CrowdSec: wspólny projekt z zakresu cyberbezpieczeństwa typu open source dla systemu Linux

Darkcrizt

4 minut

TłumSek to nowy projekt bezpieczeństwa przeznaczony do ochrony serwerów, usług, kontenerów lub maszyn wirtualnych ujawniony w Internecie za pomocą agenta po stronie serwera. Zainspirowany Fail2Ban i ma to być wspólna i zmodernizowana wersja ram zapobiegania włamaniom.

W pewnym sensie jest potomkiem Fail2Ban, projektu, który narodził się szesnaście lat temu. Jednak, oferuje bardziej nowoczesne podejście do współpracy i własne podstawy techniczne, aby odpowiedzieć na współczesne konteksty.

crowdsec, napisany w języku Golang, jest to silnik automatyzacji bezpieczeństwa, która jest oparta zarówno na działaniu, jak i reputacji adresów IP.

Oprogramowanie wykrywa zachowania lokalnie, zarządza zagrożeniami, a także współpracuje globalnie z siecią użytkowników, udostępniając wykryte adresy IP.

Dzięki temu każdy może je zapobiegawczo zablokować. Celem jest zbudowanie ogromnej bazy danych reputacji IP i zapewnienie bezpłatnego korzystania z niej tym, którzy uczestniczą w jej wzbogacaniu.

Jak działa CrowdSec?

Crowdsec to modułowa i podłączalna platforma, która zawiera szeroką gamę dobrze znanych popularnych scenariuszy, użytkownicy mogą wybrać scenariusze, z których chcą się chronić, a także łatwo dodawać nowe niestandardowe, aby lepiej pasowały do ​​ich środowiska.

Celem jest wdrożenie oprogramowania w jak największej liczbie środowisk.  Szybka realizacja, kompatybilność z kontenerami, łatwość użytkowania w środowiskach chmurowych, a także możliwość pracy w ekosystemach UNIX, macOS czy Windows: wszystko to pozwala nam zaadresować cały rynek.

Silnik analizy zachowań

To pierwsza warstwa ochrony. Użyj scenariusza zdefiniowanego w YAML, aby skorelować zdarzenia Wchodzą do przeciekającego zbiornika i dają sygnał, jeśli zbiornik się przelewa. Następnie możesz zastosować wybraną odpowiedź za pomocą bramkarzy.

Silnik reputacji

Mechanizm reputacji to bardzo prosta zasada, ale trudne do skonfigurowania. Gruntownie każda z instalacji CrowdSec może korzystać z czarnej listy adresów IP zorganizowane, dystrybuowane przez nasze centralne API. Jeśli używasz LAMP, nie potrzebujesz adresów IP, które atakują inne stosy techniczne, takie jak na przykład Windows.

Ta baza danych jest zasilana przez wszystkie instancje CrowdSec, których sygnały są filtrowane i przetwarzane centralnie przez nasze API. Fałszywe pozytywy i próby kradzieży dokonywane przez hakerów to prawdziwy problem, stąd potrzeba przetwarzania sygnałów, które pojawiają się z obiektów CrowdSec.

Uważamy, że mamy na to całkiem solidną receptę, którą nazywamy konsensusem. Obejmuje to różne techniki, takie jak sprawdzanie sygnałów od innych zaufanych członków, nasza własna sieć przynęt (honeypoty), listy kanaryjskie (biała lista adresów IP) itp.

Naszym celem jest dystrybucja tylko w 100% wiarygodnych list. Ponadto określenie, kto jest niebezpieczny, a kiedy, jest wysoce zależne od określonego kontekstu i okresu. Na przykład adres IP, który wczoraj został uznany za czysty, może zostać dziś przejęty, a administratorzy mogą go wyczyścić następnego dnia. Adres IP, którego szuka SSH, nie jest niebezpieczny dla Twojego TSE itp.

Wyświetlacz

Oprogramowanie zawiera lekki, lokalny system wyświetlania oparty na metabazie. CrowdSec też jest wyposażony w Prometheus, zapewnienie możliwości obserwacji i ostrzegania.

Mechanizm reputacji ma obecnie ponad 103.000 XNUMX „zgodnych” adresów IP (które przeszły testy zatrucia i fałszywie dodatnie).

Do tej pory członkowie społeczności pochodzą z ponad pięćdziesięciu krajów rozsianych na sześciu kontynentach.

Chociaż oprogramowanie wygląda obecnie jak naprawiony Fail2Ban, celem jest wykorzystanie siły tłumu do stworzenia bardzo dokładnej bazy danych reputacji IP. Gdy CrowdSec odsyła określony adres IP, wyzwolony scenariusz i sygnatura czasowa są wysyłane do naszego interfejsu API w celu weryfikacji i zintegrowania z globalnym konsensusem dotyczącym złych adresów IP.

CrowdSec jest darmowy i open source (na licencji MIT), a kod źródłowy jest dostępny na GitHub. Jest obecnie dostępny dla systemu Linux, z portami do macOS i Windows w planie

źródło: https://doc.crowdsec.net/


Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.

  1.   TłumSek powiedział
    temu 3 roku

    Dziękuję bardzo za ten artykuł! Jesteśmy do Twojej dyspozycji, jeśli potrzebujesz pomocy w korzystaniu z CrowdSec. Miłego dnia.

    Zespół CrowdSec
    info@crowdsec.net
    https://github.com/crowdsecurity/crowdsec

    Odpowiedz CrowdSec