Ubuntu Server에 Bro 보안 제품군을 설치하는 방법

Bro 보안 솔루션은 리눅스 환경에서 네트워크 침입을 탐지하는 데 특화된, 뛰어난 적응력과 강력한 성능을 자랑하는 시스템입니다. 이 시스템은 백그라운드에서 작동하며 네트워크 트래픽을 수동적으로 분석하고 기록하는 방식으로 운용됩니다.

다양한 기능을 갖추고 있으며, 오픈 소스로 제공되는 이 애플리케이션은 오픈 소스라는 점과 그 효율성 덕분에 보안 커뮤니티로부터 많은 호평을 받고 있습니다.

사전 준비 사항

Bro 네트워크 보안 도구를 사용하기 위해서는 최소 2GB 이상의 물리적 RAM을 갖춘 리눅스 운영체제 서버가 필요합니다.

참고: 전용 서버가 없으신가요? 걱정하지 마세요! 우분투를 실행하는 기존 데스크톱 컴퓨터도 최소 2GB RAM을 갖추고 있다면 충분히 활용할 수 있습니다! 다만, 시스템을 계속해서 구동할 수 있도록 유지해야 합니다!

이 튜토리얼의 설치 부분에서는 우분투 서버 환경에서 Bro 보안 시스템을 구축하는 과정을 자세히 살펴보겠습니다. 우분투 서버는 대부분의 사용자가 서버 환경에 선택하는 운영체제이기 때문입니다. 하지만 설치 가이드는 우분투에만 국한된 것은 아니며, Bro 도구는 거의 모든 리눅스 서버 운영체제에서 작동할 수 있습니다. 개발자 측에서는 주요 배포판에 대한 설치 지침을 제공하고 있습니다..

GeoIP 데이터베이스 설정

Bro 네트워크 보안 도구는 보안 검사를 위한 IP 주소 데이터베이스를 필요로 합니다. 따라서 Bro 소프트웨어를 설치하기 전에 최신 IPv4 및 IPv6 GeoIP 데이터베이스 파일을 다운로드해야 합니다. Ubuntu 환경에서 wget 도구를 사용해 두 데이터베이스 파일을 다운로드합니다.

wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz

gzip 명령어를 사용하여 GeoIP 압축 파일을 해제합니다.

gzip -d GeoLiteCity.dat.gz

gzip -d GeoLiteCityv6.dat.gz

mv 명령어를 활용하여 Ubuntu의 /usr/share/GeoIP/ 폴더로 GeoIP 데이터베이스 파일을 이동시킵니다.

sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat

sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat

Bro 설치

Bro 네트워크 보안 도구 설정은 Ubuntu 환경에서 사용할 디렉터리를 생성하는 것부터 시작됩니다. 공식 문서에 따르면 이 폴더는 /opt/ 경로에 생성됩니다.

설치를 진행하기 위해 Ubuntu Universe 소프트웨어 저장소를 활성화합니다.

sudo add-apt-repository universe

그 다음, 패키지 색인을 최신 상태로 업데이트합니다.

sudo apt update

Apt 패키지 관리자를 사용하여 Ubuntu Universe 저장소로부터 Bro 및 관련 패키지를 설치합니다.

sudo apt install bro bro-aux bro-common bro-pkg broctl

네트워크 설정

Bro 네트워크 보안 도구를 사용하려면 애플리케이션에서 사용할 네트워크 카드를 지정해야 합니다. 기본적으로 이 앱은 “Eth0”을 사용하도록 설정되어 있습니다. 하지만 대부분의 사용자에게 이 장치는 적합하지 않을 수 있으므로 node.cfg 파일을 수정하여 변경해야 합니다.

참고: 자신의 네트워크 인터페이스가 무엇인지 정확히 모르는 경우에는 `ip link` 명령어를 실행하면 쉽게 확인할 수 있습니다.

sudo nano /etc/bro/node.cfg

이제 Ctrl + W 키를 눌러 나노 편집기의 검색 기능을 활성화합니다. 검색 상자가 나타나면 "interface=eth0"을 입력하고 Enter 키를 누르면 구성 파일의 네트워크 인터페이스 섹션으로 즉시 이동합니다.

“eth0”을 본인의 네트워크 인터페이스 이름으로 변경한 후, Ctrl + O 키를 눌러 구성 파일을 저장합니다.

IP 주소 범위 설정

네트워크 인터페이스가 Bro에 맞게 구성되었으므로, 이제 프로그램이 감시할 IP 주소 범위를 설정해야 합니다. Nano 텍스트 편집기를 사용하여 /etc/bro/networks.cfg 파일을 엽니다.

sudo nano /etc/bro/networks.cfg

네트워크 설정 파일을 열면 몇 가지 기본 예시들이 나타납니다. 이 기본값들을 삭제하고, 이전에 설정한 네트워크 카드의 IP 주소로 대체합니다.

예시:

10.196.1.131/24

2600:1702:3980:a258:6978:ebae:d8:20a1/64

IP 주소 정보를 설정한 후에는 Ctrl + O 키를 눌러 Nano 편집기에 변경 내용을 저장합니다.

Bro의 기본 이메일 주소 설정

Bro 애플리케이션에는 이메일 시스템이 내장되어 있습니다. 하지만 정상적으로 작동하려면 설정을 완료해야 합니다. 설정을 위해 Nano 편집기를 사용하여 /etc/bro/broctl.cfg 파일을 엽니다.

sudo nano /etc/bro/broctl.cfg

나노 편집기에서 Ctrl + W 키를 누른 후 “MailTo”를 검색하여 파일의 이메일 섹션으로 이동합니다. 그런 다음 Bro가 사용할 유효한 이메일 주소를 추가합니다.

Bro 시작

Bro를 사용하려면 먼저 설정을 조정해야 합니다. 터미널 창을 열고 아래 명령어를 실행하여 프로그램의 쉘 인터페이스에 접근합니다.

sudo broctl

쉘에서 install 명령어를 사용하여 Ubuntu 시스템에 대한 기본 구성 파일을 설정합니다.

install

설치 명령어를 실행한 후에는 다음 명령어를 사용해서 서비스를 시작합니다.

deploy

마지막으로, exit 명령어를 실행하여 쉘을 종료합니다.

exit

Bro 중단

Bro를 중지해야 하는 경우, broctl 쉘에 로그인한 후 다음 명령어를 실행하면 됩니다.

stop

Bro 사용

길고 복잡한 설정 과정을 거친 후, Bro 보안 시스템이 Ubuntu 서버에서 작동합니다. 백그라운드에서 실행되며, 모든 네트워크 침입 시도가 /var/log/bro 경로에 자동으로 기록됩니다.

실시간으로 네트워크 활동을 모니터링하려면, 다음 `tail` 명령어를 입력합니다.

tail -f /var/log/bro/current/conn.log

또는 보안 알림을 확인하려면 다음 명령어를 입력합니다.

tail -f /var/log/bro/current/notice.log