방화벽 vs IDS 그리고 IDS, IPS 위치

방화벽 : 무조건 막는다. 

IDS : 탐지한다

 

이 정도 차이 아니었나?

;; 다시 정리하기

 

방화벽 : 침입 차단 시스템 : 접근통제

- 서로 다른 네트워크를 지나는 데이터를 허용 및 거부, 검열, 수정

- 네트워크 맨 앞단에 설치한다. 

- 통과 / 차단 으로 설정

- 룰셋을 사용함 Ruleset!

- 수동적 차단, 내부망 보호

 

IDS : 침입 탐지 시스템 : 로그/시그니처 기반

- 비정상적인 패킷, 트래픽 탐지 

- 2종류 ( host iDS, network iDS)

ㄴ host IDS는 멀웨어 실행 등과 같이 HOST 단에서 발생하는 이상 징후를 탐지 (PC 설치)

ㄴ network IDS는 DoS/DDoS, ARP Spoofing 등과 같이 NETWORK 단에서 발생하는 이상 징후 탐지 (프로미스큐어스 제공하는 인터페이스[센서]에 설치)

- 차단? 안해

ㄴ 보통 패킷이 네트워크 내부로 흘러가는 경로가 있으면, NIDS는 그것을 미러링하는 포트에 따로 연결됨

ㄴ 미러링 시에는 미러링 포트를 이용하거나 탭(TP mode : 내가 있는줄 모르겠지?) 이용

- 무선랜으로 잡힌 휴대폰이나 노트북 등의 트래픽은 IDS에 안잡힌다. (??)

 

IPS : 침입 차단 시스템 : 정책/규칙DB 기반

- 패킷 112 검사해서 차단 (스스로 차단하다니! 대견해!)

 

 

-X- IDS, 위치에 따라 다르다!

보통, 일반적인 사내 네트워크 형태

인터넷

|

Anti DDoS

|

라우터

|

방화벽

|

스위치 ------ IDS

| 

DMZ 등..

|

방화벽!

|

내부 네트워크

 

일단, 이런 형태라고 가정하고 

 

1) 라우터 옆에 설치!

인터넷

|

라우터 ----- IDS

|

방화벽

|

DMZ...

 

생각해보자.

보통 인터넷 통신이 이루어지기 위해서는 내 네트워크에서 나간 패킷이 내 라우터에서 목적지 라우터까지 수많은 라우터들을 거쳐 가고, 목적지에서 보낸 데이터가 다시 목적지 라우터부터 내 라우터까지 수많은 라우터를 거쳐 와야한다.

 

이게 무슨 말인가?

즉, 라우터에 IDS를 붙인다는 거는 "내 네트워크로 들어오는 패킷 + 내 라우터를 거쳐가는 패킷" 다 검사한다는 의미다.

왜 내 네트워크로 안 들어오는 패킷까지 검사하는가???

그래서 IDS가 일을 많이해서, 효율성이 떨어진다. 

 

(장점) :

- 내 라우터 거치는 모든 트래픽 볼 수 있음

(단점) : => 상당한 헛짓거리

- 공격으로 탐지한 이 패킷이 내 네트워크로 들어오는 것인지 아닌지 알 수 없음 

- 성능 이슈 (많은 트래픽으로 효율성 저하) 

 

 

2) 라우터 뒤에 설치!

인터넷

|

라우터

|

IDS

|

방화벽

|

DMZ...

 

(장점) : 

- 내 네트워크로 들어오는 패킷만 검사할 수 있음 (라우터 ACL 정책)

 

(단점) : 

- 방화벽에서 걸러지는 트래픽인지 모름 (방화벽에서 걸러지면, 내부 네트워크로 안 들어가는 트래픽이잖아?)

=> 약간의 헛짓거리

- DMA 내부에서 발생하는 트래픽은 탐지 못함

ㄴ//?? 이 부분은 왜 여기에만 포함되었는지 이해가 안됨. 1번도 같은 문제가 있어야 하는 게 아닌가?

 

 

3) 방화벽 뒤에 설치! => BEST!

인터넷

|

라우터

|

방화벽

|

IDS

|

DMZ...

 

어차피, 사용자가 회사 네트워크에 진입하는 일반적인 이유는 회사에서 제공하는 서비스를 사용하려고 하기 때문이다.

웹페이지, 메일보내기, 회사에서 제공하는 애플리케이션 이용 등

이것들은 DMZ에 위치하는 것이니까, DMZ에서 발생하는 것 위주로 잘 분석하려면 이게 좋긴 하다.

 

웹페이지-> 메일서버 측면 이동해서 공격하는 여부도 확인할 수 있고.

물론 DoS/DDoS는 판단하기 어려울 것이다.

(앞단에서 막아주기도 하고, 그게 안까지 들어온다면 서비스 가용성에 문제가..) 

 

(장점) : 

- DMZ에 접근한 트래픽만을 효율적 탐지 가능

- DMZ 내부에서 발생하는 트래픽 효율적 탐지 가능 

 

(단점) : 

- 외부에서 유입되는 모든 트래픽에 대한 공격 여부는 알 수 없음 

 

---

-X- IPS는 어디에 설치하냐고?

보통, 일반적인 사내 네트워크 형태

인터넷

|

Anti DDoS

|

라우터

|

(A)

|

방화벽

|

스위치 ------ IDS

|

(B) 

|

DMZ 등..

|

방화벽!

|

내부 네트워크

 

(A), (B) 에 주로 설치하는 듯.

 

(A)에 설치한다면,

트래픽을 많이 먹긴할 것, 방화벽 안거치고 112 검사라서

 

IPS 마비되면 가용성이 떨어지니,

그래서 방화벽과 라우터 사이에 IPS 장애를 대비하기 위한 Bypass 모드를 사용한다.

(Bypass : 보안 능력을 내려놓고, 잠시 L2 스위치처럼 동작하는 것.)

 

(B)에 설치한다면,

특정 애플리케이션을 더 잘 보호할 수 있을 것이다. (집중 보호!)

 

 

 

---

참고자료

* 인프라 보안 (위키북스)

* 정보보안기사 실기