본문 바로가기
IT/정보보안

정보보안 - IDS, IPS, Snort에 대해서

by 미니송 2017. 7. 29.



이번 포스팅은 IPS IDS에 대해 하겠습니다정보보안에서 방화벽과 같이 사용되고 있습니다. 또한 이것의 시초가 된 Snort가 있습니다. IDS IPS에 대해 설명하고 그리고 Snort에 대해서 간단히만 설명하도록 하겠습니다.

 


IDS

IDS(Intrusion Detection System)는 번역하면 침입탐지시스템이라고 합니다. 컴퓨터 시스템의 오용, 남용 등을 실시간으로 탐지하는 시스템입니다. 실시간으로 탐지하여 경고 메세지를 보내주고 대응할 수 있습니다. 침입 차단 시스템만으로 내부 사용자의 불법적인 행동(기밀 유출 등)과 외부 해킹에 대처할 수 없으므로 해커 침입 패턴에 대한 추적과 유해 정보 감시가 함께 필요합니다. 혼자서는 막을 수 없습니다. 따라서 IPS가 나오게 됩니다.



IPS

IPS(Intrusion Prevention System)는 침입방지시스템입니다. 네트워크에서 공격 서명(Signature)을 찾아내어 자동으로 조치를 취함으로써 비정상적인 트래픽을 중단시키는 보안 솔루션입니다.


IDS는 탐지와 함께 알려주는 기능인 반면 IPS는 방지까지 할 수 있습니다. 수동적인 방어 개념의 침입 차단 시스템이나 침입탐지시스템(IDS)과 달리 침입 경고 이전에 공격을 중단시키는 데 초점을 둔 침입 유도 기능과 대처 기능이 합쳐진 개념의 솔루션입니다. 또한 해당 서버의 비정상적인 행동에 따른 정보 유출을 자동으로 탐지하여 차단 조치를 함으로써 인가자의 비정상 행위를 통제할 수 있습니다.


방화벽으로 막을 수 있는 공격들이 있고 방화벽으로 막을 수 없는 공격 또한 있습니다. 방화벽은 많은 것을 보지 않습니다. IP주소와 포트번호만 보고 판단하기 때문에 속여서 접근할 수 있습니다. 응용 프로그램 수준의 공격과 새로운 패턴의 공격에 대한 적응력이 무척 낮고, 실시간 대응을 할 수 없는 단점도 있습니다. 성능이 좋은 방화벽은 상관 없지만 성능이 낮으면 패킷이 그냥 흘러가게 될 것입니다. 방화벽과 침입탐지시스템은 속도 때문에 해킹이나 바이러스, 웜에 대한 공격을 전부 막을 수 없습니다.


하지만 IDS IPS는 주소와 포트번호 뿐만 아니라 안에 있는 데이터까지 보기 때문에 막을 수 있는 범위가 증가하는 것입니다.

 

Firewall, IDS, Secure-OS 등의 보안기술에 기반을 둔 IPS는 취약점을 능동적으로 사전에 보완하고 웜이나 버퍼 오버플로우, 특히 비정상적인 트래픽이나 알려지지 않은 공격까지 차단함으로써 한층 높은 보안을 제공합니다.


IPS IDS를 비교하면 IPS는 예방적이고 사전에 조치를 취하는 기술이고 IDS는 탐지적이고 사후에 조치를 취하는 기술입니다.

 


Snort(스노트)

Snort에 대한 얘기도 잠시 하겠습니다. Snort는 오픈소스로 활용되는 IDS, IPS입니다.  IDS, IPS의 시초라고 말할 수 있습니다. 시중에 나와 있는 모든 IDS Snort를 기반으로 하거나 따라 만든 것이라고 보시면 될 것 같습니다.


마틴 로시가 1998년에 개발하였으며 개발자인 Sourcefire에 의해 개발되고 있습니다. 2013년 이후로 시스코 시스템즈(Cisco Systems)가 인수하여 운영 중에 있습니다.


우선 Snort의 뜻을 영어 사전에서 살펴보면 코웃음을 웃다, 코를 힝힝거리다, 코로 흡입하다라고 써있습니다. Snort의 마크인 돼지를 보면 코가 커서 흡입을 잘할 것처럼 생겼습니다. 아마도 저 코로 흡입해서 침입을 방지한다 이런 의미인 것 같습니다.


기본적인 기능은 이러한 조사나 공격으로는 공용 TCP/IP 스택 핑거프린팅, 공용 게이트웨이 인터페이스, 버퍼 오버플로, 서버 메시지 블록 조사 그리고 스텔스 포트 스캔 등이 있습니다.


스노트는 세 주요 모드로 설정될 수 있는데 스니퍼, 패킷 로거 그리고 네트워크 침입 탐지입니다. 스니퍼 모드에서 프로그램은 네트워크 패킷을 읽고 콘솔에 보여줄 수 있습니다. 패킷 로거 모드에서 프로그램은 패킷을 디스크에 기록합니다. 침입 탐지 모드에서 프로그램은 네트워크 트래픽을 모니터하고 사용자에 의해 정의된 규칙에 반하는지를 분석합니다. 차단을 내리는 것도 사용자가 선택해서 할 수 있습니다.


현재까지 오픈소스에서 업데이트가 되고 있습니다. 자동으로 룰도 업데이트 되고 기업에서 사용하는 것이 아니라 개인이 사용하는 것이면 무료로 사용할 수 있습니다.


여기까지 IDS, IPS, Snort에 대해 알아보았습니다. 많은 정보를 드리진 못했지만 나중에 Snort 설치 및 과정 그리고 탐지와 차단하는 룰을 어떻게 작성하는지에 대해 더 자세히 포스팅 하도록 하겠습니다





§ 글에 틀린점이 있다면 충분히 수정의 의지가 있으니 고운말로 지적 부탁드립니다. 

§ 공감을 눌러주시면 글을 작성하는데 큰 힘이 됩니다. 

댓글