IDS

IDS는 탐지 위주의 정책을 이용

-> 네트워크 사이에 인라인으로 끼어들어가지 않음

-> 장애를 예방하기 위해 이중화 구성도 필수는 아님(물론 IDS가 정지 됐을 때 로그를 놓치지 않기 위해 이중화 구성을 하는 곳도 존재함)

-> 방화벽/IPS처럼 패킷을 차단하는 역할도 아님

 

IDS에 필요한 것은 분석해야 할 패킷뿐임

• 보안 모니터링을 필요로 하는 트래픽을 복사해 IDS에 넣기만 하면 됨
  • 트래픽을 복사하는 작업
    • 시스코: SPAN-Switched Port Analyzer(SPAN이라고 부름)
    • 델, 주니퍼: Port Mirroring
  • Sensor: 복사된 트래픽을 받는 NIC을 부르는 말
• 어플라이언스 IDS를 사용하기도 하고, 직접 리눅스 서버에 IDS 소프트웨어를 설치해서 사용하기도 함
  • 2개의 NIC이 필요함
    • 매니지먼트용 NIC: 할당되는 IP 주소를 통해 웹 콘솔 등을 이용하여 IDS 운영 페이지나 대시 보드 접근
    • 센서 NIC: 복사된 트래픽을 받을 NIC

 

스위치의 설정을 통해 트래픽을 IDS로 복사하는데, 스위치가 커버할 수 있는 물리적인 한계가 있기 때문에 TAP이라는 전문 장비를 사용하기도 함

-> 그러나 이 방법의 경우 새로운 장비를 물리적으로 연결하는 것이므로 네트워크 전체를 최소한 한 번은 셧다운 해야 함

 

SPAN vs TAP(https://m.blog.naver.com/ijoos/221698130909)

 

*IDS는 방화벽 아래에 설치

방화벽 위에 설치하면 방화벽에서 차단된 수많은 쓸모없는 트래픽이 IDS에 잡히기 때문

 

*NAT 안에서 감춰지는 사설 IP 주소의 활동 -> 정확한 호스트 판별이 불가능함

 

결론: L3를 사용하는 곳, NAT가 일어나는 곳 등의 모든 상황을 고려해서 탐지 구간을 놓치지 말아야 함