CrowdSec: et open source-samarbejde cybersikkerhedsprojekt til Linux

CrowdSec det er et nyt sikkerhedsprojekt designet til at beskytte servere, tjenester, containere eller virtuelle maskiner udsat på Internettet med en server-side agent. Blev inspireret af Fail2Ban og det er beregnet til at være en samarbejdsvillig og moderniseret version af denne ramme om forebyggelse af indtrængen.

På en måde er han en efterkommer af Fail2Ban, et projekt, der blev født for seksten år siden. Imidlertid, tilbyder en mere moderne samarbejdestilgang og dets egne tekniske fundament til at reagere på moderne sammenhænge.

crowdsec, skrevet i Golang, er det en sikkerhedsautomatiseringsmotor, som er baseret på både IP-adressers adfærd og omdømme.

Softwaren registrerer adfærd lokalt, styrer trusler og samarbejder også globalt med dit netværk af brugere ved at dele opdagede IP-adresser.

Dette giver alle mulighed for at forhindre dem. Målet er at opbygge en enorm IP-omdømme-database og sikre fri brug af den af ​​dem, der deltager i dens berigelse.

Hvordan fungerer CrowdSec?

Crowdsec er en modulær og pluggbar ramme, den inkluderer et stort udvalg af kendte populære scenarier, brugerne kan vælge, hvilke scenarier de ønsker at beskytte sig selv, samt nemt tilføje nye tilpassede, der passer bedre til deres miljø.

Målet er at implementere softwaren i så mange miljøer som muligt.  Dens hurtige udførelse, dets kompatibilitet med containere, dens brugervenlighed i skymiljøer såvel som dets evne til at køre i UNIX-, macOS- eller Windows-økosystemer: alt dette giver os mulighed for at adressere hele markedet.

Adfærdsanalysemotor

Det er det første beskyttelseslag. Brug det YAML-definerede scenario til at korrelere begivenhederne De kommer ind i et utæt reservoir og tegner et signal, hvis reservoiret løber over. Du kan derefter anvende svaret efter eget valg med bouncers.

Omdømmemotor

Anerkendelsesmotoren er et meget simpelt princip, men svært at konfigurere. I bund og grund hver af CrowdSec-installationer kan drage fordel af en IP-sortliste organiseret, distribueret af vores centrale API. Hvis du bruger LAMP, behøver du ikke IP-adresser, der f.eks. Angriber andre tekniske stakke som Windows.

Denne database leveres af alle CrowdSec-forekomster, hvis signaler filtreres og behandles centralt af vores API. Falske positive og tyveriforsøg fra hackere er et reelt problem, derfor behovet for at behandle de signaler, der kommer fra CrowdSec-faciliteter.

Vi synes, vi har en ret solid opskrift på at gøre dette, som vi kalder konsensus. Dette involverer forskellige teknikker, såsom kontrol af signaler fra andre betroede medlemmer, vores eget netværk af lokker (honeypots), Kanariske lister (en hvid liste over IP-adresser) osv.

Vores mål er kun at distribuere 100% pålidelige lister. Også at identificere, hvem der er farlig, og hvornår er meget afhængig af en bestemt kontekst og tidsperiode. For eksempel kan en IP-adresse, der blev anset for ren i går, blive kompromitteret i dag, og administratorer kan rense den næste dag. En IP-adresse, som SSH ser efter, er ikke farlig for din TSE osv.

udstilling

Softwaren inkluderer et let, lokalt displaysystem baseret på Metabase. CrowdSec også er udstyret med Prometheus, at give observerbarhed og alarmfunktioner.

Anerkendelsesmotoren har i øjeblikket mere end 103.000 "konsensus" IP-adresser (der har bestået forgiftning og anti-falske positive tests).

Til dato kommer medlemmerne af samfundet fra mere end halvtreds lande fordelt på seks kontinenter.

Mens softwaren i øjeblikket ligner en fast Fail2Ban, Målet er at udnytte mængden af ​​publikum til at oprette en meget nøjagtig IP-omdømme-database. Når CrowdSec afviser en bestemt IP, sendes det udløste scenario og tidsstempel til vores API for at blive verificeret og integreret i den globale konsensus for dårlige IP'er.

CrowdSec er gratis og open source (under en MIT-licens) med kildekoden tilgængelig på GitHub. Den er i øjeblikket tilgængelig til Linux med porte til macOS og Windows på køreplanen

kilde: https://doc.crowdsec.net/