Firewall과 IDS

망 내의 데이터 패킷들을 어떻게 보호하는지에 대한 방법은 2가지가 있습니다.

Firewall과 IDS입니다.

- firewall

외부 망과 내부망 사이를 지키는 파수꾼역할을 합니다.

전문용어로 내부네트워크를 외부네트워크로부터 분리시켜주는 게이트웨이 라고도 합니다.

외부로 부터 들어오는 모든 패킷들을 검열하죠.

그래서 망외부 edge router에 분포되어있습니다.

Firewall을 사용하는 이유는 뭐가있을까요.

1) denial of service attack (dos) 공격을 막을 수 있습니다.

SYN flooding 같이 SYN메세지를 다량으로 만들어서 공격하는 것을 감지하여 트래픽을 차단해 버릴 수 있다는 것이죠

2) illegal access 를 막을 수 있습니다.

와부에서 갑자기 내 컴퓨터를 원격제어하는 것을 막아줄 수도 있죠.

3) allow only authorized access of inside network

내부의 승인된 접근만 허용합니다. 

- IDS ( Intrusion Detection System )

침입 감지 시스템입니다.

IDS는 firewall의 단점을 개선하기위해 만들어 졌는데요.

1 )앞서 firewall은 외부 망과의 경계인 edge router에 분포되어있습니다.

그래서 내부에서 뒤통수치는 공격은 firewall만으로는 막을 수 없습니다.

2) 그래서 firewall은 패킷을 filtering 할때 패킷의 "헤더"만 검사합니다. 그래서 정확한 진단이 쉽지가 않습니다.

3) 그리고 firewall은 패킷들간의 관계를 체크하지 않아서, 다량으로 발생하는 패킷공격을 진단하기가 쉽지 않습니다.

=

위 문제점들을 어떻게 IDS가 해결하는지 살펴보겠습니다.

=

a) DPI (deep packet inspection)

패킷의 헤더만 검사하지 않고, 전체적으로 정밀진단을 합니다.

2번 문제를 해결했습니다.

b) IDS는 각 패킷들간의 연관성을 파악하는 기능이 있습니다.

DDos/ port scanning/ nmap 공격들을 감지할 수 있습니다.

3번 문제를 해결했습니다.

c) IDS는 경계에만 설치되는게 아니라, 시스템 망 내부 곳곳에 설치가 됩니다.

그래서 내부적인 침입을 감지할 수 있습니다.

- IDS의 단점은 뭐가있을까요?

바로 "감지"만 한다는 것입니다.

감지와 대응까지 동시에하는것을 IPS (intrusion prevention system) 이라고하는데, 여기서는 다루지 않습니다.