[네트워크] IDS, IPS, UTM, PMS, ESM

IDS(Intrusion Detection System)

  침입 탐지 시스템은 일반적으로 시스템에 대한 원치 않는 조작을 탐지하여 준다. IDS는 매우 많은 종류들이 존재하며, 여기서는 그들 중 일부를 설명한다. 시스템에 대한 원치 않는 조작은 악의를 가진 숙련된 해커 또는 자동화된 툴을 사용하는 스크립트 키디에 의한 공격의 형태로 행해질 수 있다.

  침입 탐지 시스템은 전통적인 방화벽이 탐지할 수 없는 모든 종류의 악의적인 네트워크 트래픽 및 컴퓨터 사용을 탐지하기 위해 필요하다. 이것은 취약한 서비스에 대한 네트워크 공격과 애플리케이션에서의 데이터 처리 공격(data driven attack), 그리고 권한 확대(privilege escalation) 및 침입자 로그인 / 침입자에 의한 주요 파일 접근 / 악성 소프트웨어(컴퓨터 바이러스, 트로이 목마, 웜)와 같은 호스트 기반 공격을 포함한다.

  IDS는 여러 개의 구성 요소로 이루어져 있다: 센서는 보안 이벤트를 발생시키며, 콘솔은 이벤트를 모니터하고 센서를 제어하거나 경계시키며(alert), 중앙 엔진은 센서에 의해 기록된 이벤트를 데이터베이스에 기록하거나, 시스템 규칙을 사용하여 수신된 보안 이벤트로부터 경고를 생성한다. IDS를 분류하는 방법은 센서의 종류와 위치 그리고 엔진이 경고를 만드는 데 사용하는 방법론 등에 따라 여러 가지가 있다. 많은 간단한 IDS들은 위의 세 가지 요소들을 하나의 장치 또는 설비로 구현하고 있다.

IPS(Intrusion Prevention Systems)

  침입 차단 시스템은 외부 네트워크로부터 내부 네트워크로 침입하는 네트워크 패킷을 찾아 제어하는 기능을 가진 소프트웨어 또는 하드웨어이다. 일반적으로 내부 네트워크로 들어오는 모든 패킷이 지나가는 경로에 설치되며, 호스트의 IP주소, TCP/UDP의 포트번호, 사용자 인증에 기반을 두고 외부 침입을 차단하는 역할을 한다. 허용되지 않는 사용자나 서비스에 대해 사용을 거부하여 내부 자원을 보호한다. 이를 위하여, IPS는 어떤 한 패킷을 검사하여 그것이 부당한 패킷이라고 판단되면, 해당 IP주소 또는 포트에서 들어오는 모든 트래픽을 봉쇄하는 한편, 합법적인 트래픽에 대해서는 아무런 방해나 서비스 지연 없이 수신측에 전달한다.

  효과적인 침입 방지 시스템이 되려면 개별 패킷은 물론 트래픽 패턴을 감시하고 대응하는 등보다 복잡한 감시와 분석을 수행할 수 있어야 한다. 탐지 기법으로는 주소 대조, HTTP 스트링과 서브스트링 대조, 일반 패턴 대조, TCP 접속 분석, 변칙적인 패킷 탐지, 비정상적인 트래픽 탐지 및 TCP/UDP 포트 대조 등이 있다.

  광범위하게 말하자면, 방화벽이나 앤티바이러스 소프트웨어, 그리고 네트웍 등의 접근 권한을 획득하려는 공격자들을 지키기 위해 사용되는 것이라면 어떠한 제품이나 수단이라도 IPS라 지칭할 수 있다.

  Intrusion Detection and Prevention Systems (IDPS)라고도 한다.

UTM(Unified Threat Management)

  통합 위험 관리는 다중 위협에 대해 보호 기능을 제공할 수 있는 포괄적 보안 제품을 가리킨다. 가상 사설망 등 다양한 보안 솔루션 기능을 하나로 통합한 보안 솔루션. 보안 솔루션은 그 목적에 따라 방화벽, 침입 탐지시스템, 침입 방지 시스템, 가상 사설망, 데이터베이스 보안, 웹 보안, 콘텐츠 보안 등 다양한 솔루션 형태로 분화, 발전되어 왔으나 그 결과 각각의 보안 솔루션 운용 방법을 익히기 위한 시간 비용, 그리고 운용을 위한 물리적 공간과 인력 확보가 요구되었다. 통합 위협 관리(UTM)는 다양한 보안 솔루션을 하나로 묶어 비용을 절감하고 관리의 복잡성을 최소화하며, 복합적인 위협 요소를 효율적으로 방어할 수 있다

  UTM 제품은 대체로 방화벽, 앤티바이러스 소프트웨어, 콘텐츠 필터링 그리고 스팸 필터 등이 하나의 패키지로 통합되어 있는 형태가 많다. UTM이라는 용어는 원래 시장 데이터 분석 관련 서비스를 제공하는 업체인 IDC에 의해 처음 사용되기 시작했다. UTM 공급자로는 Fortinet, LokTek, Secure Computing Corporation 그리고 시만택 등이 있다.

  UTM이 제공하는 가장 주요한 장점은 단순하고, 설치 및 사용이 간결하며, 모든 보안 기능이나 프로그램을 동시에 갱신할 수 있는 점 등을 들 수 있다. 인터넷 위협의 특질과 다양성은 보다 복잡하게 발전하고 있기 때문에, UTM 제품 역시 이 모든 위협들에 대해 적절히 대응할 수 있도록 맞추어질 수 있다. 시스템 관리자들이 오랜 기간에 걸쳐 다양한 종류의 보안 프로그램들을 유지, 관리해야 하는 수고를 덜어준다.

PMS(Patch Management System)

  패치 관리 시스템은 운영체제를 비롯한 소프트웨어에서 발견되는 오류나 보안 취약점을 보완하기 위해 보안 패치뿐만 아니라 각종 백신 등 주요 보안 소프트웨어의 설치 및 업데이트 등을 중앙에서 관리하는 종합적인 자동화 시스템을 말한다. 보안 패치의 관리와 설치를 불특정 다수의 수많은 다른 환경을 가진 컴퓨터를 대상으로 중앙에서 자동으로 통제 및 제어함으로써 각종 소프트웨어의 취약점에 대한 보안 사고를 사전에 예방한다.

  PMS는 주로 정부·공공기관에서 대부분 사용되지만 민간기업에 대한 사용은 상대적으로 적지만, 공공기관에 비해 민간기업이 차지하는 비중은 상대적으로 크다. 향후 민간기업에서도 PMS 사용이 활성화되어야 할 것이다. 아직까지 민간기업은 PMS의 필요성을 인식하지 못하는 문제점이 있다. PMS는 나날이 다양해지는 보안 위협에 대해 기업이 갖추어야 할 필수적인 요소임을 인식하고, 민간기업의 PMS 사용에 대해 적극적으로 검토해야 한다.

  PMS는 나날이 기술적 진화가 이루어지고 있다. 최근 이종 보안솔루션과 통합하여 제공되는 양상을 보이고 있다. 또한 사용자들의 통합보안 수요에 대응하기 위해 하드웨어 일체형 솔루션이 출시하였다. 앞으로의 PMS는 단독 솔루션보다는 보안관리 제품의 필수 기능으로서 통합흡수될 것으로 전망된다.

  PMS를 단순히 패치 설치 이상의 전문화된 보안 솔루션이라는 사용자 인식 변화를 주기 위해서는 지속적인 인식 개선이 필요할 것이다.

ESM(Enterprise Security Management)

  통합 보안 관리는 보안 솔루션들의 로그를 한 곳으로 모아 로그 간 연관 분석을 통해 다양한 외부의 위협을 막을 수 있다. 기업별로 하루에 쌓이는 보안 솔루션들의 로그의 용량이 적게는 GB 단위에서 많게는 TB 단위로 발생을 하고 있다. 그러면 지능화된 공격이 진행되는 상황에서 외부의 위협을 막기 위해 엄청난 용량의 로그들을 단일 보안 솔루션에 개별적으로 확인해서는 외부의 위협을 찾아서 대응하기가 불가능하다. 이러한 요구에 맞춰 등장한 것이 ESM이다.

  ESM은 매니저, 콘솔, 에이전트 3가지로 구성이 된다. 에이전트에서 로그를 수집하고 수집된 로그를 매니저로 전송을 한다. 매니저에서는 수집된 로그들의 연관 분석을 통해 정보를 발생시키고 콘솔에서 해당 정보를 확인할 수 있다.

  ESM에는 보안솔루션들로부터 수집되는 로그들을 실시간으로 콘솔에서 확인이 가능한 실시간 로그 기능, 로그 및 자원 정보를 그래프 형태로 보여주는 그래프 기능, 다양한 이기종의 장비들의 상관관계를 통해서 정보를 발생시키는 연관 정보 기능, 수집된 로그 및 연관 정보 로그를 검색할 수 있어 침해대응 사고에 대한 로그를 검색하는 검색 기능 등이 있다. 뿐만 아니라 네트워크 환경을 관제맵으로 나타낼 수 있으며, 보안관제를 하기 위해서 사용되는 관계 프로세스 등을 포함하고 있다.

출처

IDS

https://ko.wikipedia.org/wiki/%EC%B9%A8%EC%9E%85_%ED%83%90%EC%A7%80_%EC%8B%9C%EC%8A%A4%ED%85%9C

IPS

http://www.terms.co.kr/IPS.htm

https://ko.wikipedia.org/wiki/%EC%B9%A8%EC%9E%85_%EC%B0%A8%EB%8B%A8_%EC%8B%9C%EC%8A%A4%ED%85%9C

UTM

http://terms.naver.com/entry.nhn?docId=3436325&cid=42346&categoryId=42346

http://www.terms.co.kr/UTM.htm

PMS

https://books.google.co.kr/books?id=rHW3BQAAQBAJ&pg=PA198&dq=%EC%9A%B4%EC%98%81%EC%B2%B4%EC%A0%9Cpms&hl=ko&sa=X&ved=0ahUKEwic0pqd-fXQAhUGjZQKHWQGDzEQ6AEIJjAA#v=onepage&q=%EC%9A%B4%EC%98%81%EC%B2%B4%EC%A0%9Cpms&f=false

ESM

https://books.google.co.kr/books?id=rHW3BQAAQBAJ&pg=PA198&dq=%EC%9A%B4%EC%98%81%EC%B2%B4%EC%A0%9Cpms&hl=ko&sa=X&ved=0ahUKEwic0pqd-fXQAhUGjZQKHWQGDzEQ6AEIJjAA#v=onepage&q=esm&f=false