CrowdSec: un projet collaboratif open source de cybersécurité pour Linux

Darkcrizt

Minutes 4

FouleSec c'est un nouveau projet de sécurité conçu pour protéger les serveurs, services, conteneurs ou machines virtuelles exposés sur Internet avec un agent côté serveur. A été inspiré par Fail2Ban et il se veut une version collaborative et modernisée de ce cadre de prévention des intrusions.

D'une certaine manière, il est un descendant de Fail2Ban, un projet né il y a seize ans. Cependant, propose une approche collaborative plus moderne et ses propres fondements techniques pour répondre aux contextes modernes.

FouleSec, écrit en Golang, c'est un moteur d'automatisation de la sécurité, qui repose à la fois sur le comportement et la réputation des adresses IP.

Le logiciel détecte les comportements localement, gère les menaces et collabore également au niveau mondial avec votre réseau d'utilisateurs en partageant les adresses IP détectées.

Cela permet à chacun de les bloquer de manière préventive. L'objectif est de construire une énorme base de données de réputation IP et d'en assurer la libre utilisation par ceux qui participent à son enrichissement.

Comment fonctionne CrowdSec?

Crowdsec est un framework modulaire et enfichable, il comprend une grande variété de scénarios populaires bien connus, les utilisateurs peuvent choisir parmi quels scénarios ils souhaitent se protéger, ainsi que facilement en ajouter de nouveaux personnalisés pour mieux s'adapter à leur environnement.

L'objectif est d'implémenter le logiciel dans autant d'environnements que possible.  Son exécution rapide, sa compatibilité avec les conteneurs, sa facilité d'utilisation dans les environnements cloud ainsi que sa capacité à fonctionner dans les écosystèmes UNIX, macOS ou Windows: tout cela nous permet de nous adresser à l'ensemble du marché.

Moteur d'analyse comportementale

C'est la première couche de protection. Utilisez le scénario défini par YAML pour corréler les événements Ils pénètrent dans un réservoir qui fuit et attirent un signal si le réservoir déborde. Vous pouvez ensuite appliquer la réponse de votre choix avec des videurs.

Moteur de réputation

Le moteur de réputation est un principe très simple, mais difficile à configurer. Fondamentalement chacune des installations CrowdSec peut bénéficier d'une liste noire IP organisé, distribué par notre API centrale. Si vous utilisez LAMP, vous n'avez pas besoin d'adresses IP qui attaquent d'autres piles techniques comme Windows, par exemple.

Cette base de données est alimentée par toutes les instances CrowdSec, dont les signaux sont filtrés et traités de manière centralisée par notre API. Les faux positifs et les tentatives de vol par des pirates sont un réel problème, d'où la nécessité de traiter les signaux qui émergent des installations CrowdSec.

Nous pensons avoir une recette assez solide pour y parvenir, que nous appelons consensus. Cela implique diverses techniques, telles que la vérification des signaux d'autres membres de confiance, notre propre réseau de leurres (pots de miel), des listes Canaries (une liste blanche d'adresses IP), etc.

Notre objectif est de ne diffuser que des listes fiables à 100%. En outre, identifier qui est dangereux et quand dépend fortement d'un contexte et d'une période de temps spécifiques. Par exemple, une adresse IP qui a été jugée propre hier peut être compromise aujourd'hui et les administrateurs peuvent la nettoyer le lendemain. Une adresse IP recherchée par SSH n'est pas dangereuse pour votre TSE, etc.

Visualización

Le logiciel comprend un système d'affichage local léger basé sur Metabase. CrowdSec aussi est équipé de Prométhée, pour fournir des capacités d'observabilité et d'alerte.

Le moteur de réputation compte actuellement plus de 103.000 XNUMX adresses IP "consensuelles" (qui ont réussi les tests d'empoisonnement et anti-faux positifs).

A ce jour, les membres de la communauté viennent de plus de cinquante pays répartis sur six continents.

Alors que le logiciel ressemble actuellement à un Fail2Ban fixe, l'objectif est d'exploiter la puissance de la foule pour créer une base de données de réputation IP très précise. Lorsque CrowdSec rebondit sur une adresse IP spécifique, le scénario déclenché et l'horodatage sont envoyés à notre API pour être vérifiés et intégrés dans le consensus mondial pour les mauvaises adresses IP.

CrowdSec est gratuit et open source (sous licence MIT), avec le code source disponible sur GitHub. Il est actuellement disponible pour Linux, avec des ports vers macOS et Windows sur la feuille de route

source: https://doc.crowdsec.net/


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.

  1.   FouleSec dit
    il ya 3 ans.

    Merci beaucoup pour cet article! Nous sommes à votre disposition si vous avez besoin d'aide pour utiliser CrowdSec. Bonne journée.

    L'équipe CrowdSec
    info@crowdsec.net
    https://github.com/crowdsecurity/crowdsec

    Répondre à CrowdSec