[CISCO/네트워크보안] IDS 및 IDS 특성

제로데이 공격

• 소프트웨어 공급 업체가 알 수 없거나 공개하지 않는 취약점을 악용하는 공격

---

제로데이 익스플로잇 공격

• 소프트웨어 공급업체가 패치를 개발하고 출시하기전에 그림에 표시된 것처럼 네트워크는 이러한 악용에 취약

---

침입탐지시스템 운영(IDS)

• 네트워크의 트래픽을 수동적으로 모니터링하기 위해 구현
• 위 그림은 IDS 지원장치가 트래픽을 복사하여 실제로 전달되는 패킷이 아닌 복사된 트래픽을 분석

---

오프라인에서 작동하는 IDS의 특징

• IDS는 수동적으로 작동
• IDS는 네트워크에 물리적으로 위치, 트래픽에 도달하려면 미러링
• 네트워크 트래픽은 미러링되지 않는 한 IDS를 통과하지 않음
• 네트워크 트래픽 흐름에 지연시간이 거의 없음
• 트래픽이 모니터링, 기록되지만 패킷에 대한 어떠한 조치 X

이러한 오프라인 IDS 구현을 무차별 모드라고 함

---

IDS, IPS 장점과 단점

해결책	장점	단점
IDS	네트워크 영향 X(지연시간, 지터)	대응 작업으로 트리거 패킷 중지 X
	센서장애가 네트워크 영향 X	네트워크 보안 회피 기술에 매우 취약
	센서 과부화가 있어도 네트워크 영향 X
IPS	트리거 패킷 중지 O	센서 문제가 네트워크 트래픽에 영향
	스트림 정규화 기술 사용	센서 과부하가 네트워크에 영향
		네트워크의 약간의 영향(지연시간, 지터)

 

---

문제

다양한 네트워크 공격 수법으로 인한 네트워크 보안 회피 기술에 더욱 취약

IDS

지연 시간 및 지터를 도입하여 네트워크 성능에 영향을 미칠 수 있음

IPS

시간에 민감한 애플리케이션이 부정적인 영향을 받지 않도록 구현되어야 합니다.

IDS

트리거 패킷을 중지할 수 없으며 연결 중지가 보장되지 않습니다.

IDS

오프라인 모드로 배포됨

IDS

스트림 정규화 기술을 사용하여 존재하는 많은 네트워크 보안 회피 기능을 줄이거나 제거할 수 있습니다.

IPS

트리거 패킷을 중지하기 위해 패킷 삭제를 수행하도록 구성할 수 있습니다.

IPS

주로 발생 가능한 사고를 식별하고, 사고에 대한 정보를 기록하고, 사고를 보고하는 데 중점을 둡니다.

IDS

인라인으로 배포해야 하며 트래픽이 이를 통과할 수 있어야 합니다.

IPS

이메일 바이러스 및 웜과 같은 자동화된 공격을 차단하는 데 도움이 되지 않음

IDS

---

IPS의 종류

호스트 기반 IPS(HIPS)

• 의심스러운 활동을 모니터링하고 분석하기 위해 호스트에 설치되는 소프트웨어
• 해당 운영체제 및 중요한 시스템 프로세스를 모니터링하고 보호
• HIPS의 예로 Window Defender 존재

장점	단점
호스트 운영 체제에 특정한 보호 기능 제공	운영체제에 따라 다름
운영체제 및 애플리케이션 수준 보호 제공	모든 호스트에 설치해야 함
메세지가 해독된 후 호스트 보호

네트워크 기반 IPS(NIPS)

• 네트워크 기반 IPS는 라우터와 같은 전용 또는 비전용 IPS 장치를 사용하여 구현 가능
• 네트워크 기반 IPS 센서는 여러 가지 방법으로 구현 가능
  • Cisco Firepower appliance
  • ASA 방화벽 장치
  • ISR 라우터
  • VMware용 가상 차세대 IPS(NGIPSv)
• 네트워크 기반 IPS의 예로는 Cisco Firepower NGIPS가 있음
• 모든 네트워크 기반 센서의 하드웨어에는 세 가지 구성 요소가 포함
  • NIC - 네트워크 기반 IPS는 이더넷, 패스트 이더넷, 기가비트 이더넷 등 모든 네트워크에 연결 할 수 있어야 함
  • 프로세서 - 침입 방지에는 침입 탐지 분석 및 패턴 일치를 수행하기 위한 CPU 성능이 필요
  • 메모리 - 메모리는 네트워크 기반 IPS가 공격을 효율적이고 정확하게 탐지하는 능력에 영향을 미침

---

배포 모드

무차별 모드

• 패킷이 센서를 통과하지 않음

인라인 모드 

• 패킷이 센서를 통과함

문제

거짓

• 호스트 기반 IPS는 호스트 컴퓨터에 설치
• 오직 네트워크 기반 IPS만 무차별 모드 또는 인라인 모드로 구성 가능합니다.

네트워크에 대기 시간을 추가할 수 있습니다.

• 인라인 NIPS는 트래픽이 대상으로 전달되기 전에 처리되어야 하므로 네트워크에 대기시간을 추가할 수 있음

HIPS 소프트웨어는 바이러스 백신, 맬웨어 방지 및 방화벽 기능을 결합합니다.

Window Defender

---

IPS 구성 요소

IPS 센서에는 두 가지 구성 요소 존재

• IPS 탐지 및 적용 엔진
  • 트래픽 유효성 검사를 위해 탐지 엔진은 들어오는 트래픽을 IPS 공격 서 패키지에 포함된 알려진 공격 서명과 비교
• IPS 공격 서명 패키지
  • 하나의 파일에 포함된 알려진 공격 서명, 새로운 공격이 발견되면 서명 팩이 자동 업데이트
  • 네트워크 트래픽이 이러한 서명과 일치하는지 분석

---

시스코 IPS 옵션

• Cisco IOS IPS
  • CISCO 800, 900, 2900, 3900
  • IOS IPS는 더이상 지원하지 않으므로 사용하면 안됨
• CISCO Snort IPS
  • CISCO 4000 시리즈 ISR, 1000v 시리지의 CISCO 클라우드 서비스 라우터에서 사용 가능

---

시스코 IOS IPS

• 네트워크 관리자는 다양한 네트워크 위협에 대해 적절한 대응을 선택하도록 CISCO IOS IPS를 구성 가능
• 세션의 패킷이 서명과 일치하면 CISCO IOS IPS는 다음과 같이 응답하도록 구성 가능
  • syslog 서버 또는 중앙 관리 인터페이스 경보 보내기
  • 패킷 삭제
  • 연결 재설정
  • 지정된 시간 동안 위협의 소스 IP 주소로부터 트래픽을 거부
  • 지정된 시간 동안 서명이 표시된 연결의 트래픽 거부

---