CrowdSec: một dự án an ninh mạng cộng tác nguồn mở dành cho Linux

Darkcrizt

4 phút

Đám đôngSec đó là một dự án bảo mật mới được thiết kế để bảo vệ máy chủ, dịch vụ, vùng chứa hoặc máy ảo hiển thị trên Internet với tác nhân phía máy chủ. Lấy cảm hứng từ Fail2Ban và nó được dự định là một phiên bản hợp tác và hiện đại hóa của khuôn khổ ngăn chặn xâm nhập đó.

Theo một cách nào đó, anh ấy là hậu duệ của Fail2Ban, một dự án ra đời cách đây mười sáu năm. Tuy nhiên, cung cấp một cách tiếp cận hợp tác hiện đại hơn và nền tảng kỹ thuật của riêng nó để đáp ứng các bối cảnh hiện đại.

crowdsec, được viết bằng Golang, nó là một công cụ tự động hóa bảo mật, dựa trên cả hành vi và danh tiếng của địa chỉ IP.

Phần mềm phát hiện hành vi cục bộ, quản lý các mối đe dọa và cũng cộng tác toàn cầu với mạng người dùng của bạn bằng cách chia sẻ các địa chỉ IP được phát hiện.

Điều này cho phép mọi người ngăn chặn chúng một cách phòng ngừa. Mục tiêu là xây dựng một cơ sở dữ liệu danh tiếng IP khổng lồ và đảm bảo nó được sử dụng miễn phí bởi những người tham gia làm giàu.

CrowdSec hoạt động như thế nào?

Crowdsec là một khuôn khổ mô-đun và có thể cắm được, nó bao gồm một loạt các kịch bản phổ biến nổi tiếng, người dùng có thể chọn từ các kịch bản mà họ muốn bảo vệ mình, cũng như dễ dàng thêm các kịch bản tùy chỉnh mới để phù hợp hơn với môi trường của họ.

Mục tiêu là triển khai phần mềm trong nhiều môi trường nhất có thể.  Khả năng thực thi nhanh chóng, khả năng tương thích với các vùng chứa, dễ sử dụng trong môi trường đám mây cũng như khả năng chạy trong hệ sinh thái UNIX, macOS hoặc Windows: tất cả những điều này cho phép chúng tôi giải quyết toàn bộ thị trường.

Công cụ phân tích hành vi

Nó là lớp bảo vệ đầu tiên. Sử dụng kịch bản do YAML xác định để tương quan các sự kiện Chúng đi vào một bể chứa bị rò rỉ và phát ra tín hiệu nếu bể chứa bị tràn. Sau đó, bạn có thể áp dụng câu trả lời mà bạn lựa chọn với người trả lại.

Động cơ danh tiếng

Động cơ danh tiếng là một nguyên tắc rất đơn giản, nhưng khó cấu hình. Về cơ bản mỗi cài đặt CrowdSec có thể được hưởng lợi từ danh sách đen IP được tổ chức, phân phối bởi API trung tâm của chúng tôi. Nếu bạn đang sử dụng LAMP, bạn không cần địa chỉ IP tấn công các ngăn xếp kỹ thuật khác như Windows chẳng hạn.

Cơ sở dữ liệu này được cung cấp bởi tất cả các phiên bản CrowdSec, có các tín hiệu được lọc và xử lý tập trung bởi API của chúng tôi. Việc xác thực sai và các nỗ lực đánh cắp của tin tặc là một vấn đề thực sự, do đó cần phải xử lý các tín hiệu xuất hiện từ các cơ sở CrowdSec.

Chúng tôi nghĩ rằng chúng tôi có một công thức khá vững chắc để thực hiện điều này, mà chúng tôi gọi là sự đồng thuận. Điều này liên quan đến các kỹ thuật khác nhau, chẳng hạn như kiểm tra tín hiệu từ các thành viên đáng tin cậy khác, mạng lưới thu hút của riêng chúng tôi (honeypots), danh sách Canary (danh sách trắng các địa chỉ IP), v.v.

Mục tiêu của chúng tôi là chỉ phân phối danh sách đáng tin cậy 100%. Ngoài ra, việc xác định ai là người nguy hiểm và khi nào phụ thuộc nhiều vào bối cảnh và khoảng thời gian cụ thể. Ví dụ: một địa chỉ IP được coi là sạch ngày hôm qua có thể bị xâm phạm vào ngày hôm nay và quản trị viên có thể xóa nó vào ngày hôm sau. Địa chỉ IP mà SSH tìm kiếm không nguy hiểm cho TSE của bạn, v.v.

Hiển thị

Phần mềm bao gồm một hệ thống hiển thị cục bộ, nhẹ dựa trên Metabase. CrowdSec cũng vậy được trang bị Prometheus, để cung cấp khả năng cảnh báo và khả năng quan sát.

Công cụ danh tiếng hiện có hơn 103.000 địa chỉ IP "đồng thuận" (đã vượt qua kiểm tra chất độc và chống dương tính giả).

Đến nay, các thành viên của cộng đồng đến từ hơn năm mươi quốc gia trải dài trên sáu lục địa.

Mặc dù phần mềm hiện giống như một Fail2Ban cố định, mục tiêu là khai thác sức mạnh của đám đông để tạo cơ sở dữ liệu danh tiếng IP chính xác cao. Khi CrowdSec trả lại một IP cụ thể, kịch bản được kích hoạt và dấu thời gian sẽ được gửi đến API của chúng tôi để được xác minh và tích hợp vào sự đồng thuận toàn cầu đối với các IP không hợp lệ.

CrowdSec là mã nguồn mở và miễn phí (theo giấy phép MIT), với mã nguồn có sẵn trên GitHub. Nó hiện có sẵn cho Linux, với các cổng vào macOS và Windows theo lộ trình

Fuente: https://doc.crowdsec.net/


Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.

  1.   Đám đôngSec dijo
    trước 3 năm

    Cảm ơn rất nhiều cho bài báo này! Chúng tôi sẵn sàng hỗ trợ bạn nếu bạn cần trợ giúp bằng cách sử dụng CrowdSec. Chúc một ngày tốt lành.

    Nhóm CrowdSec
    info@crowdsec.net
    https://github.com/crowdsecurity/crowdsec

    Trả lời CrowdSec