CrowdSec gre za nov varnostni projekt zasnovan za zaščito strežnikov, storitev, vsebnikov ali navideznih strojev izpostavljeni v internetu s strežniškim agentom. Navdihnil ga je Fail2Ban in naj bi bila skupna in posodobljena različica tega okvira za preprečevanje vdorov.
Na nek način je potomec Fail2Ban, projekta, ki se je rodil pred šestnajstimi leti. Vendar ponuja sodobnejši pristop sodelovanja in lastne tehnične temelje za odziv na sodobni kontekst.
crowdsec, napisano v Golangu, gre za mehanizem varnostne avtomatizacije, ki temelji na vedenju in ugledu naslovov IP.
Programska oprema lokalno zazna vedenje, upravlja grožnje in tudi globalno sodeluje z vašim omrežjem uporabnikov, tako da deli zaznane naslove IP.
To omogoča vsem, da jih preventivno blokirajo. Cilj je zgraditi ogromno bazo podatkov o ugledu IP in zagotoviti njeno brezplačno uporabo s strani tistih, ki jo obogatijo.
Kako deluje CrowdSec?
Crowdsec je modularni in vtični okvir, vključuje veliko različnih znanih priljubljenih scenarijev, uporabniki lahko izbirajo, med katerimi scenariji se želijo zaščititi, in enostavno dodajajo nove po meri, ki bolje ustrezajo njihovemu okolju.
Cilj je vpeljati programsko opremo v čim več okoljih. Njegova hitra izvedba, združljivost s kontejnerji, enostavnost uporabe v oblačnih okoljih in zmožnost zagnanja v ekosistemih UNIX, macOS ali Windows: vse to nam omogoča, da se obrnemo na celoten trg.
Mehanizem analize vedenja
To je prva zaščitna plast. Za korelacijo dogodkov uporabite scenarij, definiran z YAML Vstopijo v puščajoči rezervoar in potegnejo signal, če se rezervoar prelije. Nato lahko odgovor z izbiro uporabite s premetavalci.
Ugledni mehanizem
Motor ugleda je zelo preprosto načelo, vendar težko konfigurirati. V bistvu vsaka od namestitev CrowdSec lahko koristi črni seznam IP organizira, distribuira naš osrednji API. Če uporabljate LAMP, ne potrebujete naslovov IP, ki na primer napadajo druge tehnične sklade, kot je Windows.
To bazo podatkov hranijo vsi primerki CrowdSec, katerih signale centralno filtrira in obdeluje naš API. Lažni pozitivni učinki in poskusi kraje hekerjev so resnična težava, zato je treba obdelati signale, ki se pojavijo iz objektov CrowdSec.
Menimo, da imamo za to precej trden recept, ki mu pravimo konsenz. To vključuje različne tehnike, na primer preverjanje signalov drugih zaupanja vrednih članov, lastno mrežo vab (honeypots), kanarske sezname (beli seznam naslovov IP) itd.
Naš cilj je distribucija le 100% zanesljivih seznamov. Tudi ugotavljanje, kdo je nevaren in kdaj, je močno odvisno od določenega konteksta in časovnega obdobja. Na primer, naslov IP, ki je včeraj veljal za čistega, je danes lahko ogrožen, skrbniki pa ga lahko očistijo naslednji dan. Naslov IP, ki ga išče SSH, ni nevaren za vaš TSE itd.
Zaslon
Programska oprema vključuje lahek lokalni prikazni sistem, ki temelji na Metabase. Tudi CrowdSec je opremljen s Prometejem, za zagotavljanje zmožnosti opozarjanja in opazovanja.
Stroj za ugled ima trenutno več kot 103.000 "soglasnih" naslovov IP (ki so prestali zastrupitve in proti lažno pozitivnim testom).
Do danes člani skupnosti prihajajo iz več kot petdesetih držav, ki se razprostirajo na šestih celinah.
Čeprav je programska oprema trenutno videti kot fiksni Fail2Ban, cilj je izkoristiti moč množice in ustvariti zelo natančno bazo podatkov o ugledu IP. Ko CrowdSec odbije določen IP, se sproženi scenarij in časovni žig pošljeta v naš API, da ga preverimo in vključimo v globalno soglasje o slabih IP-jih.
CrowdSec je brezplačen in odprtokoden (pod licenco MIT), z izvorno kodo, ki je na voljo na GitHub. Trenutno je na voljo za Linux, na vratih pa so vrata za macOS in Windows
vir: https://doc.crowdsec.net/
Najlepša hvala za ta članek! Na voljo smo vam, če potrebujete pomoč pri uporabi CrowdSec. Imej lep dan.
Ekipa CrowdSec
info@crowdsec.net
https://github.com/crowdsecurity/crowdsec