CrowdSec: isang bukas na mapagkukunang nagtutulungan na proyekto sa cybersecurity para sa Linux

Darkcrizt

4 Minutos

CrowdSec ito ay isang bagong proyekto sa seguridad idinisenyo upang protektahan ang mga server, serbisyo, lalagyan o virtual machine nakalantad sa Internet gamit ang isang server-side agent. Ay inspirasyon ng Fail2Ban at ito ay inilaan upang maging isang nagtutulungan at makabagong bersyon ng balangkas na pag-iwas sa panghihimasok.

Sa isang paraan, siya ay inapo ng Fail2Ban, isang proyekto na ipinanganak labing-anim na taon na ang nakalilipas. Gayunpaman, nag-aalok ng isang mas modernong paraan ng pakikipagtulungan at sarili nitong mga teknikal na pundasyon upang tumugon sa mga modernong konteksto.

crowdsec, nakasulat sa Golang, ito ay isang security automation engine, na kung saan ay batay sa parehong pag-uugali at ang reputasyon ng mga IP address.

Nakita ng software ang pag-uugali nang lokal, namamahala ng mga banta, at nakikipagtulungan din sa buong mundo sa iyong network ng mga gumagamit sa pamamagitan ng pagbabahagi ng mga napansin na mga IP address.

Pinapayagan ang lahat na maiwasan ang pag-block sa kanila. Ang layunin ay upang bumuo ng isang malaking database ng reputasyon ng IP at matiyak ang libreng paggamit ng mga lumahok sa pagpapayaman nito.

Paano gumagana ang CrowdSec?

Ang Crowdsec ay isang modular at pluggable na balangkas, nagsasama ito ng maraming iba't ibang mga kilalang tanyag na sitwasyon, maaaring pumili ang mga gumagamit mula sa aling mga senaryo na nais nilang protektahan ang kanilang sarili, pati na rin madaling magdagdag ng mga bagong pasadyang mas angkop sa kanilang kapaligiran.

Ang layunin ay ipatupad ang software sa maraming mga kapaligiran hangga't maaari.  Ang mabilis na pagpapatupad nito, ang pagiging tugma nito sa mga lalagyan, kadalian ng paggamit nito sa mga cloud environment pati na rin ang kakayahang tumakbo sa UNIX, macOS o Windows ecosystem: lahat ng ito ay pinapayagan kaming tugunan ang buong merkado.

Makina ng pagsusuri sa pag-uugali

Ito ang unang layer ng proteksyon. Gamitin ang senaryong tinukoy ng YAML upang maiugnay ang mga kaganapan Pumasok sila sa isang tagas na reservoir at gumuhit ng isang senyas kung umaapaw ang reservoir. Maaari mo nang mailapat ang sagot na iyong pinili sa mga bouncer.

Reputasyon engine

Ang reputasyon engine ay isang napaka-simpleng prinsipyo, ngunit mahirap i-configure. Talaga ang bawat isa sa mga pag-install ng CrowdSec ay maaaring makinabang mula sa isang blacklist ng IP organisado, ipinamahagi ng aming sentral na API. Kung gumagamit ka ng LAMP, hindi mo kailangan ang mga IP address na umaatake sa iba pang mga teknikal na stack tulad ng Windows.

Ang database na ito ay pinakain ng lahat ng mga pagkakataon ng CrowdSec, na ang mga signal ay nasala at naproseso ng gitnang aming API. Maling mga positibo at pagtatangka ng pagnanakaw ng mga hacker ay isang tunay na problema, samakatuwid ang pangangailangan upang maproseso ang mga signal na lumabas mula sa mga pasilidad ng CrowdSec.

Sa palagay namin mayroon kaming isang medyo solidong recipe para sa paggawa nito, na tinatawag naming consensus. Nagsasangkot ito ng iba't ibang mga diskarte, tulad ng pagsuri ng mga signal mula sa iba pang mga pinagkakatiwalaang miyembro, ang aming sariling network ng mga pang-akit (honeypots), mga listahan ng Canarian (isang puting listahan ng mga IP address), atbp.

Ang aming layunin ay upang ipamahagi lamang ang 100% maaasahang mga listahan. Gayundin, ang pagkilala sa kung sino ang mapanganib at kailan lubos na nakasalalay sa isang tukoy na konteksto at tagal ng panahon. Halimbawa, ang isang IP address na itinuring na malinis kahapon ay maaaring makompromiso ngayon at maaaring linisin ito ng mga tagapangasiwa kinabukasan. Ang isang IP address na hinahanap ng SSH ay hindi mapanganib para sa iyong TSE, atbp.

Display

Ang software may kasamang isang magaan, lokal na display system batay sa Metabase. CrowdSec din nilagyan ng Prometheus, upang magbigay ng mga kakayahan sa alerto at pagmamasid.

Ang engine ng reputasyon sa kasalukuyan ay mayroong higit sa 103.000 "pinagkasunduan" na mga IP address (na nakapasa sa pagkalason at kontra-maling positibong mga pagsubok).

Sa ngayon, ang mga miyembro ng pamayanan ay nagmula sa higit sa limampung bansa na kumalat sa anim na kontinente.

Habang ang software ay kasalukuyang mukhang isang nakapirming Fail2Ban, ang layunin ay upang magamit ang kapangyarihan ng karamihan ng tao upang lumikha ng isang lubos na tumpak na database ng reputasyon ng IP. Kapag ang CrowdSec ay nagba-bounce ng isang tukoy na IP, ang na-trigger na senaryo at timestamp ay ipinadala sa aming API upang ma-verify at maisama sa pandaigdigang pinagkasunduan para sa mga masamang IP.

Ang CrowdSec ay libre at bukas na mapagkukunan (sa ilalim ng isang lisensya ng MIT), na may magagamit na source code sa GitHub. Ito ay kasalukuyang magagamit para sa Linux, na may mga port sa macOS at Windows sa roadmap

Fuente: https://doc.crowdsec.net/


Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: Miguel Ángel Gatón
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.

  1.   CrowdSec dijo
    nakararaan 3 taon

    Maraming salamat sa artikulong ito! Kami ay nasa iyong itapon kung kailangan mo ng tulong sa paggamit ng CrowdSec. Magandang araw.

    Ang koponan ng CrowdSec
    info@crowdsec.net
    https://github.com/crowdsecurity/crowdsec

    Tumugon sa CrowdSec