CrowdSec: Ein Open Source-Projekt für kollaborative Cybersicherheit für Linux

Darkcrizt

4 Minuten

CrowdSec Es ist ein neues Sicherheitsprojekt Zum Schutz von Servern, Diensten, Containern oder virtuellen Maschinen im Internet mit einem serverseitigen Agenten ausgesetzt. Wurde inspiriert von Fail2Ban und es soll eine kollaborative und modernisierte Version dieses Rahmens zur Verhinderung von Eindringlingen sein.

In gewisser Weise ist er ein Nachkomme von Fail2Ban, einem Projekt, das vor XNUMX Jahren geboren wurde. Jedoch, bietet einen moderneren kollaborativen Ansatz und seine eigenen technischen Grundlagen, um auf moderne Kontexte zu reagieren.

Crowdsec, geschrieben in Golang, ist es eine Sicherheitsautomatisierungs-Engine, die sowohl auf dem Verhalten als auch auf der Reputation von IP-Adressen basiert.

Die Software erkennt Verhalten lokal, verwaltet Bedrohungen und arbeitet auch global mit Ihrem Benutzernetzwerk zusammen, indem erkannte IP-Adressen gemeinsam genutzt werden.

Dies ermöglicht es jedem, sie vorbeugend zu blockieren. Ziel ist es, eine riesige IP-Reputationsdatenbank aufzubauen und deren freie Nutzung durch die an der Anreicherung Beteiligten sicherzustellen.

Wie funktioniert CrowdSec?

Crowdsec ist ein modulares und steckbares Framework. Es enthält eine Vielzahl bekannter beliebter Szenarien. Benutzer können aus den Szenarien auswählen, die sie selbst schützen möchten, und problemlos neue benutzerdefinierte Szenarien hinzufügen, um sie besser an ihre Umgebung anzupassen.

Ziel ist es, die Software in möglichst vielen Umgebungen zu implementieren.  Seine schnelle Ausführung, seine Kompatibilität mit Containern, seine Benutzerfreundlichkeit in Cloud-Umgebungen sowie seine Fähigkeit, in UNIX-, MacOS- oder Windows-Ökosystemen ausgeführt zu werden: All dies ermöglicht es uns, den gesamten Markt anzusprechen.

Verhaltensanalyse-Engine

Es ist die erste Schutzschicht. Verwenden Sie das von YAML definierte Szenario, um die Ereignisse zu korrelieren Sie betreten ein undichtes Reservoir und ziehen ein Signal, wenn das Reservoir überläuft. Sie können dann die Antwort Ihrer Wahl mit Türstehern anwenden.

Reputationsmotor

Die Reputationsmaschine ist ein sehr einfaches Prinzip, aber schwer zu konfigurieren. Grundsätzlich Jede CrowdSec-Installation kann von einer IP-Blacklist profitieren organisiert, verteilt von unserer zentralen API. Wenn Sie LAMP verwenden, benötigen Sie keine IP-Adressen, die andere technische Stacks wie beispielsweise Windows angreifen.

Diese Datenbank wird von allen CrowdSec-Instanzen gespeist, deren Signale von unserer API zentral gefiltert und verarbeitet werden. Fehlalarme und Diebstahlversuche von Hackern sind ein echtes Problem, daher müssen die Signale verarbeitet werden, die von CrowdSec-Einrichtungen ausgehen.

Wir denken, wir haben ein ziemlich solides Rezept dafür, das wir Konsens nennen. Dies beinhaltet verschiedene Techniken, wie das Überprüfen auf Signale von anderen vertrauenswürdigen Mitgliedern, unser eigenes Netzwerk von Ködern (Honeypots), Kanarischen Listen (eine weiße Liste von IP-Adressen) usw.

Unser Ziel ist es, nur 100% zuverlässige Listen zu verteilen. Die Identifizierung, wer wann gefährlich ist, hängt in hohem Maße von einem bestimmten Kontext und Zeitraum ab. Beispielsweise kann eine IP-Adresse, die gestern als sauber eingestuft wurde, heute kompromittiert werden, und Administratoren können sie am nächsten Tag bereinigen. Eine IP-Adresse, nach der SSH sucht, ist für Ihre TSE usw. nicht gefährlich.

Anzeige

Die Software Enthält ein leichtes, lokales Anzeigesystem, das auf Metabase basiert. CrowdSec auch ist mit Prometheus ausgestattet, Alarm- und Beobachtbarkeitsfunktionen bereitzustellen.

Die Reputations-Engine verfügt derzeit über mehr als 103.000 "Konsens" -IP-Adressen (die die Vergiftungs- und Anti-Falsch-Positiv-Tests bestanden haben).

Bis heute kommen die Mitglieder der Gemeinschaft aus mehr als fünfzig Ländern auf sechs Kontinenten.

Während die Software derzeit wie ein festes Fail2Ban aussieht, Ziel ist es, die Macht der Masse zu nutzen, um eine hochpräzise IP-Reputationsdatenbank zu erstellen. Wenn CrowdSec eine bestimmte IP-Adresse bounciert, werden das ausgelöste Szenario und der Zeitstempel an unsere API gesendet, um überprüft und in den globalen Konsens für fehlerhafte IPs integriert zu werden.

CrowdSec ist kostenlos und Open Source (unter einer MIT-Lizenz). Der Quellcode ist auf GitHub verfügbar. Es ist derzeit für Linux verfügbar, mit Ports für MacOS und Windows auf der Roadmap

Quelle: https://doc.crowdsec.net/


Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

*

*

  1. Verantwortlich für die Daten: Miguel Ángel Gatón
  2. Zweck der Daten: Kontrolle von SPAM, Kommentarverwaltung.
  3. Legitimation: Ihre Zustimmung
  4. Übermittlung der Daten: Die Daten werden nur durch gesetzliche Verpflichtung an Dritte weitergegeben.
  5. Datenspeicherung: Von Occentus Networks (EU) gehostete Datenbank
  6. Rechte: Sie können Ihre Informationen jederzeit einschränken, wiederherstellen und löschen.

  1.   CrowdSec sagte
    vor 3-jährige

    Vielen Dank für diesen Artikel! Wir stehen Ihnen zur Verfügung, wenn Sie Hilfe bei der Verwendung von CrowdSec benötigen. Einen schönen Tag noch.

    Das CrowdSec-Team
    info@crowdsec.net
    https://github.com/crowdsecurity/crowdsec

    Antwort an CrowdSec