침입 방지 시스템

• IPS는 IDS와 달리 방화벽과 같은 물리적 위치인 인라인모드에서 동작하기 때문에 IDS보다 좀더 능동적으로 침입에 대한 대응을 구현할 수 있게 되며, IDS가 TCP Reset(Kill Connection) 또는 방화벽과의 연동(특정 IP/Port 차단)을 이용하는데 반해 IPS는 현재 출발지 목적지시스템간에 연결되어 있는 세션(Session)을 Blocking하게 된다.

  1. 활동에 대한 정보 기록, 활동 차단 중지 등 시도 및 보고
  2. 악의적인 활동에 대한 네트워크 트래픽 및 시스템 활동을 모니터링 한다.
  3. 침입 방지 시스템 = IDS + 방화벽
  4. IP-Spoofing 예방과 Traffic 관리

기존 IDS 문제점

• TCP Reset방식 : 최근의 공격패턴들은 IDS에서 불법 패킷을 탐지해 경보를 울리고, TCP Reset을 전송하고 양 끝단이 Reset 패킷을 전송 받아 이를 수행할 때쯤이면 시스템 공격을 위한 데이터는 이미 오래 전에 침투하게됨

• 방화벽 연동 방식 : 방화벽/라우터 등과 연계하여 추후 침입에 대비하기 위하여 접근차단에 대한 정책을 설정하였을 경우 출발지 IP가 NAT등을 이용한 대표IP일 경우에는 해당 IP를 이용하여 접속하는 모든 PC들이 차단되는 문제가 있음

IPS기능

• IPS의 세션기반 차단 방식은 데이터의 인라인 경로에 위치하여 현재 연결중인 세션을 이용하기 때문에 의심스러운 해킹 패킷이 발견되면 패킷이 IPS의 내부 인터페이스를 통과해 보호해야 할 네트워크에 도달하기에 앞서 즉시 폐기할 수 있다 뿐만 아니라 해당 패킷은 의심스러운 패킷으로 규정되기 때문에 해당 세션의 모든 패킷은 추가적인 처리 과정을 거치지 않고 폐기된다 또한, 추가적으로 공격을 수행하고 있는 호스트에 TCP Reset 또는 ICMP접근 불능 메시지를 전송할 수 있다

  1. 패킷 공격을 방지한다
  2. 공격대응이 탐지 즉시 대응이 가능하다
  3. 웜/바이러스 및 스팸메일, P2P 및 메신저 통신 등에 대한 비정상 네트워크 트래픽의 정확하고 신속한 탐지 및 차단 기능
  4. 신규 취약성, 위협에 대한 빠른 Update 기능
  5. 유해정보 차단 및 내부정보 유출 차단과 해킹추적기능
  6. 자체적, 혹은 연계된 보안 연구조직을 통해 고품질의 보안 컨텐츠(위협 및 취약성 정보)를 지속적으로 공급 받아 미래의 위협에 적절하게 사전대응(preemptive Protection)할 수 있도록 침입패턴 DB를 보유