IPS

개념
IPS(Intrustion Prevension System)의 정의 - 침입방지 능력과 신속한 대응속도를 위하여 네트워크 라인상 또는 시스템의 커널에 위하는 침입을 탐지하고 즉각적인 대응이 가능한 보안시스템

Ⅰ. 능동적 침해시도 차단, IPS의 이해

가. IPS(Intrustion Prevension System)의 정의

- 침입방지 능력과 신속한 대응속도를 위하여 네트워크 라인상 또는 시스템의 커널에 위하는 침입을 탐지하고 즉각적인 대응이 가능한 보안시스템

 

나. IPS의 등장 배경

특징

설명

기존보안제품의 한계

-IDS는 공격을 탐지하더라도 방어할 수 없고, 사람의 개입이 반드시 필요함

-Slammer웜과 같이 순식간에 증폭되어 네트워크를 마비시키는 공격에 대해서 방어 불가능

효과적 공격 탐지 필요

-IDS의 문제점인 높은 오탐율에 대한 해결 방안 필요

-오용탐지 뿐만 아닌 이상징후 탐지를 통한 정밀한 탐지 필요

신속한 자동대응

-광대역 네트워크에 적합한 Wire Speed의 성능 보장 필요

-침입 시도의 탐지 뿐만 아니라 사람의 개입없는 자동 대응 요구

 

Ⅱ. IPS 구성 및 이상징후 탐지기법

가. IPS의 구성

-IPS는 방화벽 후방에 인라인 형태로써 트래픽에 대한 모든 세션관리가 가능하게 구성됨

-방화벽에서 DMZ를 구성시, DMZ 구간 링크에 대해서도 추가적으로 인라인으로 구성함

-일반적으로 IPS로 인한 장애를 방지하기 위해서 고가용성 구조로써 구성함

 

나. IPS의 이상징후 탐지 기법

탐지기법

설명

사례

Protocol Anomaly

패킷별 프로토콜 표준 부합여부 점검

비정상 프로토콜과 악성코드 탐지와 차단

웹 트래픽의 비표준 포트 접속 요청

Application Anomaly

어플리케이션의 비정상 동작 및 행위탐지

어플리케이션 패킷 악성코드 탐지와 차단

사용자 패스워드 필드에 바이너리 쉘코드 존재

Statistical Anomaly

트래픽에 대한 정상 및 비정상 여부 분석

대량의 비정상 패킷 발생 탐지와 차단

TCP 트래픽 대비 과도한 UDP 트래픽 생성

임계치 기준 새로운 트래픽/어플리케이션 증가

Unified Anomaly

Protocol anomaly와 Statistical Anomaly 혼용

Applicaion Anomaly와 Statistical Anomaly 혼용

표준 포트 이용 백도어와 P2P 어플리케이션 동작

어플리케이션을 통한 비정상적 크기의 패킷 송수신

 

Ⅲ. NIPS와 HIPS의 비교 및 IDS와 비교

가. NIPS와 HIPS의 비교

항목

NIPS

HIPS

목적

-네트워크 공격시도 차단

-시스템의 오남용 및 해킹시도 차단

설치위치

-네트워크의 물리적, 논리적 경계지점

-인라인(In-Line)방식으로 설치

-호스트에 설치하여 침입 탐지

-별도의 에이전트 설치

분석데이터

-네트워크 접속과 트래픽 분석

-운영체제와 어플리케이션 로그 분석

장점

-네트워크 경계 지점의 Single point 관리 편의성

-별도 네트워크 부하 발생이 없음

-호스트 및 어플리케이션 계층의 방어 가능

-장애 발생시 하나의 호스트에 국한됨

단점

-인라인 방식으로 장애 발생시 네트워크 마비 발생

-호스트 및 어플리케이션 등의 상위 OSI 계층에 대한 방어 한계

-별도의 에이전트 설치 필요

-다수의 호스트의 분산된 에이전트 관리 부하 발생

-호스트의 부하 발생

 

  1. IDS와 IPS의 비교

항목

IDS

IPS

목적

-침입 시도의 탐지

-침입 시도의 탐지 및 차단

설치

-Passive 모드로 침입탐지 시스템 구성

-인라인(Inline) 모드로 침입방지 시스템 구성

장점

-침입탐지 이벤트에 대한 가시성 우수

-감사요구사항을 만족하기 위한 정보 제공

-IDS의 장애가 네트워크 등 서비스 장애와 독립적임

-낮은 구축 및 운영 비용

-알려지지 않은 공격에 대한 방어 가능

-자동적인 사고 대응으로 비용 감소

-공격의 탐지 및 실시간 차단 가능

단점

-이벤트 감시와 사고대응에 인간 개입필요

-사고대응 계획이 없으면 IDS는 보안 가치를 제공하지 못함

-오탐율을 낮추기 위해서는 광범위한 튜닝 필요

-네트워크 코어에서 NIPS의 전개 비용이 높음

-단일 실패점을 생성하여 장애의 원인이 될수 있음

-정상적인 행위 차단의 위험

-높은 구축 및 운영비용

-효과적인 보안 업데이트를 여전히 요구함

 

Ⅳ. IPS 성능 테스트 항목 및 구축시 고려사항

가. IPS 성능 테스트 항목

분류

성능 항목

설명

탐지엔진 성능

공격인식

센서가 얼마나 광범위한 공격을 차단하는지를 시험

공격 인식 평가 및 공격차단 평가 수행 필요

오탐지에 대한 저항

센서가 오탐지 경보를 얼마나 일으키는지를 시험

의심스러운 정상 트래픽을 이용하여 평가 수행

회피공격 방어

피킷 단편화 및 스트림 분할 탐지

여러 가지 IP 단편화와 TCP 분할을 포함하여 시험

공격을 탐지 및 차단하기 위해서 성공적으로 디코드 되었는지 평가를 수행함

URL obfuscation

URL 인코딩, 조기 URL 종료, 긴 URL, 허위 매개변수, Tab 분리, 대소문자 민감도 등에 대해서 테스트

스테이트풀 운용

Stateless 공격 탐지

상태가 없는(Stateless) 공격에 대한 대응 능력 시험

유효한 세션을 먼저 설정하지 않고 공격 패킷을 이용하여 수행

동시 개방 연결시 탐지 능력

상태 테이블을 포화시켜 새로운 공격에 대한 대응 시험

센서가 사전-기존 세션의 상태를 유지 할 수 있는지 테스트

과부하에서 탐지/차단

임의의 포트/프로토콜 과부하

임의의 포트와 프로토콜에 대해서 패킷 크기별로 다량의 패킷을 생성하여 공격 탐지 및 차단을 시험

프로토콜 혼합 트래픽 과부하

정상적인 백그라운드 트래픽을 유지하면서 추가적인 프로토콜을 도입하여 테스트 진행

 

나. 구축시 고려사항

  1) 지연 및 사용자 응답시간

-지연은 대화형 어플리케이션에 영향을 주고, 사용자 응답시간에 영향을 줄 수 있음

-IPS 도입으로 인한 지연의 영향을 분석하고 최대 수용 가능한 지연을 결정하는 것이 중요함

 

   2) 안정성과 신뢰성

-장기간의 안정성이 인라인 IPS 장치에서 네트워크 장애를 방지하기 위해서 매우 중요함

-합법적인 트래픽과 함께 들어오는 공격 트래픽에 대해서 장치는 공격을 100% 차단하고, 합법적인 트래픽은 모두 통과시키는 것이 서비스에 필수 요건임

 

 

I. 무선침입방지 시스템, WIPS개요[참고사항]

가. 무선침입방지시스템WIPS의 정의

- 무선랜의 모든 취약점 및 모든 위협에 대해 탐지하는 시스템

- 기업의 사내 무선 랜 사용자와 단말기를 자동으로 탐지·분류해 보안정책에 따라 관리하고 주변에 불법적으로 설치돼 있거나 침입을 시도하는 공격자의 위치까지도 실시간으로 찾아내 사전에 위험요소를 제거할 수 있는 보안조치를 수행하는 솔루션

나. WIPS의 특징

- 무선랜 모든 장치, 채널 및 트래픽을 지속적으로 탐지

- AP와 스테이션의 무선랜 취약점을 관리자에게 경고 및 통보

- 해킹 공격 우협에 대해 자동으로 탐지하고 무선으로 차단

- 유선 구간의 위협 차단 뿐 아니라 전체 네트워크에 대한 해킹 위협으로부터 자동방어

II. WIPS 구성도 및 기술요소

가. WIPS구성도

 

 

III. WIPS센서, 무선랜 보안콘솔, WIPS보안 서버로 구성

가.  WIPS구성요소 및 특징

구분

특징 및 기능

탐지유형

WIPS 센서

- 하드웨어 기반 WIPS센서

- 공격 탐지/차단 및 통보

- 전체 무선 트래픽 스캐닝,분석

- 위장 AP 공격 탐지

- AP단말 Dos 탐지

- 접속정보 혼란 탐지

WIPS 서버

- 보안 센서 연동

- 이벤트 자동분석 및 통지

- 센서 분석 결과 저장

- 경고 발령

- 불법 무선장비 탐지 및 차단

- Ad-hoc 연결 차단

WIPS 콘솔

- 무제한 콘솔 지원

- SSL, TLS 보안 접속 지원

- 감시 상태 화면 출력

- 보안 정책/사용자 관리

- 탐지/차단 통제 관리

- 무선 랜 상태 모니터링

- 위협정보 수집 분석

- 침입탐지 대응

- 각 구성 요소들은 SSL/TLS 보안 통신

 

댓글