정보보안 분야 종사자들은 취약점 점검과 보안 강화를 위해 다양한 도구들에 손을 대게 됩니다. 특히, 네트워크 공격과 이에 대한 대응을 시뮬레이션하기 위해 디자인된 Linux 배포판들을 현장에서 자주 사용하고 있습니다. 모의해킹을 테스트를 연습할 수 있는 Debian 계열의 Kali Linux가 대표적인 예시죠.
이에 반해 방어자 입장에서 유용한 모니터링 툴들을 한데 모아 제공하는 Linux 버전 역시 존재하는데요, Security Onion이 그러한 OS 중 하나입니다.
Security Onion은 침입 탐지, 네트워크 보안 모니터링, 로그 관리를 할 수 있는 무료 오픈 소스 Linux 배포판입니다. Zeek,Snort, Wazuh, Beats 등의 도구들을 통해 네트워크 이벤트와 호스트 기반 이벤트를 모두 아울러 수집할 수 있는 환경을 구축할 수 있습니다. 여러 툴들을 개별적으로 설치하고 configuration 하는 데 발생하는 시간, 그리고 dependency 등의 문제를 한 큐 만에 해결할 수 있기에 매우 편리한 시스템이라고 생각됩니다.
1. Security Onion OS 이미지 다운로드
Security Onion 설치를 위한 OS 이미지 파일은 다음 주소에서 받을 수 있습니다.
https://github.com/Security-Onion-Solutions/securityonion/blob/master/VERIFY_ISO.md
Security-Onion-Solutions/securityonion
Security Onion 2 - Linux distro for threat hunting, enterprise security monitoring, and log management - Security-Onion-Solutions/securityonion
github.com
2. 가상 머신 생성
본 포스트는 VMware Workstation Player 기준으로 Security Onion를 설치하는 과정을 설명합니다.
시스템 환경
아래는 제 PC에서 구축한 Security Onion 시스템 환경입니다. 그림이 다소 복잡해보일 수 있으나 두 가지만 체크하시면 됩니다.
- 2개의 Network Interface가 필요
NAT: 설치과정 중에 관련 패키지를 다운받는 인터넷 채널을 연결하는 용도- Host-only: 호스트의 트래픽 데이터를 모니터링하기 위한 용도
- 터미널에서
ipconfig로 VMware Network Adapter 정보 확인Vmnet8(NAT용)과Vmnet1(Host-only 네트워크 전용)의 IP 대역에 따라 설치과정에서 설정해야하는 IP주소/게이트웨이 정보를 입력해야 함NAT 어뎁터의 IP가192.168.ooo.1이라면 Security Onion의 IP는192.168.ooo.80(꼭 80일 필요는 없음), Gateway는192.168.ooo.2로 설정
가상 인스턴스 생성
1) 초기화면에서 Create a New Virtual Machine 클릭 후 Browse... 버튼을 클릭하여 앞서 다운로드받은 ISO 파일을 등록
2) 가상머신 기본 설정에서 Linux 및 이에 상응하는 Version을 체크하고 가상머신의 이름(제 경우는 sos)을 지어줍니다.
3) 가상머신 스펙을 설정하는 단계입니다. 가장 먼저 가상머신에 할당할 디스크 크기를 결정합니다. 아래에 정리된 시스템 요구사항을 참고하시되, 꼭 완벽하게 맞출 필요는 없습니다. 설치 과정에서 요구사항에 비해 메모리나 코어 수가 적다는 경고메시지가 나오기도 합니다만, 무시하셔도 실제 설치에 영향을 안 받습니다.
최소 스펙 요구사항
- 12GB RAM
- 4 CPU cores
- 200GB storage
디스크 외에 메모리나 CPU 코어 수는 다음 화면에 Customize Hardware... 버튼을 클릭하면 등장하는 세부설정 팝업 창에서 조정할 수 있습니다. 저는 위에 정리해둔 요구사항 스펙에 맞춰, 메모리 12GB와 4개의 Processor를 가상머신에 할당하였습니다.
4) Security Onion은 네트워크 인터페이스 2개 이상을 필요로 합니다. 가상머신을 생성할 때 기본적으로 주는 NAT Network Adapter 외에 하나를 더 추가하겠습니다. 아래 Add... 버튼을 누른 뒤, Network Adapter를 선택 후 Network Connection 유형을 Host-only로 설정합니다.
5) Finish 버튼을 클릭하여 가상머신 생성을 마무리합니다.
3. OS 설치
초기 설치 단계
1) 생성한 가상머신을 실행시킵니다.처음 등장하는 설치화면에서 제일 위에 위치한 항목 Install Security Onion 2.3.x를 선택하고 Enter를 칩니다.
2) 잠깐동안 로그가 지나가면 아래와 같은 화면이 나타납니다. yes를 입력하고, 이어서 Security Onion에서 사용할 관리자 계정의 이름과 비밀번호를 생성합니다.
3) Enter키를 입력하여 가상머신 재부팅 후, 막 생성한 계정으로 접속합니다.
Security Onion 환경 설정
1) <Yes> >>> Install. Enter키를 누르면 해당 항목이 선택됩니다.
2) Eval 모드 >>> 키보드로 AGREE 입력
3) Host 이름을 설정하고 그 다음 Security Onion 서비스가 띄워질 네트워크 인터페이스를 선택합니다. 둘 중에 그냥 위에 있는 것을 고르시고(스페이스 바 키를 누르면 체크가 됩니다) Enter키를 입력합니다.
4) 네트워크는 고정 (STATIC) IP 방식 >>> IP와 Gateway 정보는 본 포스트의 목차 "시스템 환경" 부분에서 확인했던 것 그대로(IP: 192.168.ooo.80/24, Gateway: 192.168.ooo.2) 입력합니다. IP 마지막에 /24를 넣어주는 것을 잊지 마세요.
5) DNS 정보와 기타 네트워크 설정은 가볍게 Enter로 넘어갑니다.
6) 모니터링 인터페이스를 선택합니다. 앞서 2개의 인터페이스 중 하나를 사용했으므로, 자동으로 남은 하나를 선택하시면 됩니다.
7) Security Onion에서 동작할 여러 애플리케이션과 관련된 설정입니다. 전부 Enter로 넘어가도 무방합니다.
8) Web 인터페이스 접속 이메일 계정을 입력합니다. 여기서 등록한 이메일은 실제로 메일을 주고받을 때 쓰는 상용 이메일주소(지메일, 네이버 메일 등)이 아니므로 오해 않으시길 바랍니다. 본인이 원하는 이메일을 아무렇게나 입력하고 패스워드를 설정하세요.
9) Web 인터페이스 접근 방식은 IP 방식으로 설정합니다. 이어서 등장하는 ntp 서버 관련 옵션도 그냥 넘어갑니다.
10) 웹 인터페이스에 접근할 수 있는 IP 대역을 설정합니다. 앞에서 IP 설정한 내용을 참고하여 192.168.x.0/24로 입력합니다.
11) Summary를 체크하고 Tab키를 눌러 <Yes>항목을 활성화 시킨 뒤 Enter를 누릅니다. 이후부터는 설치가 본격적으로 진행니다.
Web 인터페이스 활성화
설치가 마무리되어 재부팅이 끝나면 다시 관리자 계정으로 접속합니다. 이제 화면에 나온 웹 주소를 복사합니다.
브라우저 주소창에 복사된 URL을 입력하면 비공개 연결 경고창이 나타납니다. 이 때 하단의 고급 버튼을 누른뒤 "IP 주소(안전하지 않음)(으)로 이동"을 클릭해주세요.
위 단계를 수행하면 원래의 인터페이스가 화면에 나타나게 됩니다. 설치과정에서 설정했던 이메일(Security Onion 환경 설정-9번 과정 참고)과 비밀번호를 입력하여 접속하면 Security Onion 서비스를 이용할 수 있습니다.
