CrowdSec това е нов проект за сигурност предназначени за защита на сървъри, услуги, контейнери или виртуални машини изложени в Интернет със сървърен агент. Вдъхновен от Fail2Ban и е предвидено да бъде съвместна и модернизирана версия на тази рамка за предотвратяване на проникване.
В известен смисъл той е потомък на Fail2Ban, проект, роден преди шестнадесет години. Въпреки това, предлага по-модерен подход за сътрудничество и свои собствени технически основи, за да отговори на съвременния контекст.
краудсек, написано на Golang, това е двигател за автоматизация на сигурността, който се основава както на поведението, така и на репутацията на IP адресите.
Софтуерът локално открива поведение, управлява заплахи и също така сътрудничи в глобален мащаб с вашата мрежа от потребители, като споделя открити IP адреси.
Това позволява на всички да ги блокират превантивно. Целта е да се изгради огромна база данни за IP репутация и да се осигури безплатното й използване от участниците в обогатяването й.
Как работи CrowdSec?
Crowdsec е модулна и подвижна рамка, включва голямо разнообразие от добре познати популярни сценарии, потребителите могат да избират от кои сценарии искат да се защитят, както и лесно да добавят нови потребителски такива, които да отговарят по-добре на тяхната среда.
Целта е да се внедри софтуерът във възможно най-много среди. Бързото му изпълнение, съвместимостта му с контейнери, лекотата на използване в облачна среда, както и способността му да работи в екосистеми UNIX, macOS или Windows: всичко това ни позволява да се обърнем към целия пазар.
Двигател за анализ на поведението
Това е първият защитен слой. Използвайте YAML-дефинирания сценарий за корелация на събитията Те навлизат в течащ резервоар и теглят сигнал, ако резервоарът прелее. След това можете да приложите отговора по ваш избор с биячи.
Двигател за репутация
Двигателят за репутация е много прост принцип, но е трудно за конфигуриране. По принцип всяка от инсталациите на CrowdSec може да се възползва от IP черен списък организирани, разпространявани от нашия централен API. Ако използвате LAMP, не са ви необходими IP адреси, които атакуват други технически стекове като Windows, например.
Тази база данни се захранва от всички екземпляри на CrowdSec, чиито сигнали се филтрират и обработват централизирано от нашия API. Фалшивите положителни резултати и опитите за кражба от хакери са реален проблем, поради което е необходимо да се обработват сигналите, които се появяват от съоръженията на CrowdSec.
Смятаме, че имаме доста солидна рецепта за това, което наричаме консенсус. Това включва различни техники, като проверка на сигнали от други доверени членове, собствена мрежа от примамки (медни точки), канарски списъци (бял списък с IP адреси) и т.н.
Нашата цел е да разпространим само 100% надеждни списъци. Също така, идентифицирането на това кой е опасен и кога е силно зависимо от конкретен контекст и период от време. Например, IP адресът, който вчера беше счетен за чист, може да бъде компрометиран днес и администраторите да го почистят на следващия ден. IP адресът, който SSH търси, не е опасен за вашия TSE и т.н.
Visualización
Софтуерът включва лека, локална дисплейна система, базирана на Metabase. CrowdSec също е оборудван с Прометей, за осигуряване на възможности за предупреждение и наблюдение.
Понастоящем механизмът за репутация има над 103.000 XNUMX „консенсусни“ IP адреса (които са преминали тестове за отравяне и анти-фалшиво положителни резултати).
Към днешна дата членовете на общността идват от повече от петдесет държави, разположени на шест континента.
Докато софтуерът в момента изглежда като фиксиран Fail2Ban, целта е да се използва силата на тълпата, за да се създаде изключително точна база данни за IP репутация. Когато CrowdSec отскочи конкретен IP, задействаният сценарий и времеви клей се изпращат към нашия API, за да бъдат проверени и интегрирани в глобалния консенсус за лоши IP адреси.
CrowdSec е безплатен и с отворен код (с лиценз MIT), като изходният код е достъпен на GitHub. В момента е достъпен за Linux, с портове за macOS и Windows в пътната карта
Fuente: https://doc.crowdsec.net/
Благодаря ви много за тази статия! Ние сме на ваше разположение, ако имате нужда от помощ при използването на CrowdSec. Приятен ден.
Екипът на CrowdSec
info@crowdsec.net
https://github.com/crowdsecurity/crowdsec