[Network] IPS란

1. IPS(Intrusion Prevention System, 침입방지시스템)란

- 인터넷 웜 등의 악성코드 및 해킹 등에 기인한 유해트래픽 차단을 위한 차세대 능동형 보안솔루션

- 공격탐지를 뛰어넘어 탐지된 공격에 대해 웹 연결을 끊는 등 적극적으로 막아주는 솔루션

- 네트워크 기반 IPS : 방화벽 처럼 네트워크에 인라인 모드로 설치되어 공격을 차단해주는 기능

- 호스트 기반 IPS : 서버 애플리케이션을 담당하여 Secure OS 등과 비슷한 기능 수행

- 일반적으로 네트워크 기반 IPS, NIPS의 종류가 매우 많기 떄문에 통상적으로 NIPS를 IPS라고 지칭함

2. IPS의 특장점

- 공격이 실제 피해를 주기 전 능동적으로 공격을 차단함으로써 공격 피해 최소화

- OS나 애플리케이션의 취약점을 능동적으로 보완하고 웜이나 버퍼오버플로우, 비정상적인 트래픽이나 알려지지 않은 공격까지 차단할 수 있어 한층 더 높은 보안 제공

- 기업 외부에서 내부 네트워크로의 침입 방지 및 유해 트래픽 원천 차단

- 웜과 바이러스 등의 침입을 네트워크단에서 차단시켜 보안 인프라와 네트워크에 끼칠 영향을 제거하며 공격에 대한 사후 조사로 인해 소요되는 관리자의 운영 부담을 경감 및 자원의 효율적 사용을 통한 비용 절감

2.1 위험 인지 및 시스템 인지

- 내부 시스템들에 대한 보안 취약성을 통한 위협 전파 가능성과 해당 시스템의 보안 패치 유무까지 점검하여 단순 보안 침입 경보 뿐만 아니라 상관 분석을 통한 취약한 시스템에 대한 통보를 통해 조치할 수 있도록 함

- 기능들이 통합되어 '네트워크 보안 플랫폼'으로 진화 발전, 네트워크 경계에서부터 내부 백본망에 IPS가 설치 운영돼 위험 관리 프로세스 상의 보호뿐만 아니라 보안 정책의 강제 시행에 해당되는 인포스 역할까지 수행

3. IPS의 종류

1) Switch 기반

(1) WORM / (D) DOS 등 알려지지 않은 공격 차단에 중심

(2) 성능적인 측면을 강조

(3) 알려진 공격 차단 및 대응 기능 미비

2) Firewall 기반

(1) 기존의 ACL에 기반한 침입차단 기능에 알려진 WORM이나 DOS 공격 탐지 모듈 추가

(2) 유해정보차단 측면을 강조

(3) 알려진 WORM 이나 DOS 이외의 공격 차단 및 대응 기능 미비

3) IDS 기반

(1) 기존 IDS를 in-line mode로 동작하도록 일부 수정

(2) 알려진 공격 차단 및 대응 기능 강조

(3) 기존의 IDS가 가지는 높은 오탐율 및 관리의 어려움 상존

(4) 성능 측면의 한계 보유

3. IDS+방화벽과 IPS의 차이

▶ IPS/IDS/FW의 비교

구 분	침입방지시스템(IPS) (Intrusion Prevention System)	침입탐지시스템(IDS) (Intrusion Detection System)	침입차단시스템 (FireWall)
연결방법	In-Line	Mirror(TAP, Switch)	In-Line
차단방법	자체	Reset Signal, 방화벽 연동	자체
One-Way Attack	탐지/차단	탐지	불가능
Ddos, Dos 차단	탐지/차단	탐지	일부 지원
서비스 중단시 장애극복	FOD를 통한 장애 극복	무관	HA, Fail Over를 통한 극복
실시간 Network Session 감시	지원함	지원함	지원안됨
Worm Virus	탐지/차단	탐지	불가능
NAT	지원 안됨	지원 안됨	지원함
다중 포트	2개 구간	8개 구간	NIC 연결시 추가 지원
장점	모든 패킷에 대해 자체 탐지 및 차단 모듈 지원으로 네트워크 보호	모든 패킷에 대해 자체 탐지 모듈 지원으로 네트워크 이상징후 경고	서비스 및 객체에 대한 접근 권한 정책을 구체적 규정 가능하여 불필요 서비스 사용 제한
단점	Transparent mode로 운영되며NAT등 방화벽 고유 기능 지원 불가로 사설 네트워크 구성 불가	방화벽과의 연동 방어를 통해 차단 가능함(독립적 차단 제한적)	IP와 Port이외의 복합적이고 정교한 공격 탐지 불가

베스핀글로벌 테크센터 블로그