▶ 보안 제품 리뷰/:: Outpost

Outpost Firewall Free 2009 리뷰 (5) - Application Rules (프로그램 개별 규칙)

물여우 2009. 8. 19. 18:08
반응형
아웃포스트의 개별 프로그램에 대한 네트워크 연결 및 호스트 보호 규칙을 관리하는
Application Rules에 대해서 
살펴보도록 하겠습니다.

저는 보안 전문가가 아니며 해당 프로그램에 대하여 전문적이고 기술적인 지식을 지니고,
이 글을 작성하는 것이 아니므로 이 글에 오류가 있을 수 있음을 밝힙니다.


▶ Outpost Firewall Free 2009 리뷰 모음

-
개요 및 설치 과정 메인 화면 UI
- Host Protection :  기능 설명, 팝업창 및 자기보호
- Firewall : 메인 화면 & 기본 환경 설정 UI 
               세부 설정 : System-Wide Rules, ICMP Settings & LAN Settings


6. Application Rules - 프로그램 규칙

대부분의 개인 방화벽들은 각 프로그램별로 네트워크 규칙을 지정할 수 있습니다. 아웃포스트에서는 이 기능을 Application Rules라고 명칭합니다.

6-1. 기본 UI


프로그램 규칙(Applicatioin Rules)은 네트워크 연결에 관한 규칙을 담당하는 Network와 호스트 보호 기능의 적용/관리를 담당하는 Anti-Leak으로 구성되어 있습니다. 

이전 리뷰에서 살펴보았듯이 네트워크 규칙과 호스트 보호 규칙이 따로 설정되는 아웃포스트는 프로세스 규칙에서도 프로세스에서 시도하는 행동 패턴에 따라 네트워크 규칙과 호스트 보호 규칙이 따로 적용이 됩니다. 각각의 규칙이 형성되면 위 그림에서 보이는 녹색의 네모 모양의 체크 표시가 생성됩니다.

체크 표시는 각 규칙이 프로세스의 행동을 모두 허용/일부 차단/완전 차단이냐에 따라 색상이 바뀝니다.

모두 허용  일부 차단  완전 차단 
                                      프로세스 규칙 설정에 따른 체크 박스 색상 구분


위의 그림에서 볼 수 있듯이 사용자가 규칙이 미지정된 프로세스를 추가하여 규칙을 생성/편집할 수 있습니다. 그러나 기본적으로 아래와 같이 프로세스가 네트워크 연결 시도나 호스트 보호의 감시 패턴과 연관된 행동을 했을 경우에 활성화되는 팝업창에서 사용자가 지정한 설정대로 규칙이 생성됩니다.

                                      기본 규칙 생성 (클릭해서 확대한 후 보세요)


Auto-Learn mode(자동 학습 모드)로 규칙 생성시 아래처럼 자동으로 규칙이 생성됩니다. 다음에 리뷰하겠습니다만, 아웃포스트에는 자동 생성 규칙에 따른 환경 설정이 따로 존재합니다. 지금은 자동 생성 규칙을 활성화한 상태에서 자동 학습 모드를 통한 규칙 생성을 한 것입니다.

                                                       네트워크 규칙 자동 생성

                                                 호스트 보호 규칙 자동 생성

                              참고 : 규칙 자동 생성 설정 비활성화시 규칙 생성 예


6-2. 프로그램 규칙 세부 설정

Application Rules창에서 편집을 원하는 프로세스를 더블클릭하거나 'Edit' 버튼을 클릭하면 아래와 같이세부 설정창이 활성화됩니다.


총 4개의 탭으로 구성되어 있습니다. 각각 살펴보도록 하겠습니다.


(1) General - 네트워크 규칙 일괄 설정 및 기본 정보 보기


탭의 이름은 General (일반 설정) 이지만 기본적으로 네트워크 규칙 설정과 관련되어 있습니다. 위의 그림에서 알 수 있듯이 네트워크 연결에 대한 일괄적인 허용/차단 설정을 할 수 있고 해당 프로세스의 세부적인 정보를 볼 수 있습니다.

'Properties' 버튼은 아래와 같이 윈도우에 내장된 기본 정보 보기창을 활성화시킵니다.
                                                 호환성, 요약 탭은 빠져있습니다.


(2) Network Rules - 네크워크 연결 규칙 관리


이전에 리뷰한 System-Wide Rules와 유사하게 구성되어 있고, 신규 규칙을 생성하거나 편집하는 편집창은 완전히 동일합니다. 기본 메인 화면에서 바로 내부 규칙을 수정할 수 있다는 것만 다릅니다.


내부 규칙 생성/관리는 System-Wide Rules를 리뷰 포스팅에서 자세히 설명하였으니 해당 포스팅을 참고 바랍니다.


(3) Anti-Leak Control - 호스트 보호 개별 규칙 관리


호스트 보호 기능에서 Anti-Leak Control과 Critical System Object Control 등이 모두 추가되어 있습니다.

Anti-Leak Control에 포함된 내부 행동 패턴 감시 규칙은 각각 설정이 가능합니다.

이에 반해 Critical System Object Control과 관련된 내부규칙은 Critical Object change라는 하나의 규칙으로만 통합되어 있습니다. Critical System Object Control이 주로 레지스트리 변경을 감시하기 때문에 통합적으로 관리하는 것 같습니다만, 개인적으로는 조금 더 복잡해지더라도 개별적인 관리를 하는 것이 더 좋았을 것이라고 생각합니다. 

각 행동 패턴에 대한 허용/차단 설정 중에 Global Rule이라는 것이 있습니다.
해당 항목에 대한 세부적인 정보를 찾지 못했습니다만, 기본적으로 사용자 또는 자동 학습 모드 등을 통해 규칙을 생성하기 전에 설정된 기본값으로 쓰입니다. 이 기능은 다음 리뷰에서 다룰 규칙 자동 생성 설정과도 연관이 있습니다. 일반적인 경우 Global Rule로 설정된 항목은 프로세스가 해당 행동을 행하는 경우 사용자에게 허용/차단 여부를 물어봅니다. 그러나 자동 규칙 생성 설정 환경에서는 허용/차단 여부를 설정하지 않고, Global rule 항목을 설정해도 해당 행동 패턴이 허용되는 것으로 봐서 기본 지정된 내부 규칙에 따라 허용/차단 설정(주로 허용)이 프로세스 별로 이루어 지는 것으로 보입니다.
Global Rule에 대한 부분은 자세한 설명을 찾을 수 없어 오류가 있을 수 있으니 참고 바랍니다.

Anti-Leak 기능의 자세한 설명은 호스트 보호의 리뷰 포스팅을 참고 바랍니다.


(4) Options - 기타 설정



이전에 방화벽 리뷰시에 Enterainment라는 모드를 설명했었는데 당시에는 Entertainment 모드 시 사용할 방화벽 정책을 설정했다면 여기서는 해당 프로그램이 이 모드를 사용할지 말지를 설정합니다.

Rawsocket 에 대한 설명은 여기를 참고 바랍니다. 일반 사용자가 많이 접하게될 항목은 아닙니다.
주로 Network layer에서 직접 ICMP나 IGMP 메세지를 보내거나 할 때 사용합니다.

마지막으로 Content filtering은 무료 버전에서는 사용할 수 없는 기능입니다. 유료 버전의 Web control 기능과 연관되서 사용되는 기능입니다.


6-3. Application Rules 항목에 대한 개선점


아웃포스트를 사용하면서 프로그램 버그로 인하여 고생한 부분이 바로 프로그램 규칙 항목입니다.
프로그램 규칙을 수정 또는 생성 후에 Apply 버튼을 누르면 위와 같이 프로세스의 동작이 멈춰버립니다. 이때에는 트레이 아이콘 관련 프로세스부터 시작해서 아웃포스트의 모든 프로세스들이 정상적으로 동작하지 않습니다. 따라서 아웃포스트르를 종료했다가 다시 구동시킬 수도 없습니다. 게다가 위와 같은 프리징 상태에서도 자기보호 기능은 구동이 되기 때문에 일반적인 방법으로는 프로세스 종료가 불가능해서 결국에는 시스템을 재부팅해야 했습니다.

원인이야 여러 가지가 있을 것이고, 시스템마다 해당 오류가 나타나지 않을 수도 있겠습니다만, 리뷰를 쓰다보면 프로그램 규칙을 수정할 일이 많은데 툭하면 위와 같이 응답없음 상태로 빠져서 문제가 많았습니다. 가상 OS에 설치해둔 유료 버전도 동일한 문제가 발생하는 것을 보면, 이 부분에 다소 문제가 있기는 한 것 같습니다.



이 부분은 HIPS 기능이 있는 제품마다 언급하는 것 같은데, 위와 같이 프로그램 설치 파일이나 설치시 발생하는 임시 파일 등 한번 실행된 이후에는 다시 실행되는 경우가 거의 없는 파일에 대해서는 자동적으로 규칙이 제거되는 기능이 있었으면 합니다. 코모도 방화벽에는 기본적으로 존재하는 기능인데 완벽하지는 않지만 상당히 편리합니다. 물론, 재설치 등의 경우에 기본적으로 규칙이 남아 있으면, 새롭게 규칙을 생성하지 않아도 되겠습니다만, 기본적으로 규칙들이 많이 생성되어 있을 수록 시스템 퍼포먼스가 떨어지게 됩니다. 



- 이상입니다.

반응형