IPS(침입 방지 시스템)는 네트워크가 가질 수 있는 가장 중요한 네트워크 보안 수단입니다. IPS는 네트워크 시스템과 해당 인프라에 대한 잠재적 위협을 탐지할 뿐만 아니라 위협이 될 수 있는 모든 연결을 능동적으로 차단하기 때문에 제어 시스템으로 알려져 있습니다. 이것은 침입 탐지 시스템과 같은 수동적인 보호와는 다릅니다.
IPS 기술이란?
침입 방지 시스템은 특히 개별 패킷에서 네트워크 트래픽을 지속적으로 모니터링하여 가능한 악의적인 공격을 찾습니다. 이러한 패킷에 대한 정보를 수집하여 시스템 관리자에게 보고하지만 자체적으로 예방 조치를 취하기도 합니다. IPS가 잠재적인 맬웨어나 다른 종류의 보복 공격을 감지하면 해당 패킷이 네트워크에 액세스하지 못하도록 차단합니다.
지속적으로 악용될 수 있는 시스템 보안의 허점을 닫는 것과 같은 다른 조치도 취할 수 있습니다. 네트워크에 대한 액세스 포인트를 닫고 향후 이러한 종류의 공격을 찾도록 보조 방화벽을 구성하여 네트워크 방어에 보안 계층을 추가할 수 있습니다.
IPS는 어떤 종류의 공격을 예방할 수 있습니까?
침입 방지 시스템은 다양한 잠재적인 악성 공격을 찾아 보호할 수 있습니다. 서비스 거부(DoS) 공격, 분산 서비스 거부 공격(DDoS), 익스플로잇 킷, 웜, 컴퓨터 바이러스 및 기타 유형의 맬웨어를 탐지하고 차단하는 기능이 있습니다.
IPS가 공격을 감지하면 어떻게 합니까?
침입 방지 시스템은 패킷을 분석하고 특정 맬웨어 서명을 찾아 다양한 공격을 탐지할 수 있지만 행동 추적을 활용하여 네트워크에서 비정상적인 활동을 찾고 관리 보안 프로토콜 및 정책을 모니터링하고 위반 여부를 확인할 수도 있습니다. .
이러한 탐지 방법 중 하나라도 잠재적인 공격을 발견하면 IPS는 해당 공격이 시작된 연결을 즉시 종료할 수 있습니다. IPS가 그렇게 하도록 구성된 경우 문제가 되는 IP 주소는 이후에 차단될 수 있습니다. 그렇지 않으면 연결된 사용자가 네트워크 및 연결된 리소스에 다시 액세스할 수 없습니다.
IPS는 또한 이러한 공격을 다시 살펴보기 위해 로컬 방화벽 설정을 변경할 수 있으며 파일 및 이메일 서버에서 악성코드의 영향을 받는 헤더, 감염된 첨부 파일 및 악성 링크를 제거하여 공격의 잔재를 제거할 수도 있습니다.
IDS 대 IPS
침입 탐지 시스템(IDS)과 침입 방지 시스템(IPS)은 둘 다 보안과 관련이 있을 수 있지만 그 목적과 수단은 완전히 다릅니다.
IDS와 IPS에는 여러 유형이 있으며 모두 약간 다르게 작동합니다. IDS의 경우 네트워크 내에서 진행 중인 잠재적 공격을 탐지하기 위해 네트워크 내의 전략적 지점에 있는 네트워크 침입 탐지 시스템(NIDS)이 있습니다. HIDS 또는 호스트 침입 탐지 시스템은 개별 시스템 및 장치에서 실행되며 특정 시스템으로 들어오고 나가는 네트워크 활동만 모니터링합니다.
두 경우 모두 잠재적인 공격을 발견한 IDS는 시스템 관리자에게 알립니다.
대조적으로, IPS 시스템은 IDS와 유사한 역할을 하고 더 큰 네트워크 감독을 위해 IDS와 함께 사용할 수 있지만 네트워크를 보호하는 데 더 적극적인 역할을 합니다. 또한 공격이 감지되면 관리자에게 알리지만 모든 시스템, 개별 계정 또는 방화벽 허점에 대해 징벌적 조치를 취하여 공격이 차단되고 관련 파일이 네트워크에서 제거되도록 합니다.
이름에서 알 수 있듯이 침입 탐지 시스템은 공격이 발생하는 경우와 시기를 알려 사용자가 문제를 수동으로 처리할 수 있도록 설계되었습니다. 침입 방지 시스템은 공격으로부터 시스템을 능동적으로 보호하고 네트워크 매개변수를 조정하여 향후 공격을 방지하도록 설계되었습니다.