원문: http://info.ahnlab.com/securityinfo/info_view.jsp?seq=6229&category=07
작년부터 급격히 늘어난 웜 및 바이러스로 인해 수많은 서버와 개인PC에 치명적인 피해가 발생하고 있다. 특히 웜은 컴퓨터에만 영향을 미치는 것이 아니라 감염된 컴퓨터에서 다른 컴퓨터로 웜을 전파하는 과정에서 과도한 트래픽이 발생해 네트워크 장애가 동시에 발생하곤 한다.
웜 및 바이러스로 피해를 입은 사용자들이 점차적으로 증가하면서 보안에도 많은 관심을 가지게 되어 대부분의 컴퓨터에백신을 설치하여 사용하고 있지만, 이러한 문제를 사전에 차단할 수 있는 방화벽의 필요성을 인지하고 있는 사용자들은 극히 적다.
방화벽의 필요성을 알고 있는 사용자라 할지라도 개인PC에 방화벽을 설치하여 사용하기엔 금전적인 부담이 커 사용을 하지 않는 경우가 대부분 이다.
방화벽의 필요성을 위와 같이 웜으로 인한 피해를 사전에 차단할 수 있는 도구로 설명을 했지만, 이외에도 방화벽은 다양한 기능을 가지고 있다. 방화벽을 사용하는 대표적인 이유로는 외부에서 유입되는 불필요한 트래픽이나 공격 등을 차단하여 보단 안전한 네트워크를 사용할 수 있으며, 네트워크들간의 통신에 대한 자세한 통계를 제공할 수 있다.
공공기관과 기업에서는 통신에 대한 로깅과 감사에 대한 자료를 제공할 수 있고, 로그를 모니터링하고 분석하면 공격자를 탐지하고 알람을 발생할 수 있기도 하다. 이러한 기능들이 보안을 위해서는 꼭 필요하지만 개인이 구입하여 사용하기엔 장비구입에 따른 부담이 큰 것이 사실이다. 하지만 각 OS를 제공하는 벤더사 또는 개발자들이 오픈소스로 개발해 놓은 프로그램을 이용한다면 위와 비슷한 환경을 만들 수 있다.
패킷 필터링 기능은 Windows에 기본으로 내장되어 있는 TCP/IP 필터링 이란 기능으로 쉽게 구현이 가능하며, ipchins의 경우 OS자체에서 지원하는 방화벽의 대표적인 예로 들 수 있습니다. Windows XP 버전부터는 TCP/IP 필터링 기능 외에도 인터넷 연결 방화벽(ICF, Internet Connection Firewall)을 두어 일반 사용자들이 별다른 어려움 없이 보안 환경을 사용할 수 있도록 제공하고 있다.
이번호에는 많은 사용자들이 사용하고 있는 OS중 Windows XP에 포함되어 있는 인터넷 연결 방화벽(ICF)을 이용하여 추가 비용을 들이지 않고도 개인 방화벽을 구축하는 패킷 필터링을 통한 개인PC 보안에 대해서 다루고자 한다.
인터넷 연결 방화벽(ICF)란?
케이블 모뎀, DSL 모뎀 또는 전화 접속 모뎀을 사용하여 인터넷에 연결된 단일 컴퓨터를 외부의 불필요한 트래픽 및 공격으로부터 보호 할 수 있는 보안 기능을 말한다. 하지만 다른 방화벽과는 달리 기능이 많이 제한되어 있다. ICF 작동 방법은 액티브 패킷 필터링(Active Packet Filtering) 기능을 사용하며, Windows XP 원본 출시 버전에서는 인바운드 유니캐스트 트래픽만 검사한다.
Windows XP 서비스팩1(SP1)을 설치 했을 경우와 Windows Server2003에서는 인바운드 유니캐스트, 멀티캐스트, 브로드캐스트 트래픽을 모두 검사 한다. 아쉽게도 Outbound 트래픽에 대한 필터링 기능은 제공하지 않고 있다.
ICF는 아래와 같은 OS에 포함되어 있다.
- Windows XP Home Edition
- Microsoft Windows Server 2003, 64-Bit Datacenter Edition
- Microsoft Windows Server 2003, 64-Bit Enterprise Edition
- Microsoft Windows Server 2003, Datacenter Edition
- Microsoft Windows Server 2003, Enterprise Edition
- Microsoft Windows Server 2003, Standard Edition
- Microsoft Windows Server 2003, Web Edition
- Microsoft Windows XP Professional SP1
- Microsoft Windows XP Home Edition SP1
- Microsoft Windows XP Tablet PC Edition
- Microsoft Windows XP Media Center Edition
- Microsoft Windows XP 64-Bit Edition
인터넷 연결 방화벽(ICF)의 기능
1. Stateful Packet Filtering
ICF의 핵심 기능으로써 패킷의 주소 지정 정보만을 토대로 패킷의 삭제 여부를 결정하는 정적 패킷필터와 달리 Stateful Packet Filtering은 상태와 세션의 Context 정보를 가지고 필터링 규칙을 적용한다. 여기에 저장된 상태는 정적 필터보다 더욱 자세하고 포괄적인 일련의 규칙을 적용하는 수단을 필터에 제공한다.
2. Stateful Packet Filtering 보안 정책
ICF가 Statefu Packet Filtering을 통해 적용하는 주요 보안 정책에는 다음과 같은 세 가지 규칙이 있다.
- 설정된 연결 흐름과 일치하는 패킷은 전달
- 설정된 연결 흐름과 일치하지 않는 전송된 패킷은 연결 흐름 테이블에 새로운 엔트리를 생성한 다음 전달
- 설정된 연결 흐름과 일치하지 않는 수신된 패킷은 삭제
이 정책은 정상적인 클라이언트 인터넷 액세스(Outbound)는 허용하면서 이러한 액세스와 관련되지 않은 패킷이 네트워크 스택으로 전달되는 것을 차단한다. 여기에는 또한 사용자가 이러한 규칙외에 외부에서 접근 가능한 특정 포트(정적 필터를 생성하는)를 열도록 하는 기능이 있어 IIS의 Web, FTP와 같은 서비스를 허용할 수 있다.
ICF는 또한 보안 정책의 범위를 뛰어 넘어 TCP 패킷에 대해 추가적인 구조 검사를 수행한다. 이러한 검사에는 불가능한 플래크 조합(ex. 단일 패킷에 SYN과 FIN이 모두 있는 조합)이 들어 있는 패킷의 차단을 비롯해 열린 포트에 대한 TCP 3 Way handshaking 실행이 포함된다.
전자의 검사는 임의의 패킷을 다량으로 전송하는 것과 관련된 공격(DoS)을 받을 때 처리 오버헤드를 크게 줄어주며, 후자는 다양한 스캐닝 기법(TCP SYN Scan, Stealth FIN, ACK Scan 등)을 제한한다.
3. 연결 당 기준의 상태 및 구성
ICF는 다중 네트워크 연결에서도 사용할 수 있다. ICF의 각 인스턴스는 저마다 포트 매핑 및 ICMP 구성 옵션을 갖고 있어 서로 독립적인 관계를 유지한다.
4. Spoofing 차단
ICF는 응용 프로그램에 IP Spoofing 공격을 차단해 준다. Windows XP에서는 IP_HDRINCL 옵션을 지원하여 소켓 응용 프로그램에서 패킷의 원본 IP 주소를 설정 또는 수정할 수 있다. ICF는 Spoofing된 IP에 대해 아웃바운드 패킷 검사를 실시하는데 여기에는 TCP, UDP, ICMP 및 PPTP/GRE(지점간 터널링 프로토콜 - 가상 사설망) 통신 등이 포함된다.
ICF와 ICS(Internet Connection Sharing)를 함께 사용하면 Spoofing된 트래픽에 ICS 호스트의 올바른 IP 주소가 들어가도록 수정하여 악의적인 코드가 IP Spoofing되는 것을 차단한다. 이 기능으로 Windwos XP 클라이언트가 DoS 공격에 참가하는 것을 막지는 못하며, 단지Windows XP 클라이언트가 자신의 IP 주소를 위장하지 못하게 할 뿐이다.
5. 표준 프로토콜 지원
ICF는 FTP, H.323, LDAP, T.120 및 PPTP 같은 인터넷 표준 프로토콜을 지원한다.
6. 전송 지원
ICF는 Ipv4 트래픽의 필터링을 지원하지만 NetBEUI, IPX/SPX 및 IPv6전송은 지원하지 않는다.
인터넷 연결 방화벽(ICF) 설치 및 기능 활성화
ICF는 위의 OS에 포함되어 있으며, 기능을 활성화 하는 방법으로 다음과 같은 4가지 방법이 있다.
1. Windows 마법사
Windows XP Home Edition이나 Windows XP Professional을 독립 실행형 컴퓨터(네트워크 도메인에 참여하지 않은)에 설치하면 이 마법사 창이 나타난다. 마법사를 이용하면 인터넷 연결, Windows 복사 실행, Windows 등록 및 사용자 계정 생성 등의 작업을 간단히 수행할 수 있다. PC가 단일 네트워크에 연결되어 있고 이 네트워크 연결이 인터넷 연결용이라는 것이 확인되면 위의 Windows 마법사 창이 이 연결에서 ICF 기능을 활성화한다.
2. 네트워크 설정 마법사(NSW-Network Setup Wizard)
NSW를 실행하면 사용자의 인터넷 연결 방식을 묻는다(5가지 옵션이 있음). 만일 PC가 인터넷에 직접 연결되어 있다는 옵션을 선택하면
해당 인터넷 연결에서 ICF를 사용할 수 있다. (독립 실행형 컴퓨터의 Windows XP Home Edition 및 Windows XP Professional만 해당함)
3. 네트워크 연결 마법사(NCW-New Connection Wizard)
NCW를 실행하고 인터넷 연결 경로를 선택하면 지정된 인터넷 연결에서 ICF를 사용할 수 있다.
4. 네트워크 연결 폴더
가장 간편하게 사용할 수 있는 방법으로써, 네트워크 연결 속성 페이지에서 고급 탭으로 이동한 다음 간단한 확인란을 통해 ICF를
활성화할 수 있다. 네트워크 연결 폴더는 제어판의 네트워크 및 인터넷 연결 영역에 있다.
ICF의 구성 옵션
1. 포트 매핑(Port Mapping)
ICF로 들어오는 모든 요청하지 않은 Inbound 연결은 기본적으로 삭제된다. 이 기능은 인터넷에 있는 누군가가 액세스하길 원하는 서비스를 ICF가 실행되고 있는 서버에서 실행하고 있을 경우 문제의 소지가 있다. 포트 매핑(정적 필터)은 서비스와 응용 프로그램이 방화벽에 Inbound 연결 처리 방법에 관한 규칙을 생성하는 방식이다.
ICF는 포트 매핑을 생성하여(ex. 웹 서버에 대해 포트 80 Open) 인터넷상의 다른 사용자가 보낸 요청을 사용자의 웹 사이트로 전달해 웹 서버에서 실행되도록 해준다. 마찬가지로 방화벽에 문제를 일으킬 만한 프로토콜을 사용하는 응용 프로그램도 있다. 이는 대개 원치 않는 포트나 다른 IP 주소로부터 반환되는 Outbound 연결 요청에 대한 응답 때문이며 스트리밍 미디어와 채팅 응용 프로그램에서 흔히 발생한다.
이 경우 포트 매핑을 생성하면 응용 프로그램은 응답 트래픽을 표시된 Outbound 연결이 아닌 다른 포트로 되돌려 보내도록 ICF를 구성할 수 있다. ICS와 ICF를 동일한 연결에서 함께 실행하면 서로 매핑 테이블을 공유하므로 한 기능에서 생성한 포트 매핑을 다른 기능에서 가져가게
된다.
2. 포트 매핑 방법
① ICF 활성화 창에서 '인터넷 연결 방화벽을 활성화 하면 하단 설정란이 활성화 된다.
② 활성화를 클릭하면 아래와 같은 창이 나타납니다. 아래창을 보시면 일반적인 서비스를 위한 기본 포트 매핑 옵션을 제공하는 것을 볼 수 있으며, 이러한 포트 매핑은 활성화되어 있지 않는다.
③ 기본으로 제공되는 포트를 제외한 다른 포트를 생성하기 위해서는 서비스 탭에서 추가를 클릭한다.
⒜ 서비스 설명
- 열려는 포트를 식별할 수 있도록 서비스명을 입력한다. 예를 들어 DNS Port를 생성하기 위해서 위와 같이 서비스 설명란에 'DNS'로 기재한다.
⒝ 컴퓨터의 이름 또는 IP 주소
- 네트워크에서 이 서비스를 호스팅하는 컴퓨터의 이름 또는 IP 주소에 127.0.0.1이라고 입력한다.
⒞ 외부 포트 번호 및 내부 포트 번호
- 생성하려는 서비스에 대한 포트 번호를 내부, 외부에 입력한다.
⒟ 프로토콜
- TCP 또는 UDP를 클릭한 다음 확인을 클릭한다.
3. 로깅 옵션
ICF는 네트워크 트래픽을 로깅할 수 있다. 이 로깅은 W3C Extended Log File Format을 따르며 로그 파일은 데이터 분석을 위해 가져올 수 있는 ASCII 텍스트 파일이다. ICF는 네 가지 기본 로깅 옵션이 있으며 모든 로깅 옵션은 기본적으로 비활성화 되어 있다.
①삭제된 모든 패킷 로그
- 이 옵션은 Inbound 및 Outbound 연결에서 삭제된 모든 패킷을 로깅한다.
②성공적인 모든 연결 로그
- 이 옵션은 성공적인 Outbound 및 Inbound 연결을 로깅한다.
③파일 이름 및 위치 로그
- 로그 파일의 기본 이름은 pfirewall.log이며 로그 파일의 기본 위치는 %windir%이다. 사용자는 로그 파일의 이름과 위치를 모두 설정할 수 있다.
④로그 파일 크기
- 기본 파일 크기는 4096KB이며 최대 크기는 32767KB이다.
4. ICMP 옵션
ICMP(Internet Control Message Protocol) 메시지에는 PC끼리 서로 오류 메시지를 알리고 상태를 제어하는 방식이 나와 있다. 이러한 메시지는 해킹 및 DoS 공격에 주로 사용할 수 있다. ICF 구성의 ICMP 옵션은 다음과 같다.
- Allow incoming Echo Requests(메시지 유형 8)
- Allow incoming timestamp request(메시지 유형 13)
- Allow incoming mask request(메시지 유형 17)
- Allow incoming router request(메시지 유형 10)
- Allow outgoing destination unreachable(메시지 유형 3)
- Allow outgoing source quench(메시지 유형 4)
- Allow outgoing parameter problem(메시지 유형 12)
- Allow outgoing time exceeded(메시지 유형 11)
- Allow redirect(메시지 유형 5)
위의 옵션 및 이들의 사용에 관한 정보는 IETF RFCs - RFC 792, RFC 1256 및 RFC 950에 나와 있다.
ICMP 대화 상자에서는 고급 탭에서 선택한 모든 연결에 대해 Windows 방화벽이 허용하는 ICMP 메시지의 종류를 활성화하고 비활성화할 수 있다. ICMP 메시지는 진단, 오류 조건 보고 및 구성에 사용된다. 기본적으로 목록의 모든 ICMP 메시지는 허용되지 않는다.
연결 문제를 해결하기 위한 일반적인 단계는 연결을 시도 중인 컴퓨터의 주소에 ping 도구를 사용하여 ping을 수행하는 것이다. ping을 수행하여 ICMP Echo 메시지를 보내면 ICMP Echo Reply 메시지가 응답으로 돌아온다.
기본적으로 Windows 방화벽은 수신 ICMP Echo 메시지를 허용하지 않으므로, 컴퓨터가 ICMP Echo Reply 메시지를 응답으로 보낼 수 없다. 수신 ICMP Echo 메시지를 허용하도록 Windows 방화벽을 구성하려면 수신 에코 요청 허용 설정을 활성화해야 한다.
작년부터 급격히 늘어난 웜 및 바이러스로 인해 수많은 서버와 개인PC에 치명적인 피해가 발생하고 있다. 특히 웜은 컴퓨터에만 영향을 미치는 것이 아니라 감염된 컴퓨터에서 다른 컴퓨터로 웜을 전파하는 과정에서 과도한 트래픽이 발생해 네트워크 장애가 동시에 발생하곤 한다.
웜 및 바이러스로 피해를 입은 사용자들이 점차적으로 증가하면서 보안에도 많은 관심을 가지게 되어 대부분의 컴퓨터에백신을 설치하여 사용하고 있지만, 이러한 문제를 사전에 차단할 수 있는 방화벽의 필요성을 인지하고 있는 사용자들은 극히 적다.
방화벽의 필요성을 알고 있는 사용자라 할지라도 개인PC에 방화벽을 설치하여 사용하기엔 금전적인 부담이 커 사용을 하지 않는 경우가 대부분 이다.
방화벽의 필요성을 위와 같이 웜으로 인한 피해를 사전에 차단할 수 있는 도구로 설명을 했지만, 이외에도 방화벽은 다양한 기능을 가지고 있다. 방화벽을 사용하는 대표적인 이유로는 외부에서 유입되는 불필요한 트래픽이나 공격 등을 차단하여 보단 안전한 네트워크를 사용할 수 있으며, 네트워크들간의 통신에 대한 자세한 통계를 제공할 수 있다.
공공기관과 기업에서는 통신에 대한 로깅과 감사에 대한 자료를 제공할 수 있고, 로그를 모니터링하고 분석하면 공격자를 탐지하고 알람을 발생할 수 있기도 하다. 이러한 기능들이 보안을 위해서는 꼭 필요하지만 개인이 구입하여 사용하기엔 장비구입에 따른 부담이 큰 것이 사실이다. 하지만 각 OS를 제공하는 벤더사 또는 개발자들이 오픈소스로 개발해 놓은 프로그램을 이용한다면 위와 비슷한 환경을 만들 수 있다.
패킷 필터링 기능은 Windows에 기본으로 내장되어 있는 TCP/IP 필터링 이란 기능으로 쉽게 구현이 가능하며, ipchins의 경우 OS자체에서 지원하는 방화벽의 대표적인 예로 들 수 있습니다. Windows XP 버전부터는 TCP/IP 필터링 기능 외에도 인터넷 연결 방화벽(ICF, Internet Connection Firewall)을 두어 일반 사용자들이 별다른 어려움 없이 보안 환경을 사용할 수 있도록 제공하고 있다.
이번호에는 많은 사용자들이 사용하고 있는 OS중 Windows XP에 포함되어 있는 인터넷 연결 방화벽(ICF)을 이용하여 추가 비용을 들이지 않고도 개인 방화벽을 구축하는 패킷 필터링을 통한 개인PC 보안에 대해서 다루고자 한다.
인터넷 연결 방화벽(ICF)란?
케이블 모뎀, DSL 모뎀 또는 전화 접속 모뎀을 사용하여 인터넷에 연결된 단일 컴퓨터를 외부의 불필요한 트래픽 및 공격으로부터 보호 할 수 있는 보안 기능을 말한다. 하지만 다른 방화벽과는 달리 기능이 많이 제한되어 있다. ICF 작동 방법은 액티브 패킷 필터링(Active Packet Filtering) 기능을 사용하며, Windows XP 원본 출시 버전에서는 인바운드 유니캐스트 트래픽만 검사한다.
Windows XP 서비스팩1(SP1)을 설치 했을 경우와 Windows Server2003에서는 인바운드 유니캐스트, 멀티캐스트, 브로드캐스트 트래픽을 모두 검사 한다. 아쉽게도 Outbound 트래픽에 대한 필터링 기능은 제공하지 않고 있다.
ICF는 아래와 같은 OS에 포함되어 있다.
- Windows XP Home Edition
- Microsoft Windows Server 2003, 64-Bit Datacenter Edition
- Microsoft Windows Server 2003, 64-Bit Enterprise Edition
- Microsoft Windows Server 2003, Datacenter Edition
- Microsoft Windows Server 2003, Enterprise Edition
- Microsoft Windows Server 2003, Standard Edition
- Microsoft Windows Server 2003, Web Edition
- Microsoft Windows XP Professional SP1
- Microsoft Windows XP Home Edition SP1
- Microsoft Windows XP Tablet PC Edition
- Microsoft Windows XP Media Center Edition
- Microsoft Windows XP 64-Bit Edition
인터넷 연결 방화벽(ICF)의 기능
1. Stateful Packet Filtering
ICF의 핵심 기능으로써 패킷의 주소 지정 정보만을 토대로 패킷의 삭제 여부를 결정하는 정적 패킷필터와 달리 Stateful Packet Filtering은 상태와 세션의 Context 정보를 가지고 필터링 규칙을 적용한다. 여기에 저장된 상태는 정적 필터보다 더욱 자세하고 포괄적인 일련의 규칙을 적용하는 수단을 필터에 제공한다.
2. Stateful Packet Filtering 보안 정책
ICF가 Statefu Packet Filtering을 통해 적용하는 주요 보안 정책에는 다음과 같은 세 가지 규칙이 있다.
- 설정된 연결 흐름과 일치하는 패킷은 전달
- 설정된 연결 흐름과 일치하지 않는 전송된 패킷은 연결 흐름 테이블에 새로운 엔트리를 생성한 다음 전달
- 설정된 연결 흐름과 일치하지 않는 수신된 패킷은 삭제
이 정책은 정상적인 클라이언트 인터넷 액세스(Outbound)는 허용하면서 이러한 액세스와 관련되지 않은 패킷이 네트워크 스택으로 전달되는 것을 차단한다. 여기에는 또한 사용자가 이러한 규칙외에 외부에서 접근 가능한 특정 포트(정적 필터를 생성하는)를 열도록 하는 기능이 있어 IIS의 Web, FTP와 같은 서비스를 허용할 수 있다.
ICF는 또한 보안 정책의 범위를 뛰어 넘어 TCP 패킷에 대해 추가적인 구조 검사를 수행한다. 이러한 검사에는 불가능한 플래크 조합(ex. 단일 패킷에 SYN과 FIN이 모두 있는 조합)이 들어 있는 패킷의 차단을 비롯해 열린 포트에 대한 TCP 3 Way handshaking 실행이 포함된다.
전자의 검사는 임의의 패킷을 다량으로 전송하는 것과 관련된 공격(DoS)을 받을 때 처리 오버헤드를 크게 줄어주며, 후자는 다양한 스캐닝 기법(TCP SYN Scan, Stealth FIN, ACK Scan 등)을 제한한다.
3. 연결 당 기준의 상태 및 구성
ICF는 다중 네트워크 연결에서도 사용할 수 있다. ICF의 각 인스턴스는 저마다 포트 매핑 및 ICMP 구성 옵션을 갖고 있어 서로 독립적인 관계를 유지한다.
4. Spoofing 차단
ICF는 응용 프로그램에 IP Spoofing 공격을 차단해 준다. Windows XP에서는 IP_HDRINCL 옵션을 지원하여 소켓 응용 프로그램에서 패킷의 원본 IP 주소를 설정 또는 수정할 수 있다. ICF는 Spoofing된 IP에 대해 아웃바운드 패킷 검사를 실시하는데 여기에는 TCP, UDP, ICMP 및 PPTP/GRE(지점간 터널링 프로토콜 - 가상 사설망) 통신 등이 포함된다.
ICF와 ICS(Internet Connection Sharing)를 함께 사용하면 Spoofing된 트래픽에 ICS 호스트의 올바른 IP 주소가 들어가도록 수정하여 악의적인 코드가 IP Spoofing되는 것을 차단한다. 이 기능으로 Windwos XP 클라이언트가 DoS 공격에 참가하는 것을 막지는 못하며, 단지Windows XP 클라이언트가 자신의 IP 주소를 위장하지 못하게 할 뿐이다.
5. 표준 프로토콜 지원
ICF는 FTP, H.323, LDAP, T.120 및 PPTP 같은 인터넷 표준 프로토콜을 지원한다.
6. 전송 지원
ICF는 Ipv4 트래픽의 필터링을 지원하지만 NetBEUI, IPX/SPX 및 IPv6전송은 지원하지 않는다.
인터넷 연결 방화벽(ICF) 설치 및 기능 활성화
ICF는 위의 OS에 포함되어 있으며, 기능을 활성화 하는 방법으로 다음과 같은 4가지 방법이 있다.
1. Windows 마법사
Windows XP Home Edition이나 Windows XP Professional을 독립 실행형 컴퓨터(네트워크 도메인에 참여하지 않은)에 설치하면 이 마법사 창이 나타난다. 마법사를 이용하면 인터넷 연결, Windows 복사 실행, Windows 등록 및 사용자 계정 생성 등의 작업을 간단히 수행할 수 있다. PC가 단일 네트워크에 연결되어 있고 이 네트워크 연결이 인터넷 연결용이라는 것이 확인되면 위의 Windows 마법사 창이 이 연결에서 ICF 기능을 활성화한다.
2. 네트워크 설정 마법사(NSW-Network Setup Wizard)
NSW를 실행하면 사용자의 인터넷 연결 방식을 묻는다(5가지 옵션이 있음). 만일 PC가 인터넷에 직접 연결되어 있다는 옵션을 선택하면
해당 인터넷 연결에서 ICF를 사용할 수 있다. (독립 실행형 컴퓨터의 Windows XP Home Edition 및 Windows XP Professional만 해당함)
3. 네트워크 연결 마법사(NCW-New Connection Wizard)
NCW를 실행하고 인터넷 연결 경로를 선택하면 지정된 인터넷 연결에서 ICF를 사용할 수 있다.
4. 네트워크 연결 폴더
가장 간편하게 사용할 수 있는 방법으로써, 네트워크 연결 속성 페이지에서 고급 탭으로 이동한 다음 간단한 확인란을 통해 ICF를
활성화할 수 있다. 네트워크 연결 폴더는 제어판의 네트워크 및 인터넷 연결 영역에 있다.
[그림1] 네트워크 연결 폴더를 이용한 ICF 활성화
ICF의 구성 옵션
1. 포트 매핑(Port Mapping)
ICF로 들어오는 모든 요청하지 않은 Inbound 연결은 기본적으로 삭제된다. 이 기능은 인터넷에 있는 누군가가 액세스하길 원하는 서비스를 ICF가 실행되고 있는 서버에서 실행하고 있을 경우 문제의 소지가 있다. 포트 매핑(정적 필터)은 서비스와 응용 프로그램이 방화벽에 Inbound 연결 처리 방법에 관한 규칙을 생성하는 방식이다.
ICF는 포트 매핑을 생성하여(ex. 웹 서버에 대해 포트 80 Open) 인터넷상의 다른 사용자가 보낸 요청을 사용자의 웹 사이트로 전달해 웹 서버에서 실행되도록 해준다. 마찬가지로 방화벽에 문제를 일으킬 만한 프로토콜을 사용하는 응용 프로그램도 있다. 이는 대개 원치 않는 포트나 다른 IP 주소로부터 반환되는 Outbound 연결 요청에 대한 응답 때문이며 스트리밍 미디어와 채팅 응용 프로그램에서 흔히 발생한다.
이 경우 포트 매핑을 생성하면 응용 프로그램은 응답 트래픽을 표시된 Outbound 연결이 아닌 다른 포트로 되돌려 보내도록 ICF를 구성할 수 있다. ICS와 ICF를 동일한 연결에서 함께 실행하면 서로 매핑 테이블을 공유하므로 한 기능에서 생성한 포트 매핑을 다른 기능에서 가져가게
된다.
2. 포트 매핑 방법
① ICF 활성화 창에서 '인터넷 연결 방화벽을 활성화 하면 하단 설정란이 활성화 된다.
② 활성화를 클릭하면 아래와 같은 창이 나타납니다. 아래창을 보시면 일반적인 서비스를 위한 기본 포트 매핑 옵션을 제공하는 것을 볼 수 있으며, 이러한 포트 매핑은 활성화되어 있지 않는다.
[그림2] 포트 매핑 방법
③ 기본으로 제공되는 포트를 제외한 다른 포트를 생성하기 위해서는 서비스 탭에서 추가를 클릭한다.
⒜ 서비스 설명
- 열려는 포트를 식별할 수 있도록 서비스명을 입력한다. 예를 들어 DNS Port를 생성하기 위해서 위와 같이 서비스 설명란에 'DNS'로 기재한다.
⒝ 컴퓨터의 이름 또는 IP 주소
- 네트워크에서 이 서비스를 호스팅하는 컴퓨터의 이름 또는 IP 주소에 127.0.0.1이라고 입력한다.
⒞ 외부 포트 번호 및 내부 포트 번호
- 생성하려는 서비스에 대한 포트 번호를 내부, 외부에 입력한다.
⒟ 프로토콜
- TCP 또는 UDP를 클릭한 다음 확인을 클릭한다.
[그림3] 서비스 추가
3. 로깅 옵션
ICF는 네트워크 트래픽을 로깅할 수 있다. 이 로깅은 W3C Extended Log File Format을 따르며 로그 파일은 데이터 분석을 위해 가져올 수 있는 ASCII 텍스트 파일이다. ICF는 네 가지 기본 로깅 옵션이 있으며 모든 로깅 옵션은 기본적으로 비활성화 되어 있다.
①삭제된 모든 패킷 로그
- 이 옵션은 Inbound 및 Outbound 연결에서 삭제된 모든 패킷을 로깅한다.
②성공적인 모든 연결 로그
- 이 옵션은 성공적인 Outbound 및 Inbound 연결을 로깅한다.
③파일 이름 및 위치 로그
- 로그 파일의 기본 이름은 pfirewall.log이며 로그 파일의 기본 위치는 %windir%이다. 사용자는 로그 파일의 이름과 위치를 모두 설정할 수 있다.
④로그 파일 크기
- 기본 파일 크기는 4096KB이며 최대 크기는 32767KB이다.
[그림4] 로깅 옵션
4. ICMP 옵션
ICMP(Internet Control Message Protocol) 메시지에는 PC끼리 서로 오류 메시지를 알리고 상태를 제어하는 방식이 나와 있다. 이러한 메시지는 해킹 및 DoS 공격에 주로 사용할 수 있다. ICF 구성의 ICMP 옵션은 다음과 같다.
- Allow incoming Echo Requests(메시지 유형 8)
- Allow incoming timestamp request(메시지 유형 13)
- Allow incoming mask request(메시지 유형 17)
- Allow incoming router request(메시지 유형 10)
- Allow outgoing destination unreachable(메시지 유형 3)
- Allow outgoing source quench(메시지 유형 4)
- Allow outgoing parameter problem(메시지 유형 12)
- Allow outgoing time exceeded(메시지 유형 11)
- Allow redirect(메시지 유형 5)
위의 옵션 및 이들의 사용에 관한 정보는 IETF RFCs - RFC 792, RFC 1256 및 RFC 950에 나와 있다.
ICMP 대화 상자에서는 고급 탭에서 선택한 모든 연결에 대해 Windows 방화벽이 허용하는 ICMP 메시지의 종류를 활성화하고 비활성화할 수 있다. ICMP 메시지는 진단, 오류 조건 보고 및 구성에 사용된다. 기본적으로 목록의 모든 ICMP 메시지는 허용되지 않는다.
연결 문제를 해결하기 위한 일반적인 단계는 연결을 시도 중인 컴퓨터의 주소에 ping 도구를 사용하여 ping을 수행하는 것이다. ping을 수행하여 ICMP Echo 메시지를 보내면 ICMP Echo Reply 메시지가 응답으로 돌아온다.
기본적으로 Windows 방화벽은 수신 ICMP Echo 메시지를 허용하지 않으므로, 컴퓨터가 ICMP Echo Reply 메시지를 응답으로 보낼 수 없다. 수신 ICMP Echo 메시지를 허용하도록 Windows 방화벽을 구성하려면 수신 에코 요청 허용 설정을 활성화해야 한다.
