SnSFW는 크게 두 부분의 핵심 커널 모드 기술을 이용하여 구현되었습니다. 하나는 PC 방화벽에서 필수적인 기능인 IP/Port 차단을 수행하는 방화벽 엔진이고, 다른 하나는 사용자 PC에서 실행되는 네트워크 통신용 프로그램의 사용 권한을 제어하는 프로세스 차단 엔진입니다. 그리고 이 두 엔진들은 Microsoft Windows Platform에 따라 제공하는 기능은 같지만 구현 기술은 Platform들의 특성과 환경에 맞춰 다양한 기술을 사용하여 제작되었습니다. 1. 전체구성도 위 그림은 SnSFW의 전체 구성도를 보여줍니다. 전체적으로 PC 방화벽을 구성하는 두 개의 핵심 커널 모드 엔진, 이 엔진들과 UI사이에서 인터페이스와 부가 기능을 제공하는 인터페이스 모듈, 그리고 PC 방화벽 엔진들의 기능을 이용하여 사용자에게 다양한 방화벽 기능을 제공하고 방화벽 엔진들로부터 얻은 정보들을 가공하여 출력시키는 UI로 구성되어 있습니다. 각 엔진들은 인터페이스 모듈의 통신을 통하여 유기적으로 연결되어 UI에 다양한 기능을 제공하는데 그 기능들을 간단히 정리하면 다음과 같습니다. 1) SnSFW 방화벽 엔진에서 제공하는 기능 특정 IP 허용 및 차단 기능. 특정 Port 허용 및 차단 기능. 공유 자원에 접근하는 특정 IP 허용 및 차단 기능. 스텔스 기능 – 외부에서 사용자 PC의 상태를 확인할 수 없게 하는 기능. IPX/SPX 및 NETBEUI 차단 기능. 패킷 모니터링 기능. 2) SnSFW 프로세스 차단 엔진에서 제공하는 기능 프로그램별 차단 기능. 특정 프로세스 차단 기능. 프로세스별 모니터링 기능. 2. PC 방화벽 엔진 위 그림은 방화벽 엔진의 구성도를 보여줍니다. Microsoft Windows Platform에 따라 실제적인 구현 기술은 다르지만 기본 구성은 그림과 같습니다. 방화벽 엔진은 NIC(Network Interface Card)를 제어하는 미니포트 드라이버와 TCP/IP나 IPX/SPX와 같은 프로토콜 드라이버 사이에 위치함으로써 사용자 PC에서 네트워크를 통해 입/출력되는 모든 패킷을 수집하고 경우에 따라서 차단할 수 있습니다. 방화벽 엔진을 구성하는 각 모듈별 기능들을 정리하면 다음과 같습니다. 방화벽 모듈 기능 설명 Packet Capture &Control Module 패킷의 수집 및 패킷의 차단/허용을 제어하는 기능을 제공하는데 ‘Firewall Control Module’에서 결정된 패킷 차단 유무에 따라 특정 패킷을 차단 혹은 허용합니다. Firewall Control Module 네트워크를 통해 입/출력되는 모든 패킷을 제어하는 부분으로 DB들과 연동하여 방화벽 정책에 따라 패킷의 차단 유무를 결정하는 모듈입니다. IP DB & PORT DB 특정 IP나 Port를 가진 패킷에 대한 차단/허용 여부를 저장하고 있는 DB로써 방화벽 정책에 따라 ‘Firewall Control Module’은 이 DB들에 접근하여 패킷의 차단 유무를 결정합니다. Monitoring Queue ‘Packet Capture & Control Module’에서 수집한 패킷을 저장하는 공간으로써 ‘Firewall Control Module’에 의해 큐의 크기나 큐의 사용 유무가 결정됩니다. Firewall Policy 방화벽 정책을 저장하는 공간으로 ‘Firewall Control Module’은 여기에 저장된 내용을 정책에 따라 패킷의 차단/허용 방법을 결정합니다. Communication Module SnSFW 인터페이스 모듈과의 통신을 통하여 방화벽 엔진을 제어하는 모든 제어 신호를 수신하고 그 결과나 요청에 대한 응답을 송신하는 모듈입니다. Microsoft Windows Platform에 따라 방화벽 엔진을 구현하는 기술에 차이가 있는데 간단히 요약하여 정리하면 다음과 같습니다. ▒ Intermediate Driver – NDIS에서 표준 네트워크 아키텍쳐로 지원하는 드라이버로 패킷 필터링이나 미디어 변환 등에 사용되는 드라이버이고 Windows 98se, Windows Me, Windows 2000, Windows XP등에서 동작 가능한 드라이버 입니다. 표준 아키텍쳐임으로 정해진 수행 과정만 유의해서 처리하면 사용자가 쉽게 특정 기능을 드라이버에 추가할 수 있습니다. ▒ Virtual Full NIC Driver - Windows 95/98에서는 Intermediate Driver와 같은 드라이버를 지원하지 않음으로 이 드라이버와 비슷한 수행과정을 갖기 위해서는 가상 드라이버를 제작해야 하는데 이것이 Virtual Full NIC Driver입니다. 그러나 이 가상 드라이버를 구성한다고 하더라도 Intermediate Driver와 같은 기능을 수행할 수는 없고 구조적으로 Protocol Driver와 한 쌍을 이뤄야 가상의 Intermediate Driver를 구성할 수 있습니다. 구조적인 면에서 Intermediate Driver와 차이가 있지만 기본 원리는 비슷함으로 Intermediate Driver를 다뤄 본 개발자라면 어렵지 않게 접근할 수 있는 영역입니다. 3. 프로세스 차단 엔진 위 그림은 프로세스 차단 엔진의 구성도를 보여줍니다. Microsoft Windows Platform에 따라 실제적인 구현 기술은 다르지만 기본 구성은 그림과 같습니다. 프로세스 차단 엔진은 프로토콜 드라이버와 윈도우 소켓 드라이버 사이에서 위치하는데 Hooking 기술을 이용하여 어떤 프로세스가 외부로 네트워크 통신을 시도하는지 감시하고 경우에 따라서 차단하는 기능을 제공합니다. 프로세스 차단 엔진을 구성하는 각 모듈별 기능들을 정리하면 다음과 같습니다. 프로세스 차단 모듈 기능 설명 Process IDCapture Module 어떤 프로세스가 외부와 통신을 시도할 경우 해당 프로세스 ID를 얻는 기능을 제공합니다. 이 모듈에서 얻어진 프로세스 ID는 해당 프로세스에 대한 정보를 얻을 수 있는 인자로 사용되고 사용자가 그 정보를 바탕으로 차단 여부를 결정할 수 있게 됩니다. Process BlockControl Module ‘Process ID Capture Module’에서 얻은 프로세스 ID를 이용하여 특정 프로세스의 차단 여부를 결정하는 기능을 제공합니다. ‘Process ID DB’와 연동하여 이 DB에 일치하는 프로세스 ID가 있으면 DB에 저장된 차단 유무에 따라서 프로세스를 차단 혹은 허용하고 일치하지 않을 경우 ‘Communication Module’을 통하여 사용자에게 차단 유무를 결정할 것을 요청합니다. Process ID DB 특정 프로세스의 차단/허용 여부를 저장하고 있는 DB로써 프로세스 ID 뿐만 아니라 해당 프로세스가 최근에 접속한 원격지 IP와 Port도 함께 저장되어 있습니다. Process Block Policy 프로세스 차단 정책을 저장하는 곳입니다. Communication Module SnSFW 인터페이스 모듈과의 통신을 통하여 프로세스 차단 엔진을 제어하는 신호를 수신하고 프로세스의 차단 여부를 인터페이스 모듈에 요청하는 기능을 수행합니다. Microsoft Windows Platform에 따라 방화벽 엔진을 구현하는 기술에 차이가 있는데 간단히 요약하여 정리하면 다음과 같습니다. ▒ Protocol Hooking Driver – 프로토콜 드라이버와 TDI( Transport Driver Interface ) 사이에서의 연산( 연결 설정, 데이터 송/수신 등 )과정을 중간에서 가로챌 수 있는 드라이버로써 Windows 2000, Windows XP등에서 적용 가능한 드라이버 입니다. 실제 기본 드라이버 WDM Driver를 사용하지만 커널에서 제공하는 함수를 통해 둘 사이의 연산을 가로채 네트워크 통신 프로세스를 감시할 수 있으며 송/수신되는 데이터를 중간에서 수집할 수 있습니다. ▒ TDI Hooking Driver - Windows Me 이하의 Windows Platform에서 사용 가능한 드라이버로써 Hooking은 TDI와 Winsock 드라이버 사이에서 이루어집니다. TDI 서비스 함수를 통하여 둘 사이의 연산을 가로채 프로세스 차단이나 네트워크 송/수신 데이터들을 수집할 수 있습니다.