개 요
Security Onion은 네트워크 및 호스트 기반 보안 위협을 실시간으로 탐지하고 대응하는 오픈 소스 플랫폼이다. 2008년 Doug Burks에 의해 시작되었으며, 네트워크 가시성, 침입 탐지, 로그 관리, 사건 대응을 하나의 통합된 플랫폼에서 제공한다. 보안 위협이 점점 더 고도화됨에 따라 실시간 보안 모니터링 시스템의 필요성이 커지고 있어, Security Onion은 이러한 보안 요구를 충족하는 솔루션으로 자리 잡고 있다.
본 가이드는 Security Onion을 처음 접하는 입문자에게 네트워크 보안 탐지 환경 구축 및 웹 서버를 대상으로 한 주요 공격을 탐지하는 방법을 제공하고자 한다. 이를 통해 사용자는 Security Onion 설치 및 기본 설정, 그리고 다양한 보안 공격에 대한 탐지 및 대응 방안을 익히는 것을 목표로 한다.
시스템 구조 및 데이터 처리
Security Onion은 다양한 배포 모델을 제공하며, 본 가이드에서는 소규모 환경에서 사용되는 Standalone 아키텍처를 중심으로 설명하고자 한다. Standalone 아키텍처는 모든 기능을 단일 서버에서 실행하며, 네트워크 트래픽 분석 및 로그 수집을 단일 시스템에서 처리한다.
네트워크 트래픽 수집은 Suricata, Zeek, Strelka 등의 도구를 통해 이루어지며, 수집된 데이터는 Elasticsearch로 저장되어 Kibana와 같은 시각화 도구를 통해 실시간으로 모니터링된다.
설치 및 기본 설정
Security Onion 설치 전, 시스템의 최소 권장 사양을 확인하고 준비 과정을 진행한다. 본 가이드에서는 pfSense를 활용한 네트워크 환경을 설정하며, 포트포워딩 및 SPAN 설정을 통해 외부 트래픽을 내부 보안 장비로 전달하는 구성을 다루고 있다.
Standalone 모드로 Security Onion을 설치한 후, 네트워크 인터페이스 설정과 같은 기본 설정 과정을 완료하고, pfSense의 포트포워딩 및 SPAN 설정을 통해 네트워크 트래픽을 Security Onion으로 전달할 수 있도록 구성한다.
보안 공격 탐지 및 대응
본 가이드에서는 다양한 웹 서버 공격에 대한 탐지 및 대응 방법을 다루고 있다. 각각의 공격 유형에 대해 설명하고, Suricata 및 Zeek를 활용한 탐지 룰 설정 방법을 단계별로 제공한다.
공격 목록
1.
DoS(SYN Flood)
2.
HeartBleed
3.
BruteForce
4.
SQL Injection
5.
File Upload
6.
Directory Traversal
7.
Command Injection
8.
XSS (Cross-Site-Scripting)
결 론
본 가이드를 통해 Security Onion을 활용한 보안 탐지 환경을 구축하고, 웹 서버에 대한 주요 보안 공격을 탐지하는 방법을 이해할 수 있었다.