IDS/IPS의 차이점

IDS/IPS의 차이점

 

IDS는 1980년대에 미국의 제임스 엔더스에 의해 처음 그 개념이 나타난 이후 다양한 모델이 제시되고, 연구되다가 1998년 역시 미국의 마틴 로시가 대다수 IDS/IPS의 사실상 기술 표준인 Snort를 개발하면서 오늘에 이르었다. 이후 IDS 1990년대 후반, IPS는 2003년 이후 대중화가 되었다.

 

IDS 물리적 구성

IDS의 일반적인 물리적 구성의 경우에는 TAB 장비와 동일 선상에 있거나 TAB 장비 아래에 존재 하며 원본 트래픽의 정/오탐을 판별한다. 

TIP) 일반적으로 IDS는 NIDS/HIDS 의 구성으로 정/오탐 판별을 한다고 생각하지만 IDS는 만능이 아니다. IDS는 패턴기반으로 패킷을 탐지하고 패턴일치에 탐지된 패킷을 관제 모니터링으로 전송해주지만 대부분 오탐인 경우가 많기 때문에 실무적인 정/오탐 판변을 IDS 패킷을 확인한 관제원의 정/오탐 판별 능력에 맡겨지며, 그러므로 보안관제 업무에서는 관제원의 지식기반은 중요한 판단 여부가 된다.  

IPS 물리적 구성

IPS는 TAB을 거치지 않고 미리 지정된 rule을 판단으로 공격들을 정/오탐을 판별하여 차단하거나 통과 시키는 방식이다. rule만으로 정/오탐을 판별하기 때문에 rule 등록에는 신중에 신중을 가하여야 한다. 

그럼 무엇의 차이점이 있을까?

 

첫 번째, 물리적 구성이 달라졌다. IDS와 IPS의 일반적인 네트어크 구성도이다. IDS는 언본 트래픽을 손실이나 변조 없이 복사해주는 장비인 TAP이 기계적으로 복사해주는 트래픽을 검사하는 구조이다. 즉 기존 트래픽 유통에는 전혀 관여하지 않는다. 흔히들 'Out of Path' 방식이라고 한다.

반면 IPS는 기존 트래픽 유통에 '직접' 관여한다. 트래픽은 IPS를 패턴 검사를 통과해야만 전송될 수 있으며, 흔히들 'InLine' 방식이락 한다. 물론 장비에 대비해서 트래픽 우회(Bypass)가 가능한 TAP을 IPS에 내장시키는게 일반적이다.

두 번째, 물리적 구성이 바뀌면서 ips는 탐지 물론 방지가 가능해졌다. IDS가 공격자 호스트로 리셋 패킷을보낸다거나 방화벽과 연동해서 공격자를 차단하는 등의 소극적 방어가 가능했다면, IPS는 직접 트래픽 유통에 관여하면서 방화벽처럼 공격자의 패킷을 Drop하는 적극적 방어가 가능해진 것이다. 

세 번쨰, 트래픽 유통에 직접 관여하게 되면서 빠른 처리속도가 IPS의 중요 요건이 되었다. IPS의 트래픽 처리 성능에 문제가 발생해서 트래픽 유통이 기존보다 느려지거나 끊어진다면 당장 사용자의 불만이 발생할 것이고 시장에서 외면을 받게 될 것은 불 보듯 뻔하기 때문이다. 그래서 IPS는 고성능을 목적으로 ASIC 등을 이용한 네트워크 장비 형태의 일체형 하드웨어(특정 기능에 특화된 Appliance 장비) 개발이 일반적이다. L7 스위치 업체들이 초기 IPS 시장에 쉽게 진입할 수 있었던 이유이기도 하다.

비교결과 IDS/IPS는 크게 세 가지 다른 점이 있다는 것을 확인할 수 있었다. 그러나 이 세가지 차이점 때문에 IDS와 IPSD 가 서로 다른 성격의 솔루션이라거나 IPS가 IDS가 우수하다는 생각을 한다면 분명히 잘못된 생각이다.(본인은 현업에 뛰기 전에 위와 같은 생각을 가진 적이 있다. - "왜? IPS는 탐지하고 차단까지 하는데 IDS가 필요하지???", 지금 생각해보면 관심이 없다는 것을 보여주는 생각이 아닌가 한다.) 네트워크 구성이나 하드웨어적 특성, 처리속도, 방어 기능 따위는 문자 그대로 '부수적인 기능'일 뿐이다. IDS의 핵심 기능은 사전에 정의된 룰과 트래픽의 비교를 통해서 보안 위협을 찾고 정/오탐 판별하는 것이며, IPS 역시 보안 위협을 사전에 방지하는 것에 대하여 마찬가지 이다.

---

참고 서적 : 빅데이터 분서그로 살펴본 IDS와 보안관제의 완성