CrowdSec: een open source cybersecurityproject voor Linux

Darkcrizt

4 minuten

MenigteSec het is een nieuw beveiligingsproject ontworpen om servers, services, containers of virtuele machines te beschermen blootgesteld op internet met een server-side agent. Werd geïnspireerd door Fail2Ban en het is bedoeld als een gezamenlijke en gemoderniseerde versie van dat kader voor inbraakpreventie.

In zekere zin is hij een afstammeling van Fail2Ban, een project dat zestien jaar geleden werd geboren. Echter, biedt een modernere samenwerkingsaanpak en zijn eigen technische basis om te reageren op moderne contexten.

menigtesec, geschreven in Golang, het is een engine voor beveiligingsautomatisering, die is gebaseerd op zowel het gedrag als de reputatie van IP-adressen.

De software detecteert lokaal gedrag, beheert bedreigingen en werkt ook wereldwijd samen met uw netwerk van gebruikers door gedetecteerde IP-adressen te delen.

Hierdoor kan iedereen ze preventief blokkeren. Het doel is om een ​​enorme IP-reputatiedatabase op te bouwen en ervoor te zorgen dat deze gratis kan worden gebruikt door degenen die deelnemen aan de verrijking ervan.

Hoe werkt CrowdSec?

Crowdsec is een modulair en pluggable framework, het bevat een grote verscheidenheid aan bekende populaire scenario's, gebruikers kunnen kiezen uit welke scenario's ze zichzelf willen beschermen, en kunnen gemakkelijk nieuwe aangepaste scenario's toevoegen die beter bij hun omgeving passen.

Het doel is om de software in zoveel mogelijk omgevingen te implementeren.  De snelle uitvoering, de compatibiliteit met containers, het gebruiksgemak in cloudomgevingen en de mogelijkheid om te draaien in UNIX-, macOS- of Windows-ecosystemen: dit alles stelt ons in staat om de hele markt aan te spreken.

Gedragsanalyse-engine

Het is de eerste beschermingslaag. Gebruik het door YAML gedefinieerde scenario om de gebeurtenissen te correleren Ze komen in een lekkend reservoir terecht en trekken een signaal als het reservoir overloopt. U kunt het antwoord van uw keuze vervolgens toepassen met uitsmijters.

Reputatie-engine

De reputatiemotor is een heel eenvoudig principe, maar moeilijk te configureren. Eigenlijk elk van de CrowdSec-installaties kan profiteren van een IP-blacklist georganiseerd, gedistribueerd door onze centrale API. Als je LAMP gebruikt, heb je geen IP-adressen nodig die andere technische stacks zoals Windows aanvallen, bijvoorbeeld.

Deze database wordt gevoed door alle CrowdSec-instances, waarvan de signalen centraal door onze API worden gefilterd en verwerkt. Valse positieven en pogingen tot diefstal door hackers zijn een reëel probleem, vandaar de noodzaak om de signalen die afkomstig zijn van CrowdSec-faciliteiten te verwerken.

We denken dat we hiervoor een behoorlijk solide recept hebben, dat we consensus noemen. Dit omvat verschillende technieken, zoals het controleren van signalen van andere vertrouwde leden, ons eigen netwerk van kunstaas (honeypots), Canarische lijsten (een witte lijst met IP-adressen), enz.

Ons doel is om alleen 100% betrouwbare lijsten te verspreiden. Ook het identificeren van wie gevaarlijk is en wanneer is sterk afhankelijk van een specifieke context en tijdsperiode. Een IP-adres dat gisteren als schoon werd beschouwd, kan bijvoorbeeld vandaag worden gecompromitteerd en beheerders kunnen het de volgende dag opschonen. Een IP-adres waarnaar SSH zoekt, is niet gevaarlijk voor uw TSE, enz.

Visualización

De software bevat een lichtgewicht, lokaal weergavesysteem op basis van Metabase. CrowdSec ook is uitgerust met Prometheus, om waarneembaarheid en alertheid te bieden.

De reputatiemotor heeft momenteel meer dan 103.000 "consensus" IP-adressen (die de vergiftigings- en anti-fout-positieve tests hebben doorstaan).

Tot op heden zijn de leden van de gemeenschap afkomstig uit meer dan vijftig landen verspreid over zes continenten.

Hoewel de software er momenteel uitziet als een vaste Fail2Ban, het doel is om de kracht van de massa te benutten om een ​​zeer nauwkeurige IP-reputatiedatabase te creëren. Wanneer CrowdSec een specifiek IP-adres terugstuurt, worden het geactiveerde scenario en tijdstempel naar onze API gestuurd om te worden geverifieerd en geïntegreerd in de wereldwijde consensus voor slechte IP's.

CrowdSec is gratis en open source (onder een MIT-licentie), met de broncode beschikbaar op GitHub. Het is momenteel beschikbaar voor Linux, met poorten naar macOS en Windows op de roadmap

bron: https://doc.crowdsec.net/


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: Miguel Ángel Gatón
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.

  1.   MenigteSec zei
    geleden Tot 3 jaar

    Heel erg bedankt voor dit artikel! We staan ​​tot uw beschikking als u hulp nodig heeft bij het gebruik van CrowdSec. Fijne dag.

    Het CrowdSec-team
    info@crowdsec.net
    https://github.com/crowdsecurity/crowdsec

    Reageer op CrowdSec