CrowdSec: projek keselamatan siber kolaboratif sumber terbuka untuk Linux

Darkcrizt

Minit 4

CrowdSec ia adalah projek keselamatan baru direka untuk melindungi pelayan, perkhidmatan, kontena atau mesin maya terdedah di Internet dengan ejen pelayan. Diilhamkan oleh Fail2Ban dan ini bertujuan untuk menjadi versi kolaboratif dan moden dari rangka pencegahan pencerobohan itu.

Sebaliknya, dia adalah keturunan Fail2Ban, sebuah projek yang lahir enam belas tahun yang lalu. Walau bagaimanapun, menawarkan pendekatan kolaboratif yang lebih moden dan asas teknikalnya sendiri untuk bertindak balas terhadap konteks moden.

crowdsec, ditulis dalam Golang, ia adalah mesin automasi keselamatan, yang berdasarkan tingkah laku dan reputasi alamat IP.

Perisian ini mengesan tingkah laku secara tempatan, mengurus ancaman, dan juga berkolaborasi secara global dengan rangkaian pengguna anda dengan berkongsi alamat IP yang dikesan.

Ini membolehkan semua orang menghalangnya secara pencegahan. Tujuannya adalah untuk membina pangkalan data reputasi IP yang besar dan memastikan penggunaannya secara percuma oleh mereka yang mengambil bahagian dalam pengayaannya.

Bagaimana CrowdSec berfungsi?

Crowdsec adalah kerangka modular dan pluggable, ia merangkumi pelbagai senario popular yang terkenal, pengguna dapat memilih dari mana senario yang ingin mereka lindungi, dan juga dengan mudah menambahkan yang baru untuk menyesuaikan diri dengan persekitaran mereka.

Tujuannya adalah untuk melaksanakan perisian dalam lingkungan sebanyak mungkin.  Pelaksanaannya yang pantas, keserasiannya dengan kontena, kemudahan penggunaannya di persekitaran awan serta kemampuannya untuk berjalan di ekosistem UNIX, macOS atau Windows: semua ini memungkinkan kita menangani keseluruhan pasaran.

Enjin analisis tingkah laku

Ini adalah lapisan perlindungan pertama. Gunakan senario yang ditentukan oleh YAML untuk menghubungkan peristiwa Mereka memasuki takungan yang bocor dan menarik isyarat jika takungan melimpah. Anda kemudian boleh menggunakan jawapan pilihan anda dengan penjaga gol.

Enjin reputasi

Enjin reputasi adalah prinsip yang sangat mudah, tetapi sukar dikonfigurasi. Pada asasnya setiap pemasangan CrowdSec boleh mendapat manfaat daripada senarai hitam IP diatur, diedarkan oleh API pusat kami. Sekiranya anda menggunakan LAMP, misalnya, anda tidak memerlukan alamat IP yang menyerang timbunan teknikal lain seperti Windows.

Pangkalan data ini diberi makan oleh semua contoh CrowdSec, yang isyaratnya disaring dan diproses secara terpusat oleh API kami. Positif dan percubaan pencuri oleh penggodam adalah masalah yang sebenarnya, oleh itu keperluan untuk memproses isyarat yang muncul dari kemudahan CrowdSec.

Kami fikir kami mempunyai resipi yang cukup baik untuk melakukan ini, yang kami sebut sebagai kata sepakat. Ini melibatkan pelbagai teknik, seperti memeriksa isyarat dari anggota dipercayai yang lain, jaringan umpan kita sendiri (honeypots), senarai Canary (senarai putih alamat IP), dll.

Matlamat kami adalah untuk menyebarkan senarai 100% yang boleh dipercayai sahaja. Juga, mengenal pasti siapa yang berbahaya dan kapan sangat bergantung pada konteks dan jangka masa tertentu. Sebagai contoh, alamat IP yang dianggap bersih semalam boleh dikompromikan hari ini dan pentadbir dapat membersihkannya pada keesokan harinya. Alamat IP yang dicari oleh SSH tidak berbahaya bagi TSE anda, dll.

Paparan

Perisian ini merangkumi sistem paparan tempatan yang ringan berdasarkan Metabase. CrowdSec juga dilengkapi dengan Prometheus, untuk memberi kemampuan pemerhatian dan amaran.

Enjin reputasi pada masa ini mempunyai lebih dari 103.000 alamat IP "konsensus" (yang telah lulus ujian keracunan dan anti-palsu positif).

Sehingga kini, anggota masyarakat berasal dari lebih daripada lima puluh negara yang tersebar di enam benua.

Walaupun perisian pada masa ini kelihatan seperti Fail2Ban tetap, tujuannya adalah untuk memanfaatkan kekuatan orang ramai untuk membuat pangkalan data reputasi IP yang sangat tepat. Apabila CrowdSec memantul IP tertentu, senario yang dipicu dan cap waktu dihantar ke API kami untuk disahkan dan disatukan ke dalam konsensus global untuk IP buruk.

CrowdSec adalah sumber terbuka dan bebas (di bawah lesen MIT), dengan kod sumber yang terdapat di GitHub. Ia kini tersedia untuk Linux, dengan port ke macOS dan Windows pada peta jalan

Fuente: https://doc.crowdsec.net/


Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab atas data: Miguel Ángel Gatón
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.

  1.   CrowdSec kata
    membuat 3 tahun

    Terima kasih banyak untuk artikel ini! Kami bersedia jika anda memerlukan bantuan menggunakan CrowdSec. Semoga hari anda indah.

    Pasukan CrowdSec
    info@crowdsec.net
    https://github.com/crowdsecurity/crowdsec

    Balas CrowdSec