nIPS (network Intrusion Protection System)

I. 네트워크-기반 침입방지시스템 nIPS의 개요

가. nIPS(network Intrusion Protection System)의 정의 (가트너)

- 네트워크상에 직렬(In-line)로 위치하는 제품(Firewall) 또한 다음과 같은 침입탐지기능을 수행하는 제품 (nIDS). 즉, 세션기반탐지(Session Aware Inspection)를 지원할수 있는 시스템, Signature또는 프로토콜 비정상 행위 탐지에 의한 세션 차단을 지원하는 시스템

-침입차단시스템((Firewall)과 침입탐지시스템(nIDS)을 통합한제품

II. nIPS의 등장배경

- 침입차단시스템(Firewall)의 한계:

관리자의 접근통제 정책 오류, Firewall자체에 대한 공격, 허용된 서비스 포트를 이용한 공격

- 네트워크-기반침입탐지시스템(nIDS)의 한계:침입경보, 감사기록, 세션종료(TCP reset)->네트워크 과부하 발생

- Firewall과 nIDS 상호연동 의 한계:(signal to Firewall의 형태로 상호 연동)

초기 진입 차단 실패, 타 제조사 제품간의 연동제약, Firewall의 한계 극복 못함

III.hIPS와 nIPS의 비교

- nIPS: 네트워크상의 패킷 검출, 통과되는 모든 패킷 검사, 공격세션의 선별 필터링, 장애시 네트워크 장애유발

- hIPS: 호스트에 설치, 알려지지 않은 공격대응, 커널레벨의 호스트공격 대응, 각 서버별 설치로 비용증가

IV. IPS의 도입시 고려사항및 기술전망

가. 도입시 고려사항

- 대상 NW의 성격파악 우선

- 실제 환경과 비슷한 BMT 실시및 유사사례 참조

나. 기술전망

- 보안 제품과 N/W 제품의 통합화

- IPS 도입시 가장 중요기준 : 원격 차단 기능, 성능