67. IDS / IPS / UTM - 보안의 기본

공격을 감지하고 시스템을 방어하는 장치에는 크게 다음의 세 종류가 있다.

IDS (Intrusion Detection System): 침입 감지 시스템

IPS (Intrusion Prevention System) : 침입 방지 시스템

UTM (Unified Thread Management) : 통합 위협 관리

IDS 는 공격을 감지한 것을 어떤 방법으로 관리자에게 통지하는 시스템

IPS 는 감지한 공격과 관련된 통신을 핀 포인트로 차단하는 시스템 (IDS 기능을 품고 있음)

UTM 은 다양한 기능을 갖춘 통합적 보안 솔루션이다.(IPS 기능을 포함한 것이 많다.)

* IDS 가 공격을 감지하는 구조

IDS 는 TCP/IP 헤더(일반적 방화벽)에 더하여 통신에서 주고받는 데이터도 보고 공격을 감지한다.

대표적인 IDS 중 하나인 Snort 나 Suricata 에서는 이러한 공격 감지를 위한 정보를 감지 룰이라고 한다.

* IDS 와 IPS 의 설치 형태

IDS 와 IPS 는 네트워크 트래픽을 감지할 필요가 있기 때문에 이러한 시스템은 모니터형 또는 인프라형(네트워크 사이에 배치) 중 하나의 방법으로 설치한다.

또한 IPS 와 같이 감지한 통신을 확실하게 중지시키고 싶은 경우는 인프라형을 선택하는 것이 좋지만, IPS 가 고장나면 IPS 를 경유하는 통신이 성립하지 않게 되는 리스크가 있다.

이에 대비해 여러 개의 IPS 를 도입하는 경우도 있다.

IDS 는 공격 감지하는 것이 역할이므로 기기가 고장나도 통신이 안 되는 리스크는 없다.

차단도 필요한 경우는 IPS 의 차단 기능이나 방화벽, 프록시 서버의 필터 기능 등을 추가하여 활용한다.