키워드 : 침입차단시스템, 네트워크보안, 암호화 패킷 분석, 호스트보안, IPS(Intrusion Prevention System), NDR(Network Detection and Response), EDR(Endpoint Detection and Response)

본 내용은 ChatGPT와 QnA를 정리한 것으로 ChatGPT 가 작성한 부분에 있어서 임의 수정된 사실은 없습니다.

Q1. IPS 와 NDR의 차이점에 대하여 설명해 주세요.

IPS와 NDR은 모두 네트워크 보안 기술이지만, 다음과 같은 차이점이 있습니다:

  1. 정의:
  • IPS(Intrusion Prevention System)는 네트워크 내부의 해킹, 바이러스, 악성코드 등의 침해를 감지하고 차단하는 시스템입니다.
  • NDR(Network Detection and Response)는 네트워크 트래픽 데이터를 모니터링하고, 고도화된 분석 기술을 사용하여 실시간으로 사이버 공격을 탐지하고 대응하는 시스템입니다.
  1. 목적:
  • IPS는 네트워크 보안 위협으로부터 시스템을 보호하고, 공격으로부터 시스템을 방어하기 위한 기술입니다.
  • NDR은 네트워크 보안 이벤트를 감지하고, 분석하여 보안 위협을 파악하고 대응하기 위한 기술입니다.
  1. 구현 방법:
  • IPS는 주로 네트워크 경계에서 구현되며, 라우터, 스위치, 방화벽과 같은 네트워크 기술과 함께 사용됩니다.
  • NDR은 네트워크 내부에서 구현되며, 네트워크 모니터링 기능을 가진 별도의 장비나 소프트웨어를 사용하여 구현됩니다.
  1. 분석 방법:
  • IPS는 패킷 또는 트래픽을 분석하여, 정의된 규칙에 따라 침해 탐지 및 차단을 수행합니다.
  • NDR은 네트워크 트래픽 데이터를 취합하여, 머신러닝, 딥러닝, 인공지능 분석 기술을 활용하여 고도화된 분석 및 이상 징후 탐지를 수행합니다.
  1. 대응 방법:
  • IPS는 침해가 발생하면 해당 패킷 또는 트래픽을 차단하거나, 경고 메시지를 보내어 관리자가 대응할 수 있도록 합니다.
  • NDR은 공격 탐지 및 분석 결과에 따라, 해당 이벤트에 대한 대응 방안을 제시하거나, 자동으로 대응할 수 있습니다.

요약하면, IPS는 보안 위협으로부터 시스템을 방어하고 차단하는 것에 초점을 맞춘 반면, NDR은 네트워크 트래픽을 분석하여 이상 징후를 탐지

Q2. IPS 가 암호화회된 패킷 분석이 안되는데 NDR은 암호화된 패킷 분석을 제공하나요? 

암호화된 패킷은 패킷 내용을 해독할 수 없기 때문에, 암호화된 패킷 분석은 어렵습니다. 따라서 IPS나 NDR 모두 암호화된 패킷 분석을 하기 어렵습니다.

그러나, NDR은 네트워크 트래픽 데이터를 수집하여, 트래픽의 흐름이나 패턴 등을 분석할 수 있습니다. 이를 통해 암호화된 패킷이나 트래픽도 분석할 수 있으며, 이상 징후를 탐지할 수 있습니다. 또한, NDR은 암호화된 트래픽에서도 메타데이터를 분석하여 보안 위협을 탐지할 수 있는 경우도 있습니다.

반면, IPS는 패킷 내용을 분석하여 정확한 보안 위협 탐지를 위해 패킷을 해독해야 합니다. 따라서 암호화된 패킷을 분석할 수 없습니다. 그러나 IPS에서는 SSL/TLS와 같은 암호화 통신을 해제하고, 암호화되지 않은 패킷을 분석할 수 있는 기능을 제공하기도 합니다.

Q3. TLS/SSL과 같은 웹 패킷 분석을 제외하고 일반적으로 암호화된 패킷 분석은 IPS 와 NDS 둘다 할 수 없다는 거죠? 

네, 맞습니다. TLS/SSL과 같은 웹 패킷 분석을 제외하고, 일반적으로 암호화된 패킷 분석은 IPS와 NDR 모두 할 수 없습니다.

암호화된 패킷은 내용을 해독하지 않으면 이를 분석할 수 없기 때문입니다. 그러나, 패킷의 메타데이터는 여전히 수집됩니다. 메타데이터는 패킷의 크기, 출발지 및 목적지 IP 주소, 포트 번호, 전송 프로토콜 등의 정보를 포함합니다. 이러한 메타데이터는 NDR에서 분석하여 보안 위협을 탐지하거나, IPS에서 다른 메타데이터와 함께 사용하여 보안 위협을 탐지할 수 있습니다.

또한, IPS에서는 SSL/TLS와 같은 암호화 통신을 해제하여 암호화되지 않은 패킷을 분석할 수 있는 기능을 제공하기도 합니다. 이 경우 IPS는 암호화된 패킷을 해독하지는 않지만, 암호화되지 않은 패킷을 분석하여 보안 위협을 탐지할 수 있습니다.

Q4.같은 답변에서 SSL/TLS 에서 암호화 통신을 해제한다고 단서를 달았습니다. 질문은 TLS/SSL과 같은 웹 패킷 분석을 제외하고 일반적으로 암호화된 패킷 분석은 IPS 와 NDS 둘다 할 수 없다는 거죠? 

죄송합니다, 이전에 제가 답변드린 내용이 혼돈스러웠을 수도 있습니다. 정확하게 말씀드리면, IPS와 NDR은 TLS/SSL과 같은 암호화 통신을 해제하여 암호화되지 않은 패킷을 분석할 수 있습니다. 이 경우, IPS와 NDR 모두 암호화된 패킷을 해독하지는 않지만, 암호화되지 않은 패킷을 분석하여 보안 위협을 탐지할 수 있습니다.

그러나, TLS/SSL과 같은 웹 패킷 분석을 제외하고, 일반적으로 암호화된 패킷 분석은 IPS와 NDR 모두 할 수 없습니다. 암호화된 패킷은 내용을 해독하지 않으면 이를 분석할 수 없기 때문입니다. 이러한 경우, 메타데이터는 여전히 수집됩니다. 메타데이터는 패킷의 크기, 출발지 및 목적지 IP 주소, 포트 번호, 전송 프로토콜 등의 정보를 포함합니다. 이러한 메타데이터는 NDR에서 분석하여 보안 위협을 탐지하거나, IPS에서 다른 메타데이터와 함께 사용하여 보안 위협을 탐지할 수 있습니다.

Q5. IPS와 NDR의 주요 기능인 메타정보 분석만으로는 오탐 소지가 많아 이상징후 탐지가 매우 어렵다. SSH, RDP, PKI와 같은 환경에서는 키를 얻을 수 없기 때문에 패킷 본문 분석은 불가능하다. 그러므로 정확한 탐지를 위하여 호스트 기반 보안 시스템이 더 적합할 수 있다. 이런 결론에 도달할 수 있겠네요.

네, 메타정보 분석만으로는 이상징후 탐지 시에 오탐 소지가 많아서, 패킷 본문 분석이 필요할 때는 SSH, RDP, PKI와 같은 암호화 통신에서는 키를 얻을 수 없으므로 탐지가 불가능합니다. 이러한 경우에는 호스트 기반 보안 시스템이 더 적합할 수 있습니다.

호스트 기반 보안 시스템은 호스트 자체에서 동작하는 보안 소프트웨어로, 네트워크에서 발생하는 보안 위협을 실시간으로 탐지하고 대응할 수 있습니다. 호스트 기반 보안 시스템은 암호화된 통신에서도 패킷 본문 분석이 가능하며, 네트워크 외부에서 내부로 침입하는 공격을 탐지할 수 있습니다. 또한, 호스트 기반 보안 시스템은 시스템 자원 사용량이 작기 때문에 성능에도 미치는 영향이 적습니다.

따라서, IPS와 NDR은 메타정보 분석 등 다양한 기술을 활용하여 보안 위협을 탐지하고 대응하지만, 이상징후 탐지 시에 발생할 수 있는 오탐 문제가 존재합니다. 이 경우에는 호스트 기반 보안 시스템을 이용하여 정확한 탐지를 할 수 있습니다. 하지만, 호스트 기반 보안 시스템도 완벽한 보안을 보장하지는 않으며, 여러 종류의 보안 솔루션을 조합하여 보안성을 높이는 것이 좋습니다.

 

참고 사이트

[1] 침입차단시스템(IPS)에 대한 이해 with ChatGPT, http://blog.plura.io/?p=18840