CrowdSec je to nový bezpečnostný projekt určené na ochranu serverov, služieb, kontajnerov alebo virtuálnych strojov vystavený na internete agentom na strane servera. Bol inšpirovaný Fail2Ban a má to byť kolaboratívna a modernizovaná verzia tohto rámca prevencie narušenia.
Svojím spôsobom je potomkom Fail2Ban, projektu, ktorý sa zrodil pred šestnástimi rokmi. Avšak ponúka modernejší prístup založený na spolupráci a svoje vlastné technické základy, ktoré umožňujú reagovať na moderné kontexty.
crowdsec, napísané v Golangu, ide o automatizáciu zabezpečenia, ktorá je založená na správaní a reputácii adries IP.
Softvér zisťuje správanie lokálne, spravuje hrozby a tiež globálne spolupracuje s vašou sieťou používateľov zdieľaním zistených adries IP.
Vďaka tomu ich môže každý preventívne blokovať. Cieľom je vybudovať obrovskú databázu reputácií IP a zabezpečiť ich bezplatné použitie tými, ktorí sa podieľajú na jej obohacovaní.
Ako funguje CrowdSec?
Crowdsec je modulárny a pripojiteľný rámec, ktorý obsahuje veľké množstvo známych populárnych scenárov, používatelia si môžu vybrať, z ktorých scenárov sa chcú chrániť, a tiež ľahko pridať nové vlastné, ktoré lepšie vyhovujú ich prostrediu.
Cieľom je implementácia softvéru v čo najväčšom počte prostredí. Jeho rýchle prevedenie, kompatibilita s kontajnermi, jednoduché použitie v cloudových prostrediach a tiež schopnosť bežať v ekosystémoch UNIX, macOS alebo Windows: to všetko nám umožňuje osloviť celý trh.
Motor na analýzu správania
Je to prvá vrstva ochrany. Na porovnanie udalostí použite scenár definovaný YAML Vstúpia do netesnej nádrže a v prípade pretečenia nádrže vydajú signál. Odpoveď podľa vášho výberu potom môžete použiť s vyhadzovačmi.
Reputačný motor
Motor reputácie je veľmi jednoduchý princíp, ale ťažko sa konfiguruje. V podstate každá z inštalácií CrowdSec môže ťažiť z čierneho zoznamu IP organizované a distribuované našim centrálnym API. Ak používate LAMP, nepotrebujete adresy IP, ktoré napádajú iné technické vrstvy, napríklad Windows.
Túto databázu napájajú všetky inštancie CrowdSec, ktorých signály sú filtrované a spracovávané centrálne našim API. Falošné pozitíva a pokusy krádeží o hackermi sú skutočným problémom, a preto je potrebné spracovávať signály, ktoré vychádzajú zo zariadení CrowdSec.
Myslíme si, že máme na to dosť solídny recept, ktorý nazývame konsenzus. Zahŕňa to rôzne techniky, ako napríklad kontrolu signálov od iných dôveryhodných členov, našu vlastnú sieť návnad (honeypoty), kanárske zoznamy (biely zoznam adries IP) atď.
Naším cieľom je distribuovať iba 100% spoľahlivé zoznamy. Tiež identifikácia toho, kto je nebezpečný a kedy veľmi závisí od konkrétneho kontextu a časového obdobia. Napríklad IP adresa, ktorá bola včera považovaná za čistú, môže byť dnes kompromitovaná a správcovia ju môžu vyčistiť ďalší deň. IP adresa, ktorú SSH hľadá, nie je pre váš TSE nebezpečná atď.
zobraziť
Softvér obsahuje ľahký lokálny zobrazovací systém založený na Metabase. Aj CrowdSec je vybavený Prometheom, poskytovať pozorovateľnosť a výstražné schopnosti.
Motor reputácie má v súčasnosti viac ako 103.000 XNUMX „konsenzuálnych“ adries IP (ktoré prešli otravou a anti-falošne pozitívnymi testami).
K dnešnému dňu členovia komunity pochádzajú z viac ako päťdesiatich krajín rozložených na šiestich kontinentoch.
Aj keď softvér v súčasnosti vyzerá ako opravený Fail2Ban, cieľom je využiť silu davu na vytvorenie vysoko presnej databázy reputácie IP. Keď CrowdSec získa konkrétnu adresu IP, spustený scenár a časová pečiatka sa odošlú do nášho rozhrania API, aby sa overili a integrovali do globálneho konsenzu pre zlé adresy IP.
CrowdSec je bezplatný a otvorený zdroj (pod licenciou MIT) so zdrojovým kódom dostupným na GitHub. V súčasnosti je k dispozícii pre systém Linux a na pláne sú porty pre macOS a Windows
Fuente: https://doc.crowdsec.net/
Veľmi pekne ďakujem za tento článok! Sme vám k dispozícii, ak potrebujete pomoc s používaním aplikácie CrowdSec. Pekný deň.
Tím CrowdSec
info@crowdsec.net
https://github.com/crowdsecurity/crowdsec