IPS란? 네트워크 보안 솔루션

IPS란?

IPS(Intrusion Prevention System)는 기업의 네트워크로 들어오는 악성 트래픽을 식별하고 그런 트래픽이 유입되는 것을 차단해주는 네트워크 보안 솔루션입니다. 트래픽을 모니터링하고 해당 트래픽에 문제가 있는지 검사하고 탐지가 되면 액세스 차단, 호스트 격리 또는 외부 웹 사이트에 대한 액세스 차단과 같이 보안 정책에 정의된 조치를 취할 수 있습니다.

 

IPS 주요 기능

IPS는 악성 코드, 버그를 이용한 공격, 다양한 종류의 네트워크 기반 공격 등 알려진 위협 패턴을 감지하고 차단합니다. 일부 IPS의 경우 행동 기반 감지를 사용하여 알려지지 않은 새로운 위협에도 대응합니다.

 

네트워크 트래픽을 정규화하여 악의적인 활동을 숨기려는 시도를 차단합니다. 예를 들어, 해커가 SQL Injection 공격을 시도할 때 일반적인 SQL 쿼리의 형태를 약간 변형하여 공격을 시도할 수 있습니다. 트래픽 정규화를 거치면, 이 변형된 SQL 쿼리도 정상적인 SQL 쿼리 형태로 변환되고, IPS는 이를 감지하여 해당 트래픽을 차단하게 됩니다.

 

위협을 감지하면 자동으로 차단하거나 해당 트래픽을 격리시킬 수 있습니다.

 

IPS와 IDS의 차이

IPS는 종종 IDS(Intrusion Detection System)와 함께 언급됩니다. 둘이 비슷해 보이기 때문입니다. 하지만 차이가 있습니다. IDS는 네트워크 내의 의심스러운 활동을 탐지하고 관리자에게 경고하는 반면, IPS는 이러한 활동을 자동으로 차단하는 역할까지 수행합니다.

 

IPS 동작 지점

일반적으로 네트워크 기반 IPS는 라우터와 내부 네트워크 사이에 위치하게 됩니다. 이 위치에서 IPS는 외부에서 들어오거나 외부로 나가는 트래픽을 모니터링하면서 악의적인 트래픽이나 공격 패턴을 감지하게 됩니다.

 

라우터로부터 전달된 트래픽은 IPS를 통과합니다. IPS는 이 트래픽을 분석하여 악의적인 활동이나 공격을 감지하고, 필요한 경우 해당 트래픽을 차단합니다. 그렇지 않은 트래픽은 이어서 방화벽으로 갑니다.

 

 

예시)

1. 해커가 서버에 DDoS 공격을 시작합니다. IPS는 DDoS 공격 트래픽 패턴을 감지하고 해당 트래픽을 즉시 차단합니다.

 

2. 해커가 웹 애플리케이션에 SQL Injection 공격을 시도합니다. IPS는 SQL Injection 공격의 패턴을 감지하고 해당 요청을 즉시 차단합니다.

 

3. 해커가 잘 알려지지 않은 제로데이 공격을 합니다. IPS는 행동 기반 감지 기능을 이용하여 서버의 이상한 행동이나 트래픽 패턴을 감지하고 해당 공격을 차단합니다.