CrowdSec det er et nytt sikkerhetsprosjekt designet for å beskytte servere, tjenester, containere eller virtuelle maskiner eksponert på Internett med en server-side agent. Ble inspirert av Feil2Ban og det er ment å være en samarbeidende og modernisert versjon av det rammeverket for forebygging av inntrenging.
På en måte er han en etterkommer av Fail2Ban, et prosjekt som ble født for seksten år siden. Men, tilbyr en mer moderne samarbeidstilnærming og sine egne tekniske grunnlag for å svare på moderne sammenhenger.
crowdsec, skrevet i Golang, er det en sikkerhetsautomatiseringsmotor, som er basert på både oppførsel og omdømme til IP-adresser.
Programvaren oppdager atferd lokalt, administrerer trusler, og samarbeider også globalt med brukernettverket ditt ved å dele oppdagede IP-adresser.
Dette gjør at alle kan forhindre dem. Målet er å bygge en enorm IP-omdømme-database og sikre gratis bruk av den av de som deltar i berikelsen.
Hvordan fungerer CrowdSec?
Crowdsec er et modulært og pluggbart rammeverk, det inkluderer et stort utvalg av kjente populære scenarier, brukere kan velge fra hvilke scenarier de vil beskytte seg selv, samt enkelt legge til nye tilpassede scener som passer bedre til miljøet deres.
Målet er å implementere programvaren i så mange miljøer som mulig. Den raske kjøringen, kompatibiliteten med containere, brukervennligheten i skymiljøer samt evnen til å kjøre i UNIX-, macOS- eller Windows-økosystemer: alt dette gjør at vi kan adressere hele markedet.
Atferdsanalysemotor
Det er det første beskyttelseslaget. Bruk det YAML-definerte scenariet for å korrelere hendelsene De kommer inn i et lekker reservoar og tegner et signal hvis reservoaret renner over. Du kan deretter bruke svaret du ønsker med bouncers.
Rykte motor
Anseelsesmotoren er et veldig enkelt prinsipp, men vanskelig å konfigurere. I utgangspunktet hver av CrowdSec-installasjonene kan dra nytte av en IP-svarteliste organisert, distribuert av vårt sentrale API. Hvis du bruker LAMP, trenger du ikke IP-adresser som for eksempel angriper andre tekniske stabler som Windows.
Denne databasen mates av alle CrowdSec-forekomster, hvis signaler blir filtrert og behandlet sentralt av API-en vår. Falske positive og tyveriforsøk fra hackere er et reelt problem, derav behovet for å behandle signalene som kommer fra CrowdSec-anlegg.
Vi synes vi har en ganske solid oppskrift på å gjøre dette, som vi kaller konsensus. Dette involverer forskjellige teknikker, som å sjekke signaler fra andre pålitelige medlemmer, vårt eget nettverk av lokker (honningpotter), Kanariøyelister (en hvit liste over IP-adresser) osv.
Målet vårt er å distribuere bare 100% pålitelige lister. Å identifisere hvem som er farlig og når, er også veldig avhengig av en bestemt kontekst og tidsperiode. For eksempel kan en IP-adresse som ble ansett som ren i går, bli kompromittert i dag, og administratorer kan rense den neste dag. En IP-adresse som SSH ser etter er ikke farlig for TSE, etc.
utstilling
Programvaren inkluderer et lett, lokalt skjermsystem basert på Metabase. CrowdSec også er utstyrt med Prometheus, for å gi observerbarhet og varslingsfunksjoner.
Anseelsesmotoren har for tiden mer enn 103.000 XNUMX "konsensus" IP-adresser (som har bestått forgiftning og anti-falske positive tester).
Til dags dato kommer medlemmene av samfunnet fra mer enn femti land fordelt på seks kontinenter.
Mens programvaren for øyeblikket ser ut som en fast Fail2Ban, målet er å utnytte mengden til å lage en svært nøyaktig IP-omdømme-database. Når CrowdSec spretter en spesifikk IP, sendes det utløste scenariet og tidsstempelet til API-et vårt for å bli verifisert og integrert i den globale konsensus for dårlige IP-er.
CrowdSec er gratis og åpen kildekode (under en MIT-lisens), med kildekoden tilgjengelig på GitHub. Den er for øyeblikket tilgjengelig for Linux, med porter til macOS og Windows på veikartet
Fuente: https://doc.crowdsec.net/
Tusen takk for denne artikkelen! Vi står til din disposisjon hvis du trenger hjelp til å bruke CrowdSec. Ha en fin dag.
CrowdSec-teamet
info@crowdsec.net
https://github.com/crowdsecurity/crowdsec