🔌Network
CentOS 7에서 IPS와 IDS 비교 및 설정 방법
terranbin
2025. 2. 11. 09:41
728x90
SMALL
📌 1. 서론: IPS와 IDS란?
네트워크 보안에서 가장 중요한 요소 중 하나는 침입 탐지(IDS)와 침입 방지(IPS)입니다.
많은 보안 엔지니어들이 IDS와 IPS의 차이를 혼동하는 경우가 많아, 이번 글에서는 IPS와 IDS의 개념을 비교하고 CentOS 7에서 설정하는 방법을 소개하려고 합니다.
📌 2. IPS vs IDS 개념 비교
| 구분 | IDS (Intrusion Detection System) | IPS (Intrusion Prevention System) |
| 역할 | 네트워크에서 이상 징후를 탐지 | 네트워크에서 이상 징후를 차단 |
| 동작 방식 | 패킷을 분석 후 관리자에게 경고 | 패킷을 분석 후 자동 차단 |
| 트래픽 흐름 | 네트워크를 실시간 모니터링하지만 트래픽을 차단하지 않음 | 트래픽을 직접 필터링하고 차단 |
| 위치 | 네트워크 내부에서 트래픽을 감시 | 방화벽과 유사하게 네트워크 경로에 위치 |
| 장점 | 오탐(false positive) 발생 가능성이 낮음 | 실시간 차단으로 즉각적인 대응 가능 |
| 단점 | 경고만 하므로 추가 조치가 필요 | 잘못된 규칙 설정 시 정상 트래픽도 차단 가능 |
📌 3. IDS 및 IPS 솔루션 개요
1) 대표적인 IDS 솔루션
- Snort: 오픈소스 IDS로 패킷 분석 및 공격 탐지 가능.
- Suricata: 고성능 IDS/IPS 엔진으로 Snort와 유사하지만 멀티스레딩 지원.
2) 대표적인 IPS 솔루션
- Snort IPS 모드: Snort는 IPS로 동작 가능 (inline 모드).
- Suricata IPS 모드: Suricata도 IPS로 동작 가능.
- TippingPoint: 엔터프라이즈용 상용 IPS.
📌 4. CentOS 7에서 IDS 및 IPS 설정 방법
1) Snort를 사용한 IDS 구축
📌 (1) Snort 설치
sudo yum install epel-release -y
sudo yum install snort -y📌 (2) Snort 설정 파일 편집
sudo vi /etc/snort/snort.conf- 네트워크 인터페이스 설정:
ipvar HOME_NET 192.168.1.0/24 ipvar EXTERNAL_NET any - 로그 저장 경로 설정:
output alert_fast: alert.ids.log
📌 (3) Snort 실행 (IDS 모드)
sudo snort -A console -i eth0 -c /etc/snort/snort.conf- IDS 모드에서는 트래픽을 감시하지만 차단하지 않음.
2) Snort를 사용한 IPS 구축
📌 (1) Snort를 IPS 모드로 실행
sudo snort -A console -Q -c /etc/snort/snort.conf -i eth0:eth1- -Q 옵션은 IPS 모드를 의미하며, eth0:eth1은 브릿지 형태로 설정.
📌 (2) 방화벽과 함께 사용
sudo iptables -A INPUT -p tcp --dport 80 -j NFQUEUE- 특정 포트(예: 80번 HTTP 트래픽)에 대해 Snort가 패킷을 필터링.
3) Suricata를 사용한 IDS 및 IPS 설정
📌 (1) Suricata 설치
sudo yum install suricata -y📌 (2) Suricata 설정 파일 편집
sudo vi /etc/suricata/suricata.yaml- HOME_NET 설정:
HOME_NET: "[192.168.1.0/24]"📌 (3) Suricata 실행
sudo suricata -c /etc/suricata/suricata.yaml -i eth0- 기본적으로 IDS 모드로 동작.
📌 (4) IPS 모드 활성화
sudo suricata -c /etc/suricata/suricata.yaml --af-packet- --af-packet 옵션은 IPS 모드에서 네트워크 패킷을 필터링하여 차단하는 역할.
📌 5. 로그 확인 및 모니터링
IDS/IPS가 탐지한 이벤트는 로그 파일에 기록됩니다.
📌 (1) Snort 로그 확인
cat /var/log/snort/alert.ids.log📌 (2) Suricata 로그 확인
cat /var/log/suricata/fast.log📌 6. 결론
- IDS는 탐지만 하고 차단하지 않으며, IPS는 실시간으로 트래픽을 차단함.
- Snort와 Suricata는 오픈소스 기반의 강력한 IDS/IPS 솔루션으로 CentOS 7에서 쉽게 설정 가능.
- 실무에서는 IDS와 IPS를 병행하여 운영하는 것이 가장 효과적인 보안 방법.
📌 7. 추가 참고 자료
이렇게 구성하면 CentOS 7에서 IDS와 IPS를 비교하고,
실제로 설정하는 방법까지 쉽게 따라할 수 있도록 정리할 수 있습니다.
LIST