COMODO Firewall Behavior Settings(코모도 방화벽 고급 설정) 설정 방법

오늘은 COMODO Firewall Behavior Settings(코모도 방화벽 고급 설정) 설정 방법에 대해 글을 적어보겠습니다. 일단은 해당 기능 코모도 방화벽에서 고급으로 제공하는 기능으로서 다음과 기능을 제공하고 있습니다.
코모도 방화벽 고급 설정
Filter IP v6 traffic(IP v6 트래픽 필터링)
Filter loopback traffic(루프백 트래픽 필터링)
Block Fragmented IP traffic(조각난 IP 트래픽 차단)
Do protocol Analysis(프로토콜 분석 수행)
Enable anti-ARP spoofing(ARP 스푸핑 방지 활성화)
항목들 설명
Filter IP v6 traffic(IP v6 트래픽 필터링):활성화되면 CIS는 IPv4 트래픽 외에도 IPv6 네트워크 트래픽을 필터링(기본값 비활성화)
IPv6 트래픽 필터링 해야 하는 이유
IPv6는 인터넷 주소 고갈 문제를 해결하고 더 많은 주소 공간을 제공하기 위해 개발되었지만, 해당 부분은 보안과 관리 측면에서 새로운 도전과 위험을 가져옴
다음은 IPv6 트래픽 필터링이 필요한 이유

COMODO Firewall Behavior Settings(코모도 방화벽 고급 설정)

1. 보안: IPv6는 더 큰 주소 공간을 제공하므로 공격자가 더 많은 IP 주소를 이용하여 공격을 시도할 수 있음
IPv6 트래픽 필터링을 통해 악성 트래픽을 차단하고 보안을 강화할 수 있음
2. 애플리케이션 및 서비스 보호: IPv6 환경에서도 서비스 및 애플리케이션을 보호하기 위해 트래픽 필터링이 필요
악성 트래픽으로부터 서비스를 보호하고 DDoS 공격을 방어하는 데 도움이 됨
4. IPv4 및 IPv6 호환성: IPv6와 IPv4 사이의 호환성 문제가 발생할 수 있음
IPv6 트래픽 필터링은 이러한 호환성 문제를 해결하고 네트워크 성능을 최적화할 수 있음
5.트래픽 분석과 모니터링: IPv6 트래픽 필터링은 네트워크 트래픽을 감시하고 분석하는 데 도움이 되며 이를 통해 네트워크 상태를 파악하고 문제를 식별할 수 있음
6. 불법 활동 차단: IPv6를 이용한 불법 활동 예를 들면 해킹 시도나 악성 소프트웨어 배포, 스팸 전송 등을 차단하기 위해 여과가 필요함
Filter loopback traffic(루프백 트래픽 필터링)
루프백 연결은 PC 내의 내부 통신을 나타냄
루프백 연결을 통해 컴퓨터에서 전송된 모든 데이터도 즉시 수신
여기에는 컴퓨터 외부의 인터넷이나 로컬 네트워크 연결이 포함되지 않음
루프백 네트워크의 IP 주소는 127.0.0(.)1이며, 도메인 이름 hxxp://localhost
즉 컴퓨터 주소로 언급되는 것을 보았을 것이며 루프백 채널 공격은 IP 스택을 파괴하거나 컴퓨터를 충돌시킬 수 있는 TCP 및/또는 UDP 요청으로 컴퓨터를 범람시키는 데 사용될 수 있음 해당 부분을 선택한 채로 두면 방화벽 필터 트래픽이 이 채널을 통해 전송된다는 의미입니다. 루프백 채널을 사용하여 통신합니다. (기본값=활성화됨)
보안 강화: 루프백 트래픽은 공격자가 네트워크에 침입하기 위한 수단으로 악용될 수 있음
루프백 트래픽을 필터링하면 공격자의 침입을 차단하여 네트워크를 보호할 수 있습니다.
자원 절약: 루프백 트래픽은 네트워크 대역폭을 차지
루프백 트래픽을 필터링하면 네트워크 대역폭을 절약하고 네트워크 성능을 향상시킬 수 있음
관리 편의성: 루프백 트래픽을 필터링하면 네트워크 트래픽을 보다 효과적으로 관리할 수 있음
루프백 트래픽 필터링을 통해 다양한 유형의 공격을 방어할 수 있음
1.루프백 공격 (Loopback Attacks)
보호 방법: 루프백 트래픽 필터링은 외부에서의 루프백 액세스를 차단함으로써 루프백 공격을 방지
이를 통해 시스템 내부 자원에 액세스 하려는 악의적인 시도를 막을 수 있음
2. DDoS 공격 (Distributed Denial of Service Attacks):

보호 방법: 루프백 트래픽 필터링은 루프백 인터페이스로의 대규모 트래픽을 차단하고 루프백을 통한 DDoS 공격을 방지할 수 있음
루프백은 일반적으로 로컬 호스트에서만 사용되므로 외부에서의 공격 트래픽을 차단하는 것이 중요합니다.
3. 포트 스캔 및 스니핑 (Port Scanning and Sniffing):
보호 방법: 루프백 트래픽 필터링은 외부에서의 포트 스캔 및 스니핑 시도를 방지
루프백 인터페이스는 일반적으로 로컬 호스트에서만 접근할 수 있으므로 외부에서의 네트워크 감시나 포트 스캔을 차단
4. 루프백을 통한 액세스 권한 상승 (Elevation of Privilege via Loopback):
보호 방법: 루프백 트래픽 필터링은 외부 공격자가 루프백을 통해 로컬 시스템에 접근하거나 권한을 상승시키려는 시도를 차단
5.로컬 네트워크 공격 (Local Network Attacks)
보호 방법: 루프백 트래픽 필터링은 로컬 네트워크 내에서의 공격을 방지하는 역할
루프백 인터페이스를 외부로 노출하지 않으면 로컬 네트워크에서의 공격이 루프백을 통해 시스템으로 확장되지 않음
스푸핑 공격: 공격자는 자신의 IP 주소를 피해자의 IP 주소로 위장하여 루프백 트래픽을 생성할 수 있습니다. 이를 통해 공격자는 피해자의 시스템에 접근하거나 피해자의 네트워크를 공격할 수 있음 해당 공격 방어

[소프트웨어 팁/보안 및 분석] - COMODO Internet Security&COMODO Firewall Hips 모니터링 설정 방법

COMODO Internet Security&COMODO Firewall Hips 모니터링 설정 방법

Block Fragmented IP traffic(조각난 IP 트래픽 차단)
두 컴퓨터 간에 연결이 열리면 MTU(최대 전송 단위)에 동의해야 함
IP 데이터그램 조각화는 데이터가 사용 중인 MTU보다 작은 MTU를 가진 라우터를 통과할 때 발생
데이터그램이 전송되어야 하는 네트워크의 MTU보다 큰 경우, 각 데이터그램은 더 작은 '조각'으로 나눔
조각난 IP 패킷은 DOS 공격과 유사한 위협을 생성할 수 있습니다. 또한, 이러한 조각화로 인해 단일 패킷을 보내는 데 걸리는 시간이 두 배로 늘어나고 다운로드 시간이 느려질 수 있음(기본값 비활성화)
Block Fragmented IP traffic(조각난 IP 트래픽 차단) 이유
조각난 IP 트래픽을 차단하는 이유는 네트워크 보안과 성능 향상을 위해 중요
1.공격 차단 (Attack Mitigation):
조각난 IP 패킷은 공격자가 네트워크 보안을 침범하는 데 사용할 수 있는 방법 중 하나
예를 들어, IP 분할 및 조립 공격(IP fragmentation and reassembly attacks)은 조각난 패킷을 이용하여 방화벽 및 인트라넷 시스템을 우회하거나 공격하는 데 사용될 수 있음
2. 퍼포먼스 향상 (Performance Improvement):
조각난 IP 패킷은 패킷 조립 및 재조립을 위한 추가 처리를 필요
조각난 패킷이 네트워크를 통과하면 이러한 작업은 시스템 및 네트워크 성능에 부하를 주고 느린 속도 및 지연을 가져올 수 있음 조각난 IP 트래픽을 차단하면 성능 향상을 기대할 수 있음
3.트래픽 간소화 (Traffic Simplification):
조각난 패킷의 처리는 네트워크 모니터링 및 로깅을 복잡하게 만들 수 있음
조각난 패킷을 차단하면 트래픽 간소화를 통해 네트워크 관리 및 보안 감시를 단순화할 수 있음
Do protocol Analysis(프로토콜 분석 수행)
프로토콜 분석은 서비스 거부 공격에 사용되는 가짜 패킷을 탐지하는 데 중요 해당 옵션을 선택하면 Comodo 방화벽이 모든 패킷이 해당 프로토콜 표준을 준수하는지 확인한다는 의미
그렇지 않았으면 패킷이 차단됩니다(기본값 비활성화).
Enable anti-ARP spoofing(ARP 스푸핑 방지 활성화)
(주소 확인 프로토콜) 프레임은 네트워크의 모든 시스템에 브로드캐스트 되며 ARP 요청에 응답하지 않는 ARP 응답
ARP 응답이 브로드캐스트되면 모든 호스트는 ARP 응답이 발행한 ARP 요청에 대한 응답인지 여부에 관계없이 로컬 ARP 캐시를 업데이트해야 합니다.
Gratuitous ARP 프레임은 네트워크의 다른 시스템에 변경 사항이 있을 때마다 시스템의 ARP 캐시를 업데이트하므로 중요
예를 들어, 네트워크의 시스템에서 네트워크 카드가 교체되면 Gratuitous ARP 프레임이 시스템에 이를 알림 데이터가 올바르게 라우팅될 수 있도록 ARP 캐시를 업데이트 하도록 요청
그러나 ARP 호출은 서로 업데이트를 유지해야 하는 많은 시스템으로 구성된 끊임없이 변화하는 사무실 네트워크와 관련이 있을 수 있지만 홈 네트워크의 단일 컴퓨터와는 관련성이 훨씬 적습니다. 해당 설정을 활성화하면 이러한 요청을 차단하는 데 도움이 됨
잠재적인 악성 업데이트 로부터 ARP 캐시를 보호할 수 있습니다. (기본값비활성화)
ARP 캐시는 IP 주소와 MAC 주소의 대응 관계를 저장하는 테이블입니다. ARP 캐시를 사용하면 장치가 목적지 장치의 MAC 주소를 알지 못해도 패킷을 전송할 수 있습니다.
ARP 캐시 이란
장치는 목적지 장치의 IP 주소를 사용하여 ARP 요청 메시지를 생성
장치는 ARP 요청 메시지를 브로드캐스트로 전송
목적지 장치는 ARP 응답 메시지를 생성하여 ARP 요청 메시지에 응답
ARP 응답 메시지를 수신한 장치는 ARP 캐시에 정보를 저장
ARP 캐시는 네트워크의 효율성을 향상시키는 데 도움이 됨
ARP 캐시를 사용하면 장치는 목적지 장치의 MAC 주소를 알지 못해도 패킷을 전송할 수 있으므로 ARP 요청 메시지를 브로드캐스트로 전송하는 횟수를 줄일 수 있음
ARP 포이즈닝 공격: 공격자는 자신의 IP 주소를 피해자의 MAC 주소로 위장하는 ARP 응답 메시지를 생성하여 피해자의 시스템에 접근하거나 네트워크에 침입할 수 있음
ARP 스니핑 공격: 공격자는 ARP 캐시를 사용하여 피해자의 네트워크 트래픽을 수집할 수 있음
ARP 캐시의 주요 특징
IP 주소와 MAC 주소의 대응 관계를 저장
장치가 목적지 장치의 MAC 주소를 알지 못해도 패킷을 전송할 수 있도록 함
네트워크의 효율성을 향상
ARP 포이즈닝 공격과 ARP 스니핑 공격에 악용될 수 있음
해당 부분들은 코모도 방화벽을 사용하는 분들은 각자 컴퓨터 환경에 맞게 설정을 해서 사용을 하시면 됩니다.
즉 사용자 환경에 맞게 선택을 하시면 됩니다.