„CrowdSec“ tai naujas saugumo projektas sukurta apsaugoti serverius, paslaugas, konteinerius ar virtualias mašinas paveikti internete su serverio pusės agentu. Buvo įkvėptas „Fail2Ban“ ir tai yra bendradarbiavimo ir modernizuota tos įsilaužimų prevencijos sistemos versija.
Tam tikra prasme jis yra „Fail2Ban“, prieš šešiolika metų gimusio projekto, palikuonis. Tačiau siūlo modernesnį bendradarbiavimo metodą ir savo techninius pagrindus reaguoti į šiuolaikinius kontekstus.
„CrowdSec“, parašyta „Golang“ kalba, tai yra saugos automatikos variklis, kuris pagrįstas ir IP adresų elgesiu, ir reputacija.
Programinė įranga aptinka elgesį lokaliai, valdo grėsmes ir taip pat bendradarbiauja visame pasaulyje su jūsų vartotojų tinklu, dalydamasi aptiktais IP adresais.
Tai leidžia visiems prevenciškai juos užblokuoti. Tikslas yra sukurti didžiulę IP reputacijos duomenų bazę ir užtikrinti nemokamą ja naudojimąsi tiems, kurie dalyvauja jos praturtinime.
Kaip veikia „CrowdSec“?
„Crowdsec“ yra modulinė ir prijungiama sistema, joje yra daug įvairių gerai žinomų populiarių scenarijų, vartotojai gali pasirinkti iš kurių scenarijų nori apsisaugoti, taip pat lengvai pridėti naujų pasirinktinių, kad geriau atitiktų jų aplinką.
Tikslas yra įdiegti programinę įrangą kuo daugiau aplinkų. Greitas vykdymas, suderinamumas su konteineriais, patogumas naudoti debesų aplinkoje, taip pat galimybė veikti UNIX, MacOS ar Windows ekosistemose: visa tai leidžia mums spręsti visą rinką.
Elgesio analizės variklis
Tai pirmasis apsaugos sluoksnis. Norėdami susieti įvykius, naudokite YAML apibrėžtą scenarijų Jie patenka į nesandarų rezervuarą ir nubraukia signalą, jei rezervuaras perpildomas. Tada galite pritaikyti pasirinktą atsakymą su bounceriais.
Reputacijos variklis
Garsumo variklis yra labai paprastas principas, bet sunku sukonfigūruoti. Iš esmės kiekvienam iš „CrowdSec“ įrenginių gali būti naudingas IP juodasis sąrašas organizavo, platino mūsų centrinė API. Jei naudojate LAMP, jums nereikia IP adresų, kurie puola kitus techninius paketus, pavyzdžiui, „Windows“.
Šią duomenų bazę teikia visi „CrowdSec“ egzemplioriai, kurių signalus filtruoja ir apdoroja centralizuotai mūsų API. Klaidingi teigiami įsilaužėlių bandymai ir vagystės yra tikra problema, todėl reikia apdoroti signalus, kylančius iš „CrowdSec“ įrenginių.
Manome, kad tam turime gana tvirtą receptą, kurį vadiname sutarimu. Tai apima įvairias technikas, tokias kaip kitų patikimų narių signalų tikrinimas, mūsų pačių masalų tinklas (medaus puodai), Kanarų sąrašai (baltas IP adresų sąrašas) ir kt.
Mūsų tikslas yra platinti tik 100% patikimus sąrašus. Be to, nustatyti, kas ir kada yra pavojingas, labai priklauso nuo konkretaus konteksto ir laikotarpio. Pavyzdžiui, IP adresas, kuris vakar buvo laikomas švariu, šiandien gali būti pažeistas, o administratoriai gali jį išvalyti kitą dieną. IP adresas, kurio ieško SSH, nėra pavojingas jūsų USE ir kt.
Ekranas
Programinė įranga apima lengvą, vietinio rodymo sistemą, pagrįstą „Metabase“. „CrowdSec“ taip pat yra įrengtas Prometėjas, suteikti stebimumo ir perspėjimo galimybes.
Šiuo metu reputacijos variklis turi daugiau nei 103.000 XNUMX „sutarimo“ IP adresų (kurie išlaikė apsinuodijimo ir klaidingai teigiamų testų rezultatus).
Iki šiol bendruomenės nariai yra iš daugiau nei penkiasdešimt šalių, išsidėsčiusių šešiuose žemynuose.
Nors šiuo metu programinė įranga atrodo kaip fiksuotas „Fail2Ban“, tikslas yra panaudoti minios galią, norint sukurti labai tikslią IP reputacijos duomenų bazę. Kai „CrowdSec“ atmeta konkretų IP, suaktyvintas scenarijus ir laiko žyma siunčiami į mūsų API, kad būtų patikrinti ir integruoti į visuotinį sutarimą dėl blogų IP.
„CrowdSec“ yra nemokamas ir atviras šaltinis (pagal MIT licenciją), o šaltinio kodą galite rasti „GitHub“. Šiuo metu jį galima naudoti „Linux“ sistemoje, o keliuose yra „MacOS“ ir „Windows“ prievadai
Fuente: https://doc.crowdsec.net/
Labai ačiū už šį straipsnį! Mes esame jūsų žinioje, jei jums reikia pagalbos naudojant „CrowdSec“. Geros dienos.
„CrowdSec“ komanda
info@crowdsec.net
https://github.com/crowdsecurity/crowdsec