CrowdSec: un progetto collaborativo di sicurezza informatica open source per Linux

Darkcrizt

4 minuti

FollaSez è un nuovo progetto di sicurezza progettato per proteggere server, servizi, container o macchine virtuali esposto su Internet con un agente lato server. È stato ispirato da Fail2Ban ed è destinato a essere una versione collaborativa e modernizzata di tale quadro di prevenzione delle intrusioni.

In un certo senso è un discendente di Fail2Ban, un progetto nato sedici anni fa. Però, offre un approccio collaborativo più moderno e le proprie basi tecniche per rispondere ai contesti moderni.

FollaSec, scritto in Golang, è un motore di automazione della sicurezza, che si basa sia sul comportamento che sulla reputazione degli indirizzi IP.

Il software rileva il comportamento a livello locale, gestisce le minacce e collabora anche a livello globale con la tua rete di utenti condividendo gli indirizzi IP rilevati.

Ciò consente a tutti di bloccarli preventivamente. L'obiettivo è costruire un enorme database di reputazione IP e garantirne il libero utilizzo da parte di chi partecipa all'arricchimento.

Come funziona CrowdSec?

Crowdsec è un framework modulare e collegabile, include una grande varietà di scenari popolari noti, gli utenti possono scegliere da quali scenari desiderano proteggersi, nonché aggiungerne facilmente di nuovi personalizzati per adattarsi meglio al loro ambiente.

L'obiettivo è implementare il software nel maggior numero di ambienti possibile.  La sua rapidità di esecuzione, la sua compatibilità con i container, la sua facilità di utilizzo in ambienti cloud nonché la sua capacità di funzionare in ecosistemi UNIX, macOS o Windows: tutto questo ci permette di rivolgerci all'intero mercato.

Motore di analisi del comportamento

È il primo livello di protezione. Utilizza lo scenario definito da YAML per correlare gli eventi Entrano in un serbatoio che perde e traggono un segnale se il serbatoio trabocca. Puoi quindi applicare la risposta che preferisci con i buttafuori.

Motore di reputazione

Il motore della reputazione è un principio molto semplice, ma difficile da configurare. Fondamentalmente ciascuna delle installazioni CrowdSec può beneficiare di una blacklist IP organizzato, distribuito dalla nostra API centrale. Se stai usando LAMP, non hai bisogno di indirizzi IP che attaccano altri stack tecnici come Windows, ad esempio.

Questo database è alimentato da tutte le istanze di CrowdSec, i cui segnali vengono filtrati ed elaborati centralmente dalla nostra API. I falsi positivi ei tentativi di furto da parte degli hacker sono un vero problema, da qui la necessità di elaborare i segnali che emergono dalle strutture di CrowdSec.

Pensiamo di avere una ricetta abbastanza solida per farlo, che chiamiamo consenso. Ciò comporta varie tecniche, come il controllo dei segnali di altri membri fidati, la nostra rete di esche (honeypot), elenchi Canary (una lista bianca di indirizzi IP), ecc.

Il nostro obiettivo è distribuire solo elenchi affidabili al 100%. Inoltre, identificare chi è pericoloso e quando dipende in larga misura da un contesto e da un periodo di tempo specifici. Ad esempio, un indirizzo IP ritenuto pulito ieri può essere compromesso oggi e gli amministratori possono pulirlo il giorno successivo. Un indirizzo IP che SSH cerca non è pericoloso per il tuo TSE, ecc.

Visualización

Il software include un sistema di visualizzazione locale leggero basato su Metabase. Anche CrowdSec è dotato di Prometeo, per fornire capacità di osservazione e allerta.

Il motore di reputazione ha attualmente più di 103.000 indirizzi IP "di consenso" (che hanno superato i test di avvelenamento e anti-falsi positivi).

Ad oggi, i membri della comunità provengono da più di cinquanta paesi sparsi in sei continenti.

Sebbene il software attualmente assomigli a un Fail2Ban fisso, l'obiettivo è sfruttare il potere della folla per creare un database di reputazione IP estremamente accurato. Quando CrowdSec rimbalza su un IP specifico, lo scenario attivato e il timestamp vengono inviati alla nostra API per essere verificati e integrati nel consenso globale per IP non validi.

CrowdSec è gratuito e open source (con licenza MIT), con il codice sorgente disponibile su GitHub. È attualmente disponibile per Linux, con le porte per macOS e Windows sulla roadmap

fonte: https://doc.crowdsec.net/


Lascia un tuo commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *

*

*

  1. Responsabile dei dati: Miguel Ángel Gatón
  2. Scopo dei dati: controllo SPAM, gestione commenti.
  3. Legittimazione: il tuo consenso
  4. Comunicazione dei dati: I dati non saranno oggetto di comunicazione a terzi se non per obbligo di legge.
  5. Archiviazione dati: database ospitato da Occentus Networks (UE)
  6. Diritti: in qualsiasi momento puoi limitare, recuperare ed eliminare le tue informazioni.

  1.   FollaSez suddetto
    fa 3 anni

    Grazie mille per questo articolo! Siamo a tua disposizione se hai bisogno di aiuto con CrowdSec. Buona giornata.

    Il team CrowdSec
    info@crowdsec.net
    https://github.com/crowdsecurity/crowdsec

    Rispondi a CrowdSec