320x100
320x100

IPS (Instruction Prevention System / 침입 방지 시스템)

: IDS (침입 탐지 시스템)과 달리 공격이 발견되면 직접 차단하는 방어 시스템

: 트래픽이 지나가는 인라인 상에 배치되어 통신에 적극적으로 개입하고, 유해  트래픽을 차단 

: HIPS (호스트 기반 IPS)와 NIPS (네트워크 기반 IPS)로 구분 되었으나, HIPS의 단점 (서비스와 리소스 공유, 장애 주체 파악의 어려움)으로 인해 NIPS가 많이 쓰이고 있음

 

- 기능

: 유해 트래픽 차단

: 회피 공격을 차단하기 위한 세션 이해

: 능동적 방어를 위한 어노말리 (Anomaly)

 

 

 

 

 

IPS의 동작 방식

- Signature (공격 DB)를 통한 패턴 매칭 방식 (패턴 방식 / 데이터베이스 방식)

: 기존 공격이나 취약점 분석을 통해 공격 방식에 대한 DB를 습득하고 최신 내용을 유지해 공격을 파악하는 방식

 

- Protocol Anomaly

: 서비스 포트와 프로토콜을 확인하여 서비스 포트에 맞지 않는 프로토콜을 차단

 

- Profile Anomaly

: 평소 관리자나 IPS 장비가 정한 기준과 다른 행위가 발생했을 때 공격으로 간주하고 차단

: 이상 행위를 탐지하며, 향후 DDoS 방어 장비로 진화함

 

 

 

 

NGIPS (Next Generation IPS)

: 오탐이 많이 발생하는 기존 IPS의 기능을 향상 시켜 문제점을 해결한 IPS

: 애플리케이션을 인지하거나 다양한 시스템과 연동할 수 있고 APT 공격을 방어하기 위한 기능도 제공

: 새로운 공격을 탐지하기 위한 미끼인 HoneyPot 시스템을 구축해 공격을 유도하고, 이를 통해 공격 DB를 업데이트

 

 

 

 

Reference

 

IT 엔지니어를 위한 네트워크 입문 | 고재성 - 교보문고

IT 엔지니어를 위한 네트워크 입문 | 클라우드/데브옵스 시대에 알아야 할 인프라 지식 서버실이 있고, 서버 관리자가 따로 있었던 시대를 지나 클라우드 서비스가 보편화되었다. 클라우드 서비

product.kyobobook.co.kr

 

300x250
728x90