▶ 보안 제품 리뷰/:: Kaspersky

Kaspersky Internet Security 2012 리뷰 (8) - Firewall (방화벽), Network Attack Blocker

물여우 2011. 11. 19. 08:30
반응형
카스퍼스키의 방화벽과 네트워크 공격 차단 기능을 살펴봅니다.



8. Firewall - 방화벽

카스퍼스키의 방화벽은 어플리케이션 컨트롤의 하부 기능으로 동작하지만, 설정과 네트워크 연결 모니터링 항목이 따로 구성되어 있습니다. 서로 독립적이거나 방화벽에 HIPS가 하부 구조로 구성되는 타 제품과 비교하면 상당히 독특한 구성이라 할 수 있습니다.

방화벽 리뷰 역시 사용자 처리 상태에서 쓰여집니다. 그러나 일반 사용자들이 사용자 처리 상태로 카스퍼스키를 사용한다고 해서 방화벽 관련 팝업을 보기는 상당히 어렵습니다. 이유는 어플리케이션 실행시 발생하는 이벤트의 순서 때문입니다. 일반적으로 시스템 리소스에 대한 접근이 먼저 이루어진 후 네트워크 연결을 시도하는데, 보통 시스템 리소스 접근 시에 이미 어플리케이션 컨트롤의 사용자 처리 요구창이 나타나고, 대부분의 사용자는 일반적으로 신뢰 목록으로 어플리케이션을 지정하는 경우가 대부분이기 때문입니다. 신뢰 항목으로 지정되면 네트워크 연결도 자동으로 허락됩니다.

그래서 이번 리뷰는 낮은 제한 상태에서 어플리케이션 컨트롤의 사용자 처리 요구에 '이번만 허용 - Allow now'로 응답하거나 신뢰 상태에서 네트워크 연결 항목만 사용자 처리로 설정하여 진행하도록 하겠습니다. 


8-1. 방화벽 사용법

어플리케이션이 네트워크 연결을 시도하는 경우 낮은 제한 이하의 계층에 속한 어플리케이션이나, 사용자가 직접 네트워크 연결 권한을 사용자 처리로 설정한 경우 아래와 같은 팝업창이 나탄납니다.

방화벽 팝업창


사용자 처리를 다음부터 항상 적용시키는 "Apply always"가 항상 체크되어 있으며, 연결 허용/차단, 규칙 설정 등 3개의 선택지가 있습니다. 기존 버전의 팝업창과 큰 차이가 없으며, 기본적인 원격지 정보만 깔금하게 표시되고 있습니다.


안전한 어플리케이션의 경우 체크 박스에 체크 후 "Allow" 버튼을 클릭하는 것은 앞으로 시도되는 모든 연결을 허용하기에 가장 간단한 설정입니다. 

세밀한 설정을 위해서는 3번째 항목인 "Create a rule-규칙 생성"을 선택합니다.

규칙 생성은 아래와 같이 매우 단순화되고 직관적으로 변하였습니다. 이전 버전에서 단계별로 진행되던 것을 하나의 창에서 모두 설정이 가능하게 되었습니다. 단순한 것 같지만 실제로 필요한 모든 항목들이 존재합니다.


이름 설정 항목에서는 기본적으로 설정된 항목들을 불러올 수 있다는 점이 특이한데, 코모도 등의 개인 방화벽에서 어플리케이션 종류별로 제공되는 것처럼 세부적인 연결 규칙은 아닙니다. 아래는 크롬 연결 시도시 나타나는 기본 설정의 3 가지 종류입니다.

클릭해서 원본 크기로 보시기 바랍니다.



어떤 과정을 거쳤던 팝업창에서 처리(항상 연결 또는 차단)하거나 세부 규칙 설정을 설정한 경우, 아래와 같이 네트워크 연결 권한 항목에서 규칙이 추가됩니다. 또한 여기서 관리와 수정도 가능합니다. 수정 방법은 어플리케이션 컨트롤의 그것(마우스 우클릭 메뉴)과 동일합니다.


참고로 위 권한 설정 항목은 어플리케이션 컨트롤 설정과 방화벽 설정 모두에서 접근이 가능합니다.

 

8-2. 방화벽 설정


 

방화벽 설정 창에서는 세부 환경 설정과 네트워크 연결 설정을 조정할 수 있습니다. 네트워크 연결 설정 중 "Internet" 항목은 항상 공용 네트워크 연결로 지정되어 있는 기본 설정 연결 설정이고, 나머지가 사용자 시스템에 설치된 네트워크 연결 정보입니다.

제 경우 버쳘 박스 설치로 가상 네트워크가 추가로 설치되어 있습니다. 재밌는 점은 연결 차단을 시도하면 이 가상 연결만 차단이 되고, 호스트 연결은 그대로 유지가 된다는 점입니다. 버그같아 보이긴 하는데, 정확한 정보가 없어서 정확하지는 않습니다.

네트워크 연결 설정은 아래처럼 3개의 탭으로 구성됩니다. 참고 바랍니다.


세부 설정은 아래와 같습니다. 세부 설정은 일반 패킷 규칙과 어플리케이션 규칙으로 나뉩니다. 일반적인 방화벽처럼 패킷 규칙이 어플리케이션 규칙보다 우선권이 있습니다.

규칙 추가는 팝업창의 사용자 처리 규칙 생성과 동일합니다. 다만 기본 설정된 연결 규칙들이 매우 많다는 점이 다릅니다.


추가 설정 항목은 아래와 같은 고급 설정을 포함합니다. FTP 모드를 제외한 나머지 항목은 보안 상 중요한 항목이므로 가급적 항상 체크하시길 권장합니다.


아래는 어플리케이션 규칙의 모습입니다. 어플리케이션 컨트롤과 거의 유사한 화면 구성이며, 추가적으로 오고간 트래픽량을 보여주고 있습니다.

 

 

 


8-3. 네트워크 연결 감시기

네트워크 연결 감시기는 어플리케이션 감시기와 마찬가지로 메인 화면 또는 트레이 아이콘 메뉴를 이용해서 활성화합니다.

네트워크 연결 감시기는 총 4개의 기능 탭으로 구성되어 있습니다. 첫 번째는 가장 기본적인 기능으로 각종 프로세스들의 네트워크 연결 정보를 보여줍니다.

두 번째 탭에서는 사용자 PC, 즉 로컬 포트와 주소에 대한 정보를 보여줍니다.

개인적으로 이전 버전에 실망했던 점이 원격지 정보와 로컬 정보가 따로 구성된 점입니다. 아마도 일반 사용자들의 편의성을 높이고, 메뉴를 단순화하여 직관성을 높이기 위해 분리한 것 같은데, 사실 이런 정보를 요구하는 사용자들에게는 불필요한 친절이 아니었나 생각합니다.

세 번째 탭은 트래픽 정보로 기간별로 해당 프로세스가 주고 받은 트래픽량을 보여줍니다. 아래 그림은 주간별 로그 기록입니다. GSL과 WCG를 간만에 시청했더니 곰플레이어의 받은 트래픽 량이 대단하군요.

마지막 탭은 외부 공격 또는 사용자가 차단한 차단된 외부 IP 정보를 보여줍니다.

 

 

 

9. Network Attack Blocker - 네트워크 공격 차단


네트워크 공격 차단 기능은 nIPS 기능으로 외부 네트워크를 통해 시도되는 다양한 공격을 차단하는 기능입니다. 제 시스템처럼 방화벽이 포함된 일반적인 공유기를 사용할 때에는 이런 공격 시도가 거의 감지되지 않지만, 외부와 직접 연결된 시스템은 비교적 자주 차단 항목을 로그 기록에서 살펴볼 수 있습니다.


지금은 취약점에 대한 패치가 거의 다 이루어져있기 때문에 큰 위협이 되지는 않지만, 가급적 해당 기능을 활성화하여 사용하시기 바랍니다. 공격이 시도되어 차단된 경우 아래와 유사한 팝업창을 볼 수 있습니다.

출처 - 카스퍼스키 홈페이지

 

 




개인적으로 방화벽의 규칙 설정 부분이 아주 깔금하게 구성된 것이 매우 눈에 띄었습니다. 어려우면서도 복잡한 것이 방화벽인데, 나름 쉽게 구성하기 위해 신경을 쓴 티가 납니다.

사실 개인적으로 HIPS를 중요하게 여기지 방화벽 항목은 그다지 중요하게 안 보는 편입니다. 방화벽 자체는 단순한 문의 역할 이상이 되기는 어렵기 때문입니다. 그럼에도 불구하고 카스퍼스키처럼 네트워크 연결 감시기를 비롯한 방화벽 관련 항목들이 기본적으로 잘 구성되어야한다고 봅니다.

리뷰 때마다 이야기하는 것인데, 유명 보안 제품 중에서 카스퍼스키처럼 방화벽에 신경을 많이 쓰는 제품은 없습니다. 기본적으로 어플리케이션 컨트롤의 하부 구조이기 때문에 아주 단순화시켜도 될 터인데, 고급 사용자들을 위한 적절한 항목 구성이 돋보입니다.

단순한 들러리가 아니라 방화벽을 제대로 사용할 수 있으려면, 카스퍼스키처럼 구성이 되던가 최소한 현재 연결된 프로세스의 정보 정도는 제공해야 하지 않을까 싶지만, 이조차도 제공하지 않는 제품들이 꽤 됩니다. 제가 카스퍼스키를 좋아하는 점도 각 기능들이 꼼꼼하게 구성되어 버릴만한 기능이 없기 때문입니다.

카스퍼스키를 너무 칭찬만한 것 같은데, 사실 카스퍼스키도 전문적인 트래픽 감시 프로그램에 비하면 형편없는 감시 기능을 갖고 있습니다. '방화벽을 사용하기 위한 기본적인 기능은 구성되어 있으면 좋겠다.' 정도로만 생각해 주시면 좋겠습니다.


- 이상입니다.
반응형