안녕하세요. Humanscape Software Engineer David 입니다.
오늘은 go 언어로 작성된 http 침입 탐지 오픈소스 툴인 teler를 살펴보겠습니다.
공식 문서는 터미널 기반으로 실시간 빠른 분석이 가능하다는 점을 내세우고 있습니다.
teler was designed to be a fast, terminal-based threat analyzer. Its core idea is to quickly analyze and hunt threats in real time!
침입 탐지 시스템(Intrusion Detection System, IDS)이란?
네트워크에서 백신과 유사한 역할을 하는 것으로, 네트워크를 통한 공격을 탐지하기 위한 장비입니다. 즉 방화벽이 차단하지 못한 내부의 해킹이나 악성코드의 활동을 탐지합니다. 방화벽을 성문을 지키는 병사라면 침입 탐지 시스템은 성 안에서 거리를 돌며 순찰하는 병사에 비유할 수 있습니다. (Detection ≠ Prevention)
teler의 특징은 아래와 같습니다.
- 실시간: 로그를 분석하고 의심스러운 행동을 실시간으로 식별
- 알림: 위협을 감지하면 Slack, Telegram, Discord로 알림 전송을 제공
- 최신 리소스: 지속적으로 업데이트되는 컬렉션
- 간편한 구성: 로그 파일을 실행하고 로그 포맷만 작성하면 이후는 teler가 분석 후 알림
- 유연한 로그 포맷: 문자열로 커스텀 로그 작성 가능
- 늘어나는 로그 처리: on-disk persistence 옵션을 통해 늘어나는 로그 처리
Apache, Nginx, Nginx Ingress, Amazon S3, Elastic LB, CloudFront 로그에서 사용할 수 있는 logformat 예시가 잘 정리되어 있습니다.
Google Cloud Platform 이나 Azure 서비스 로그 포맷에 대한 예시는 아직 추가되어 있지 않아요. gonx 포맷으로 작성해 PR 날리면 좋겠네요!
무료이고 가벼운 teler를 nginx 프로그램에서 간단히 사용해 보도록 하겠습니다.
설치
- Binary
$ (sudo) curl -sSfL ‘https://ktbs.dev/get-teler.sh' | sh -s — -b /usr/local/bin2. Docker
$ docker pull kitabisa/teler3. Using Go (v1.14+) compiler:
$ GO111MODULE=on go get -v ktbs.dev/teler/cmd/telerNginx 로그 분석
teler의 config는 yaml 파일로 구성됩니다. 첨부된 teler.example.yaml을 보시면 직관적으로 설정을 할 수 있습니다.
config 작성 후 아래와 같이 분석하고자 하는 로그의 경로와, config의 경로를 통해 로그 분석이 가능합니다.
$ teler -i /var/log/access.log -c /path/to/config/teler.example.yamlDEMO
Buffer stream Demo / Incremental Demo
teler는 이렇게 간편하고 쉽게 자체 무료로 로그분석을 가능하게 해줍니다.
클라우드 서비스를 사용하면 AWS의 Amazon GuardDuty를 통해 IDS를 구현할 수 있고, GCP는 packet-mirroring을 오픈 소스 IDS 툴인 suricata와 결합해서 사용할 수 있다고 합니다.
teler 의 도입을 고민 중인 분은 오픈 소스 IDS 툴인 Snort, Suricata, Bro (renamed Zeek), OSSEC의 특징도 링크에 잘 정리되어 있으니 함께 비교해보고 도입을 고려해보실 수 있을 것 같습니다.
감사합니다.
[참고] teler github / wiki
Walk with us!
기술이 세상을 더 아름답게 할 수 있다고 믿으신다면, 휴먼스케이프와 함께 소중한 뜻을 펼칠 수 있습니다.
함께 걸어가며 성장하실 분, 언제든지 연락해주세요 :)
