쏘니헨리

IPS(침입방지시스템)

IPS란 용어 그대로 침입방지시스템이다.

차세대 능동형 보안솔루션이라 불리는 IPS는 인터넷 웜 등의 악성코드 및 해킹에 기인한 유해트래픽을 차단해 주는 솔루션이다. IDS는 특정 패턴을 기반으로 공격자의 침입을 탐지하는 반면 IPS는 공격탐지를 뛰어넘어 탐지된 공격에 대해 웹 연결을 끊는 등 적극적으로 막아주는 솔루션이다.

IPS의 기술요소는 네트워크 기반과 호스트 기반으로 나눌 수 있다. 네트워크 기반 IPS는 방화벽처럼 네트워크에 인라인 모드로 설치돼 공격을 차단해주는 기능을 하고 호스트 IPS는 서버 애플리케이션을 담당하여 시큐어 OS와 비슷한 기능을 수행 한다.

네트워크 기반 IPS에 대한 수요가 많으며 호스트 기반 IPS 제품은 드물다. 대부분의 IPS라고 하면 네트워크 IPS로 NIPS를 지칭하고 대부분의 제품이 NIPS = IPS로 통칭한다. 

IPS는 IDS에서 한발 나아가 공격이 실제 피해를 주기 전에 미리 능동적으로 공격을 차단함으로써 공격 피해를 최소화할 수 있는 능동적 보안대책이라는 점이 가장 큰 장점이다. 

IPS는 OS나 애플리케이션의 취약점을 능동적으로 사전에 보완하고 비정상적인 트래픽이나 알려지지 않은 공격까지 차단할 수 있기 때문에 높은 보안을 제공해준다.

IPS의 가장 큰 특징은 기업 외부에서 내부 네트워크로의 침입 방지 하는 것이다.

IPS의 도입을 원하는 대부분의 기업들 목표 역시 외부 침입방지이며 효과 역시 유해 트래픽의 원천적인 차단.

그러면 외부 트래픽을 차단하는 방화벽과 외부 침입을 방지하는 IPS는 어떤 차이가 있을까 ?

보안시스템인 방화벽은 단순 차단 기능, 알려진 공격패턴 감시 등을 통해 공격을 감지하지만, ㄱ새로운 공격을 막기에는 역부족이다. 알려지지 않은 공격에 대한 탐지가 곤란하고 내부 공격자를 막기에도 어려움이 있다. 

침입탐지의 오판에 따른 시간,인적,재정 낭비도 문제점으로 지적된다. 이에 반해 IPS는 알려지지 않은 공격에 대해 적절하게 대응을 하며 명백한 공격은 사전 방어를 취한다. 

웜과 바이러스 등의 침입을 네트워크단에서 차단시킴으로 보안 인프라와 네트워크 영향을 제거하여 공격에 대한 사후 조사로 인해 소요되는 관리자 운영 부담을 없애주는 장점이 있다. 

IPS는 웜 바이러스와 해킹으로부터 유발되는 네트워크 서비스 장애로부터 벗어날 수 있고 부가적으로 유해한 트래픽을 사전 차단함으로써 인터넷 및 네트워크 자원의 효율적 사용을 통한 비용절감을 도모할 수 있다. 

IPS가 보다 지능적으로 작동되기 위한 중요한 특징은 '위험 인지'와 '시스템 인지'기능이다. 

IPS가 내부 시스템들에 대한 보안 취약성을 통한 위협 전파 가능성과 해당 시스템 보안 패치 유무까지 알고 있다면 

단순하게 보안 침입 경보만 알려주는 것이 아니라 상관 분석을 통하여 취약한 시스템에 이러한 공격이 관련 통보

네트워크 보안 플랫폼이 가져야 할 특징 

1 - 첫 번째 특징으로 '호스트 격리'와 'NAC와의 연동을 통한 보안정책 강제준수'

2 - 두 번째로는 '트래픽 제어 관리'

3 = '위험 인지' 및 '시스템 인지' 기능이다. 

IPS의 개요 

유해정보차단 시스템 

능동형 차단시스템

Worm,Dos차단 시스템 

IDS + Prevention 

1) Switch 기반 

    - WORM / DOS 알려지지 않은 공격 차단에 중심

    - 성능적인 측면을 강조 

    - 알려진 공격 차단 및 대응 기능 미비 

2) Firewall

    - 기존 ACL에 기반한 침입차단 기능에 알려진 WORM이나 DOS 공격 탐지 모듈 추가 

    - 유해정보차당 측면 강조 

3) IDS 기반 

    - 기존 IDS를 in-line mode로 동작하도록 일부 수정 

    - 알려진 공격 차단 및 대응 기능 강조 

    - 기존의 IDS가 가지는 높은 오탐율 및 관리의 어려움 상존

IPS/IDS/FW 비교