CrowdSec: un proxecto de ciberseguridade colaborativo de código aberto para Linux

CrowdSec é un novo proxecto de seguridade deseñado para protexer servidores, servizos, contedores ou máquinas virtuais exposto en Internet cun axente do servidor. Inspirouse en Fail2Ban e pretende ser unha versión colaborativa e modernizada dese marco de prevención de intrusos.

En certo xeito, é descendente de Fail2Ban, un proxecto que naceu hai dezaseis anos. Non obstante, ofrece un enfoque colaborativo máis moderno e os seus propios fundamentos técnicos para responder a contextos modernos.

crowdsec, escrito en Golang, é un motor de automatización de seguridade, que se basea tanto no comportamento como na reputación das direccións IP.

O software detecta o comportamento localmente, xestiona ameazas e tamén colabora globalmente coa túa rede de usuarios compartindo enderezos IP detectados.

Isto permite que todos os bloqueen preventivamente. O obxectivo é construír unha enorme base de datos de reputación de IP e garantir o seu uso gratuíto por parte dos que participan no seu enriquecemento.

Como funciona CrowdSec?

Crowdsec é un marco modular e enchufable, que inclúe unha gran variedade de escenarios populares coñecidos, os usuarios poden escoller entre que escenarios queren protexerse, así como engadir facilmente outros personalizados para adaptarse mellor ao seu ambiente.

O obxectivo é implementar o software no maior número posible de entornos.  A súa rápida execución, a súa compatibilidade con contedores, a súa facilidade de uso en contornos na nube, así como a súa capacidade para funcionar en ecosistemas UNIX, macOS ou Windows: todo isto permítenos dirixirnos a todo o mercado.

Motor de análise do comportamento

É a primeira capa de protección. Use o escenario definido por YAML para correlacionar os eventos Entran nun depósito con fugas e chaman un sinal se o depósito desborda. Despois podes aplicar a resposta que escollas cos botóns.

motor de reputación

O motor de reputación é un principio moi sinxelo, pero difícil de configurar. Basicamente cada unha das instalacións de CrowdSec pode beneficiarse dunha lista negra de IP organizado, distribuído pola nosa API central. Se estás a usar LAMP, non necesitarás enderezos IP que atacen outras pilas técnicas como Windows, por exemplo.

Esta base de datos está alimentada por todas as instancias de CrowdSec, cuxos sinais son filtrados e procesados ​​centralmente pola nosa API. Os falsos positivos e os intentos de roubo por parte dos hackers son un verdadeiro problema, de aí a necesidade de procesar os sinais que xorden das instalacións de CrowdSec.

Cremos que temos unha receita bastante sólida para facelo, que chamamos consenso. Isto implica varias técnicas, como a comprobación de sinais doutros membros de confianza, a nosa propia rede de señuelos (melas), listas canarias (unha lista branca de enderezos IP), etc.

O noso obxectivo é distribuír só listas 100% fiables. Ademais, identificar quen é perigoso e cando depende moito dun contexto e período de tempo específicos. Por exemplo, unha dirección IP que se considerou limpa onte pódese comprometer hoxe e os administradores poden limpala ao día seguinte. Un enderezo IP que busca SSH non é perigoso para o TSE, etc.

Mostrar

O software inclúe un sistema de visualización local lixeiro baseado en Metabase. CrowdSec tamén está equipado con Prometeo, para proporcionar capacidades de alerta e observabilidade.

O motor de reputación ten actualmente máis de 103.000 enderezos IP "consensuados" (que superaron as probas de intoxicación e antifalsos positivos).

Ata a data, os membros da comunidade proceden de máis de cincuenta países repartidos por seis continentes.

Aínda que o software semella actualmente un Fail2Ban fixo, o obxectivo é aproveitar o poder da multitude para crear unha base de datos de reputación IP altamente precisa. Cando CrowdSec fai rebotar unha IP específica, o escenario desactivado e a marca de tempo envíanse á nosa API para verificalos e integralos no consenso global en caso de IP malas.

CrowdSec é gratuíto e de código aberto (baixo licenza MIT), co código fonte dispoñible en GitHub. Actualmente está dispoñible para Linux, con portos para macOS e Windows na folla de ruta

Fuente: https://doc.crowdsec.net/


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

Un comentario, deixa o teu

Deixa o teu comentario

Enderezo de correo electrónico non será publicado.

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.

  1.   CrowdSec dixo

    Moitas grazas por este artigo. Estamos á súa disposición se precisa axuda para usar CrowdSec. Que teñas un bo día.

    O equipo de CrowdSec
    info@crowdsec.net
    https://github.com/crowdsecurity/crowdsec