| IDS/IPS RULE 적용 범위 | |||
| TCP/IP 4 계층 | 동작 주체 | 패킷 구조 | 적용범위 |
| Application(응용) | Web, Mail, Telnet 등 | Data | O |
| Transport(전송 제어) | TCP, UDP | TCP/UDP 헤더 | O |
| Internet(전송) | IP, ICMP, IGMP | IP 헤더 | O |
| Network Access(물리적 연결) | ARP, NIC(Network Interface Card 등) | Ethernet 헤어, 트레일러 | |
위의 표에서 확인 할수 있듯이, IDS/IPS는 방화벽과 달리 TCP/IP 2~4계층까지 3개의 계층에서 적용되는 것을 확인할 수 있다. IDS/IPS는 IP주소와 PORT 번호 뿐만 아니라 TCP/IP 응용계층의 데이터까지 검사가 가능한 것이다. 이러한 방식은 '패턴 매칭' 또는 'DPI'라고 하는데 사실 매우 단순한 개념이며, 편지를 예로 들면 방화벽은 겉봉투의 주소만을 검사하지IDS/IPS는 편지의 내용까지 검사한다는 의미이다.
IDS/IPS의 페이로드의 내용에 대한 패턴일치 탐지 기법은 매우 혁명적인 탐지기법 임에도 불구하고 서버의 성능이 낮아지며, 부하가 걸릴 수 있다는 단점이 존재하며 이로인해 탐지 RULE을 만들 때에는 정화도와 효율적으로 만드는 것을 중요 시 여긴다.
| Snort Rule 구조 |
|||||||
| Action | Protocol | source IP | source PORT | way | destination IP | destination PORT | PATTERN |
| alert | tcp | any | any | -> | any | any | (msg : "attack"; content : "attack" |
| Rule header | Option | ||||||
| IDS/IPS 로그 구조 |
|||||||
| Action | Protocol | source IP | source PORT | way | destination IP | destination PORT | PATTERN |
| alert | tcp | any | any | -> | any | 80:443 | (content:"etc/passwd"; |
| Rule header | Option | ||||||
IDS/IPS는 문자열 패턴을 검사할 수 있는 Snort의 '룰 옵션' 구조를 이용하여 패킷의 데이터 영역까지 검사함으로써 방화벽과 차별화를 이룬다.
Raw Data에 대한 문자열 패턴을 이용하여 패킷 데이터 영역에 사용된 기호를 검사하는 방식은 매우 효과적이며, 일정 기간 수집한 트래픽에서 정상 패턴을 정의한 후 그 정의를 기준으로 정상과 비정상을 구분하여 이상 행위를 탐지하는 NBA(행위기반탐지)를 통하여 룰을 정교화하여 더욱 효과적인 탐지가 가능하다.
'보안 > 보안관제' 카테고리의 다른 글
| 제로보드 취약점 (0) | 2020.02.23 |
|---|---|
| FCKeditor 취약점 조사 및 탐지 패턴 (2) | 2020.01.30 |
| ThinkPHP 원격코드 실행 취약점 (CVE-2018-20062) (0) | 2020.01.29 |
| IDS/IPS의 차이점 (2) | 2020.01.26 |
| 방화벽 보안 (4) | 2020.01.25 |
