CrowdSec: спільний проект з кібербезпеки з відкритим кодом для Linux

CrowdSec це новий проект безпеки призначений для захисту серверів, служб, контейнерів або віртуальних машин виставляється в Інтернеті за допомогою агента на стороні сервера. Надихнувся Fail2Ban і вона має бути спільною та модернізованою версією цієї системи запобігання вторгненню.

Певним чином, він є нащадком Fail2Ban, проекту, який народився шістнадцять років тому. Однак, пропонує більш сучасний підхід до співпраці і власні технічні основи для реагування на сучасний контекст.

краудсек, написаний на Golang, це механізм автоматизації безпеки, який базується як на поведінці, так і на репутації IP-адрес.

Програмне забезпечення виявляє поведінку локально, управляє загрозами, а також глобально співпрацює з вашою мережею користувачів, передаючи виявлені IP-адреси.

Це дозволяє кожному попереджати їх блокування. Мета - створити величезну базу даних про репутацію ІР та забезпечити її безкоштовне використання тими, хто бере участь у її збагаченні.

Як працює CrowdSec?

Crowdsec - це модульна та підключаемая структура, вона включає велику кількість відомих популярних сценаріїв, користувачі можуть вибирати, серед яких сценаріїв вони хочуть захистити себе, а також легко додавати нові власні, щоб краще відповідати їхньому середовищу.

Метою є впровадження програмного забезпечення в якомога більшій кількості середовищ.  Швидке виконання, сумісність із контейнерами, простота використання в хмарних середовищах, а також можливість роботи в екосистемах UNIX, macOS або Windows: все це дозволяє нам звернутися до всього ринку.

Механізм аналізу поведінки

Це перший рівень захисту. Використовуйте сценарій, визначений YAML, для кореляції подій Вони потрапляють у водосховище, що витікає, і подають сигнал, якщо резервуар переливається. Потім ви можете застосувати обрану вами відповідь за допомогою вишибалок.

Двигун репутації

Двигун репутації - це дуже простий принцип, але важко налаштовується. В основному кожна з установок CrowdSec може отримати вигоду з чорного списку IP організовано, розповсюджується нашим центральним API. Якщо ви використовуєте LAMP, вам не потрібні IP-адреси, які атакують інші технічні стеки, наприклад Windows.

Цю базу даних забезпечують усі екземпляри CrowdSec, сигнали яких фільтруються та обробляються централізовано за допомогою нашого API. Помилкові спрацьовування та спроби крадіжки зловмисників є справжньою проблемою, отже, необхідність обробляти сигнали, що надходять від засобів CrowdSec.

Ми вважаємо, що у нас є досить надійний рецепт для цього, який ми називаємо консенсусом. Це включає різні методи, такі як перевірка сигналів від інших довірених членів, власна мережа приманок (медових банок), канарські списки (білий список IP-адрес) тощо.

Наша мета - розповсюдити лише 100% надійні списки. Крім того, визначення того, хто і коли небезпечний, сильно залежить від конкретного контексту та періоду часу. Наприклад, IP-адресу, яку вчора визнали чистою, сьогодні можна зламати, а адміністратори - наступного дня. IP-адреса, яку шукає SSH, не небезпечна для вашого TSE тощо.

Дисплей

Програмне забезпечення включає легку локальну систему відображення на базі Metabase. CrowdSec теж оснащений Прометеєм, забезпечити спостережливість та можливості оповіщення.

На даний момент механізм репутації має понад 103.000 XNUMX "консенсусних" IP-адрес (які пройшли тести на отруєння та проти помилкових позитивних тестів).

На сьогоднішній день члени громади походять з понад п'ятдесяти країн, що розкинулися на шести континентах.

Хоча в даний час програмне забезпечення виглядає як виправлений Fail2Ban, мета полягає у використанні сили натовпу для створення високоточної бази даних репутації ІР. Коли CrowdSec відхиляє певний IP, ініційований сценарій і мітка часу надсилаються в наш API для перевірки та інтеграції в загальний консенсус щодо неправильних IP-адрес.

CrowdSec є безкоштовним та відкритим кодом (за ліцензією MIT), а вихідний код доступний на GitHub. В даний час він доступний для Linux, з портами для macOS та Windows на дорожній карті

Фуенте: https://doc.crowdsec.net/