 특정 기기 내에서 이루어지는 명령어에 대한 탐지는 불가

2. 통신 내용이 암호화된 경우 침입 탐지 불가

3. 랜 스위치 등으로 네트웍 전체의 내용을 감시하는 것이 어려움

4. 현재의 네트워크 기반 IDS는 초고속 네트워크 검사는 어려움

5. 특정 시스템에 대한 정보가 부족하므로 Host-based 도구보다 부정확한 결과를 얻을 수 있다.

6 네트워크 동작과 성능에 영향을 줄 수 있다.(DoS등의 점검시)

7. 침입을 위한 사전 공격 도구로 사용될 수도 잇따.

IPS(Intrusion Prevention System)란:
IDS에서 한발 나아가 공격이 실제 피해를 주기 전에 미리 능동적으로 공격을 차단함으로써 공격 피해를 최소화할 수 있는 능동적 보안시스템

IDS: 특정 패턴을 기반으로 공격자의 침입을 탐지
IPS: 탐지된 공격을 block하여 적극적인 방어활동

가트너그룹의 정의: "IPS는 방지능력과 빠른 반응속도를 위해 인라인에 위치한 제품, 세션기반 탐지 지원, 다양한 종류의 방지 방법 및 방식(시그니처, 프로토콜 어노멀리, 액션 등)을 통해 악의적인 세션을 차단, 세션 기반 탐지를 지원한다"

    IPS의 효과
  1. 웜과 해킹으로부터 유발되는 네트워크 서비스 장애제거
  2. 유해/불필요한 트래픽을 사전 차단하여 네트워크 비용절감
  3. 공격에 대한 적절한 대응및 사전 방어로 관리비용 절감
  4. OS나 애플리케이션의 취약점을 사전에 보완, 한층 높은 보안제공

    기존 주력 제품라인에 따른 구분
  1. 방화벽 기반의 IPS
    -체크포인트의 ‘인터셉트’, 시큐아이닷컴의 ‘NXG 시리즈’ 쥬니퍼의 "IDP"
  2. IDS 기반의 IPS
    - 엔터라시스의 ‘드래곤 IPS’, 윈스테크넷의 ‘스나이퍼 IPS’, NA의 ‘맥아피 인터루쉴드’, LG엔시스의 ‘세이프존 IPS’
  3. 스위칭 기반의 IPS,
    - 라드웨어 ‘디펜스프로’, 탑레이어 ‘AM IPS 5500’
  4. 바이러스월 기반의 IPS - 포티넷의 ‘포티게이트 시리즈’

    하드웨어 타입에 따른 구분
  1. ASIC 기반 IPS
    -티핑포인트의 ‘유니티원’, NA의 ‘맥아피 인터루쉴드’, LG엔시스의 ‘세이프존 IPS’
  2. 서버 기반 IPS
    - 윈스테크넷의 ‘스나이퍼 IPS’, 정보보호기술의 ‘테스 IPS’,넷스크린의 ‘IDP 시리즈’
  3. 스위치 기반 IPS

    설치구성상의 차이점에 따른 구분
  1. 인라인 IPS
    -보호되어야할 시스템과 그 외의 네트워크 사이에서 L2 브리지처럼 작동하며 모든 트래픽은 브리지 장비와 달리 발견해내도록 취약점 검사를 수행한다- 한국ISS, 넷스크린, 티핑포인트, 윈스테크넷
  2. L7스위치
    -침입차단 및 방어 기능에 로드밸런싱 등으로 트래픽을 효과적으로 조절한다는 측면에서 IDS 기반의 IPS보다 선호하는 고객도 많다. -라드웨어, 탑레이어 ,
  3. 호스트기반
    -IPS,NA의 ‘인터셉트’, 조은시큐리티의 ‘싸이폴로’, 임퍼바의 ‘시큐어스피어’
  4. 하이브리드(Hybrid) 스위치
    -호스트 기반의 IPS와 L7스위치의 특성을 함께 가지고 있으며- 앱실드(Appshild), 카바두(Kavado)


    어떻게 선택할 것인가?
    공격에 따라 적절히 대응하는 보안시스템이라는 유연성 측면에서 고려한다면 IDS 기반과 방화벽 기반, 바이러스월 기반 등의 IPS가 우세할 것이며,
    네트워크 퍼포먼스, 성능 측면을 고려한다면 전용 네트워크 프로세서를 탑재한 제품이나 ASIC 기반과 스위칭 기반의 IPS를 선택하는 것이 좋을 것이다.
    퍼포먼스보다 기능측면을 고려하는 소호 등의 소규모사이트라면 방화벽+IDS 등 별도의 부가기능이 추가된 통합적인 형태의 IPS를 구입하는 것도 좋은 대안이다.

    업계의 한 전문가는 “고객들은 자사 네트워크에 맞게 성능의 가이드라인을 세우고 이에 맞는 제품을 선택해야한다”며 “우리 네트워크에서의 문제는 무엇인지, 웜·바이러스 등에 의한 문제가 가장 심각한지, 네트워크 가용성이 중요해 퍼포먼스를 우선해야 하는지 등을 따져보고 이미 기투자된 장비와의 연동성 등도 고려해 선택하는 것이 좋다”고 조언했다.

    하지만 관련 전문가들은 IPS의 기준이 모호하고 다양한 분류에 대한 이견이 분분한 것에 대해 아직 IPS 시장이 본격 형성되지 않았고 선두 업체가 정해지지도 않았기 때문이라고 분석한다. 상반기를 지나 하반기쯤이면 IPS의 대형 레퍼런스가 탄생할 것이고 이를 선점하는 선두업체의 IPS 제품이 IPS의 모델로 시장에서 자연스럽게 자리잡혀 갈 것이라는 전망이다. 따라서 IPS 시장의 진입 초기인 현재의 복잡한 IPS 제품에 대한 분류는 올 하반기를 지나 내년경이면 정리되어 갈 것으로 예측된다.

    한편 관련 전문가들은 사용자들이 IPS를 선정하는 기준으로 최근 가장 중요시하는 것은 웜 차단 기능과 퍼포먼스라고 전한다. 웜이 워낙 기승을 부려 웜에 대한 효과적인 차단기능이 필요해 IPS를 고려하는 경우가 많기 때문이다. 그리고 IPS가 네트워크단에 설치되기 때문에 가용성을 우선해 기가비트급 이상의 성능이 지원되는 ASIC이나 네트워크 프로세서 기반의 IPS 등을 선호한다는 것.

    IPS는 패킷을 바이패스로 미러링해 침입을 탐지하는 IDS와 달리 네트워크의 패킷이 지나가는 길에 설치한다는 특성으로 인해 퍼포먼스가 고객의 최대 관심사가 되고 있다.

    따라서 현재 출시되는 대부분의 IPS들이 기가급을 지원하고 있다. 최소 1Gbps 이상의 속도를 지원하며 올해부터 본격 구현되고 있는 10기가비트 네트워크를 겨냥해 10기가 이상의 속도를 낼 수 있는 IPS를 출시했거나 준비중도 업체들이 많다. 하지만 웜 차단이 IPS 기능의 전부가 아니고 웜이외에도 다양하게 발생할 수 있는 유해 트래픽과 관련된 IPS의 기능들을 눈여겨 봐야하며 피크타임시의 네트워크 대역폭이 최대 500Mbps 정도의 소규모 고객이 기가급 IPS만을 고집하는 것은 과투자가 될 수 있다. 따라서 자사의 네트워크를 잘 살펴보고 이에 맞는 제품을 고르는 지혜가 우선돼야 한다고 관련 전문가들은 지적하고 있다.

    그러나 IPS의 필요성을 느끼는 가장 큰 부분이 바로 웜 차단이며, 전체 네트워크 환경을 고려해 기가급의 IPS를 선호하는 추세는 당분간 이어질 것으로 보인다. 실제로 관련 전문가들은 “현재 웬만한 대학이나 금융, 기업 등에서 기가급 이하의 네트워크를 찾아보기 힘들다”며 “어렵게 기가급 이상의 네트워크를 구축해놓고 저속의 IPS를 네트워크상에 설치해 전체 네트워크의 성능을 떨어뜨리고 싶어하는 고객은 없다. 방화벽도 이런 이유에서 기가로 올라가는 추세”라고 언급한다.



    차세대 IPS에 필요한 10가지 조건

    1. 고도의 정확성
    - 모든 네트워크 트래픽에 대한 완벽하며 철저한 프로토콜 분석
    - 레이어 3에서 레이어 7까지 전방위적인 상태유지(Stateful) 프로토콜 분석
    - 알려진 익스플로잇(exploit)을 정확히 탐지할 수 있는 컨텍스트 기반 다중 트리거, 다중패턴 시그너처(signature) 매치

    2. 단순한 탐지가 아닌 방지
    - 인라인 운영: 공격을 실시간 탐지, 차단하려면 인라인 IPS가 센서를 데이터 트래픽 경로에 위치시켜 모든 패킷을 처리해야한다.
    - 신뢰성 및 가용성 유지: 인라인 IPS의 경우 가동시간이 매우 중요해 안정적 IPS 센서가 필요하다.
    - 고성능 제공: IPS에는 반드시 인라인 탐지 및 방지를 할 수 있는 처리능력, 예를 들면 패킷 지연시간은 1/1000초 이하로 최소화 되야 한다
    - 세밀한 정책적용: IPS는 세밀한 정책설정으로 악의적 트래픽을 차단할지 결정해야한다

    3. 광범위한 공격방지 적용
    현재 또는 앞으로 나타날 모든 공격을 단 하나만으로 막아주는 마법같은 방지는 없다. IPS는 반드시 시그니처 탐지, 이상탐지 및 DoS 탐지 등을 이용, 광범위한 방어범위를 제공해야한다.

    4. 관련된 모든 트래픽 분석
    IPS에는 반드시 광범위한 데이터 캡처 모드를 사용할 수 있는 능력이 있어 탐지 및 방지용으로 모든 관련 트래픽에 액세스할 수 있어야한다.

    5. 고도의 세밀한 탐지 및 대응
    IPS는 특정 호스트에 대한 특정공격을 탐지할 수 있으며 이에 대한 대응책이 시행되도록 해야한다. 세밀성은 보안정책의 실행과 통제에 반드시 필요한 조건이다.

    6. 유연한 정책관리
    오늘날의 엔터프라이즈 네트워크에서 단일 정책은 쓸모가 없다. 세밀한 정책관리를 통해 트래픽을 논리적 그룹으로 나누고 특정공격에 대한 알맞은 대응을 수행해야 한다.

    7. 확장 가능한 위험관리
    IPS는 부하가 많은 상황에도 대응할 수 있는 확장성을 갖춤으로 모니터링할 트래픽, 경고 처리율의 증가를 지원할 수 있어야한다.

    8. 고도의 사후조사 및 보고
    데이터 퓨전에 기반한 강력한 포렌직(사후 조사) 관리는 사고 분석 및 관리를 지원하는데 필요한 인프라를 제공하며 모든 IPS의 필수 요소이다.

    9. 최대 센서 가동시간
    IPS의 가동시간은 안정적인 실시간 탐지 및 방지를 보장하기 위해 신뢰도 높은 센서 등으로 방화벽, 교환기, 라우터 등 보안 및 네트워크 장치와 비슷해야 한다.

    10. ‘와이어 스피드’ 센서 성능
    IPS는 복잡한 네트워크 패킷과 플로우를 검사하는 시스템으로 최고 처리 용량의 방화벽보다 몇 배 이상의 처리 능력을 갖추고 있어야 한다
 
 
 
 
 
==========================================================================================
 
 
IPS 이용사례
 
 
 
지난해부터 붐이 일어난 IPS는 이제 IDS냐 IPS의 논란 단계를 넘어 고객 사이트에 속속 구현되며 그 기능을 뽐내고 있다. IPS는 네트워크 구성을 변형시키지 않는 인라인 모드로 네트워크에 구현돼 유해 트래픽을 차단하는 것은 물론 이를 통해 네트워크의 안전성과 속도를 높여준다.

그러나 아직도 IPS가 과연 우리 네트워크에서 어떤 식으로 구현될 수 있는지, IPS를 구현하면 어떤 효과를 얻을 수 있는지 의문을 가진 고객들이 더 많을 것이다. 여기서는 IPS의 국내 실제 운영사례를 중심으로 IPS가 어떤 식으로 구현될 수 있으며 어떤 장점을 줄 수 있는지 알아본다.


Case Study 1. 광주시청

네트워크에서 발생 가능한 모든 위협 ‘걱정없다’

광주시청은 전산상으로 2개의 구역을 분리해 체계적인 정보관리를 하고 있어, 보안정책, 보안시스템 구축 시에도 각기 다른 방향으로 접근하고 있다. 2개 분리 구역은 광주시청의 내부 핵심 구간인 B구간과 읍·면·동 사업소, 남한산성, 보건지소 등 광주시청 관할 사업소를 연결하는 A구간이다.

이에 따라 A, B 각 구간과 인터넷 및 경기도청 행정망을 연결하는 구역에 각각 윈스테크넷의 스나이퍼 IPS를 구축해 자체 구조에 적합한 보안정책 설정과 IPS를 통한 능동적 대응으로 보안성을 강화하게 됐다.

광주시청 IPS 네트워크 구성도



네트워크 성능 저하 없이 보안정책 적용

광주시청은 당시 IPS의 필요성은 인지하고 있었지만, 구축 후 망구조의 변화와 트래픽 성능 저하를 우려했다. 이에 윈스테크넷은 기존 네트워크의 라우터와 스위치 사이에 IPS를 설치하는 물리적 망구성과 패킷 우회경로 지정기능을 적용한 논리적 망구성을 병행해 광주시청 네트워크 특성에 효과적인 보안정책을 제시했다.

설치 시, IPS를 경유하도록 연결을 재구성하는 것 이외에 어떠한 물리적인 변경도 하지 않아, 공공기관으로서의 업무 연속성을 유지하면서도 적극적인 보안정책 설정이 가능해졌다.

또한 감시, 차단 대상 네트워크에 어떠한 패킷도 발생시키지 않고, 스나이퍼 IPS를 통과한 정상 패킷에 대해서는 맥 어드레스를 포함한 변경도 일으키지 않음으로써 신규 시스템 설치로 인한 네트워크 정상작동 방해 가능성을 제거했다. 또 IPS의 FOD(Fail Over Device) 기능을 적용해 네트워크 단절을 복구, 네트워크의 안정성을 높였다.


Case Study 2. 한미은행

외부 유해 트래픽 완전 차단으로 고객 보호 ‘이상 무’

한미은행은 외부에서 발생되어 금융권으로 들어오는 각종 웜 바이러스와 악의적인 공격에 대해 방어하고 내부에서 발생되는 유해 트래픽을 감지, 차단 조치하고자 IPS 구축사업을 진행, ‘라드웨어의 애플리케이션 스위치(ASⅢ)’ 도입을 결정했다.

IPS 오작동시에도 네트워크 영향 無

AS III는 네트워크 상에서 일어나는 어떠한 형태의 IP나 웹서비스 애플리케이션에 대해 멀티 기가비트 속도의 보안성을 제공하는 다기능 장비로써 포괄적인 트래픽 전달과 실시간 침입방지 및 멀티 기가비트 속도의 DoS/DDoS 공격 차단기능 등을 제공한다.

이를 활용해 한미은행은 AS III의 구축이 완료되면, 외부로부터 유입되는 유해 트래픽을 완벽히 차단해 고객 및 내부 사용자 보호에 만전을 기할 수 있을 것으로 기대하고 있다.

한미은행 IPS 네트워크 구성도



자동업데이트로 최적 보안상태 유지

한미은행의 IPS 구축사업은 현재 진행중이지만 구축이 완료되면 각종 서버와 라우터 등의 내부자원에 대한 방어 및 차단은 물론이고 내부정보 유출 차단, 내부 유해트래픽 자동 감지로 네트워크를 원천적으로 보호할 수 있게 된다. 또 새로운 바이러스 패턴에 대한 자동 업데이트로 항상 최적의 보안상태를 유지할 수 있으며 보고서 분석으로 유해트래픽의 통계적 관리가 가능하다.


Case Study 3. 구리시청

시정 기밀정보·시민 신상 중요정보 해킹 걱정 ‘끝’

구리시청과 같은 지방자치단체는 상위 관청의 통합 전산망의 일부로 자체 규모는 작으나, 하위에 크고 작은 기관을 관리하고 있어 자체적인 보안관리가 중요해짐에 따라 IPS를 도입하게 됐다.

각 동·출장소 등에서 발생되는 유해 트래픽 차단

구리시청은 시정에 관련된 기밀정보, 시민 개개인의 신상에 관한 중요정보를 보관하고 타 관공서간에 중요한 자료들이 네트워크 상에서 교환되는 등 철저한 보안이 시급한 상황이었다. 또한 각동 출장소 등에서 발생되는 불법적이고 치명적인 유해 트래픽 역시 증가하고 있어 이에 대한 대비책도 시급했다.

이를 시정하기 위해 구리시청은 센타비전의 ‘랩투스 ICS’를 도입, 유해트래픽에 의한 대민서비스 장애를 예방하며 시민정보에 대한 안정성을 높였다.

구리시청 IPS 네트워크 구성도



불필요한 네트워크 트래픽 해소

구리시청은 IPS 도입의 가장 큰 효과로 내부정보 유출을 원천적·능동적으로 차단할 수 있는 점을 꼽는다. 또 불필요하게 네트워크 자원을 소모시키는 트래픽을 해소하고 세션상태 실시간 체크, 차단, 탐지정보, 네트워크 자원 소모량, 트래픽 원인 파악 등의 리포팅으로 네트워크상의 문제점을 제거하고 보다 빠르게 안전한 대민서비스를 개시할 수 있어 만족하고 있다.


Case Study 4. 숭실대

통합보안제품으로 보안 걱정 한방에 ‘끝’

숭실대 전산원은 바이러스, 웜, 트로이 목마 등의 공격으로 인한 트래픽 부하로 하루에도 2∼3번씩 네트워크 다운에 시달렸다. 컴퓨터 실습실은 많은 학생들이 공통으로 사용하다 보니 설치해놓은 백신 소프트웨어를 임의대로 삭제해 바이러스나 웜에 무방비 상태로 노출되기 일쑤였다.

웜·트래픽 공격으로 인한 네트워크 다운 ‘NO’

또, 지적 호기심이 강한 일부 학생들은 바이러스나 웜을 만들어 유포하기도 하고, 내부 서버 해킹을 시도하는 등 보안상의 다양한 문제가 나타나 이를 해결하기 위해 각각의 모듈이 하나의 기본 엔진에 통합된 하드웨어 일체형 통합 보안 제품 ‘포티게이트-500’을 도입했다. 전산원은 포티게이트-500의 기능 중 바이러스월, IPS, QoS, 방화벽 기능만을 사용하고 있다. 방화벽은 30개의 정책을 적용해 수문장 역할을, IPS는 해킹 트래픽 탐지 및 웜 트래픽 차단 역할을 한다.

숭실대 IPS 네트워크 구성도



악성코드 공격에도 네트워크 안전

숭실대 전산원은 포티게이트는 웜, 바이러스에 의한 유발 트래픽을 자동 차단해주고, QoS 기능이 있어 실습실별로 가상랜을 나누어 각각의 인터넷 대역폭을 적용해 네트워크의 안정성을 보장해주는 점이 만족스러웠다고 말했다.

숭실대 전산원은 포티게이트-500을 설치한 이후 단 한 번도 웜이나 바이러스에 의해 네트워크가 다운된 적이 없다. 2003년 최고의 악성 코드로 꼽히는 소빅, 두마루의 출현에도 전산원의 네크워크는 안전하게 유지되고 있다.
 
Case Study 5. LG필립스LCD

네트워크 중단에 의한 업무지연 ‘ IPS ’로 해결

LG필립스LCD는 국내 공장들이 전용선으로 연결되어 있고 전체 인터넷 트래픽이 하나의 관문을 통하여 외부로 나가게 되는 형태로 네트워크가 구성되어 있다. 최상단의 라우터, L4, 이중화 방화벽, L4 순으로 FLB 구성돼 있으며 정상상태에서는 문제없으나 내부에서 웜 트래픽이 유발이 되면 방화벽이 다운되는 문제가 빈번하게 발생했다.

웜 바이러스로 인한 대응방안 부재

또한 내부 바이러스 방역시스템으로 해외 및 외국업체의 백신을 사용하고 있었으나 국외 영업법인과의 연계 때문에 외국의 최신 웜이 국내망으로 유입되거나 특정 웜에 의한 스푸핑이 발생하면 네트워크 레벨에서 적절한 대응 방법을 찾을 수 없어 고심하고 있는 상황이었다. 따라서 LG필립스LCD는 내부/외부에서 발생되는 웜 트래픽에 효과적으로 지속적인 네트워크 서비스가 가능하도록 IPS 도입을 결정했다.

LG필립스LCD IPS 네트워크 구성도



네트워크 전방위에서 능동적 방어 가능

LG필립스는 IPS 설치 위치는 가장 큰 피해를 입고 있는 방화벽 구간으로 결정하고 방화벽 부하를 효과적으로 차단할 수 있는 위치, 즉 내부 L4 스위치 밑에 위치시켜 내부 → 외부로 나가는 웜트래픽 및 IP가 변조된 스푸핑 패킷을 차단시킴으로써 방화벽 구간의 문제점을 해결했고 또한 최근 많이 퍼지는 e메일 관련 웜들에 대한 시그너처를 다수 반영시켜 외부->내부로 유입되는 웜들을 차단토록 설정하여 웜의 확산을 네트워크 전방에서 능동적으로 방어토록 구성했다. IPS 설치 후 LG필립스LCD는 잦은 네트워크 중단으로 인한 업무 지연 때문에 발생할 수 있는 악영향을 IPS 도입을 통하여 제거하고 안정적 네트워크 서비스 제공을 통한 내부 고객 만족도가 향상됐다.


Case Study 6. 한국전산원

초고속국가망 안정성·서비스 질 대폭 향상

한국전산원의 KIX(Korea Internet eXchange)망은 국내 ISP간, 해외 인터넷 연결을 위한 서비스망이기 때문에 신속한 트래픽 소통을 위한 최소한의 보안정책만이 적용돼 있었다. 그러나 전산원은 최근 방화벽 기반의 IPS 시스템인 시큐어닷컴의 ‘NXG4000’을 적용해 국내 인터넷 관문에서 갈수록 고도화되어지는 악성 공격 및 유해 트래픽을 사전에 차단키로 했다.

기 설치된 IDS와 연동으로 ROI 개선

우선 전산원은 IPS 설치로 전체 트래픽(900M~1.2G)의 5~6%정도의 유해 트래픽을 차단, 인터넷 관문에서 정상 트래픽에 섞여 들어오는 유해 트래픽을 차단하여 불필요한 대역폭 낭비 제거했다. 또 기 설치된 정보보호 기술의 ‘테스 IDS’ 시스템과 연동하여 인라인 및 오프라인 장비의 장, 단점을 최대한 활용하는 효율적인 방어 체계 구축, 기존 인프라의 활용도 제고 및 투자보호를 통한 ROI를 개선했다.

한국전산원 IPS 네트워크 구성도



효율적 보안 정책 수립 가능

또 차단된 유해 트래픽을 방화벽의 보안 정책에 의한 것과 IAP(Intrusion Alert Protocol)를 이용한 IDS에 의한 것으로 분리하여 분석할 수 있어 명확하고 효율적인 보안 정책 수립이 가능해졌으며 상시 트래픽 모니터링을 통한 베이스라인 설정으로 갑작스런 유해 트래픽의 발생시에도 차단 정책을 통해 지속적인 서비스가 가능, 서비스의 질을 더욱 향상시킬 수 있게 됐다.


Case Study 7. S통신사

해커로부터 안전한 고객 요금 관리 서비스 유지 가능

S통신사의 네트워크는 전체 통신사의 수입을 관장하는 고객 요금에 관련된 네트워크로서 매우 중요한 자산이다. 평소에 웜의 다량 유입시 네트워크가 불안정했으며, 해커가 항상 목표로 할 수 있는 네트워크로 관리자들의 주의가 필요한 네트워크다.

네트워크 가용성 향상·안정화 달성

따라서 네트워크의 다운이나 지연은 통신사 자체의 매출에 바로 타격을 줄 수 있으며, 고객을 계속해서 유지하기가 힘든 상황이라 S통신사는 탑레이어의 ‘IPS 2000’를 도입, 유해트래픽으로 인한 네트워크 다운을 방지하기로 결정했다.

탑레이어의 IPS 2000은 다량으로 유입되던 웜이 없어짐으로써 네트워크의 가용성이 높아지고 해커로부터의 침입 위험성이 낮아지므로서 완벽한 고객 요금 관리 서비스를 유지할 수 있었다. 또한 비대칭 구조의 네트워크에서 발생할 수 있는 오탐 및 미탐을 제거함으로써 안전한 네트워크 운영이 가능케 됐다.

S통신사 IPS 네트워크 구성도



이중화 네트워크에도 IPS 구현

또한 탑레이어는 이중화 네트워크에 IPS가 도입된 사례가 거의 없는데 반해 S통신사의 이중화 네트워크에 IPS를 설치했다. 이로써 HA 구성으로 따로 IPS를 구성할 경우 발생할 수 있는 오탐과 미탐을 방지, 보다 안전하고 효율적인 IPS를 운영할 수 있게 됐다.

S통신사는 향후 타 네트워크 구간에도 IPS를 도입 예정이며, IPS를 이용하여 네트워크 사용 형태를 분석해 사내 네트워크 건전성을 높이는 데 활용할 예정이다.

 

전용선/ VPN 전용선/ 인터넷 전화/ 멀티PC/ NDAS - '소프트마트' : http://www.soft-mart.co.kr

'scrap' 카테고리의 다른 글

XP 네트워크 명령어  (0) 2010.04.18
IDS  (0) 2010.03.27
IPS  (0) 2010.03.27
[안철수연구소 칼럼] 바이러스 및 악성코드와 백신의 미래  (0) 2010.03.19
[안랩] 파일 기반의 탐지기법  (0) 2010.03.19
IPS란

지난해 발표된 가트너 그룹 보고서에 따르면 1세대 네트워크 IDS 제품은 탐지 성능에 문제가 있어서 신뢰할 수 있는 네트워크에 제한된 소수의 센서만을 설치 가능한 것으로 나타났다. 뿐만 아니라 IDS는 잘못된 탐지 경보를 남발하는 문제가 있어 진짜 공격을 놓칠 위험을 감수하면서도 상당한 자원을 오경보 추적에 소모하게 됨으로써 이미 제한된 보안 인원과 인프라에 심각한 영향을 줄 수밖에 없었다.

고도의 탐지 방법과 공격을 방지할 수 있는 기능이 없는 1세대 IDS는 충분한 성능 지원 없이 단지 보안에 대한 환상만을 제공한다는 점에서 그저 디지털 마지노선에 지나지 않는다. 이에 따라 등장한 것이 바로 침입방지 시스템 ‘IPS’이다.

IPS는 IDS에서 한발 나아가 공격이 실제 피해를 주기 전에 미리 능동적으로 공격을 차단함으로써 공격 피해를 최소화할 수 있는 능동적 보안대책이라는 점이 가장 큰 장점이다. IPS는 OS나 애플리케이션의 취약점을 능동적으로 사전에 보완하고 웜이나 버퍼오버플로우, 특히 비정상적인(Ano-maly) 트래픽이나 알려지지 않은 공격까지 차단할 수 있기 때문에 한층 높은 보안을 제공해준다.

또 IPS의 가장 큰 특징은 기업 외부에서 내부 네트워크로의 침입을 방지하는 것이다. IPS의 도입을 원하는 대부분의 기업들 목표 역시 외부 침입방지이며 효과 역시 유해 트래픽의 원천적인 차단이다.

그렇다면 외부 트래픽을 차단하는 방화벽과 역시 외부 침입을 방지하는 IPS는 어떤 차이가 있는 것일까? 기존 보안시스템인 방화벽은 단순 차단 기능, 알려진 공격패턴 감시 등을 통해 공격을 감지하지만, 님다나 코드레드같은 새로운 공격을 막기에는 역부족이다. IDS 또한 알려지지 않은 공격에 대한 탐지가 곤란하고 내부 공격자를 막기에도 어려움이 있다. 침입탐지의 오판에 따른 시간, 인적, 재정 낭비도 문제점으로 지적된다. 이에 반해 IPS는 알려지지 않은 공격에 대해서 적절하게 대응을 하며 명백한 공격은 사전 방어를 취한다. 또 웜과 바이러스 등의 침입을 네트워크단에서 차단시킴으로 보안 인프라와 네트워크 영향을 제거하며 공격에 대한 사후 조사로 인해 소요되는 관리자 운영 부담을 없애주는 장점이 있다.

이처럼 IPS는 웜 바이러스와 해킹으로부터 유발되는 네트워크 서비스 장애로부터 벗어날 수 있고 부가적으로 유해한 트래픽을 사전 차단함으로써 인터넷 및 네트워크 자원의 효율적 사용을 통한 비용절감을 도모할 수 있다.

하지만 이런 장점에도 불구하고 현재 어떤 기능들을 갖추고 있어야 IPS라고 부를 수 있는가에 대한 기준은 상당히 모호하다.

일선 영업담당자들은 “IPS 제품선정을 위해 BMT를 실시한다는 공고가 뜨면 IPS 전용장비는 물론이고 IDS에 드롭(Drop) 기능을 추가한 제품, L7스위치, 바이러스월 등 각종 장비가 모여든다”며 “최소한 바이러스월과 IPS는 구분된다거나 L7스위치와 IPS의 경계를 지어주는 등 기준이 필요할 것”이라고 언급하고 있다. 즉 IPS의 웜, 바이러스 차단, 네트워크 트래픽 조절 등의 기능으로 인해 바이러스월도 L7스위치도, IDS도 모두 약간의 기능을 추가하면 IPS라고 부를 수 있는 제품으로 둔갑한다는 것이다.


자사 상황 고려 필수

이처럼 현재 출시된 IPS들은 그 출신성분, IPS라는 이름을 달고 내놓은 제품 이전 제품은 어떤 것을 보유하고 있었느냐에 따라 방화벽 기반의 IPS, IDS 기반의 IPS, 스위칭 기반의 IPS, 바이러스월 기반의 IPS 등으로 나눌 수 있다. 또 전용 ASIC 기반, 네트워크 프로세서를 탑재했느냐에 따라 ASIC 기반 IPS, PC 서버 등 서버에 올렸느냐에 따라 서버 기반 IPS, 스위치 기반 IPS 등 하드웨어 타입에 따라 나누기도 한다. 여기서 또 기능상의 분류로 들어가 세션 기반, 패킷 기반, 그리고 스위칭 기반이냐 등으로 분류될 수도 있다.

IDS 기반의 IPS로는 엔터라시스의 ‘드래곤 IPS’, 윈스테크넷의 ‘스나이퍼 IPS’, NA의 ‘맥아피 인터루쉴드’, LG엔시스의 ‘세이프존 IPS’ 등이 속한다. 또 방화벽 기반의 IPS로는 체크포인트의 ‘인터셉트’, 시큐아이닷컴의 ‘NXG 시리즈’ 등이며, 스위칭 기반의 IPS로는 라드웨어 ‘디펜스프로’, 탑레이어 ‘AM IPS 5500’ 등, 바이러스월 기반으로는 포티넷의 ‘포티게이트 시리즈’ 등이 속한다. 한편 전용 ASIC 기반 네트워크 프로세서가 탑재된 제품으로는 티핑포인트의 ‘유니티원’, NA의 ‘맥아피 인터루쉴드’, LG엔시스의 ‘세이프존 IPS’ 등이며, 서버 기반으로는 S/W 형태로 출시돼 별도의 서버에 탑재해야하는 윈스테크넷의 ‘스나이퍼 IPS’, 정보보호기술의 ‘테스 IPS’, 넷스크린의 ‘IDP 시리즈’ 등이다.

혹자는 IPS를 세션 기반이냐 패킷 기반이냐 나누고 세션 기반이 패킷 기반보다 시그니처 분석 등으로 세심한 공격탐지가 가능하다는 식의 주장을 하기도 하지만 이런 분류는 별로 의미가 없다는 것이 전문가들의 주장이다. IPS는 네트워크상에 위치하는 제품인 만큼 세션과 패킷을 동시에 처리해야 하며 대부분의 제품들이 세션과 패킷을 혼용해서 출시돼 있어 세션이나 패킷이냐의 분류는 잘 쓰지 않는다.

한편 IPS의 설치구성상의 차이점과 기능에 따라 인라인 IPS, L7스위치, 호스트기반 IPS, 하이브리드(Hybrid) 스위치 등으로 구분하기도 하는데 인라인 IPS는 보호되어야할 시스템과 그 외의 네트워크 사이에서 L2 브리지처럼 작동하며 모든 트래픽은 브리지 장비와 달리 발견해내도록 취약점 검사를 수행한다. 현재 통용되고 있는 한국ISS, 넷스크린, 티핑포인트, 윈스테크넷 등 국내외 업체들의 IPS 제품들이 대부분 여기에 속한다. 또 L7스위치는 지난 1.25대란을 겪으며 일부 기업과 통신사 등에 공급, 효과적으로 웜 바이러스를 차단할 수 있다는 입소문을 타고 침입차단의 강자로 부상했다.

유독 국내에서는 L7스위치가 IPS 제품으로 통용되고 있는데 침입차단 및 방어 기능에 로드밸런싱 등으로 트래픽을 효과적으로 조절한다는 측면에서 IDS 기반의 IPS보다 선호하는 고객도 많다. 대표적으로 라드웨어, 탑레이어 등 L7스위치 기반의 IPS가 여기에 속한다. 또 보호를 필요로 하는 각 서버에 탑재돼 보안기능을 발휘하며 시큐어 OS와 비슷한 기능을 수행하는 호스트기반 IPS는 NA의 ‘인터셉트’, 조은시큐리티의 ‘싸이폴로’, 임퍼바의 ‘시큐어스피어’ 등이 속한다. 하이브리드 스위치는 호스트 기반의 IPS와 L7스위치의 특성을 함께 가지고 있으며 대개 하드웨어 기반으로 L7스위치처럼 서버의 앞단에 위치한다.

하지만 하이브리드 스위치는 일반적으로 네트워크 IPS 타입의 룰셋보다 호스트 기반의 IPS와 비슷한 정책을 사용하며 여기에 속하는 제품은 앱실드(Appshild), 카바두(Kavado) 등에서 취급한다.

이처럼 많은 분류들이 상존하고 있으나 이런 분류들은 각각의 장단점이 존재하며 이 분류가 절대적 우위를 가리는 판단기준이 되지는 않는다. 공격에 따라 적절히 대응하는 보안시스템이라는 유연성 측면에서 고려한다면 IDS 기반과 방화벽 기반, 바이러스월 기반 등의 IPS가 우세할 것이며, 네트워크 퍼포먼스, 성능 측면을 고려한다면 전용 네트워크 프로세서를 탑재한 제품이나 ASIC 기반과 스위칭 기반의 IPS를 선택하는 것이 좋을 것이다. 퍼포먼스보다 기능측면을 고려하는 소호 등의 소규모사이트라면 방화벽+IDS 등 별도의 부가기능이 추가된 통합적인 형태의 IPS를 구입하는 것도 좋은 대안이다.

업계의 한 전문가는 “고객들은 자사 네트워크에 맞게 성능의 가이드라인을 세우고 이에 맞는 제품을 선택해야한다”며 “우리 네트워크에서의 문제는 무엇인지, 웜·바이러스 등에 의한 문제가 가장 심각한지, 네트워크 가용성이 중요해 퍼포먼스를 우선해야 하는지 등을 따져보고 이미 기투자된 장비와의 연동성 등도 고려해 선택하는 것이 좋다”고 조언했다.

하지만 관련 전문가들은 IPS의 기준이 모호하고 다양한 분류에 대한 이견이 분분한 것에 대해 아직 IPS 시장이 본격 형성되지 않았고 선두 업체가 정해지지도 않았기 때문이라고 분석한다. 상반기를 지나 하반기쯤이면 IPS의 대형 레퍼런스가 탄생할 것이고 이를 선점하는 선두업체의 IPS 제품이 IPS의 모델로 시장에서 자연스럽게 자리잡혀 갈 것이라는 전망이다. 따라서 IPS 시장의 진입 초기인 현재의 복잡한 IPS 제품에 대한 분류는 올 하반기를 지나 내년경이면 정리되어 갈 것으로 예측된다.

한편 관련 전문가들은 사용자들이 IPS를 선정하는 기준으로 최근 가장 중요시하는 것은 웜 차단 기능과 퍼포먼스라고 전한다. 웜이 워낙 기승을 부려 웜에 대한 효과적인 차단기능이 필요해 IPS를 고려하는 경우가 많기 때문이다. 그리고 IPS가 네트워크단에 설치되기 때문에 가용성을 우선해 기가비트급 이상의 성능이 지원되는 ASIC이나 네트워크 프로세서 기반의 IPS 등을 선호한다는 것.

IPS는 패킷을 바이패스로 미러링해 침입을 탐지하는 IDS와 달리 네트워크의 패킷이 지나가는 길에 설치한다는 특성으로 인해 퍼포먼스가 고객의 최대 관심사가 되고 있다.

따라서 현재 출시되는 대부분의 IPS들이 기가급을 지원하고 있다. 최소 1Gbps 이상의 속도를 지원하며 올해부터 본격 구현되고 있는 10기가비트 네트워크를 겨냥해 10기가 이상의 속도를 낼 수 있는 IPS를 출시했거나 준비중도 업체들이 많다. 하지만 웜 차단이 IPS 기능의 전부가 아니고 웜이외에도 다양하게 발생할 수 있는 유해 트래픽과 관련된 IPS의 기능들을 눈여겨 봐야하며 피크타임시의 네트워크 대역폭이 최대 500Mbps 정도의 소규모 고객이 기가급 IPS만을 고집하는 것은 과투자가 될 수 있다. 따라서 자사의 네트워크를 잘 살펴보고 이에 맞는 제품을 고르는 지혜가 우선돼야 한다고 관련 전문가들은 지적하고 있다.

그러나 IPS의 필요성을 느끼는 가장 큰 부분이 바로 웜 차단이며, 전체 네트워크 환경을 고려해 기가급의 IPS를 선호하는 추세는 당분간 이어질 것으로 보인다. 실제로 관련 전문가들은 “현재 웬만한 대학이나 금융, 기업 등에서 기가급 이하의 네트워크를 찾아보기 힘들다”며 “어렵게 기가급 이상의 네트워크를 구축해놓고 저속의 IPS를 네트워크상에 설치해 전체 네트워크의 성능을 떨어뜨리고 싶어하는 고객은 없다. 방화벽도 이런 이유에서 기가로 올라가는 추세”라고 언급한다.

차세대 IPS에 필요한 10가지 조건

1. 고도의 정확성
- 모든 네트워크 트래픽에 대한 완벽하며 철저한 프로토콜 분석
- 레이어 3에서 레이어 7까지 전방위적인 상태유지(Stateful) 프로토콜 분석
- 알려진 익스플로잇(exploit)을 정확히 탐지할 수 있는 컨텍스트 기반 다중 트리거, 다중패턴 시그너처(signature) 매치

2. 단순한 탐지가 아닌 방지
- 인라인 운영: 공격을 실시간 탐지, 차단하려면 인라인 IPS가 센서를 데이터 트래픽 경로에 위치시켜 모든 패킷을 처리해야한다.
- 신뢰성 및 가용성 유지: 인라인 IPS의 경우 가동시간이 매우 중요해 안정적 IPS 센서가 필요하다.
- 고성능 제공: IPS에는 반드시 인라인 탐지 및 방지를 할 수 있는 처리능력, 예를 들면 패킷 지연시간은 1/1000초 이하로 최소화 되야 한다
- 세밀한 정책적용: IPS는 세밀한 정책설정으로 악의적 트래픽을 차단할지 결정해야한다

3. 광범위한 공격방지 적용
현재 또는 앞으로 나타날 모든 공격을 단 하나만으로 막아주는 마법같은 방지는 없다. IPS는 반드시 시그니처 탐지, 이상탐지 및 DoS 탐지 등을 이용, 광범위한 방어범위를 제공해야한다.

4. 관련된 모든 트래픽 분석
IPS에는 반드시 광범위한 데이터 캡처 모드를 사용할 수 있는 능력이 있어 탐지 및 방지용으로 모든 관련 트래픽에 액세스할 수 있어야한다.

5. 고도의 세밀한 탐지 및 대응
IPS는 특정 호스트에 대한 특정공격을 탐지할 수 있으며 이에 대한 대응책이 시행되도록 해야한다. 세밀성은 보안정책의 실행과 통제에 반드시 필요한 조건이다.

6. 유연한 정책관리
오늘날의 엔터프라이즈 네트워크에서 단일 정책은 쓸모가 없다. 세밀한 정책관리를 통해 트래픽을 논리적 그룹으로 나누고 특정공격에 대한 알맞은 대응을 수행해야 한다.

7. 확장 가능한 위험관리
IPS는 부하가 많은 상황에도 대응할 수 있는 확장성을 갖춤으로 모니터링할 트래픽, 경고 처리율의 증가를 지원할 수 있어야한다.

8. 고도의 사후조사 및 보고
데이터 퓨전에 기반한 강력한 포렌직(사후 조사) 관리는 사고 분석 및 관리를 지원하는데 필요한 인프라를 제공하며 모든 IPS의 필수 요소이다.

9. 최대 센서 가동시간
IPS의 가동시간은 안정적인 실시간 탐지 및 방지를 보장하기 위해 신뢰도 높은 센서 등으로 방화벽, 교환기, 라우터 등 보안 및 네트워크 장치와 비슷해야 한다.

10. ‘와이어 스피드’ 센서 성능
IPS는 복잡한 네트워크 패킷과 플로우를 검사하는 시스템으로 최고 처리 용량의 방화벽보다 몇 배 이상의 처리 능력을 갖추고 있어야 한다. 

'scrap' 카테고리의 다른 글

IDS  (0) 2010.03.27
IPS  (0) 2010.03.27
[안철수연구소 칼럼] 바이러스 및 악성코드와 백신의 미래  (0) 2010.03.19
[안랩] 파일 기반의 탐지기법  (0) 2010.03.19
[안랩] 에뮬레이터와 샌드 박스  (0) 2010.03.19

+ Recent posts