IPS – 침입 방지 시스템
IPS는 공격이 실제 피해를 주기 전에 미리 능동적으로 공격을 차단함으로써 공격 피해를 최소화할 수 있는 능동적 보안 대책이다. 또한 OS나 애플리케이션의 취약점을 능동적으로 사전에 보완하고 웜이나 BOF, 비 정상적인 트래픽이나 알려지지 않은 공격까지 차단할 수 있다.
네트워크 기반 – 방화벽처럼 네트워크에 인라인 모드로 설치돼 공격을 차단해주는 기능을 한다. 실시간 패킷 처리 속도, 잘못 탐지하는 것을 최소화하는 기술, 변형 공격과 오용 공격의 탐지 기술, 그리고 각 상황에 맞는 실시간 반응 기술이 주요함.
호스트 기반 – 서버 애플리케이션을 담당하며 시큐어 OS 등과 비슷한 기능을 수행한다. 커널과 함께 동작해 커널 이벤트를 가로채 처리하는 방식과 커널과 독립적으로 작동하는 방식으로 구분.
IPS의 설치 위치는 보호하고자 하는 네트워크의 전단에 배치하는 것이 일반적. DMZ나 내부 서버 팜, 내부 네트워크에 적용하는 것. 그러나 관리자에 의해 특정 세그먼트에 적용할 수 있음.
IPS가 DMZ 내에 위치하게 되면 웹 서버, 메일 서버를 외부 악성 공격에 방어 가능
IPS가 파이어 월 앞 단에 위치하면 악성 공격을 실시간으로 차단함으로써 파이어 월의 부하를 줄여주며 서버 팜과 연결해 외부 공격으로부터 중요 서버들 보호, 내부 네트워크에서 내부 공격에 대응해 해킹 사고 미연에 방지 가능.
반응형