CrowdSec see on uus turvaprojekt loodud serverite, teenuste, konteinerite või virtuaalsete masinate kaitsmiseks paljastatakse Internetis serveripoolse agendiga. Oli inspireeritud Fail2Ban ja see on mõeldud selle sissetungimise vältimise raamistiku koostööl ja ajakohastatud versioonina.
Mõnes mõttes on ta kuusteist aastat tagasi sündinud projekti Fail2Ban järeltulija. Kuid, pakub kaasaegsemat koostööl põhinevat lähenemist ja oma tehnilised alused, et reageerida kaasaegsele kontekstile.
rahvahulk, kirjutatud Golangis, see on turvaautomaatika mootor, mis põhineb nii IP-aadresside käitumisel kui ka mainel.
Tarkvara tuvastab käitumise lokaalselt, haldab ohtusid ja teeb tuvastatud IP-aadresside jagamise kaudu ka teie kasutajate võrguga ülemaailmset koostööd.
See võimaldab kõigil neid ennetavalt blokeerida. Eesmärk on luua tohutu IP-maine andmebaas ja tagada selle tasuta kasutamine selle rikastamisel osalevate inimeste poolt.
Kuidas CrowdSec töötab?
Crowdsec on modulaarne ja ühendatav raamistik, see sisaldab paljusid tuntud populaarseid stsenaariume, kasutajad saavad valida, milliste stsenaariumide seast nad end kaitsta soovivad, samuti lisada hõlpsalt uusi kohandatud, et see oma keskkonnale paremini sobiks.
Eesmärk on tarkvara juurutada võimalikult paljudes keskkondades. Selle kiire täitmine, ühilduvus konteineritega, kasutusmugavus pilvekeskkondades ning võime töötada UNIXi, macOSi või Windowsi ökosüsteemides: see kõik võimaldab meil tegeleda kogu turuga.
Käitumise analüüsi mootor
See on esimene kaitsekiht. Kasutage sündmuste korreleerimiseks YAML-i määratletud stsenaariumi Nad sisenevad lekkivasse reservuaari ja annavad reservuaari ülevoolu korral signaali. Seejärel saate oma vastuse väljavõtetega rakendada.
Maine mootor
Maine mootor on väga lihtne põhimõte, kuid keeruline seadistada. Põhimõtteliselt kõik CrowdSeci installid saavad kasutada IP musta nimekirja organiseeritud, levitatud meie keskse API kaudu. Kui kasutate LAMP-i, pole teil vaja IP-aadresse, mis ründaksid näiteks muid tehnilisi virnasid, näiteks Windows.
Seda andmebaasi toidavad kõik CrowdSeci eksemplarid, mille signaale meie API filtreerib ja töötleb keskselt. Häkkerite valepositiivsus ja varguskatsed on tõeline probleem, mistõttu on vaja töödelda CrowdSeci rajatistest väljuvaid signaale.
Arvame, et meil on selleks üsna kindel retsept, mida nimetame konsensuseks. See hõlmab erinevaid tehnikaid, näiteks teiste usaldusväärsete liikmete signaalide kontrollimist, meie enda peibutusvõrku (kärgpott), Kanaari saarte loendeid (IP-aadresside valge nimekiri) jne.
Meie eesmärk on levitada ainult 100% usaldusväärseid loendeid. Samuti selle tuvastamine, kes ja millal on ohtlik, sõltub suuresti konkreetsest kontekstist ja ajaperioodist. Näiteks võib eile puhtaks peetud IP-aadress olla täna ohustatud ja administraatorid saavad selle järgmisel päeval puhastada. IP-aadress, mida SSH otsib, pole teie TSE-le ohtlik jne.
kuva
Tarkvara sisaldab Metabase'il põhinevat kerget kohalikku kuvasüsteemi. CrowdSec ka on varustatud Prometheusega, pakkuda häire- ja jälgimisvõimalusi.
Maine mootoril on praegu üle 103.000 XNUMX üksmeelse IP-aadressi (mis on läbinud mürgistuse ja valepositiivsete testide tulemused).
Praeguseks on kogukonna liikmed pärit enam kui viiekümnest riigist, mis paiknevad kuuel mandril.
Kuigi tarkvara näeb praegu välja nagu fikseeritud Fail2Ban, eesmärk on kasutada rahvahulga jõudu ülitäpse IP-maine andmebaasi loomiseks. Kui CrowdSec põrkab tagasi konkreetse IP, saadetakse käivitatud stsenaarium ja ajatempel meie API-le kontrollimiseks ja integreerimiseks halva IP-de globaalsesse konsensusse.
CrowdSec on tasuta ja avatud lähtekoodiga (MIT-litsentsi alusel), lähtekood on saadaval GitHubis. Praegu on see saadaval Linuxi jaoks, teekaardil on pordid macOS-i ja Windowsi
allikas: https://doc.crowdsec.net/
Suur aitäh selle artikli eest! Oleme teie käsutuses, kui vajate abi CrowdSeci kasutamisel. Head päeva.
CrowdSeci meeskond
info@crowdsec.net
https://github.com/crowdsecurity/crowdsec