▶ 보안 제품 리뷰/:: Antivir

안티버 (Avira Antivir) 웹가드의 네트워크 감시에 대한 추가 설명

물여우 2009. 5. 22. 19:33
반응형

원래는 방화벽을 포스팅할 때 같이 설명하려던 부분이었는데 생각해보니 방화벽보다는 웹가드와 더욱
연광성이 있는 것 같아 따로 포스팅합니다.

앞서 웹가드 설명시에 언급했던 것처럼 정확하게 기술된 문서는 찾지 못하였지만 모든 네트워크 연결은
웹가드 모듈을 거쳐서 생성/유지 되는 것으로 보입니다. 즉, 방화벽과 사용자 시스템 사이에 위치하면서
패킷을 필터링을 하고 있는 것이라 보입니다. 물론 웹가드의 감시 포트가 제한적인 것은 사실입니다. 


방화벽의 네트워크 연결 정보 보기 기능(트래픽 감시 정보)으로 확인해보면 웹가드에서는 아래와 같은
방식으로 감시를 진행하는 것으로 보입니다.

먼저 웹가드가 감시하는 포트(보통 원격지의 포트)를 이용하는 프로세스들은 모두 0.0.0.0 의 가짜 IP를
내부적으로 할당받습니다. 각 프로세스들은 포트를 이용해서 구분이 되는 것 같더군요. 프로세스들이
연결을 시도하거나 외부에서 연결을 요청할 경우 웹가드 모듈이 이러한 요청을 받아서 업/다운되는
패킷을 AV엔진으로 검사한 후 각 상대편으로 보내게 됩니다.

예를 들어 1.1.1.1 이라는 IP주소를 가진 외부 시스템과 특정 프로세스가 연결이 이루어질 때, 직접 해당
프로세스와 연결되는 것이 아니라 중간에서 웹가드 모듈이 1.1.1.1에서 시스템으로 인바운드되는 패킷
을 받아 악성코드 여부를 검사한 후 내부 루프백 주소인 127.0.0.1 주소를 이용해서 해당 프로세스에게
패킷을 재전송시켜주는 것입니다. 



위 그림의 예는 아래와 같은 경우입니다. 
구글 크롬을 통해 원격지(접속한 사이트)의 80번 포트를 이용하여 외부 연결이 생성될 때의 모습입니다.

(참고 : 안티버의 로컬/리모트 주소 설정은 다른 제품들의 방화벽과 반대인 것으로 보입니다.)

아래 그림은 원격지(그림상에서는 Local)의 사용 포트가 80이나 8080번이 아니어서 웹가드의 감시없이
연결이 생성되었을 때의 모습입니다.



웹가드와 유사한 방식의 검사 기능을 가진 카스퍼스키, 에프시큐어, 비트디펜더 등의 구동 방식에 대한
자세한 정보를 갖지 못하였습니다만 안티버의 그것과는 다소 다른 것 같습니다. 물론 웹가드처럼 내부
루프백 IP를 통해 중계하는 방식은 아니지만 방화벽처럼 중간에서 네트워크 연결을 관리하는 기능들은
위와 같은 방법과 유사하게 패킷을 감시하고 관리합니다. 전문적인 지식이 없어서 안티버의 웹가드 방
식이 다른 제품들의 웹감시 기능보다 더 훌륭한지 아닌지는 알 수가 없습니다만 겉보기에는 안티버의
방식이 더 강력하게 차단할 수 있는 것 같아 보이긴 합니다.


여하튼 이런 방식에서 가장 중요한 점은 네트워크의 대역폭의 감소를 최대한 낮추는 것인데 웹가드와
달리 대부분의 방화벽들은 특정한 알고리즘을 사용하여 모든 패킷을 검사하지 않고서도 안정성을 유지
할 수 있으므로 대역폭의 감소가 거의 없다고 볼 수 있지만, 웹가드 경우 모든 패킷을 검사해야만 하기
때문에 대역폭의 감소는 피할 수 없는 듯 합니다. 

네트워크 대역폭의 감소와 보안 수준의 향상 중에서 어느 부분을 더 중요하게 여길지는 사용자의 몫인
것 같습니다.

- 웹가드에 대한 포스팅을 모두 마칩니다. 이상입니다.
반응형