CrowdSec: ett gemensamt cybersäkerhetsprojekt med öppen källkod för Linux

CrowdSec det är ett nytt säkerhetsprojekt utformad för att skydda servrar, tjänster, containrar eller virtuella maskiner exponeras på Internet med en server-agent. Inspirerades av Fail2Ban och det är tänkt att vara en samarbetsvillig och moderniserad version av det ramverket för förebyggande av intrång.

På ett sätt är han en ättling till Fail2Ban, ett projekt som föddes för sexton år sedan. I alla fall, erbjuder en modernare samarbetsmetod och sina egna tekniska grunder för att svara på moderna sammanhang.

crowdsec, skrivet i Golang är det en säkerhetsautomationsmotor, som baseras på både beteende och rykte hos IP-adresser.

Programvaran upptäcker beteende lokalt, hanterar hot och samarbetar också globalt med ditt användarnätverk genom att dela upptäckta IP-adresser.

Detta gör att alla kan förebygga dem. Målet är att bygga en enorm databas för IP-rykte och säkerställa att den används fritt av dem som deltar i att berika den.

Hur fungerar CrowdSec?

Crowdsec är ett modulärt och pluggbart ramverk, det innehåller ett stort antal välkända populära scenarier, användare kan välja från vilka scenarier de vill skydda sig själva, samt enkelt lägga till nya anpassade för att bättre passa deras miljö.

Målet är att implementera programvaran i så många miljöer som möjligt.  Dess snabba körning, dess kompatibilitet med containrar, dess användarvänlighet i molnmiljöer samt dess förmåga att köra i UNIX-, macOS- eller Windows-ekosystem: allt detta gör att vi kan ta itu med hela marknaden.

Motor för beteendeanalys

Det är det första skyddet. Använd det YAML-definierade scenariot för att korrelera händelserna De går in i en läckande behållare och ritar en signal om behållaren flyter över. Du kan sedan tillämpa svaret du väljer med studsar.

Rykte motor

Anseendemotorn är en mycket enkel princip, men svårt att konfigurera. I grund och botten var och en av CrowdSec-installationerna kan dra nytta av en IP-svartlista organiseras, distribueras av vårt centrala API. Om du använder LAMP behöver du inte IP-adresser som till exempel attackerar andra tekniska stackar som Windows.

Denna databas matas av alla CrowdSec-instanser vars signaler filtreras och bearbetas centralt av vårt API. Falska positiva och stöldförsök från hackare är ett verkligt problem, därav behovet av att bearbeta signaler som kommer från CrowdSec-anläggningar.

Vi tycker att vi har ett ganska solidt recept för att göra detta, som vi kallar konsensus. Detta involverar olika tekniker, som att kontrollera signaler från andra betrodda medlemmar, vårt eget nätverk av beten (smekmånad), kanariska listor (en vit lista med IP-adresser) etc.

Vårt mål är att bara distribuera 100% pålitliga listor. Att identifiera vem som är farlig och när är i hög grad beroende av ett specifikt sammanhang och tidsperiod. Till exempel kan en IP-adress som ansågs vara ren igår äventyras idag och administratörer kan städa den nästa dag. En IP-adress som SSH letar efter är inte farlig för din TSE etc.

Visualización

Programvaran innehåller ett lätt, lokalt skärmsystem baserat på Metabase. CrowdSec också är utrustad med Prometheus, för att tillhandahålla observerbarhet och varningsfunktioner.

Anseendemotorn har för närvarande mer än 103.000 XNUMX "konsensus" IP-adresser (som har klarat förgiftningen och anti-falska positiva tester).

Hittills kommer medlemmarna i samhället från mer än femtio länder fördelade på sex kontinenter.

Medan programvaran för närvarande ser ut som en fast Fail2Ban, målet är att utnyttja publikens kraft för att skapa en mycket exakt databas för IP-rykte. När CrowdSec studsar en specifik IP skickas det utlösta scenariot och tidsstämpeln till vårt API för att verifieras och integreras i det globala samförståndet för dåliga IP-adresser.

CrowdSec är gratis och öppen källkod (under en MIT-licens), med källkoden tillgänglig på GitHub. Den är för närvarande tillgänglig för Linux, med portar till macOS och Windows på färdplanen

Fuente: https://doc.crowdsec.net/