CrowdSec, fail2ban Open-Source, Modern & Kolaboratif

  • Whatsapp
CrowdSec, fail2ban Open-Source, Modern & Kolaboratif
CrowdSec failban Open Source Modern Kolaboratif

CrowdSec adalah mesin otomatisasi keamanan yang dirancang untuk melindungi server, layanan, kontainer, atau mesin virtual yang terpapar di internet dengan agen sisi server. Itu terinspirasi oleh Fail2Ban dan bertujuan untuk menjadi versi kolaboratif yang dimodernisasi dari alat pencegahan intrusi tersebut.

CrowdSec menggunakan sistem analisis perilaku untuk menentukan apakah seseorang mencoba meretas Anda, berdasarkan log Anda. Jika agen Anda mendeteksi agresi semacam itu, IP yang menyinggung kemudian ditangani dan dikirim untuk kurasi. Jika sinyal ini melewati proses kurasi, IP kemudian didistribusikan kembali ke semua pengguna yang memiliki profil teknologi serupa untuk “mengimunisasi” mereka terhadap IP ini.

Tujuannya adalah untuk memanfaatkan kekuatan kerumunan untuk membuat beberapa bentuk jam tangan Internet Neighborhood. Adapun IP yang menyerang mesin Anda, Anda dapat memilih untuk memperbaiki ancaman dengan cara apa pun yang Anda anggap tepat. Pada akhirnya, CrowdSec memanfaatkan kekuatan kerumunan untuk menciptakan sistem reputasi IP yang sangat akurat yang menguntungkan semua penggunanya.

CrowdSec gratis dan open source (di bawah Lisensi MIT), dengan kode sumber tersedia di GitHub. Saat ini tersedia untuk Linux, dengan port ke macOS dan Windows di roadmap. Solusi versi 1.0 baru saja dirilis dan dapat ditemukan di sini.

Berikut adalah daftar fitur utama solusi:

  • memungkinkan pengguna untuk mendeteksi serangan dan merespons di tingkat mana pun (memblokir di firewall Anda, membalikkan proxy, CDN, atau langsung di lapisan aplikatif)
  • mudah dipasang dan dirawat tanpa persyaratan teknis. Penginstal dilengkapi dengan wizard
  • dirancang untuk diintegrasikan dengan solusi dan komponen lain (mis. gunakan CrowdSec untuk membaca log mod_security Anda dan secara otomatis memblokir penyerang di proxy Anda saat memberi tahu SIEM Anda)
  • adalah tentang berbagi: meta-data tentang serangan/penyerang yang Anda deteksi dikirim ke API pusat, dan IP jahat yang terkonfirmasi kemudian dibagikan kembali dengan semua pengguna.
  • ringan: berjalan mandiri, tidak memerlukan banyak ram atau CPU, ditulis dalam Golang untuk performa tinggi
  • dapat bekerja dengan log dingin: Anda dapat menjalankannya di log lama dan melihat apa yang mungkin terjadi jika Anda menggunakan skenario ini atau itu atau hanya untuk melihat siapa yang menyerang Anda di masa lalu
  • dilengkapi dengan dasbor bawaan, karena visualisasi adalah kuncinya
  • Dapat digunakan dengan banyak penjaga yang berbeda untuk membalas ancaman yang masuk dengan cara yang paling tepat (Jatuhkan, 2FA, Captcha, Script, dll.)

Penting untuk dicatat bahwa tim Prancis berada di belakang pengembangan, yang merupakan nilai tambah untuk privasi. Bahkan jika Anda memilih “kerja tim” dan berbagi data yang dikumpulkan, hanya 3 parameter yang dikirimkan: stempel waktu, alamat IP pelanggar, dan kebijakan yang telah mereka langgar.

Unduh dan pasang

Anda dapat bangun dan berjalan dalam dua menit.

Pemasangan CrowdSec. Wizard di konsol membantu Anda memilih dan menyarankan demon/login mana yang akan dipantau, meskipun konfigurasi selanjutnya melalui konfigurasi konvensional juga dimungkinkan.

Unduh

Install

Arsitektur

Sistem ini terdiri dari tiga komponen utama:

  1. Layanan CrowdSecyang pada dasarnya adalah layanan persisten yang memantau log, melacak serangan, dll.
  2. Alat Baris Perintahyang merupakan antarmuka cli untuk berinteraksi dengan layanan.
  3. Penjagayang merupakan alat yang memungkinkan untuk memperbaiki ancaman di mana dan bagaimana Anda mau atau berinteraksi dengan perangkat lunak lain.

Dokumentasi lengkap dapat ditemukan di sini.

Layanan melakukan semua pemantauan, alat cscli adalah cara Anda melakukan konfigurasi, melarang barang, mendapatkan metrik, dll., dan penjaga adalah cara sistem berinteraksi dengan alat lain untuk benar-benar melakukan sesuatu, seperti memblokir seseorang di Iptables, SSH, Cloudflare , dll.

Penggunaan & konfigurasi

Saat ini, lima sayapenjaga telah dikembangkan. Sangat penting juga untuk menginstal salah satunya agar benar-benar terlindungi.

Koleksi pada dasarnya adalah kumpulan parser dan skenario untuk situasi yang berbeda. Misalnya, koleksi Nginx menyertakan parser nginx-logs dan skrip http dasar untuk mengidentifikasi bot berbahaya yang khas (perayapan agresif, pemindaian/peninjuan port, daftar hitam agen pengguna, dan upaya serangan traversal jalur). Berikut daftar lengkapnya:

Cara lain untuk berinteraksi dengan CrowdSec adalah melalui program konsol cscli. Ini mendukung daftar besar perintah dan parameter untuk menghubungkan/menghapus konfigurasi, menambahkan aturan kunci baru, dll.

Perintah ini memberikan metrik dasar tentang parser, volume log yang diproses, jumlah ancaman yang terdeteksi dan diblokir untuk setiap koleksi (lihat daftar koleksi di atas).

Perintah ini menunjukkan IP yang di banned, jumlah kejadian yang terlihat dari mereka, berapa kali mereka di banned, negara asal mereka, serta IP milik IP mereka.

Selain cscli, konfigurasi juga dapat dimodifikasi dengan cara tradisional dengan mengedit file teks dalam format YAML:

Biasanya, skenario khusus Anda sendiri didukung dan tim sangat menganjurkan Anda untuk membagikannya di Hub.

Integrasi

Apa yang membuat alat ini lebih seperti platform daripada utilitas adalah banyaknya integrasi dengan alat lain. Sistem tidak hanya mendeteksi serangan menggunakan tampilannya ke dalam log Anda, tetapi juga dapat memicu berbagai tindakan setelah sesuatu terdeteksi, seperti:

  • Memblokir orang di Cloudflare
  • Menjalankan skrip sewenang-wenang Anda sendiri
  • Menjalankan blok di netfilter/iptables
  • Menolak IP di Nginx
  • Memblokir di WordPress
  • Dan ini baru permulaan sejak komunitas mulai mengembangkan berbagai integrasi, penjaga, skenario, dan sumber data.

Monetisasi

Perusahaan akan menawarkan akses berbayar ke cloud API dan basis data reputasi IP-nya kepada pengguna yang tidak mau membagikan data log mereka (atau tidak bisa). Anggota komunitas dapat menggunakan perangkat lunak secara gratis dan juga mendapatkan akses gratis ke sistem reputasi IP, selama mereka berbagi penampakan mereka sendiri.

Dua penawaran akan tersedia: Premium dan Perusahaan dengan layanan dukungan, alat layanan khusus (seperti menerapkan sistem ke beberapa lokasi dari satu lokasi pusat), penggunaan penambangan data dan pelatihan mesin (mendeteksi tren dalam data global), cold log yang lebih canggih analisis (forensik, investigasi). Jangan lupa, alat open source dirilis di bawah lisensi MIT gratis, sehingga rencana bisnis perusahaan tidak menghalangi komunitas untuk menggunakan solusi dan memodifikasinya agar sesuai dengan kebutuhan mereka.

Di mana menemukan CrowdSec

Saat ini, anggota komunitas CrowsSec berasal dari 60+ negara di 6 benua berbeda.

Tim sedang mencari lebih banyak pengguna, kontributor, dan duta untuk membawa proyek ke tingkat berikutnya. Mereka akan senang mendengar tanggapan Anda dan terlibat dalam diskusi lebih lanjut. Mereka dapat ditemukan di GitHub, Ceramah atau kisi.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *