Norton 360 5.0 리뷰 (5) - PC 보안 : 방화벽

노턴 360의 방화벽 기능을 살펴봅니다.

▶ Norton 360 5.0 리뷰 모음

- Norton 360 5.0 리뷰 (1) - 개요 및 기본 UI
- Norton 360 5.0 리뷰 (2) - PC 보안 : 악성코드 진단 (검사 및 진단)
- Norton 360 5.0 리뷰 (3) - PC 보안 : 악성코드 진단 (환경 설정)
- Norton 360 5.0 리뷰 (4) - PC 보안 : 악성코드 진단 (세부 분석)

---

5. PC 보안 - 내트워크 보안

이번 글부터 노턴 360의 방화벽과 침입 방지 기능 등 내트워크 단에서 동작하는 보안 기능을 살펴봅니다.
살펴볼 기능들은 아래와 같습니다.

- 스마트 방화벽(양방향 방화벽)
- 침입 차단(nIPS) 및 브라우저 보호
- 고급 이벤트 모니터링 (HIDS)
- 신원 보호 (Safe WEb 등)
- 내트워크 도구

5-1. 스마트 방화벽

노턴의 방화벽은 기본 구성 요소인 규칙 설정 항목과 스텔스 포트 기능 등 기본적인 항목들은 구성이 잘되어 있으나 네트워크 연결 확인 기능처럼 사용자 작업에 도움을 주는 기능은 존재하지 않습니다.

이는 자동 처리를 모든 작업의 기본 규칙으로 정한 노턴의 정책과도 연관되어 있어 보입니다. 하지만 자동 처리만으로도 별 문제없이 사용할 수 있을 만큼 기본 설정이 잘 구성되어 있습니다. 실제로 사용자 처리로 환경 설정을 변경하거나 고급 이벤트 모니터링 기능을 사용하지 않는다면 거의 손댈 필요가 없는 기능 중 하나가 방화벽입니다.


(1) 환경 설정

---

메인 화면에서 '설정' -> '방화벽' 을 클릭하여 방화벽 및 네트워크 보안 기능 설정창을 활성화 합니다.

참고로 자동 설정 조정은 '고급 설정' ->'자동 프로그램 제어' 항목에서 가능합니다.

① 일반설정

---

▶ 비정상 프로토콜 
  - TCP/IP, DHCP, DNS, HTTP 등과 같은 정상 프로토콜이 아닌 비정상 프로토콜을 이용하여 시스템
    에 침입하려는 시도를 차단합니다. 다음 글에서 다룰 침입 차단  기능은 정상 프로토콜을 이용한
    취약점 공격 등을 전문적으로 차단하는 기능으로 비정상 프로토콜과는 다른 기능입니다.
 

사실 비정상 프로토콜 연결은 '비정상'이라는 어휘가 쓰여서 그렇지 규격화된 프로토콜들에 대한 처리 기능입니다. 일반 PC나 시스템에에서 이용되지 않는 프로토콜들을 이용한 접속을 차단하는 것으로 생각하면 될 것 같습니다.

▶ 방화벽 재설정
  - 먼저 화면 우상단의 '기본값 사용'은 환경 설정 항목을 원래의 설정으로 바꾸는 기능입니다.
    방화벽 재설정은 '기본값 사용' 기능에 추가하여 프로그램 규칙 및 트래픽 규칙에서 사용자가 생성
    하거나 자동 처리에 의해 생성된 모든 규칙을 초기화 하는 기능입니다.

▶ 차단된 포트 숨김
 - 일반적으로 스텔스 모드라고 불리는 기능으로, 포트 스캔 등을 차단하여 포트의 상태를 숨기는
   기능입니다.

▶ 상태 기반 프로토콜 필터 - 이 기능은 도움말의 내용을 그대로 옮겨와 설명하겠습니다.

상태 기반 프로토콜 필터는 두 시스템 간의 알려진 연결 상태와 일치하지 않는 잘못된 데이터 패킷을 허용하지 않거나 필터링합니다. 연결 상태에는 IP 주소, 포트, 연결을 통과하는 데이터 패킷의 일련 번호와 같은 속성이 포함됩니다.

방화벽이 다음을 수행하도록 하려면 상태 기반 프로토콜 필터 옵션을 선택하십시오.

• 시스템에 들어오는 네트워크 트래픽을 분석합니다.

• 시스템에 연결하려고 시도하는 의심스러운 응용 프로그램을 차단합니다.

상태 기반 프로토콜 필터는 수신 데이터 트래픽에 대해 트래픽 규칙을 적용합니다. 필터는 먼저 수신 통신 유형에 사용되는 프로토콜이 허용된 프로토콜인지 확인합니다. 그런 다음 트래픽의 원본을 식별하고 해당 원본 주소의 신뢰성을 검사합니다. 상태 기반 프로토콜 필터는 이 분석을 기반으로 트래픽을 허용하거나 차단합니다.

▶ 자동 파일/프린터 공유 제어
 - 시스템 간 파일 및 프린터 공유를 쉽게 하기 위한 기능입니다. 따로 트래픽 규칙에서 공유 관련 규
   칙을 생성할 필요 없이 해당 기능을 활성화 함으로 쉽게 공유를 할 수 있습니다.
   단, 이 기능은 노턴이 설치되기 전에 이미 각 시스템간 공유가 이루어져있을 때, 이를 자동으로 허
   용 또는 허용 여부를 사용자에게 알려주는 기능입니다. 따라서 시스템 간 공유는 사용자가 직접
   설정을 해야합니다.

② 프로그램 규칙

---

시스템에서 구동되는 어플리케이션들의 네트워크 연결을 관리하는 설정 항목입니다. 자동 모드나 사용자 처리 모드에서 생성된 규칙을 이곳에 관리할 수 있습니다. 위의 그림처럼 '자동'으로 표시된 부분은 모두 자동 모드에서 생성된 규칙들입니다.

'수정'버튼을 클릭하면 아래와 같이 수정창이 활성화되며 규칙을 수정할 수 있습니다. 규칙 생성의 자세한 항목은 따로 살펴보도록 하겠습니다.

수동 모드일 경우 프로그램이 네트워크 연결을 시도하면 아래와 같은 팝업창이 생성되며 사용자 처리를 요구합니다.

방화벽 규칙 수동 생성 항목에서 세부적인 규칙을 생성할 수 있으며, 규칙 생겅 과정은 역시 트래픽 규칙의 규칙 생성과 동일하므로 아래에서 살펴보겠습니다.



③ 트래픽 규칙

---

방화벽의 기본 구성 항목인 트래픽 규칙 항목입니다. 기본적으로 네트워크 연결에 기본적인 규칙을 생성/관리 하는 항목으로 프로그램 규칙보다 항상 먼저 적용되는 상위 규칙입니다.

그런데 노턴 360은 특정 프로그램 규칙은 사용자가 수정 및 제거가 불가능하도록 구성되어 있습니다. 트래픽 규칙 항목 자체가 고급 사용자를 위한 항목이기 때문에 이런 제한이 있는 것은 잘 이해가 안갑니다.

그러나 꼼수로 이런 제한을 없앨 수 있는데, 이는 방화벽의 규칙 우선 순위를 이용한 꼼수입니다. 일반적으로 방화벽의 트래픽 규칙은 나열된 규칙의 상하 관계를 통해 우선 순위를 부여합니다. 쉽게 말해 위에 있는 규칙이 아래에 있는 규칙보다 우선권이 있습니다. 그래서 위 그림의 '위로 이동/아래로 이동' 항목을 통해 규칙의 우선 순위를 조정할 수 있습니다.

따라서 사용자가 수정할 수 없도록 구성된 규칙을 아래로 내리고, 해당 규칙과 반대되는 새로운 규칙을 생성하여 위로 올리는 방식으로 규칙을 조정할 수 있습니다. 다만 꼼수 인지라 모든 부분에서 통하는 지는 확인을 못하였습니다.

아래는 이와 관련된 간단한 문제입니다. 아래와 같이 우선 순위가 부여되면 과연 아웃바운드 연결을 시도하는 프로그램은 연결이 가능할까요??

정답은??

(2) 트래픽 및 프로그램 규칙 생성 및 수정

---

중간 프로토콜 관련한 항목을 제외하고는 트래픽 규칙 생성과 프로그램 규칙 생성은 동일한 과정을 통해 이루어집니다.

최초 과정은 연결의 '허용/차단' 여부를 결정하는 것입니다. '모니터'의 경우 해당 규칙이 적용되는 연결이 발생할 경우 이벤트 로그에 기록하는 항목입니다. 이후 과정에서 '보안 기록 로그 생성' 항목을 체크해도 동일한 역활을 합니다.

두 번째 과정은 '아웃바운드/인바운드/양방향' 연결을 결정하는 항목입니다.

세 번째 과정은 연결을 하려는 원격지(여기서는 외부 시스템)를 설정합니다. 

세 번째 항목을 선택하면 특정한 외부 시스템(IP)을 설정 할 수 있습니다. 참고로 IPv6도 가능합니다.

네 번째 과정은 연결 시 사용하는 프로토콜과 포트를 설정합니다.

포트 설정 항목은 위와 같이 간단한 설명도 포함하고 있습니다. 다수의 포트 선택은 물론 범위 값을 지정할 수도 있습니다.

다섯 번째 항목은 이벤트 기록과 IPv6와 관련된 항목입니다. 

' 보안 로그 기록 항목 생성'은 해당 연결이 이루어질 경우 '보안 기록 확인'에 해당 내용이 저장되는 것입니다.

'NAT Traversal'은 NAT gateway 내에서의 TCP/UDP 연결 및 유지를 위한 기술들의 일괄적인 명칭입니다. 개인 시스템 상에서는 일반적으로 거의 필요가 없습니다. 

아래와 같이 이름을 추가하면 규칙 생성 과정이 마치게 됩니다.

---

- 네트워크 보안 2편으로 넘어갑니다.