마법같은 3040 의 일상

안녕하세요 오늘은 IPS (침입방지시스템) 엔지니어가 네트워크 위협으로부터 보호하는 핵심적인 역할에 대해 알아 봅시다.먼저,IPS란 무엇인가요?IPS는 Intrusion Prevention System의 약자로, 네트워크를 실시간으로 모니터링하여 침입 시도를 탐지하고 차단하는 시스템입니다. IPS 엔지니어가 알아야 할 핵심 영역1. 네트워킹 지식TCP/IP 프로토콜: 네트워크 통신의 기본 원리를 이해해야 합니다.OSI 7계층: 각 계층별 기능과 공격 벡터를 파악해야 합니다.네트워크 장비: 스위치, 라우터 등 네트워크 장비의 작동 원리를 이해해야 합니다.2. 보안 지식침입 기법: 다양한 침입 기법(SQL 인젝션, XSS, DDoS 등)에 대한 이해가 필요합니다.취약점 분석: 시스템의 취약점을 찾아내고 패치..

네트워크 보안 장비 운용 또는 관제 시 IPS 엔진에서 Custom Rule로 대응을 할때가 빈번 합니다. IPS 엔진은 보통 시그니처와 행위규칙 두가지 카테고리로 대응 합니다 - 시그니처 규칙는 Packet의 Payload(데이타) 값을 찾아내는 기술이어요. 통상 스노트(Snort) , 수리카타 엔진을 통해 데이터를 매칭 작업을 수행합니다.- 행위 규칙은 데이터 값을 찾는것보다 카운트에 중점을 둡니다. 예를 들어 동일한 패킷이 초당 몇회 발생했는지를 보아요. 해서 anti-ddos의 필수 탐지 기술입니다. 악성코드는 변종공격이 많기 때문에 하나의 탐지명 내에서도 다양한시그니처 탐지룰이 존재하거나, 혹은 Snort + PCRE 룰을 Combine 하여 대응 하는 경우가 빈번합니다. Snort는 이미 많은..