ฝูงชนวินาที เป็นโครงการรักษาความปลอดภัยใหม่ ออกแบบมาเพื่อปกป้องเซิร์ฟเวอร์บริการคอนเทนเนอร์หรือเครื่องเสมือน เปิดเผยบนอินเทอร์เน็ตด้วยเอเจนต์ฝั่งเซิร์ฟเวอร์ ได้รับแรงบันดาลใจจาก Fail2Ban และมีวัตถุประสงค์เพื่อเป็นกรอบการป้องกันการบุกรุกที่ทำงานร่วมกันและทันสมัย
ในทางหนึ่งเขาเป็นลูกหลานของ Fail2Ban ซึ่งเป็นโครงการที่เกิดเมื่อสิบหกปีที่แล้ว อย่างไรก็ตาม นำเสนอแนวทางการทำงานร่วมกันที่ทันสมัยมากขึ้น และรากฐานทางเทคนิคของตัวเองเพื่อตอบสนองต่อบริบทสมัยใหม่
ฝูงชนเซ็ค, เขียนด้วยภาษา Golang เป็นเครื่องมือระบบรักษาความปลอดภัยอัตโนมัติซึ่งขึ้นอยู่กับทั้งพฤติกรรมและชื่อเสียงของที่อยู่ IP
ซอฟต์แวร์จะตรวจจับพฤติกรรมในเครื่องจัดการภัยคุกคามและยังทำงานร่วมกันทั่วโลกกับเครือข่ายผู้ใช้ของคุณโดยแบ่งปันที่อยู่ IP ที่ตรวจพบ
วิธีนี้ช่วยให้ทุกคนสามารถป้องกันได้ เป้าหมายคือการสร้างฐานข้อมูลชื่อเสียง IP ขนาดใหญ่และรับรองการใช้งานฟรีโดยผู้ที่มีส่วนร่วมในการเพิ่มคุณค่า
CrowdSec ทำงานอย่างไร
Crowdsec เป็นเฟรมเวิร์กแบบแยกส่วนและแบบเสียบได้ซึ่งรวมถึงสถานการณ์ยอดนิยมที่เป็นที่รู้จักมากมายผู้ใช้สามารถเลือกจากสถานการณ์ที่ต้องการป้องกันตัวเองรวมทั้งเพิ่มแบบกำหนดเองใหม่ได้อย่างง่ายดายเพื่อให้เหมาะกับสภาพแวดล้อมของตน
เป้าหมายคือการนำซอฟต์แวร์ไปใช้ในสภาพแวดล้อมต่างๆให้มากที่สุด การดำเนินการที่รวดเร็วความเข้ากันได้กับคอนเทนเนอร์ความสะดวกในการใช้งานในสภาพแวดล้อมระบบคลาวด์รวมถึงความสามารถในการทำงานในระบบนิเวศ UNIX, macOS หรือ Windows ทั้งหมดนี้ทำให้เราสามารถจัดการกับตลาดทั้งหมดได้
เครื่องมือวิเคราะห์พฤติกรรม
เป็นการป้องกันชั้นแรก. ใช้สถานการณ์จำลองที่กำหนดโดย YAML เพื่อเชื่อมโยงเหตุการณ์ พวกเขาเข้าไปในอ่างเก็บน้ำที่รั่วและวาดสัญญาณหากอ่างเก็บน้ำล้น จากนั้นคุณสามารถใช้คำตอบที่คุณเลือกกับฮือฮาได้
เครื่องมือสร้างชื่อเสียง
เครื่องมือสร้างชื่อเสียงเป็นหลักการที่ง่ายมาก แต่ยากที่จะกำหนดค่า โดยทั่วไป การติดตั้ง CrowdSec แต่ละครั้งจะได้รับประโยชน์จากบัญชีดำ IP จัดจำหน่ายโดย API ส่วนกลางของเรา หากคุณใช้ LAMP คุณไม่จำเป็นต้องมีที่อยู่ IP ที่โจมตีกองซ้อนทางเทคนิคอื่น ๆ เช่น Windows เป็นต้น
ฐานข้อมูลนี้ป้อนโดยอินสแตนซ์ CrowdSec ทั้งหมดซึ่งสัญญาณจะถูกกรองและประมวลผลจากส่วนกลางโดย API ของเรา ความผิดพลาดและความพยายามในการขโมยของแฮกเกอร์เป็นปัญหาที่แท้จริงดังนั้นความจำเป็นในการประมวลผลสัญญาณที่เกิดขึ้นจากสิ่งอำนวยความสะดวก CrowdSec
เราคิดว่าเรามีสูตรที่ค่อนข้างมั่นคงในการทำสิ่งนี้ซึ่งเราเรียกว่าฉันทามติ ซึ่งเกี่ยวข้องกับเทคนิคต่างๆเช่นการตรวจสอบสัญญาณจากสมาชิกที่เชื่อถือได้คนอื่น ๆ เครือข่ายเหยื่อของเราเอง (honeypots) รายการ Canary (รายการที่อยู่ IP สีขาว) เป็นต้น
เป้าหมายของเราคือแจกจ่ายรายการที่เชื่อถือได้ 100% เท่านั้น นอกจากนี้การระบุว่าใครเป็นอันตรายและเมื่อใดขึ้นอยู่กับบริบทและช่วงเวลาที่เฉพาะเจาะจง ตัวอย่างเช่นที่อยู่ IP ที่ถือว่าสะอาดเมื่อวานนี้อาจถูกบุกรุกในวันนี้และผู้ดูแลระบบสามารถล้างข้อมูลได้ในวันถัดไป ที่อยู่ IP ที่ SSH มองหาไม่เป็นอันตรายต่อ TSE ของคุณ ฯลฯ
แสดงผล
ซอฟต์แวร์ รวมถึงระบบการแสดงผลในพื้นที่ที่มีน้ำหนักเบาซึ่งใช้ Metabase. CrowdSec ด้วย ติดตั้ง Prometheus เพื่อให้การสังเกตและความสามารถในการแจ้งเตือน
ปัจจุบันเครื่องมือสร้างชื่อเสียงมีที่อยู่ IP "ฉันทามติ" มากกว่า 103.000 รายการ (ที่ผ่านการทดสอบพิษและการต่อต้านการบวกที่ผิดพลาด)
ในปัจจุบันสมาชิกของชุมชนมาจากกว่าห้าสิบประเทศกระจายอยู่ในหกทวีป
ในขณะที่ซอฟต์แวร์ดูเหมือน Fail2Ban แบบคงที่ เป้าหมายคือการควบคุมพลังของฝูงชนเพื่อสร้างฐานข้อมูลชื่อเสียง IP ที่มีความแม่นยำสูง เมื่อ CrowdSec ตีกลับ IP ที่เฉพาะเจาะจงสถานการณ์ที่ทริกเกอร์และการประทับเวลาจะถูกส่งไปยัง API ของเราเพื่อตรวจสอบและรวมเข้ากับฉันทามติระดับโลกสำหรับ IP ที่ไม่ดี
CrowdSec เป็นโอเพ่นซอร์สฟรี (ภายใต้ใบอนุญาต MIT) พร้อมซอร์สโค้ดที่มีอยู่ใน GitHub ขณะนี้มีให้บริการสำหรับ Linux พร้อมพอร์ตไปยัง macOS และ Windows บนแผนงาน
Fuente: https://doc.crowdsec.net/
ขอบคุณมากสำหรับบทความนี้! เราพร้อมให้บริการหากคุณต้องการความช่วยเหลือในการใช้ CrowdSec ขอให้มีความสุขในวันนี้
ทีม CrowdSec
info@crowdsec.net
https://github.com/crowdsecurity/crowdsec