CrowdSec to je novi sigurnosni projekat dizajniran za zaštitu servera, usluga, kontejnera ili virtualnih mašina izložen na Internetu sa agentom na strani servera. Inspiriran je Fail2Ban a namijenjena je suradničkoj i moderniziranoj verziji tog okvira za sprječavanje upada.
Na neki je način potomak Fail2Ban-a, projekta koji je rođen prije šesnaest godina. Kako god, nudi moderniji pristup suradnje i sopstvene tehničke osnove za odgovaranje na savremeni kontekst.
crowdsec, napisano na Golangu, to je motor sigurnosne automatizacije, koja se zasniva na ponašanju i reputaciji IP adresa.
Softver otkriva ponašanje lokalno, upravlja prijetnjama, a također globalno surađuje s vašom mrežom korisnika dijeljenjem otkrivenih IP adresa.
To omogućava svima da ih preventivno blokiraju. Cilj je izgraditi ogromnu bazu podataka o IP reputaciji i osigurati njezinu besplatnu upotrebu onima koji sudjeluju u njenom obogaćivanju.
Kako CrowdSec radi?
Crowdsec je modularni i priključljivi okvir, uključuje široku paletu dobro poznatih popularnih scenarija, korisnici mogu birati od kojih scenarija se žele zaštititi, kao i lako dodati nove prilagođene koji bolje odgovaraju njihovom okruženju.
Cilj je implementirati softver u što više okruženja. Njegova brza izvedba, kompatibilnost s kontejnerima, jednostavnost upotrebe u oblaku kao i sposobnost pokretanja u UNIX, macOS ili Windows ekosustavima: sve ovo omogućava nam da se obratimo čitavom tržištu.
Mehanizam analize ponašanja
To je prvi sloj zaštite. Koristite YAML definirani scenarij za korelaciju događaja Ulaze u nepropusni rezervoar i povlače signal ako se rezervoar prelije. Tada možete odgovoriti po svom izboru primijeniti izbacivačima.
Motor za ugled
Reputacijski mehanizam je vrlo jednostavan princip, ali je teško konfigurirati. U osnovi svaka od instalacija CrowdSec može imati koristi od IP crne liste organizira, distribuira naš centralni API. Ako koristite LAMP, ne trebaju vam IP adrese koje napadaju druge tehničke stekove, na primjer Windows.
Ovu bazu podataka napajaju sve instance CrowdSec, čiji signali naš API filtrira i obrađuje centralno. Lažni pozitivi i pokušaji krađe hakera su stvarni problem, pa otuda i potreba za obradom signala koji se pojavljuju iz objekata CrowdSec.
Mislimo da imamo prilično solidan recept za to, što nazivamo konsenzusom. To uključuje razne tehnike, kao što su provjera signala drugih pouzdanih članova, vlastita mreža mamaca (lonci), Kanarske liste (bijela lista IP adresa) itd.
Cilj nam je distribuirati samo 100% pouzdane liste. Takođe, utvrđivanje ko je opasan i kada u velikoj mjeri ovisi o određenom kontekstu i vremenskom periodu. Na primjer, IP adresa koja je jučer smatrana čistom može biti ugrožena danas, a administratori je mogu očistiti sutradan. IP adresa koju SSH traži nije opasna za vaš TSE, itd.
Ekran
Softver uključuje lagani, lokalni sistem prikaza zasnovan na Metabaseu. CrowdSec također je opremljen Prometejem, kako bi se osigurale mogućnosti upozorenja i uočljivosti
Ugledni mehanizam trenutno ima više od 103.000 „konsenzusnih“ IP adresa (koji su prošli testove na trovanje i anti-lažno pozitivan test).
Do danas članovi zajednice dolaze iz više od pedeset zemalja raspoređenih na šest kontinenata.
Iako softver trenutno izgleda kao fiksni Fail2Ban, Cilj je iskoristiti snagu gomile kako bi se stvorila vrlo precizna baza podataka o IP reputaciji. Kada CrowdSec odbaci određenu IP adresu, pokrenuti scenarij i vremenska oznaka šalju se našem API-u radi provjere i integriranja u globalni konsenzus o lošim IP-ovima.
CrowdSec je besplatan i otvoren izvor (pod MIT licencom), s izvornim kodom dostupnim na GitHub-u. Trenutno je dostupan za Linux, s priključcima za macOS i Windows na putu
Izvor: https://doc.crowdsec.net/
Hvala vam puno na ovom članku! Stojimo vam na raspolaganju ako vam je potrebna pomoć u korištenju CrowdSec-a. Želim vam ugodan dan.
Tim CrowdSec
info@crowdsec.net
https://github.com/crowdsecurity/crowdsec