КраудСек это новый проект безопасности предназначен для защиты серверов, сервисов, контейнеров или виртуальных машин выставлен в Интернете с помощью серверного агента. Был вдохновлен Fail2Ban и он задуман как совместная и модернизированная версия этой структуры предотвращения вторжений.
В некотором смысле он является потомком Fail2Ban, проекта, который родился шестнадцать лет назад. Тем не мение, предлагает более современный совместный подход и свои собственные технические основы, чтобы соответствовать современным условиям.
краудсек, написано на Golang, это механизм автоматизации безопасности., который основан как на поведении, так и на репутации IP-адресов.
Программное обеспечение обнаруживает поведение локально, управляет угрозами, а также глобально взаимодействует с вашей сетью пользователей, разделяя обнаруженные IP-адреса.
Это позволяет каждому превентивно их заблокировать. Цель состоит в том, чтобы создать огромную базу данных репутации IP и обеспечить ее бесплатное использование теми, кто участвует в ее пополнении.
Как работает CrowdSec?
Crowdsec - это модульная и подключаемая среда, она включает в себя большое количество хорошо известных популярных сценариев, пользователи могут выбирать, из каких сценариев они хотят защитить себя, а также легко добавлять новые пользовательские сценарии, которые лучше подходят для своей среды.
Цель состоит в том, чтобы внедрить программное обеспечение в как можно большем количестве сред. Его быстрое выполнение, совместимость с контейнерами, простота использования в облачных средах, а также его способность работать в экосистемах UNIX, macOS или Windows: все это позволяет нам охватить весь рынок.
Механизм анализа поведения
Это первый уровень защиты. Используйте сценарий, определенный в YAML, для корреляции событий Они попадают в протекающий резервуар и подают сигнал, если резервуар переполнен. Затем вы можете применить ответ по вашему выбору с помощью вышибалы.
Двигатель репутации
Механизм репутации - это очень простой принцип, но сложно настроить. В принципе каждая установка CrowdSec может получить выгоду от черного списка IP-адресов организованы, распространены нашим центральным API. Если вы используете LAMP, вам не нужны IP-адреса, которые атакуют другие технические стеки, например, Windows.
В эту базу данных поступают все экземпляры CrowdSec, чьи сигналы фильтруются и обрабатываются централизованно нашим API. Ложные срабатывания и попытки кражи со стороны хакеров представляют собой реальную проблему, отсюда и необходимость обработки сигналов, поступающих от средств CrowdSec.
Мы думаем, что у нас есть довольно надежный рецепт для этого, который мы называем консенсусом. Это включает в себя различные методы, такие как проверка сигналов от других доверенных участников, наша собственная сеть ловушек (приманки), канарские списки (белый список IP-адресов) и т. Д.
Наша цель - распространять только 100% надежные списки. Кроме того, определение того, кто и когда опасен, сильно зависит от конкретного контекста и периода времени. Например, IP-адрес, который вчера считался чистым, может быть взломан сегодня, а администраторы могут очистить его на следующий день. IP-адрес, который ищет SSH, не опасен для вашего TSE и т. Д.
дисплей
Программное обеспечение включает легкую локальную систему отображения на основе Metabase. CrowdSec тоже оснащен Прометей, для обеспечения возможности оповещения и наблюдения.
Механизм репутации в настоящее время имеет более 103.000 XNUMX «согласованных» IP-адресов. (прошедшие тесты на отравление и ложноположительные тесты).
На сегодняшний день члены сообщества приехали из более чем пятидесяти стран на шести континентах.
Хотя программное обеспечение в настоящее время выглядит как фиксированный Fail2Ban, цель состоит в том, чтобы использовать мощь толпы для создания высокоточной базы данных о репутации IP. Когда CrowdSec возвращает определенный IP-адрес, запущенный сценарий и временная метка отправляются в наш API для проверки и интеграции в глобальный консенсус для плохих IP-адресов.
CrowdSec является бесплатным и открытым исходным кодом (под лицензией MIT), исходный код которого доступен на GitHub. В настоящее время он доступен для Linux, с переносом на macOS и Windows в планах развития.
источник: https://doc.crowdsec.net/
Большое спасибо за эту статью! Мы в вашем распоряжении, если вам нужна помощь с использованием CrowdSec. Хорошего дня.
Команда CrowdSec
info@crowdsec.net
https://github.com/crowdsecurity/crowdsec