■ 개인용 방화벽
관리 서버용으로 우리는 마이크로소프트 윈도 NT 4.0 SP 6a를 돌리는 512MB의 램이 장착된 600MHz 펜티엄 III 컴퓨터를 사용했다. 클라이언트는 윈도 95 OSR 2.0이 돌아가는 64MB 램의 200MHz 펜티엄 컴퓨터였다. 두 대의 공격 기계는 윈도 95 OSR 2.0이 돌아가는 64MB 램의 200MHz 펜티엄과 레드햇 리눅스 6.1 커널 2.2.12-20이 돌아가는 64MB 램의 233MHz 펜티엄이었다.
우리의 리눅스 공격기인 솔틴(Sal-tine)은 특별히 Nmap 2.53(www.insecure.org/nmap)을 돌리는 데 사용되었다. Nmap은 TCP, UDP 및 TCP SYN 포트 스캔을 수행할 수 있는 네트워크 탐험 툴이다. 이것은 또한 TCP/IP 지문을 기반으로 OS 유형을 파악할 수 있다.
윈도 95 공격기인 그레이엄(Graham)은 DoS(Denial of Service) 공격과 트로이 목마 클라이언트를 내보냈다. 클라이언트를 공격하는 데는 주로 백 오리피스 1.20을 사용했다.
백 오리피스 2000과 달리 이 버전은 명령어를 실행시킬 때 접속을 만드는 시도를 하지 않는다. 예를 들어, 만약 프로세스 목록을 위한 명령어를 내보내면, 이것은 하나의 UDP(User Datagram Protocol) 패킷만을 전송하고 얼마나 많은 프로세스들이 돌아가고 있느냐에 따라 적절한 수를 돌려 받는다.
인터넷을 가로질러 컴퓨터들을 시뮬레이팅 하기 위해, 하나의 서브넷에 관리 서버를 두고, 다른 서브넷에 클라이언트, 그리고 세 번째에 공격기를 두었다. 모든 장비들은 별개의 VLAN(virtual LAN) 상의 시스코 시스템즈 카탈리스트 5000으로 연결되었으며, 시스코 4700을 통해 라우팅 되었다. IP 트래픽만이 라우팅 되었으며, 우리는 NT 도메인, 넷바이오스, IPX, 혹은 마이크로소프트 네트워킹을 설정하지 않았다. 초기 배치용으로 스탠드얼론 설치기를 만들었다. 모든 정책 파일 업데이트는 TCP/IP를 통해서만 이루어졌다.
인포익스프레스 ‘사이버아모르 스위트’
테스트한 소프트웨어 중에서 인포익스프레스의 사이버아모르 스위트 엔터프라이즈 퍼스널 파이어월 1.1만이 원격 사용자 기계 배치용으로 진정한 준비를 갖춘 것처럼 보였는데, 그 이유는 이것이 정책 파일과 추적용으로 ID 넘버를 만들어내는 유일한 제품이기 때문이다. 다른 제품들은 네트워크 세팅에 의존하며, 따라서 내부 랜 사용용으로 더욱 적합했다.
사이버아모르는 또한 다양한 환경용으로 서로 다른 정책 파일들을 관리하도록 구성될 수 있는데, 이는 예를 들어 사용자가 정상적인 인터넷 접속에 반대되는 VPN 접속을 만들고자 할 때 효력을 발휘하는 다른 방화벽 규정 세트를 갖고자 한다면 매우 편리한 기능이다.
사이버아모르 스위트는 네 가지 요소로 구성돼 있다. 사이버아모르 클라이언트는 각각의 원격 PC에 설치되며, 사이버서버(CyberServer)는 사이버아모르가 장착된 컴퓨터로부터 경보와 상태 통보를 기록하고, 이 정보가 세 번째 컴포넌트인 사이버콘솔(CyberConsole)을 통해 보여질 수 있게 해준다. 마지막으로 폴리시 매니저(Policy Manager)는 정책 파일들이 생성 및 웹 서버로 퍼블리싱 될 수 있게 지원한다.
■ ID 넘버 만드는 유일 제품
이번 테스트에서 초기 셋업 및 배치에는 문제가 없었다. 폴리시 매니저는 당신을 위한 세 가지 네트워크(기업, 인터넷 및 VPN)를 만들어주는 디폴트 정책 파일들을 갖추고 있다.
사이버아모르는 보호 기능에 있어서 테스트한 다른 제품들을 능가했다. 이 제품은 인바운드 및 아웃바운드 포트 필터링, ICMP 차단 및 애플리케이션 제어를 지원한다. 사이버아모르는 펄(Perl) 양식의 정식 표현법을 이용해 이름이나 와일드카드, 혹은 명령어 라인 변수에 따라 프로그램을 막거나 허용한다. 다른 프로그램에 의해 생겨 나온 프로그램들도 또한 막을 수 있다. 예를 들어 마이크로소프트 아웃룩 익스프레스 안에서 실행되는 모든 .vbs 파일들을 막으면서 퀄콤 유도라(Qualcomm Eudora)가 만들 경우에는 이들이 실행되게 할 수도 있다.
정책 파일은 일상적인 트로이 목마란 이름으로 사전 구성된 상태로 오기 때문에, 기본적인 백 오리피스 파일을 발견했다. 트로이 목마란 이름의 어떠한 자동 업데이트도 발견하지 못했지만, 이런 이름들은 정책 파일에 저장되기 때문에 새로운 지문들을 수동으로 추가하는 일은 적어도 찾고자 하는 것이 무엇인지 알고만 있다면 그리 어렵지 않을 것이다.
불행히도 트로이 목마들이 잡힐 것이라는 보증은 전혀 없었다. 예를 들어, 백 오리피스를 foobar.exe로 이름을 바꾸자 이것은 실행이 가능했다. Nmap은 OS 지문을 돌려놓을 수 없었지만 거르거나 폐쇄했을 때 대부분의 TCP 포트들을 목록에 올렸다. 사이버아모르에서는 핑(ping)을 막을 수 있겠지만, 인터넷 접속을 하려는 프로그램 사용자들에게 경고를 보내는 옵션 모드가 있었으면 더 좋았을 것이다. 사이버전의 소프트웨어는 프로그램이 네트워크 접속을 하려 한다는 사실을 감지했으며, 허가를 받을 수 있게 사용자를 격려했다.
테스트한 제품들 중 사이버아모르만이 중복 로그 및 웹 서버를 지원했다. 이 제품은 당신이 공급한 목록에서 서버를 무작위로 선택하며 나머지는 백업으로 사용한다(부하조절의 원시적 유형). 폴리시 매니저 GUI는 정책 파일을 한번에 단 하나의 웹 서버로만 퍼블리싱할 수 있게 해주지만, 때문에 아마도 여러 번의 퍼블리싱을 하거나 혹은 수동으로 다른 서버에 네트워크 카피를 해야 할 필요가 있을 것이다. 만약 복수 로그 서버를 사용하고 있다면, 공유 데이터베이스 파일을 사용할 필요가 있을 것이다. 인포익스프레스는 복수 로그 서버가 있는 대형 설치기반 용으로 오라클의 사용을 권장하고 있는데, 그 이유는 포함돼 있는 마이크로소프트 액세스 드라이버보다 이것이 두통을 덜 유발할 것이기 때문이다.
■ 트로이 목마 잡힐까
각각의 클라이언트는 기계와 관련된 ID 넘버를 갖고 있으며, 보고를 보내고 그 IP 어드레스에 의해 독립적으로 추적될 수 있다. ID 넘버는 무작위로 만들어지며, 하드웨어 및 소프트웨어 구성에 심겨진다. 프로그램이 관리 서버를 점검함으로써 ID가 유일무이한 것임을 확인할 수 있기를 희망하는 바다. 하지만 인포익스프레스에 따르면, 지구상의 모든 사람이 자사의 소프트웨어를 사용하는 게 아니라면 중복 ID는 거의 존재하지 않을 것이라고 한다.
사이버아모르는 테스트한 제품들 중 보고를 보내거나 정확한 정책 파일을 끌어내는 데 있어 네트워크 설정에 완벽하게 독립적인 유일한 제품이었다. ID 넘버는 수동으로 설정될 수 없지만, 만약 누군가 특정 사용자의 ID와 웹 서버 어드레스를 알고 있다면 그 사람은 비암호화 된 HT-TP를 통해 그 사용자의 정책 파일을 다운로드 할 수 있을 것이다. 하지만 이 소프트웨어에는 보안 예방조치가 되어 있다. 즉, 웹 서버에 있는 사용자 이름 및 패스워드 인증을 이용해, 클라이언트 소프트웨어는 정책 파일의 다운로드 이전에 인증을 할 것이다.
관리적 측면을 보면, 폴리시 매니저는 복수 네트워크 및 정책 규정을 수립하기 쉽게 해준다. 우리는 방화벽이 밖으로 향하는 포트 21(FTP) 패킷이 하나의 서브넷으로 연결될 때 이를 부정하고, 다른 곳에서는 이들을 허용하도록 설정을 했다. 소프트웨어는 우리가 어떤 네트워크 상에 있는지를 (IP 어드레스를 점검함으로써) 감지해냈으며, 맞는 쪽에서 FTP 작동을 허용했다. 또한 위치에 따라서 여러 조건들을 설정할 수도 있을 것이다.
예를 들어, 사용자가 전화접속 모뎀을 통해 접속할 때를 제외하고 기업 네트워크 상의 모든 액세스를 허용하도록 할 수 있는데, 이는 그러한 접속을 통한 액세스는 큰 보안 구멍을 만들 수 있기 때문이다. VPN 가동/정지(레지스트리 키를 조사함으로써 작동)나 키보드 작동 점검, 핑, DNS 이름 룩업, 임의의 인터페이스의 IP 어드레스 혹은 모든 인터페이스의 IP 어드레스 등 기타 옵션들이 있다. 게다가 어떤 정책이 기업 랜으로의 안전한 접속으로 고려될 것인지를 지정할 수도 있다. 로그파일 업로드와 신규정책 다운로드는 비 보안 인터넷 접속을 통하는 것이 아니라 안전한 접속을 통해서만 이루어지도록 구성될 수 있다.
■ 보고 기능에 약간 실망
GUI와 텍스트 파일이 교차하는 폴리시 매니저의 사용자 인터페이스는 우리가 손쉽게 정책 파일들을 만들고 변경할 수 있게 해주었다. 폴리시 매니저는 정책 파일을 텍스트 파일로 보여준다. 이것을 GUI 인터페이스로 편집하기 위해 텍스트 속의 줄을 더블클릭 할 수 있고, 혹은 전통적인 편집을 위해 오른쪽 클릭을 할 수도 있다. 이는 가능한 모든 세팅을 보면서 텍스트 편집에서처럼 조정을 할 수 있게 해준다.
편집은 한 번에 한 줄씩 되긴 하지만, 완벽한 기능의 텍스트 편집기로서 폴리시 매니저를 사용한다는 것은 좋은 생각이 아니다. 우리는 또한 복수 정책 파일들을 비교하기가 힘들다는 사실을 발견했는데, 이것은 이 프로그램이 개별적인 정책 파일 생성을 의도해서 만들어졌기 때문이다.
관리자들은 동일한 정책 파일이 서로 다른 네트워크들에서 효력을 가질 수 있게 하는 능력에 감사할 것이다. 예를 들어, 네트워크 10.1.1.0 상의 모든 것은 기업 네트워크의 일부로 고려될 수 있다. 하지만 기업 네트워크의 다른 부분은 네트워크 192.168.1.0 상에 있을 수도 있다. 이러한 경우, 사이버아모르는 인트라넷상에서만 해석될 수 있는 이름에 대한 DNS 룩업을 사용할 수 있다. 폴리시 매니저는 또한 매크로를 만들 수 있게 해주는데, 이것을 이용하면 정책 파일 내에 복수 네트워크를 위한 공통의 규정 세트를 만들 수 있다. 따라서 예를 들어 모든 텔넷, FTP 및 SNMP 트래픽을 사용자가 있는 장소에 관계없이 차단하고자 한다면, 매크로를 만들어 이것을 정책 파일 안에 정의된 각각의 네트워크 안으로 삽입할 수 있다. 이것은 기본 정책 파일을 읽고 변경하기 쉽게 해준다.
우리는 사이버아모르의 보고 기능에 약간의 실망을 했다. 정책 파일 안에 경보를 야기하는 조건을 지정할 수 있지만, 각각의 상황은 동일하게 취급된다. 따라서 경보에 우선순위 단계를 할당할 수 없으며, 중요한 경보가 목록에서 가장 위에 보이도록 이들을 소팅할 수도 없다. 또한 경보의 원인이 인터페이스 안에서 보다 확실하게 보였다면 더 좋았을 것이다. 네트워크 ICE의 제품은 비교적 공격의 세부사항들을 분명하게 보여주고 있다.
▪ 사이버아모르 스위트 엔터프라이즈 클래스 퍼스널 파이어월 1.1
▪ 인포익스프레스
▪ www.infoexepress.com 혹은 sales@inforxpress.com
