IDS/IPS란?

 

Suricata포스트를 올리기전에 올렷어야하는건데 잊어버리고 뒤에 포스팅하게 되었내요

본론으로 들어가서 IDS와 IPS란 무엇이냐 라고하면

IDS란 Intrusion Detection System의 약자로서 풀어쓰면

Intrusion : 침입, 침범

Detection : 발견, 간파, 탐지

System : 제도, 체제

뜻을 합치면 "침입 탐지 체제" 조금더 길게 쓰자면 "침입을 탐지, 발견하는 하나의 체제" 이정도쯤이 되겠군요

이름에서 알수있듯이 해커들과 같은 비인가된 사용자가 시스템을 조작하는것을 탐지합니다 또한

기본적인 방화벽같은 탐지 시스템이 탐지할수 없는 여러 종류의 악의적 네트워크 트래픽을 탐지하여 로그를 남기게 되고

관리자는 그 로그를 바탕으로  보안대책을 다시 새우고 이런식으로 네트워크 보안이 이루어지게 됩니다

밑의 그림은 조금 쉽게 볼수있게끔 만들었습니다.

원래 이것보다 더 복잡하지만 저도 잘 모르는 관계로 대충 구성시켜 보았습니다

그리고 이러한 네트워크구조 이외에도 여러개의 구조가 더 있지만 나중에 따로 설명할 포스팅을 할 시간이 있다면 해볼 예정입니다.

TAP(Test Access Port) 이라는 장비는 하나이상의 포트의 트래픽 정보를 그대로 복사시켜 다른 포트로 복사시켜주는 장비이고

그 과정을 포트 미러링이라고 합니다.

일단 위의 망 구성도를 참고로 하여 과정을 설명 드리겠습니다

공격자가 서버를 공격한다고 생각하면  서버로 들어오는 유해한 트래픽이 TAP으도 들어가 IDS로 트래픽이 복사되고

IDS는 유해한 트래픽을 분석하여 그 트래픽에대한 로그를 남깁니다 그후 관리자가 IDS에서 로그를 보고 공격에 대한 대응하게 됩니다.

 

다음으로 IPS는 Intrusion Prevention System의 약자로서 IDS와 다른 단어는 Prevention 뿐이고 뜻은

Prevention : 예방, 방지

IDS는 "침임 탐지"에 초점을 두었다면 IPS는 조금 더 가서 "침입 방지"에 초점을 두었다고 말할수있습니다.

이번에도 그림으로 설명 드리겠습니다.

IPS의 경우에는 조금더 심플하게 구성되어 있습니다

이번에는 과정이 첫번째로가기전 IPS에 'rule(룰)' 파일이나 미리정의된 공격들을 관리자가 차단시키거나 통과시키는식으로 설정을해주게 됩니다

그뒤 공격이 이루어진다면 'rule'이나 미리정의된 공격들이 들어온다면 설정된대로 트래픽을 처리하게 됩니다

 

여기 적어놓은것 이외에도 IDS/IPS에 많은 기능들이 있지만 오늘은 조금만 알아보고 공부해 보았습니다

나중에 시간이 된다면 조금더 자세하게 준비해 보겠습니다