CrowdSec: un projecte de ciberseguretat col·laborativa de codi obert per a Linux

Darkcrizt

4 minuts

CrowdSec és un nou projecte de seguretat dissenyat per protegir servidors, serveis, contenidors o màquines virtuals exposats a Internet amb un agent de la banda de servidor. Es va inspirar en fail2ban i pretén ser una versió col·laborativa i modernitzada d'aquest marc de prevenció d'intrusions.

D'alguna manera, és descendent d'fail2ban, un projecte que va néixer fa setze anys. No obstant això, ofereix un enfocament col·laboratiu més modern i els seus propis fonaments tècnics per respondre als contextos moderns.

CrowdSec, escrit en Golang, és un motor d'automatització de seguretat, Que es basa tant en el comportament com en la reputació de les adreces IP.

El programari detecta comportaments localment, gestiona el amenaces i també col·labora globalment amb la seva xarxa d'usuaris compartint adreces IP detectades.

Això permet que tothom pugui bloquejar de manera preventiva. L'objectiu és construir una immensa base de dades de reputació de PI i garantir el lliure ús de la mateixa als qui participen en el seu enriquiment.

Com funciona CrowdSec?

Crowdsec és un marc modular i connectable, inclou una gran varietat d'escenaris populars ben coneguts, els usuaris poden triar de quina escenaris volen protegir-se, així com afegir fàcilment nous personalitzats per adaptar-se millor al seu entorn.

L'objectiu és implementar el programari en tants entorns com sigui possible.  La seva ràpida execució, la seva compatibilitat amb contenidors, la seva facilitat d'ús en entorns de núvol així com la capacitat per executar-se en ecosistemes UNIX, macOS o Windows: tot això ens permet abordar tot el mercat.

Motor d'anàlisi de comportament

És la primera capa de protecció. Utilitza l'escenari definit per YAML per correlacionar els esdeveniments que ingressen a un dipòsit amb fuites i extreure un senyal si el dipòsit es desborda. A continuació, pot aplicar la resposta de la seva elecció amb Bouncers.

Motor de reputació

El motor de reputació és un principi molt simple, però difícil de configurar. bàsicament, cadascuna de les instal·lacions de CrowdSec pot beneficiar d'una llista negra d'IP organitzada, distribuïda per la nostra API central. Si es aquesta usant LAMP, no es necessiten adreces IP que ataquin altres piles tècniques com Windows, per exemple.

Aquesta base de dades es nodreix de totes les instàncies de CrowdSec, les senyals són filtrades i processades de forma centralitzada per la nostra API. Els falsos positius i els intents de robatori per part de hackers són un problema real, d'aquí la necessitat de processar els senyals que sorgeixen de les instal·lacions de CrowdSec.

Creiem que tenim una recepta prou sòlida per fer això, que anomenem consens. Això implica diverses tècniques, com la comprovació de senyals d'altres membres de confiança, la nostra pròpia xarxa de cimbells (honeypots), llistes canàries (una llista blanca d'adreces IP), etc.

El nostre objectiu és distribuir només llistes 100% fiables. A més, identificar qui és perillós i quan depèn en gran mesura d'un context i un període de temps específics. Per exemple, una adreça IP que es va considerar neteja ahir es pot veure compromesa avui i els administradors poden netejar-la a l'endemà. Una adreça IP que busqui SSH no és perillosa per a la seva TSE, etc.

Visualització

El software inclou un sistema de visualització local i lleuger basat en Metabase. CrowdSec també està equipat amb Prometheus, per proporcionar capacitats d'alerta i observabilitat.

El motor de reputació té actualment més de 103.000 adreces IP de «consens» (Que han passat les proves d'enverinament i anti-falsos positius).

Fins a la data, els membres de la comunitat provenen de més de cinquanta països repartits en sis continents.

Si bé el programari actualment sembla un fail2ban arreglat, l'objectiu és aprofitar el poder de la multitud per crear una base de dades de reputació d'IP molt precisa. Quan CrowdSec rebota una IP específica, l'escenari desencadenat i la marca de temps s'envien a la nostra API perquè es verifiquin i integrin en el consens global d'IP incorrectes.

CrowdSec és gratuït i de codi obert (sota una llicència MIT), amb el codi font disponible a GitHub. Actualment està disponible per a Linux, amb ports a macOS i Windows en el full de ruta

font: https://doc.crowdsec.net/


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   CrowdSec va dir
    fa 3 anys

    Moltes gràcies per aquest article! Estem a la seva disposició si necessiten ajuda per utilitzar CrowdSec. Que tinguin un bon dia.

    The CrowdSec team
    info@crowdsec.net
    https://github.com/crowdsecurity/crowdsec

    Respondre a CrowdSec