Firewall, DDoS, IDS 와 IPS 의 특징 및 차이점

DDoS (분산 서비스 거부 공격, Distributed Denial of Service)

• 여러 대의 장비를 이용해 특정 서버나 네트워크에 대량의 트래픽을 보내 서비스 운영을 방해하는 공격이다

DDoS 공격의 특징

• 분산된 공격: DDoS 공격은 여러 장치를 동시에 사용하여 이루어진다. 공격 트래픽의 출처는 다양하고 분산되어 있다. 이 장치들은 보통 **봇넷(Botnet)**이라고 불리는 악성 네트워크에 속하며, 감염된 컴퓨터나 IoT 장치로 구성된다.
• 대규모 트래픽: 공격자는 목표 시스템에 막대한 양의 트래픽을 보내 시스템의 네트워크 대역폭, CPU, 메모리 등의 자원을 소진시킨다. 그 결과, 정상적인 사용자가 서비스에 접근할 수 없게 만든다. 이러한 대규모 트래픽은 서비스의 성능 저하, 접속 불가, 또는 완전한 서비스 중단을 초래할 수 있다.
• 여러 유형의 공격: DDoS 공격은 다양한 방식으로 수행된다.
  • 볼륨 기반 공격(Volumetric Attack): 대량의 트래픽을 발생시켜 네트워크 대역폭을 소진시키는 공격이다. 대표적으로 UDP Flood, ICMP Flood, DNS 증폭(DNS Amplification) 등이 있다.
  • 프로토콜 공격(Protocol Attack): 네트워크 프로토콜의 취약점을 악용하여 서버 자원을 소진시키는 공격이다. SYN Flood, Ping of Death 등이 있다.
  • 애플리케이션 계층 공격(Application Layer Attack): 특정 애플리케이션 또는 서비스의 취약점을 노려 자원을 소진시키는 공격이다. HTTP Flood, Slowloris 등이 이에 해당한다.

출처:https://cf-assets.www.cloudflare.com/slt3lc6tev37/7xwaGxGINeyxavVbrXO6M1/24f139faac6094044adaa84c82394962/ddos_attack_traffic_metaphor.png

DDoS 공격의 주요 유형

• UDP 플러드(UDP Flood):
  • UDP(User Datagram Protocol) 패킷을 대량으로 전송하여 타겟 시스템이 이를 처리하느라 자원을 소모하게 만든다. 응답을 요구하지 않는 패킷으로 서버의 대역폭을 소모시킨다.
• SYN 플러드(SYN Flood):
  • TCP 연결의 시작 단계에서 SYN 패킷을 대량으로 보내고, 서버가 SYN/ACK로 응답한 후 ACK 패킷을 받지 못하게 한다. 서버의 연결 대기열을 가득 채워 다른 요청을 처리하지 못하게 만든다.
• DNS 증폭(DNS Amplification):
  • 공격자는 작은 DNS 요청 패킷을 여러 DNS 서버에 보내고, 이 요청이 반사되어 타겟 시스템에 대규모의 응답 패킷이 전송되게 한다. 반사된 응답이 타겟 서버에 큰 부하를 준다.
• HTTP 플러드(HTTP Flood):
  • 웹 서버의 특정 페이지나 리소스에 대량의 HTTP 요청을 보내, 서버가 이를 처리하느라 리소스를 소모하도록 만든다. 주로 애플리케이션 계층에서 이루어지는 공격이다.
• Slowloris:
  • 타겟 서버에 매우 느린 속도로 HTTP 헤더를 전송하여 서버의 연결을 점유하고, 새로운 연결을 차단하여 서버가 정상적인 요청을 처리하지 못하게 한다.

DDoS 공격의 영향

• 서비스 중단: DDoS 공격은 타겟 서비스의 가용성을 심각하게 저하시킨다. 서비스가 중단되면 고객 신뢰도 저하, 비즈니스 손실, 브랜드 이미지 손상 등의 심각한 결과를 초래할 수 있다.
• 비용 증가: 서비스 복구와 방어를 위한 비용, 그리고 서비스 중단으로 인한 손실 비용이 크게 증가할 수 있다.
• 보안 위협: DDoS 공격은 다른 유형의 공격(예: 데이터 유출 공격)과 함께 수행될 수 있어 보안 위협이 더욱 증대될 수 있다.

---

Firewall (방화벽)

• 네트워크 경계를 설정하여, 허용된 트래픽만 통과시키고 의심스러운 트래픽을 차단하는 보안 장비이다.

출처:https://upload.wikimedia.org/wikipedia/commons/5/5b/Firewall.png

방화벽의 주요 특징

• 네트워크 경계 보안: 방화벽은 네트워크의 외부와 내부를 구분하고, 이 경계를 통해 오가는 모든 트래픽을 제어한다. 이를 통해 외부의 위협이 내부 네트워크에 침투하는 것을 방지할 수 있다.
• 트래픽 필터링: 방화벽은 설정된 보안 정책에 따라 인바운드 및 아웃바운드 트래픽을 필터링한다. 이 필터링은 IP 주소, 포트 번호, 프로토콜, 애플리케이션 등의 기준에 따라 수행되며, 불법적이거나 의심스러운 트래픽은 차단되고 허가된 트래픽만이 통과할 수 있다.
• 접근 제어: 방화벽은 사용자 또는 시스템의 접근을 제어할 수 있다. 예를 들어, 특정 IP 주소나 포트에 대한 접근을 제한하거나 허용할 수 있으며, 이를 통해 네트워크 자원에 대한 불법적인 접근을 방지할 수 있다.
• 로그 및 모니터링: 방화벽은 통과하는 트래픽에 대한 로그를 기록하고, 이를 통해 네트워크 활동을 모니터링할 수 있다. 관리자는 이 로그를 분석하여 잠재적인 보안 위협을 탐지하고, 이를 기반으로 보안 정책을 수정할 수 있다.

방화벽의 주요 기능

• 접근 제어 목록(ACL, Access Control List):
  • 방화벽은 ACL을 사용하여 어떤 트래픽이 허용되고 어떤 트래픽이 차단될지를 정의한다. ACL은 IP 주소, 포트 번호, 프로토콜 등의 기준에 따라 세부적인 접근 제어 규칙을 설정할 수 있다.
• NAT(Network Address Translation):
  • NAT는 방화벽의 중요한 기능 중 하나로, 내부 네트워크의 프라이빗 IP 주소를 외부에 노출하지 않고 퍼블릭 IP 주소로 변환하여 외부와의 통신을 가능하게 한다. 이를 통해 내부 네트워크의 IP 주소를 숨기고 외부에서의 직접적인 공격을 방지할 수 있다.
• VPN 지원:
  • 방화벽은 가상 사설망(VPN) 기능을 제공하여 외부에서 내부 네트워크로의 안전한 접속을 가능하게 한다. VPN을 통해 암호화된 터널을 생성하고 원격 사용자나 지사 간의 안전한 통신을 지원한다.
• 로그 및 보고:
  • 방화벽은 트래픽 활동에 대한 로그를 기록하고, 관리자가 네트워크 상태를 모니터링하고 분석할 수 있도록 다양한 보고서를 제공한다. 이를 통해 의심스러운 활동을 감지하고 보안 사고에 신속히 대응할 수 있다.

방화벽의 주요 유형

• 패킷 필터링 방화벽 (Packet Filtering Firewall)_1세대:
  • 가장 기본적인 형태의 방화벽으로, 네트워크 계층에서 작동한다. IP 주소, 포트 번호, 프로토콜 등의 정보를 기반으로 개별 패킷을 검사하고, 규칙에 따라 허용하거나 차단한다.
  • 장점: 구현이 간단하고 빠르며, 기본적인 보안을 제공한다.
  • 한계: 상태를 유지하지 않기 때문에, 세션 정보를 기반으로 한 공격을 방어하기 어렵다.
• 상태기반 방화벽 (Stateful Inspection Firewall)_2세대:
  • 패킷 필터링 방화벽의 기능을 확장하여 패킷의 상태(세션 정보)를 추적한다. TCP/IP 연결 상태를 기반으로 허가된 세션의 트래픽만 허용하고, 비정상적인 세션의 트래픽을 차단한다.
  • 장점: 트래픽의 세션 정보를 추적하여 더 정교한 필터링을 제공하며, 불법적인 연결 시도를 차단할 수 있다.
  • 한계: 상태 추적이 추가되면서 성능에 영향을 줄 수 있다.
• 응용 계층 방화벽 (Application Layer Firewall)_3세대:
  • OSI 모델의 응용 계층에서 작동하며, 특정 애플리케이션 프로토콜(예: HTTP, FTP, SMTP)을 검사하고 제어한다. 애플리케이션 레벨에서 트래픽을 분석하여 애플리케이션 수준의 공격(예: SQL 인젝션, 크로스 사이트 스크립팅)을 차단할 수 있다.
  • 장점: 애플리케이션 레벨에서 상세한 보안 제어가 가능하며, 고급 공격에 대해 더 강력한 보호를 제공한다.
  • 한계: 트래픽 검사로 인해 성능이 저하될 수 있으며, 설정이 복잡하다.

• 프록시 방화벽 (Proxy Firewall):
  • 클라이언트와 서버 사이에 위치하여 클라이언트의 요청을 대신 서버에 전달하고, 그 응답을 다시 클라이언트에게 전달하는 역할을 한다. 클라이언트와 서버 간의 직접적인 연결을 차단하여 보안을 강화한다.
  • 장점: 트래픽을 완전히 검토할 수 있어 높은 수준의 보안을 제공한다.
  • 한계: 모든 트래픽을 처리하므로 성능이 저하될 수 있으며, 설정과 관리가 복잡할 수 있다.

• 차세대 방화벽 (Next-Generation Firewall, NGFW):
  • 기존의 방화벽 기능에 침입 방지 시스템(IPS), 애플리케이션 인식, 고급 위협 방어 기능 등을 통합한 고급 보안 장비이다. NGFW는 심층 패킷 분석(Deep Packet Inspection, DPI)을 통해 트래픽의 내용을 검사하고 악성 활동을 탐지하고 차단할 수 있다.
  • 장점: 다양한 보안 기능을 통합하여 복잡한 현대의 보안 위협에 대해 더 강력한 보호를 제공한다.
  • 한계: 고급 기능으로 인해 비용이 높고, 성능 저하가 발생할 수 있다.

 

방화벽의 역할과 중요성

• 외부 위협으로부터의 보호: 방화벽은 외부의 악성 트래픽과 공격으로부터 내부 네트워크를 보호하는 데 중요한 역할을 한다. 이는 해커, 악성 소프트웨어, 봇넷 등의 위협을 차단하여 네트워크와 데이터를 안전하게 유지한다.
• 내부 보안 강화: 방화벽은 외부 위협뿐만 아니라 내부 사용자나 시스템 간의 접근을 제어하여 내부 보안도 강화할 수 있다. 예를 들어, 특정 부서만이 특정 서버에 접근할 수 있도록 설정할 수 있다.
• 법적 및 규제 준수: 많은 산업에서 방화벽을 통해 네트워크 보안을 유지하고 규제 요구 사항을 준수해야 한다. 방화벽은 이러한 요구 사항을 충족하는 데 중요한 요소이다.

한계와 도전 과제

• 제로데이 공격: 방화벽은 미리 정의된 규칙에 따라 트래픽을 제어하기 때문에 새로운 유형의 공격(제로데이 공격)에 대해서는 취약할 수 있다.
• 암호화된 트래픽: HTTPS와 같은 암호화된 트래픽은 방화벽이 내용을 분석하기 어렵게 만든다. 이를 해결하기 위해 SSL/TLS 복호화 기능을 사용할 수 있지만, 이는 성능 저하를 유발할 수 있다.
• 복잡한 설정: 특히 큰 네트워크에서는 방화벽 규칙을 잘못 설정하면 정상적인 트래픽이 차단되거나 보안이 제대로 이루어지지 않을 수 있다. 따라서 방화벽 설정과 관리가 매우 중요하다.

---

IDS(침입 탐지 시스템, Intrusion Detection System)

• 네트워크나 시스템에서 악의적인 활동을 모니터링하고 경고를 생성하지만, 직접적인 차단 기능은 제공하지 않는 보안 시스템이다.

 
 
특징:

• 탐지 기능: IDS는 네트워크나 시스템을 모니터링하며, 악의적인 활동이나 정책 위반을 탐지한다. 주로 로그, 패킷 데이터, 파일 무결성 등을 분석하여 비정상적인 활동을 식별한다.
• 수동적 대응: IDS는 의심스러운 활동을 탐지하면 경고 메시지를 관리자에게 전달하거나 로그에 기록한다. 직접적으로 공격을 차단하거나 중지하지 않으며, 관리자는 이 정보를 바탕으로 후속 조치를 취할 수 있다.
• 네트워크 기반(NIDS)과 호스트 기반(HIDS):
  • 네트워크 기반 IDS(NIDS): 네트워크 트래픽을 실시간으로 모니터링하며, 전체 네트워크를 대상으로 탐지한다.
  • 호스트 기반 IDS(HIDS): 개별 호스트나 시스템에서 동작하며, 파일 시스템, 로그, 운영 체제의 활동을 모니터링한다.
• 시그니처 기반 탐지(Signature-based Detection): IDS는 알려진 공격 패턴이나 서명을 기반으로 탐지한다. 이는 이미 알려진 공격에 대해 효과적이지만, 새로운 유형의 공격(제로데이 공격)에는 취약할 수 있다.
• 행위 기반 탐지(Anomaly-based Detection): 비정상적인 행위를 탐지하기 위해 정상적인 활동의 기준을 설정하고, 이와 다른 행동이 감지되면 이를 의심스러운 활동으로 식별한다. 이는 제로데이 공격과 같은 새로운 위협을 탐지하는 데 유용할 수 있다.

한계:

• 실시간 차단 불가: IDS는 탐지된 공격에 대해 경고만 할 수 있으며, 실시간으로 공격을 차단하거나 대응하지 못한다.
• 오탐 및 미탐: 비정상적인 활동을 탐지하는 과정에서 정상적인 활동을 오탐하거나, 실제 공격을 미탐할 가능성이 있다.
• 관리자의 개입 필요: IDS가 탐지한 경고에 대해 관리자가 직접 대응해야 하므로, 신속한 대응이 어려울 수 있다.

---

IPS(침입 방지 시스템, Intrusion Prevention System)

• 악의적인 활동을 실시간으로 탐지하고 자동으로 차단하여, 공격을 방지하는 보안 장비이다.

특징:

• 탐지 및 방지 기능: IPS는 IDS와 유사하게 네트워크나 시스템에서 발생하는 비정상적인 활동을 탐지하지만, 탐지된 위협에 대해 즉시 대응하여 공격을 차단하거나 억제하는 기능을 추가로 제공한다.
• 능동적 대응: IPS는 실시간으로 탐지된 위협에 대해 자동으로 대응한다. 예를 들어, 악성 트래픽을 차단하거나 공격 소스를 차단하는 등의 조치를 즉시 취한다.
• 네트워크 기반(NIPS)과 호스트 기반(HIPS):
  • 네트워크 기반 IPS(NIPS): 네트워크 트래픽을 모니터링하고, 비정상적인 트래픽을 실시간으로 차단한다.
  • 호스트 기반 IPS(HIPS): 개별 시스템에서 동작하며, 시스템 내부의 비정상적인 활동을 차단한다.
• 심층 패킷 분석(Deep Packet Inspection, DPI): IPS는 트래픽의 내용을 심층적으로 분석하여 악성 코드나 비정상적인 활동을 탐지한다. 이를 통해 애플리케이션 계층에서 발생하는 공격도 효과적으로 차단할 수 있다.
• 시그니처 기반 및 행위 기반 탐지: IPS는 시그니처 기반 탐지와 행위 기반 탐지를 모두 사용하여, 다양한 유형의 공격을 탐지하고 차단한다. 알려진 공격과 새로운 유형의 공격에 대해 모두 대응할 수 있다.

한계:

• 성능 영향: 실시간으로 트래픽을 분석하고 차단하기 때문에, 네트워크 성능에 영향을 줄 수 있다. 특히 고속 네트워크 환경에서 처리량 저하가 발생할 수 있다.
• 오탐으로 인한 서비스 방해: IPS가 정상적인 트래픽을 오탐하여 차단할 경우, 이는 서비스 방해(Denial of Service) 상황을 초래할 수 있다.
• 복잡한 설정과 관리: 효과적인 방지를 위해 세부적인 설정과 규칙 관리가 필요하며, 이는 관리자의 전문성을 요구한다.

출처:https://www.paloaltonetworks.co.kr/content/dam/pan/en_US/images/cyberpedia/ids-ips.png?imwidth=1920

---

 
기능방화벽 (Firewall)/침입 탐지 시스템 (IDS)/침입 방지 시스템 (IPS)의 특징

	Firewall	IDS	IPS
목적	네트워크 경계에서 트래픽 필터링 및 접근 제어	네트워크 또는 시스템의 비정상적인 활동 탐지 및 경고	네트워크 또는 시스템의 비정상적인 활동 탐지 및 차단
작동 위치	네트워크 경계(외부와 내부 사이)	네트워크 내 또는 시스템 내부	네트워크 내 또는 시스템 내부
트래픽 제어	인바운드 및 아웃바운드 트래픽을 필터링	트래픽을 모니터링하고 분석하지만 필터링하지 않음	트래픽을 모니터링하고 분석하며 악성 트래픽을 차단
주요 기능	IP 주소, 포트 번호, 프로토콜 기반의 트래픽 필터링	패턴 기반 또는 이상 탐지 방식으로 비정상적 행동 탐지	비정상적 행동을 탐지하고 실시간으로 차단
트래픽 분석	패킷의 헤더 정보를 검사하고 규칙에 따라 허용 또는 차단	트래픽 패턴과 행동을 분석하여 의심스러운 활동 탐지	심층 패킷 분석을 통해 공격을 식별하고 차단
응답 방식	설정된 규칙에 따라 트래픽 차단 또는 허용	공격 발생 시 관리자에게 경고 및 로그 기록	공격 발생 시 자동으로 공격 차단 및 대응
장점	네트워크 경계에서 기본적인 보안 제공, 설정이 비교적 간단	공격 탐지와 경고 기능 제공, 네트워크 상태의 가시성 제공	실시간으로 공격을 차단하여 네트워크 보호
한계	새로운 유형의 공격(제로데이 공격)에 취약, 암호화된 트래픽 처리 어려움	공격을 탐지하지만 차단하지는 않음, 많은 False Positive 발생 가능	성능 저하를 초래할 수 있으며, 복잡한 설정이 필요할 수 있음
로그 및 모니터링	트래픽 로그를 기록하고 네트워크 활동 모니터링 가능	공격 탐지 및 경고를 위한 로그 기록, 분석 가능	공격 차단 및 로그 기록, 실시간 모니터링 가능

---

Firewall, IDS, IPS의 DDoS 대처

1. Firewall (방화벽)과 DDoS:
   • 역할: 방화벽은 DDoS 공격의 첫 번째 방어선으로 작동합니다. 방화벽은 트래픽을 필터링하여 악의적인 IP 주소나 비정상적인 트래픽 패턴을 차단할 수 있다.
   • 한계: 전통적인 방화벽은 대량의 트래픽을 처리하는 데 한계가 있을 수 있으며, 대규모 DDoS 공격 시 방화벽 자체가 과부하에 걸릴 수 있다. 이는 공격이 방화벽을 무력화시키고 내부 네트워크로 침투하게 할 위험을 증가시킨다.
2. IDS (Intrusion Detection System)와 DDoS:
   • 역할: IDS는 DDoS 공격을 탐지하는 데 중요한 역할을 한다. IDS는 네트워크 트래픽을 모니터링하여 비정상적인 트래픽 증가나 특정 패턴을 감지하고, DDoS 공격의 징후를 경고한다.
   • 한계: IDS는 단순히 탐지하고 경고를 보내는 역할만 수행하므로, DDoS 공격을 직접 차단할 수 없다. 관리자는 IDS가 제공하는 정보를 바탕으로 공격에 대응해야 한다.
3. IPS (Intrusion Prevention System)와 DDoS:
   • 역할: IPS는 IDS의 기능에 실시간 차단 기능이 추가된 것으로, DDoS 공격을 탐지한 후 즉시 공격 트래픽을 차단할 수 있다. IPS는 비정상적인 트래픽을 실시간으로 분석하고, 의심스러운 패킷이나 트래픽 흐름을 차단하여 DDoS 공격의 영향을 최소화하려고 한다.
   • 한계: 대규모 DDoS 공격에 대한 실시간 대응 과정에서 성능 저하가 발생할 수 있으며, 정상적인 트래픽이 오탐으로 인해 차단될 위험도 있다. 또한, 모든 공격을 완전히 차단하지 못할 수도 있다.
4. 전문 DDoS 방어 솔루션과의 연관성:
   • 방화벽, IDS, IPS와의 협업: 방화벽, IDS, IPS는 기본적인 보안 솔루션이지만, 대규모 DDoS 공격에 대응하기 위해서는 전용 DDoS 방어 솔루션과 협력하는 것이 일반적이다. 이러한 전용 솔루션은 대규모 트래픽 분석, 공격 패턴 식별, 트래픽 필터링 등을 통해 DDoS 공격을 더 효과적으로 방어할 수 있다.
   • 클라우드 기반 DDoS 방어: 많은 조직은 클라우드 기반 DDoS 방어 솔루션을 사용하여, 대규모 공격을 클라우드에서 흡수하고 필터링한다. 이러한 솔루션은 방화벽, IDS, IPS와 연동하여 네트워크의 보안을 강화한다.

 

*PPT

[8주차]Firewall, DDoS, IDS, IPS 특징 및 차이점.pptx

2.26MB

출처

침입 탐지 시스템이란? - Palo Alto Networks
방화벽 (네트워킹) - 위키백과, 우리 모두의 백과사전 (wikipedia.org)
Firewall, DDoS, IDS, IPS (velog.io)
+chatgpt