IPS, IDS 그리고 방화벽(Firewall)

데이터센터 보안을 위한 삼총사

데이터 센터 내에 있는 IT 서비스로의 공격에 대해 On-Prem 방식의 방어를 한다고 했을 때 일반적으로 준비하는 설루션은 대표적으로 아래 3개가 있습니다.

· IPS(Intrusion Prevention System, 칩입 방지 시스템)

· IDS(Intrusion Detection System, 침입 탐지 시스템)

· 방화벽(Firewall)

셋 다 보안을 지킨다는 의미에서는 비슷한 역할을 하지만 기능과 쓰임새는 각각 다릅니다.

IPS

네트워크 자체에 대한 스캐닝을 수행하여 악성 공격을 감지하고 방어하는 역할을 수행합니다. 모든 네트워크 트래픽을 스캐닝하여 차단(block) 할지, 악성 트래픽을 교정(redediate) 할지를 결정합니다. 

IPS(Intrusion Prevention System, 칩입 방지 시스템)

일반적으로 IPS는 트래픽 흐름에 대한 파일 시그니처 그리고 휴리스틱 분석을 수행합니다.

시그니처(signature) 방식: 사전에 정의된 공격 시그니처 방식을 참조하여 공격 여부를 확인하는 방식입니다. 아래 예제에서 볼 수 있듯이 IPS 업체는 사전에 IPS의 차단 대상이 될 수 있는 공격 패턴들을 시그니처 데이터베이스로 관리하며 리스트 화합니다. 이름과 심각도, 대상, 운영체제, Action 등이 정의되어 있죠. 시그니처 리스트에 없는 패턴은 사용자가 직접 Custom Signature로 등록하여 방어할 수 있습니다.

<IPS Signature의 예: Fortigate IPS의 Signature 리스트>

이상(Anomaly) 기반 방식: 트래픽 모니터링 시 통계적으로 정상적인 네트워크의 흐름이 아니다고 판단되는 경우 차단하는 방식입니다. 통상적으로 Anomaly 형태와 함께 임계치(threshold)를 같이 설정하는 방식을 사용합니다. 대표적인 Anomaly 탐지 항목은 다음과 같습니다.

SYN_FLOOD: 새로운 TCP 연결의 SYN 패킷의 비율(PPS)

Ports Scan: 네트워크상에 열린 포트를 찾는 시도

TCP_DST_SESSION: 특정 도달 IP로의 동시 접속 TCP 연결 수

TCP_SRC_SESSION: 특정 소스 IP부터의 동시 접속 TCP 연결 수

UDP_FLOOD: 특정 도달 IP로의 UDP 패킷률(PPS)

UDP_SCAN: 특정 소스 IP로의 UDP 패킷률(PPS)

UDP_DST_SESSION: 특정 도달 IP로의 동시 접속 UDP 연결 수

UDP_SRC_SESSION: 특정 소스 IP로의 동시 접속 UDP 연결 수

ICMP_FLOOD: 특정 도달 IP로의 ICMP 패킷률(PPS)

ICMP_SWEEP: 특정 소스 IP로의 ICMP 패킷률(PPS)

ICMP_DST_SESSION: 특정 도달 IP로의 동시 접속 ICMP 연결 수

ICMP_SRC_SESSION: 특정 소스 IP로의 동시 접속 ICMP 연결 수

IPS를 통해 방어할 수는 대표적인 공격은 다음과 같습니다. 위에서 언급한 대로 시그니처와 이상 징후 기법을 통해 탐지가 가능한 모든 공격은 해당한다고 볼 수 있습니다.

· DoS/DDoS

· 취약점(Exploits)

· 바이러스

· 웜

· 백도어

IDS

IPS는 침입 차단 설루션임에 반해 IDS는 수동적인 시스템으로 트래픽을 모니터링 및 스캔하고 위협 및 공격에 대해서 보고만 하는 침입 감지 시스템입니다. 탐지된 공격에 대해서 관리자에게 고지(notify) 하면 IDS의 역할은 끝나게 됩니다.

IDS(Intrusion Detection System, 침입 탐지 시스템)

대부분의 IPS 시스템은 IDS 설루션으로도 작동할 수 있습니다. IDS와 IPS의 주요 차이점 중 하나는 네트워크상에 배치되는 위치입니다. IDS는 트래픽의 길목에서 막거나 통과시키는 구조가 아닌, 네트워크를 통과하는 트래픽을 수동적으로 감시하는 방식입니다. 이 경우 트래픽 복사본은 포트 스팬 메커니즘 또는 네트워크 TAP 배포를 통해 IDS로 전송됩니다. 반면에 IPS는 네트워크상에 직접적으로 배치되고 모든 트래픽이 이곳을 통과합니다.

IDS와 IPS는 이상 트래픽 발견 시에 취해야 할 조치 측면이 다릅니다. IDS는 추가 조치를 위해 책임 있는 시스템 혹은 관리자에게 경보 또는 경고를 보내지만 트래픽을 중지시키지는 않습니다. IPS는 더 공격적으로 탐지된 이상 트래픽을 즉시 차단합니다. IDS 시스템과 관련될 수 있는 오버 헤드는 시스템에서 생성된 각 경보만 있는데, 이는 IDS가 위협에 대해 조치를 취할 수 없기 때문에 네트워크 또는 보안 관리자가 모든 경보를 즉각 수신해야 하기 때문입니다.

IPS vs. IDS의 비교

지금까지 설명한 IPS와 IDS를 항목별로 비교해봤습니다.

IPS와 방화벽의 비교

방화벽은 IPS와 더불어 기업용 데이터 센터의 보안 프레임워크 구성에 핵심적인 요소라 할 수 있습니다. 방화벽은 미리 할당된 보안 규칙을 기반으로 들어오고(In-Bound) 나가는(Out-Bound) 트래픽을 제어합니다. 신뢰할 수 있는 내부 네트워크, 반 신뢰할 수 있는 DMZ 네트워크 및 신뢰할 수 없는 외부 네트워크 사이를 모두 지원합니다.

방화벽과 IPS의 주요 차이점은 방화벽은 트래픽 차단 및 필터링과 같은 작업을 수행하는 반면 IPS는 공격을 탐지하고 방지한다는 것입니다. (클라우드의 보안 설루션은 웹 방화벽에서 두 개의 설루션 역할을 모두 수행하기도 합니다)

<IPS와 방화벽의 조합>

방화벽은 주로 소스, 대상 IP 주소, 프로토콜 및 포트 번호에 의존합니다. 방화벽은 구성된 규칙이나 정책을 충족하지 않는 모든 트래픽을 거부할 수 있습니다. 반대로, 표준 길이가 아닌 IP 패킷, 버퍼 오버플로, DOS 및 DDOS 공격과 같은 공격과 같은 시나리오는 IPS가 탐지하고 조치를 취하는 데 사용하는 것이 일반적입니다.

보안 컴포넌트의 배치 측면에서 살펴보면 방화벽은 주로 공격에 대한 1차 방어선입니다. IPS는 방화벽 이후 다음 단계의 방어로 배치합니다.

---