IDS/IPS 장단점 - IDS/IPS jangdanjeom

Question

목차 Show

네트워크 보안솔루션
IDS / IPS 특징
2. 호스트기반 IPS
3. 하이브리드 IPS

네트워크 보안 솔루션 IDS / IPS는 네트워크 진입 경로 또는 Host에 직접 설치되어 지식기반, 이상징후 기반 침입탐지 차단 솔루션입니다. 이 문서에서는 IDS / IPS 장치의 특징과 방식 그리고 유형별 장단점에 대해 알아보겠습니다.

네트워크 보안솔루션
- IDS / IPS 특징
- IDS 유형
1. 네트워크 기반 IPS
- 장점
- 단점
2. 호스트기반 IPS
- 장점
- 단점
3. 하이브리드 IPS

네트워크 보안솔루션

IDS / IPS 특징

IDS는 외부망의 패킷이 들어오는 길목에 설치되어 방화벽에서 탐지가 어려운 트래픽의 악의적인 공격을 사전에 차단하는 네트워크 보안 솔루션의 한 종류입니다.

IDS / IPS 솔루션의 유형

이 솔루션은 설치 형태에 따라 위의 그림에서 보는 바와 같이 Host 방식과 Network 방식으로 분류할 수 있습니다.

IDS 유형

IDS는 분석방식에 따라 크게 다음 2가지 유형으로 구분할 수 있습니다. 프로토콜의 상태정보를 기반으로 비정상적 상태를 체크하는 Stateful 분석 방식도 있습니다.

지식기반(Signature Based) IDS	이상징후 기반(Anomaly Based) IDS
공격의 패턴을 사전에 학습하여 이에 따른 공격의 유형을 감지한다. 사전에 학습되지 않은 패턴을 인식하지 못하는 것은 단점이다.	사전에 알려지지 않은 공격패턴을 수집하여 보다 빠르고 능동적인 대응이 가능하다.

아래의 그림과 같이 외부망에서 들어오는 모든 패킷이 지나가는 길목에 설치되어, 트래픽 흐름을 캡처하여 특이사항을 분석하는 방식입니다.

네트워크 기반 IDS 장치 구성도

패킷분석 포인트인 센서는 DMZ나 네트워크 경계의 choke point 에 위치하여 포트 미러링이나, 네트워크 탭을 사용하여 패킷을 체크합니다. 최근에 나오는 솔루션들은 IDS 기능을 기본 탑재하고 방화벽 기능까지 통합한 제품들도 나와 있으므로 통합 보안솔루션이 필요한 경우 다음의 정보를 참고 바랍니다.

중소형 엔터프라이즈급 방화벽 및 IPS 통합 보안 솔루션 (주니퍼)

통합보안 솔루션 UTM과 차세대 방화벽 비교

장점

별도의 SW 설치 필요없이 저렴한 IPS 하드웨어를 설치하는 방식으로 간편히 구성이 가능합니다. 또한 빠르게 실시간 탐지할 수 있는 점도 장점입니다.

다양하고 넓은 기반의 감시가 가능하다
IP 기반의 Tear drop 공격, DoS 기반공격의 탐지 가능
패킷의 실시간 탐지만 대응가능 (방화벽 앞단에 위치)
네트워크상의 각 Host 에게 아무런 영향을 주지 않는다.
실시간 탐지가 가능하다.
Host 기반의 탐지가 어려운 공격(스캐닝 등)의 탐지가 가능하다

단점

호스트 기반 IDS가 지원하는 암호화 패킷의 분석이 불가능합니다. 또한 다양한 호스트들을 동시에 모니터링 하기 때문에 상대적으로 호스트 방식에 비해 분석범위가 적으며, 오탐의 확률 또한 높아질 수 있습니다.

암호화 패킷 분석불가
호스트 기반방식 대비 부정확한 분석
트래픽의 양에 영향을 받는다.
공격 탐지 시 연결종료, 프로세스 종료와 같은 즉각적인 대응이 어렵다.
별도의 IDS 장비(서버)가 필요하다

2. 호스트기반 IPS

서버나 PC와 같은 호스트 내에 별도의 소프트웨어로 설치되는 형태입니다. 악의적인 트래픽의 패턴을 분석하는 시그니처기반 방식 및 비정상 행위기반 방식으로 분류합니다. 주로 시스템 콜, 애플리케이션 로그 및 파일시스템의 수정사항 감시 등을 분석하여 비정상적인 행동이나 패턴을 분석합니다.

장점

Host 에 바로 설치되는 형태이므로 별도의 장치를 구성할 필요가 없다는 점입니다. 그리고 네트워크 기반 IDS의 경우 암호화된 패킷의 분석이 어렵지만, 호스트는 해당 패킷도 분석이 가능한 이점이 있습니다.

Network 기반 IDS가 놓치는 패킷탐지 가능 (버퍼 오버플로 공격 등)
Network 기반 대비 저렴한 솔루션
추가적인 HW 불필요
암호화 세션에 영향을 받지 않음
대역폭이 빠르고 고속인 환경에서도 사용이 가능하다

단점

패킷을 분석하는데 시스템 리소스를 소모하기에 이를 위한 별도의 자원이 할당되어야 한다는 것입니다. 가령, 메모리나 CPU 소모 그리고 파일 시스템 접근 등 서버의 리소스가 사용되는 한계점이 있습니다.

툴의 유지보수에 별도의 리소스 필요
툴의 설치 및 업데이트, 배포관리 필요
시스템 자원(CPU, RAM, 네트워크)을 소모 (5~10%)
IDS 툴 자체의 취약성에 의한 툴 공격 가능성이 존재한다.

3. 하이브리드 IPS

위의 Host와 Network 기반 솔루션의 장점을 결합한 방식입니다. 따라서 네트워크와 호스트 둘 다 한꺼번에 감시가 가능하다는 장점을 가집니다. 하지만 업계 표준이 없어 솔루션 마다 사용법이 상이하여 설치 및 관리가 어렵다는 점은 단점입니다.

네트워크보안 솔루션 – 악성코드 탐지기술 및 대응방법 (2)

1. IDS (Intrusion Detection System, 침입탐지 시스템)

1) IDS 개념

외부 침입에 대한 정보를 수집하고 분석하여 침입 활동을 탐지해 이에 대응하도록 보안 담당자에게 통보하는 기능을 수행하는 네트워크 보안 시스템이다,

2) IDS 장점

① 해킹에 대하여 침입차단시스템(Firewall)보다 적극적인 방어가 가능하다.

② 내부 사용자의 오·남용 탐지 및 방어가 가능하다.

③ 해킹사고 발생 시 어느 정도의 근원지 추적이 가능하다.

3) IDS 단점

① 대규모 네트워크에 사용하기 어렵다.

② 관리 및 운영이 어렵다.

③ 새로운 침입 기법에 대한 즉각적인 대응이 어렵다. (시그니처 기반 탐지가 대부분이다.)

④ 보안사고에 대한 근본적인 해결책은 제시되지 못한다.

4) IDS 실행 단계

데이터 수집 → 데이터 가공 및 축약 → 침입 분석 및 탐지 → 보고 및 대응

① 데이터 수집: 탐지 대상(시스템 사용내역, 패킷)으로부터 생성되는 데이터를 수집하는 감사 데이터 수집한다.

② 데이터 가공 및 축약: 수집된 감사 데이터를 침입판정이 가능하도록 의미 있는 정보로 전환한다.

③ 침입 분석 및 탐지: 비정상적 행위 탐지 기법(비정상적인 행위), 오용 탐지 기법(취약점 버그), 하이브리드 탐지 기법을 이용한다.

④ 보고 및 대응: 침입으로 판정된 경우 이에 대한 적절한 대응을 자동으로 취하거나 보안 관리자에게 알려 조치한다.

2. IDS의 종류

1) 탐지방법에 의한 분류

1.1) 지식기반 침입탐지(요용탐지)

시스템 로그, 네트워크 입력정보,알려진 침입방법, 비정상적인 행위 패턴 등의 특징을 비교하여 탐지한다.

기존의 침입방법을 데이터베이스에 저장해 두었다가사용자 행동 패턴이 기존의 침입 패턴(시그니처)과 일치하거나 유사한 경우에 침입이라고 판단한다.

새로운 공격이나 침입 방법이 출현하였을 경우에는 그에 맞는 공격 패턴을 생성하여 추가한다. (패턴 업데이트)

장점

① 오탐률(False Positive)이 낮다.

② 전문가 시스템(추론기반 지식 베이스)이용한다.

③ 트로이목마, 백도어 공격 탐지가 가능하다.

단점

① 새로운 공격탐지를 위해 지속적인 공격패턴 갱신 필요하다.

② 패턴에 없는 새로운 공격에 대해서는 탐지가 불가능하다.

예시

전문가 시스템: 각 공격을 규칙 집합으로 관리하고 규칙기반 언어 사용

상태 전이 모델: 공격 패턴에 따른 시스템의 상태를 상태 전이도로 표현하고 발생하는 사건에 대해 시스템 상태 변화를 계속 추적하여 침입 상태로 전이 되었는지 확인한다.

패턴 매칭: 알려진 공격을 패턴 시나리오로 저장한 후 발생하는 사건들의 패턴을 저장된 시나리오와 비교한다.

1.2) 행위기반 침입탐지 (비정상 행위 탐지, 통계적 변형 탐지, 이상 탐지)

관찰한 사건들을 정상적인 행위에 대한 정의(프로파일)들과 비교하여 심각한 수준의 일탈 행위를 식별하는 과정이다.

정량적인 분석, 통계적 분석을 사용한다.

형태 관찰, 프로파일 생성, 프로파일 기반으로 이상 여부를 확인한다.

I/O사용량, 로그인 횟수, 패킷량, 사용자별 시스템 자원 사용 패턴 등을 예로 들 수 있다.

장점

인공지능 알고리즘 사용으로 스스로 판단하여 수작업의 패턴 업데이트가 불필요하다.

오용 탐지 기법보다 데이터 베이스 관리가 용이하고 알려지지 않은 공격(Zero-Day Attack)도 탐지 가능하다.

침입 이외의시스템 운용상의 문제점도 발견할 수 있다. (내부 정보유출)

단점

오탐률(False Positive)이 높다.

정상과 비정상 구분을 위한임계치 설정이 어렵다.

예시

통계적 분석 방법: 사용자 또는 시스템 행위에 대한 이전 정보를 기반으로 정상행위로 판단되는 통계적인 프로파일을 생성하고 주기적으로 관리한다.

신경망 모델: 사용자의 행위 정보를 학습한 후 입력된 사건 정보를 학습된 사용자 행위 정보와 비교하여 비정상적인 행위를 탐지한다.

예측 가능한 패턴 생성: 기존의 정상적인 패턴과 현재 사건 간 상호작용을 분석한 후 패턴 범위를 벗어났을 경우 비정상적인 행위로 판단한다.

그이외에 컴퓨터 면역학, 데이터 마이닝, HMM(Hidden Markov Models) 등이 있다.

2) 대응 방법에 따른 분류

2.1) 수동적 대응 방법

대량의 정보를 수집하는 형태를 취하거나 필요한 경우에 권한을 가진 사용자들에게 보다 엄격한 조치를 취할 수 있도록 통보하는 형태이다. (대부분의 IDS가 사용)

2.2) 능동적 대응 방법

침입에 대해 가장 빨리 실행할 수 있는 행동으로 침입에 의한 손실을 줄일 수 있게 한다.

신중한 고려와 정확한 검증이 없다면 혼란을 방생시키거나 서비스를 제공할 수 없는 오경보가 발생한다.

3) 데이터 수입원에 의한 분류

3.1) 네트워크 기반 IDS (Network-based IDS)

네트워크를 통해 전송되는 정보(패킷 헤더, 데이터 및 트래픽 양, 응용프로그램 로그)를 분석하여 침입여부를 판단한다.

NIDS는 감지기가 promisecuous mode에서 동작하는 네트워크 인터페이스에 설치되어있다.

장점

트래픽을 몇몇 위치에만 설치 하므로초기 구축 비용이 저렴하다.

운영체제에 독립적이므로 구현 및 관리가 쉽다.

캡처된 트래픽에 대해 침입자가 제거하기가 어렵다.

H-IDS가 탐지하지 못하는 네트워크 스캐닝 공격을 탐지해 낼 수 있다.

단점

암호화된 패킷을 분석할 수 없다.

고속 네트워크 환경에서는 패킷 손실율이 많아 탐지율이 떨어진다.

호스트 상에서 수행되는 세부 행위에 대해 탐지할 수 없다.

3.2) 호스트 기반 IDS (Host-Based IDS)

호스트 시스템으로부터 생성되고 수집된 감사 자료(시스템 이벤트)를 침입 탐지에 사용하는 시스템이다.

여러 호스트로 부터 수집된 감사 자료를 이용할 경우 다중 호스트 기반이라고 불린다.

장점

정확한 탐지 가능, 다양한 대응책을 수행할 수 있다.

암호화 및 스위칭 환경에 적합하다.

추가적인 하드웨어가 필요하지 않다.

트로이 목마, 백도어, 내부 사용자에 의한 공격 탐지가 가능하다.

단점

각각의 시스템마다 설치해야 하므로 다양한 OS를 지원해야 한다.

HIDS로 인해 추가적인 시스템 부하 발생한다.(DoS 공격으로 인해 IDS 무력화 가능)

구현이 용이하지 않다.

4) 탐지 시점에 따른 분류

4.1) 사후 분석 시스템

수집된 감사 데이터를 정해진 시간에만 분석하여 침입 여부를 판단하는 시스템이다.

고전적인 형태로 즉시 대응이 어렵다.

대표적으로 사후 감사추적에 의한 분석기술이 존재한다.

4.2) 실시간 탐지 시스템

실시간 정보수집과 동시에 감사 데이터 발생과 팀입 탐지가 이루어지고 이에 대응하는 대비책을 실행한다.

대표적으로 실시간 패킷 분석 기술, 실시간 행위 감시 및 분석기술이 존재한다.

3. IDS의 위치

1)NIDS의 위치

① 패킷이 라우터로 들어오기 전: 모든 공격을 탐지할 수 있지만 네트워크에 치명적인 공격에는 대처가 어렵다.

② 라우터 뒤: 패킷 필터링을 거친 후의 패킷 탐지, 좀 더 강력한 의지가 있는 공격자 탐지 가능하다.

③ 방화벽 뒤: 만약 침입 탐지 시스템을 설치한다면 이곳에 설치하는게 가장 바람직하다.

④ 내부 네트워크: 방화벽은 침입을 일차적으로 차단하지만 내부에 대해서는 무방비 상태이다.

⑤ DMZ: 아주 능력이 뛰어난 외부 공격자와 내부 공격자에 의한 중요 데이터 손실이나 서비스 중단을 막기 위함이다.

설치 우선순위: ③ → ⑤ → ④ → ② → ①

2) HIDS 위치

HIDS는 특별한 위치는 없으며 보통 중요한 시스템에 설치 (웹서버, 관리 비용이 많이 듦)

4. IDS 응용

1) 긍정오류(false positives)와 부정 오류(false negatives)

침입자의 행동이 합법적인 사용자의 전형적인 행동과 다르기는 하지만 상당히 겹치는 부분이 존재한다.

침입 탐지를 실제에 적용할 때에는 절충과 기술의 요소를 적절히 사용하여 침입자를 판단해야한다.

긍정오류: 합법적인 사용자를 침입자로 판단 (침입자의 행동을 높게 잡았을 경우)

부정오류: 침입자를 합법적인 사용자로 판단 (침입자의 행동을 좁게 잡았을 경우)

stealth mode: 네트워크 감시용, 일반용 두개의 네트워크 인터페이스를 두고 네트워크 감시용 인터페이스는 외부로 어떠한 패킷도 내보내지 않는다. (외부에서 내 컴퓨터 정보를 알 수 없다.)

2) 허니팟 (Honey Pot)

네트워크상에 희생양 역할로 구성된 컴퓨터이다.

잠재적 공격자에 대한 조기 경보 제공, 보안 전략의 결점 파악, 조직 전체의 보안의식 향상과 같은 전반적인 보안 메커니즘을 향상시킨다.

실제로 자료를 가진 호스트인 것처럼 행동하면서 해커, 악의적인 내부 사용자들로부터 침해 당함으로써 그들의 행동을 분석한다.

허니넷(Honey Net): 다수의 허니팟으로 구성된 네트워크

2.1) 설계 목표

중요 시스템에 접근하는 공격자를 허니팟을 통해 다른 방향으로 돌린다. (함정)

공격자의 동작에 관한 정보를 수집한다.

관리자가 반응할 수 있도록 공격자로 하여금 시스템에 충분히 오랜 시간 머무르도록 유도한다.

2.2) 특징

제로데이 공격을 사전에 탐지할 수 있는 예방통제 기술이다.

외부로부터 공격을 허니팟으로 유인하여 공격으로 인한 시스템 논리적인 파괴 및 손실 방지할 수 있다.

구분	유인 (Enticement)	함정 (Entrapment)
대상	시스템에 허가되지 않은 접근을 시도한 책임자	침입의 의도가 없는 사용자
목적	침입의 흔적을 증거로 남기기위한 목적	범죄를 유발할 목적
합법여부	합법, 윤리적	불법, 비윤리적
기타	시스템에 충분히 오랜 시간 머무르도록 유도	의사가 없던 사람에게 범죄를 저지르도록 이끄는것

2.3) 단점

자신에게 오는 패킷만 수집하므로 네트워크 전반에 대한 침입정보를 분석할 수 없다.

공격자가 알아차릴 경우 허니팟을 우회하거나 마비시키는 공격이 가능하다.

5. 스노트 (Snort)

1) 스노트 개념

실시간 트래핏 분석, 프로토콜 분석, 내용검색/매칭, 침입탐지 룰에 의거하여 오버플로우, 포트스캔, CGI공격, OS확인 시도 등의 다양한 공격과 스캔을 탐지할 수 있음

헤더 부분: 처리방식, 프로토콜, IP 주소, 포트번호 등 처리할 패킷을 판단하는 기준을 명시

바디 부분: alert 메시지, 패킷 데이터를 조사하기 위한 내용을 기술

2) 룰 헤더 형식

alert 액션으로 탐지 되었을 경우 alert를 발생 시키고 패킷에 로그를 남긴다.

모든 출발지 IP, 출발지 포트에서 목적지 IP 192.168.0.1/24 대역의 80번 포트인 패킷을 탐지

action	protocol	So.IP	So.Port	destination	De.IP	De.Port
alert	tcp	any	any	->	192.168.0.1/24	80

3) 룰 헤더 필드

Action: 룰 매칭시 처리 방법 (alert, log, pass, activate, dynamic, drop, reject, sdrop)

IP Address: 출발지, 목적지 IP(!10.10.10.0/24 (Network), 11.11.11.11 (Host), any)

Port: 1:1023(1~1023) :1024:(~1024) 1024::(1024~)

Direction Operation(방향 지시자): ->(단방향), <>(양방향)

4) 주요 룰 바디 설정

msg: alert이나 로그 출력 시 이벤트명으로 사용

content: 패킷 payload 내부를 검색하는 문자열

offset: content로 지정한 문자열의 검색 시작 오프셋

depth: offset로부터 검사할 바이트 수 지정

nocase: 대소문자 구분하지 않음

sid: 룰을 식별하기 위한 식별자(~100: 예약, 100~100만 www.snort.org에서 배포 룰, 100만~: 커스텀 룰)

flow: TCP계층의 reasssembly시 함께 동작 (established, stateless)

rev: rule 버전번호로 수정 횟수를 표기

5) snort 룰 예시

21번 포트(FTP)로 접속 할때 root 계정의 로그인 시 요청 데이터에 포함되는 USER root문자열을 검사

alert tcp any any -> 10.10.10.0/24 21 (msg: "FTP root user Access"; contents: "User Root; nocase; sid: 100100;)

NULL 패킷 탐지 flages 옵션을 통해 TCP 헤더 제어 플래그가 모두 설정되지 않은 패킷을 탐지

alert tcp any any -> 10.10.10.0/24 21 (msg: "NULL Scan Detect"; flags: !UAPRSF; sid: 100100;)

6. 침입방지시스템 (IPS)

1) IPS 개념

침입을 탐지했을 경우 실시간으로 침입을 막음(예방적이고 사전에 조치를 취하는 기술)

방화벽, IDS, Secure-OS 등의 보안기술에 기반을 둠

취약점을 능동적으로 사전에 보완하고 윔이나 버퍼 오버플로우, 특히 비정상적인 트래픽, 제로데이 공격까지 차단

2) IPS의 필요성

지금은 방화벽과 IDS 만으로는 속도 때문에 해킹이나 바이러스, 윔에 대한 공격을 막을 수 없음

단순한 네트워크단에서 탐지를 제공할 수 없는 각종 서버를 위해 알려지지 않은 공격까지도 방어할 수 있는 실시간 침입방지시스템으로 OS 차원에서 실시간 방어와 탐지 기능을 제공

구분	Firewall	IDS	IPS
목적	접근통제 및 인가	침입 여부의 감지	침입 이전의 방지
패킷 차단	O	X	O
패킷 내용 분석	X	O	O
오용 탐지	X	O	O
오용 차단	X	X	O
이상 탐지	X	O	O
이상 차단	X	X	O
장점	엄격한 접근 통제 인가된 트래픽 허용	실시간 탐지 사후분석 대응기술	실시간 즉각 대응 세션 기반 탐지 가능
단점	내부자 공격 취약 네트워크 병목현상	변형된 패턴에 대해서는 탐지 어려움	오탐 현생 발생 가능 장비 고가

FDS(Fraud Detection System): 은행 사기 거래 방지 시스템으로 전자금융 거래에 사용되는 단말기 정보, 접속 정보, 거래 내용을 종합적으로 분석하여 의심거래를 탐지하고 이상 금융거래를 차단하는 시스템을 의미한다. 해당 시스템은 행위기반 탐지 통제와 관련이 있다.