CrowdSec este un sistem de detectare si prevenire a intruziunilor (IDS/IPS) modern, open source, care este conceput pentru a proteja serverele, serviciile, containerele sau masinile virtuale expuse pe Internet cu aparare in retea. Este o solutie de securitate care poate fi folosita pentru a proteja orice serviciu TCP/UDP, indiferent de protocolul utilizat.
CrowdSec foloseste o abordare bazata pe comportament si semnatura pentru a detecta atacurile și apoi reactioneaza prin blocarea IP-ului atacatorului. In plus, partajeaza semnalele de atac detectate (adică IP-urile atacatorilor) cu alti utilizatori CrowdSec din intreaga lume. Aceasta inseamnă ca, odata ce un atacator este recunoscut de o singura masina, acesta va fi blocat pe toate celelalte masini folosind CrowdSec.
In plus, CrowdSec este modular și poate fi extins cu plugin-uri numite „bouncers” pentru a efectua actiuni ca raspuns la detectari, cum ar fi blocarea traficului, generarea de alerte etc. Bouncer-urile pot fi folosite pentru a proteja o gama larga de sisteme, de la firewall-uri de retea, la aplicatii web.
CrowdSec ofera, de asemenea, o consola de administrare web și API pentru gestionarea și monitorizarea usoară a securitatii.
Pe scurt, CrowdSec este o solutie eficienta, colaborativa de securitate a retelei, care va protejeaza sistemele impotriva atacurilor rau intentionate, invatand din datele colectate in comunitatea de utilizatori.
Instalarea Crowdsec pe Debian
Descarcati si instalati pachetul Crowdsec cu următoarele comenzi:
curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash
sudo apt install crowdsec -yOdata instalat, Crowdsec va detecta automat serviciile de pe computer si va incepe sa le monitorizeze.
Instalarea Firewall Bouncer
Pentru ca Crowdsec sa blocheze adresele IP sursa ale atacurilor, trebuie sa instalati un firewall bouncer. In acest caz, vom folosi iptables bouncer:
sudo apt install crowdsec-firewall-bouncer-iptables -yInstalarea colectiilor
Colectiile Crowdsec sunt seturi de scenarii, analizoare și postoverflow-uri care permit Crowdsec sa detecteze si sa gestioneze anumite tipuri de atacuri. Pentru a instala colectiile pentru WordPress, Dovecot, Exim, VsFTP, Dovecot și MySQL si astfel sa va asigurati instalarea HestiaCP, utilizati urmatoarele comenzi:
cscli collections install crowdsecurity/wordpress
cscli collections install crowdsecurity/dovecot
cscli collections install crowdsecurity/exim
cscli collections install crowdsecurity/mysql
cscli collections install crowdsecurity/vsftpdDupa instalare, ar trebui să aveti ceva de genul acesta:
cscli collections list
COLLECTIONS
──────────────────────────────────────── ────────── ──────────────────────────────────────── ──────────
Name 📦Status Version Local Path
──────────────────────────────────────── ────────── ──────────────────────────────────────── ──────────
crowdsecurity/base-http-scenarios ✔️enabled 0.6 /etc/crowdsec/collections/base-http-scenarios.yaml
crowdsecurity/dovecot ✔️enabled 0.1 /etc/crowdsec/collections/dovecot.yaml
crowdsecurity/exim ✔️enabled 0.1 /etc/crowdsec/collections/exim.yaml
crowdsecurity/http-cve ✔️enabled 2.1 /etc/crowdsec/collections/http-cve.yaml
crowdsecurity/linux ✔️enabled 0.2 /etc/crowdsec/collections/linux.yaml
crowdsecurity/mysql ✔️enabled 0.1 /etc/crowdsec/collections/mysql.yaml
crowdsecurity/nginx ✔️enabled 0.2 /etc/crowdsec/collections/nginx.yaml
crowdsecurity/proftpd ✔️enabled 0.1 /etc/crowdsec/collections/proftpd.yaml
crowdsecurity/sshd ✔️enabled 0.2 /etc/crowdsec/collections/sshd.yaml
crowdsecurity/vsftpd ✔️enabled 0.1 /etc/crowdsec/collections/vsftpd.yaml
crowdsecurity/wordpress ✔️enabled 0.4 /etc/crowdsec/collections/wordpress.yaml
──────────────────────────────────────── ────────── ──────────────────────────────────────── ──────────
Actualizare automata a regulilor
Puteti rula aceasta comanda pentru a crea un cron care actualizeaza regulile Crowdsec automat la fiecare ora.
(crontab -l ; echo "0 * * * * $(which cscli) hub update && $(which cscli) hub upgrade") | crontab -Reincarcare Crowdsec
Dupa instalarea colectiilor, trebuie sa reincarcati Crowdsec pentru a le putea folosi:
sudo systemctl reload crowdsecInregistrare in Consola Crowdsec
Consola CrowdSec este o interfata web gazduita de CrowdSec care va permite să obtineti și mai mult de la CrowdSec. Iată cateva dintre caracteristicile pe care le ofera:
- Gestionarea instantelor: puteti adauga, eticheta si clasifica instantele CrowdSec. Acest lucru este util dacă aveti mai multe instante de CrowdSec care ruleaza pe sisteme sau locatii diferite si doriti sa le gestionati pe toate dintr-un singur loc.
- Alerte in timp real: consola va permite sa vizualizati, sa filtrati si sa exportati alerte in timp real. Acest lucru va ajuta sa urmariti ceea ce se intampla pe sistemele dvs. si sa raspundeti rapid la orice incidente de securitate.
- Statistici si informații: puteti obtine statistici si informatii despre alertele dvs. Acest lucru va permite sa intelegeti mai bine tiparele de atac si sa va adaptati apararea in consecinta.
- Managementul organizatiei: Consola ofera instrumente pentru gestionarea organizatiei, inclusiv autentificarea cu mai mulți factori (MFA) pentru a imbunatati securitatea.
Pentru a va inregistra pentru consola CrowdSec, trebuie sa vizitati https://app.crowdsec.net/ si sa urmati instructiunile pentru a crea un cont nou. Dupa ce v-ati inregistrat, va puteti conecta la consola si puteti incepe sa utilizati functiile mentionate mai sus.
Comenzi CrowdSec utile
Odata ce CrowdSec este instalat si configurat, exista mai multe comenzi pe care le puteti folosi pentru a interactiona si a gestiona sistemul. Iată cateva dintre cele mai utile:
Vedeți lista deciziilor (interdictii sau blocari):
Aceasta comanda va permite să vedeti toate deciziile pe care le-a luat CrowdSec, inclusiv adresele IP pe care le-a blocat
sudo cscli decisions listAdaugati o decizie (interziceți manual un IP):
Daca trebuie să blocati o anumită adresa IP, puteti utiliza aceasta comanda. Trebuie doar sa inlocuiti „IP_ADDRESS” cu adresa IP pe care doriti sa o blocati si „Descriere” cu un motiv pentru blocare.
sudo cscli decisions add --ip IP_ADDRESS --reason "Description"Stergeti o decizie (deblocați o adresă IP):
Daca trebuie sa deblocati o adresă IP care a fost blocata anterior, puteti utiliza aceasta comanda. Trebuie doar sa inlocuiti „IP_ADDRESS” cu adresa IP pe care doriti sa o deblocati.
sudo cscli decisions delete --ip IP_ADDRESSVedeti alertele care au fost lansate:
Aceasta comanda va permite sa vedeti toate alertele care au fost generate de CrowdSec.
sudo cscli alerts listInspectati o alerta specifica:
Daca aveti nevoie de mai multe detalii despre o anumită alerta, puteti utiliza aceasta comanda. Trebuie doar sa inlocuiti „ID” cu ID-ul alertei pe care doriti sa o inspectati.
sudo cscli alerts inspect IDActivati/dezactivati analizatorii sau scenariile:
Aceste comenzi va permit sa activati sau sa dezactivati analizatorii sau scenariile. Trebuie doar sa inlocuiti „NUME” cu numele parserului sau al scenariului pe care doriti să il activati sau sa il dezactivati.
sudo cscli parsers enable NAME
sudo cscli parsers disable NAME
sudo cscli scenarios enable NAME
sudo cscli scenarios disable NAMECu aceste comenzi si consola CrowdSec, va puteti mentine sistemul in siguranta si puteti monitoriza si gestiona orice activitate suspecta sau rau intentionata.