about absolroot
home

Security Onion

 Security Onion

침입 탐지 시스템(IDS), 보안 모니터링 및 로그 관리를 할 수 있는 무료 오픈 소스 Linux 배포판이다. ‘기업의 보안 계층을 간소화하라(Peel back the layers of security in your enterprise)’는 재치 있는 표어와 함께, 전면적 패킷 캡처 기능, 네트워크 기반 및 호스트 기반 침입 탐지 시스템(NIDS and HIDS)을 아우르고, 나아가 막대한 양의 데이터를 감당하기 위한 강력한 인덱싱, 검색, 시각화, 분석 툴을 포함(Zeek,Snort, Wazuh, Beats 등)한다. 여러 툴들을 개별적으로 설치하고 configuration 하는 데 발생하는 시간, 그리고 dependency 등의 문제를 한 큐 만에 해결할 수 있기에 매우 편리한 시스템이다.

시큐리티 어니언의 작동 원리

시큐리티 어니언의 작동 원리를 이해하려면 ELK 스택이라는 용어를 알아야 한다. 시큐리티 어니언은 기본적으로 일래스틱서치(Elasticsearch), 로그 스태시(Logstash) 및 키바나(Kibana) 스택으로 구성되고, 여기에 수많은 다른 기술과 솔루션이 추가된다. 아울러 OSSEC에서 파생된 와저 HIDS(Wazuh HIDS), 스노트(Snort), 수리카타(Suricata) 규칙 기반 NIDS, 분석 중심의 NIDS 지크(Zeek, or Bro) 등도 포함한다.
로그스태시는 모든 로그를 수집하고, 일래스틱서치는 로그에 색인을 달아 검색을 용이하게 만들고, 키바나는 안전한 보안 운영 센터(SOC)로부터 상황을 시각화하고 분석한다. 키바나는 전체 패킷 캡처로 전환해 의심스러운 보안 사례를 상세히 조사하는 기능도 담당한다.
위협 신호(IoCs)를 파악하기 위해 상세히 조사해야 할 데이터가 여전히 많으므로 시큐리티 어니언에는 스귈(Sguil) 그리고 이와 유사한 브라우저 기반 툴인 스쿼트(Squert))가 딸려 있고, SOC 애널리스트는 이를 이용해 스노트, 수리카타, 와저 경보를 한 곳에서 한꺼번에 조회할 수 있다. 경보로부터 연관 패킷 캡처로 전환할 수도 있다.
SNORT
가장 오래된 IDS 솔루션의 하나이며 사실상의 표준이라고도 불리는 오픈소스 프로그램입니다. GUI를 통해 편리하게 설정하기는 어렵지만, 다양한 방법으로 커스터마이즈할 수 있다는 이점이 있습니다. 주로 실시간 트래픽을 분석하거나 패킷을 Logging 하기 위한 용도로 많이 사용하며, 다음과 같은 외부 공격의 차단이 가능합니다. - 버퍼 오버플로우 공격 - 스텔스 스캔: 서버에 로그가 남지 않는 스캔 기법 - CGI 공격: 서버와 클라이언트 사이의 공격 - OS 핑거프린팅 시도 공격 리눅스 계열(페도라, 센트OS, FreeBSD) 및 윈도에서 지원가능합니다. 한가지 단점이 있다면 모든 처리가 단일 스레드 방식으로 데이터의 효율적 처리에 한계가 있습니다.
Suricata
네트워크 속도가 빨라지면서 Snort의 단점인 느린 처리 속도를 보완하는 프로젝트입니다. Suricata는 비영리재단 OISF에 의해 개발된 IDS 오픈소스 솔루션으로 기존 Snort의 거의 모든 기능 및 Rule의 적용이 가능합니다. 또한 멀티코어와 멀티 스레드 방식 및 GPU 가속까지 지원하여 매우 빠른 패킷 분석 및 공격 차단이 가능한 장점이 있습니다. 또한 YAML 형식지원으로 설정이 직관적입니다.
Zeek
일반적인 네트워크 트래픽 분석을 위해 유용한 프로그램입니다. (예전 Bro 프로젝트로 개발) Zeek를 이용해 DHCP, DNS, FTP, HTTP, SSL 등의 많은 프로토콜에 대한 로그 수집을 통해 이상 증상에 대한 분석이 가능합니다. (아래 참고) - HTTP 세션 및 응용 프로그램 로깅(DNS Request, SSL Auth 등) - SSL 공격 탐지 및 인증서 체크 - HTTP 세션 내 악성프로그램 탐지 - 네트워크 내 소프트웨어 취약점 탐지보고

 Install / Documentation

Img file (sign을 필수라하지만 없이도 설치가 된다)
How to Install
Official DOC V2.3
처음하면 설치가 상당히 오래 걸린다. (램 12GB, 2코어 4프로세스 클라이언트 기준 30분 소요)
따라서 설치가 완료된 이미지를 획득/사용 가능하다면 그렇게 하자.

 Preview

Alerts
Hunt
Details

 설치 시행착오(로컬)

ISO 설치 진행 과정 중간에 Elastic Search 라이선스 관련 파트가 있다. 무작정 엔터치다보면 나가지므로 잘보고 AGREE를 입력할 수 있도록 하자.
아무리 로컬에서 설치해도 99%쯤에서 에러가 난뒤 접속되지 않는 문제가 발생했다. AMD64기반 프로세서 때문일 수도 있다는 얘기에 VMware Workstation 17 Pro로 재설치 및 ISO 파일 재다운로드(github에서는 추가로 sign하라고 하지만 할 필요없다), VM Lan까지 새로 설치했더니 해결됐다.
티스토리 블로그에서는 Static, DHCP 선택을 각각 Bridge, NAT모드라하고 자신은 Bridge형태를 구성했다고 하는데 잘 보면 NAT다. 로컬에서 할때는 무시하고 그냥 NAT모드로 VM Network설정을 잘보고 DHCP 범위에 할당된 IP 하나를 부여해주면 접속이 가능하다.
VM 설정값 참조

✓ 다른 [정리] 포스트

베트남 환전 왜 한국에서 하면 안될까? (한국 vs 공항 vs 금은방)
Travel
베트남 환전 왜 한국에서 하면 안될까? (한국 vs 공항 vs 금은방)
Travel
Load more
︎ 더 많은 게시물을 보려면
︎ 작성자가 궁금하면?
 2024. Absolroot all rights reserved.