CrowdSec إنه مشروع أمني جديد مصمم لحماية الخوادم أو الخدمات أو الحاويات أو الأجهزة الافتراضية مكشوفة على الإنترنت مع وكيل من جانب الخادم. كان مستوحى من Fail2Ban والمقصود منه أن يكون نسخة تعاونية وحديثة من إطار عمل منع التطفل.
بطريقة ما ، هو من نسل Fail2Ban ، وهو مشروع وُلد قبل ستة عشر عامًا. ومع ذلك، يقدم نهجًا تعاونيًا أكثر حداثة وأسسه التقنية الخاصة للاستجابة للسياقات الحديثة.
CrowdSec ، مكتوبًا في Golang ، إنه محرك أتمتة أمان، والذي يعتمد على كل من سلوك وسمعة عناوين IP.
يكتشف البرنامج السلوك محليًا ، ويدير التهديدات ، ويتعاون أيضًا عالميًا مع شبكة المستخدمين الخاصة بك من خلال مشاركة عناوين IP المكتشفة.
هذا يسمح للجميع لمنعهم بشكل وقائي. الهدف هو بناء قاعدة بيانات ضخمة لسمعة IP وضمان استخدامها المجاني من قبل أولئك الذين يشاركون في إثرائها
كيف يعمل CrowdSec؟
Crowdsec هو إطار عمل معياري وقابل للتوصيل ، ويتضمن مجموعة كبيرة ومتنوعة من السيناريوهات الشائعة المعروفة ، ويمكن للمستخدمين اختيار السيناريوهات التي يريدون حماية أنفسهم منها ، بالإضافة إلى إضافة سيناريوهات مخصصة جديدة بسهولة لتناسب بيئتهم بشكل أفضل.
الهدف هو تنفيذ البرنامج في أكبر عدد ممكن من البيئات. سرعة التنفيذ ، وتوافقه مع الحاويات ، وسهولة استخدامه في البيئات السحابية ، فضلاً عن قدرته على التشغيل في أنظمة UNIX أو macOS أو Windows: كل هذا يسمح لنا بمعالجة السوق بالكامل.
محرك تحليل السلوك
إنها الطبقة الأولى من الحماية. استخدم السيناريو المحدد في YAML لربط الأحداث يدخلون خزانًا متسربًا ويرسمون إشارة إذا فاض الخزان. يمكنك بعد ذلك تطبيق الإجابة التي تختارها مع الحراس.
محرك السمعة
محرك السمعة هو مبدأ بسيط للغاية ، لكن من الصعب تكوينها. في الأساس يمكن أن تستفيد كل من عمليات تثبيت CrowdSec من قائمة IP السوداء تم تنظيمه وتوزيعه بواسطة API المركزي الخاص بنا. إذا كنت تستخدم LAMP ، فلن تحتاج إلى عناوين IP التي تهاجم الكدسات التقنية الأخرى مثل Windows ، على سبيل المثال.
يتم تغذية قاعدة البيانات هذه من خلال جميع مثيلات CrowdSec ، التي تتم تصفية إشاراتها ومعالجتها مركزيًا بواسطة API الخاص بنا. تعتبر الإيجابيات الكاذبة ومحاولات السرقة من قبل المتسللين مشكلة حقيقية ، ومن هنا تأتي الحاجة إلى معالجة الإشارات التي تظهر من مرافق CrowdSec.
نعتقد أن لدينا وصفة قوية للقيام بذلك ، والتي نسميها الإجماع. يتضمن ذلك تقنيات مختلفة ، مثل التحقق من الإشارات من الأعضاء الموثوق بهم الآخرين ، وشبكتنا الخاصة من السحر (مواضع الجذب) ، وقوائم Canary (قائمة بيضاء لعناوين IP) ، وما إلى ذلك.
هدفنا هو توزيع قوائم موثوقة بنسبة 100٪ فقط. أيضًا ، تحديد من هو خطير ومتى يعتمد بشكل كبير على سياق وفترة زمنية محددة. على سبيل المثال ، يمكن اختراق عنوان IP الذي تم اعتباره نظيفًا بالأمس ويمكن للمسؤولين تنظيفه في اليوم التالي. عنوان IP الذي يبحث عنه SSH ليس خطيرًا على TSE ، وما إلى ذلك.
عرض
البرنامج يتضمن نظام عرض محلي خفيف الوزن يعتمد على قاعدة التعريف. CrowdSec أيضًا مجهزة بروميثيوس ، لتوفير قدرات التنبيه والمراقبة.
يحتوي محرك السمعة حاليًا على أكثر من 103.000 عنوان IP "متفق عليه" (التي اجتازت اختبارات التسمم والمضادة الكاذبة الإيجابية).
حتى الآن ، يأتي أعضاء المجتمع من أكثر من خمسين دولة موزعة على ست قارات.
بينما يبدو البرنامج حاليًا وكأنه Fail2Ban ثابت ، الهدف هو تسخير قوة الجمهور لإنشاء قاعدة بيانات سمعة IP دقيقة للغاية. عندما يرتد CrowdSec عنوان IP محدد ، يتم إرسال السيناريو والطابع الزمني المشغلين إلى واجهة برمجة التطبيقات الخاصة بنا للتحقق منها ودمجها في الإجماع العالمي لعناوين IP السيئة.
CrowdSec هو مصدر مجاني ومفتوح (بموجب ترخيص MIT) ، مع شفرة المصدر المتاحة على GitHub. وهو متاح حاليًا لنظام التشغيل Linux ، مع وجود منافذ إلى macOS و Windows على خريطة الطريق
مصدر: https://doc.crowdsec.net/
شكرا جزيلا على هذا المقال! نحن تحت تصرفك إذا كنت بحاجة إلى مساعدة في استخدام CrowdSec. أتمنى لك نهارا سعيد.
فريق CrowdSec
info@crowdsec.net
https://github.com/crowdsecurity/crowdsec