O que é o CrowdSec e como ele funciona?
O CrowdSec é um projeto de segurança de código aberto que visa proteger sistemas contra ataques cibernéticos. Ele utiliza logs de autenticação e aprendizado automático para identificar e bloquear endereços IP suspeitos envolvidos em atividades maliciosas. O CrowdSec é baseado em um mecanismo de bouncer (bloqueador) que permite a tomada de medidas preventivas contra ataques.
Pré-requisitos
Um dos pré-requisitos para usar o Crowdsec é ter um firewall ativo (IPTABLE) em seu servidor.
Se não houver firewall, o Crowdsec não poderá adicionar uma regra para bloquear o tráfego.
Antes de ativar seu firewall, você deve garantir que o tráfego de entrada 80, 443 e 22 seja autorizado.
Instalação do CrowdSec
A instalação do Crowdsec é muito simples, durante a instalação, ele também detectará os diferentes componentes (Nginx, Apache2, MySQL …) que pode monitorar e configurar-se automaticamente".
- Repositório Crowdsec :
curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash
- Instale o Crowdsec :
sudo apt install crowdsec
Na captura de tela abaixo, o processo de instalação onde podemos ver a descoberta e instalação e configuração automática para sshd
Para exibir a lista de comandos disponíveis, use o comando:
cscli
O comando metric exibe várias estatísticas relacionadas ao serviço crowdsec:
cscli metrics
Na visualização mostrada, notamos a presença dos arquivos fonte utilizados, juntamente com suas estatísticas.
Além disso, é possível identificar os diversos analisadores empregados, responsáveis por efetuar as detecções necessárias.
cscli alerts list
Para exibir a lista de ip bloqueados:
cscli decisions list
Conclusão
A instalação do CrowdSec está concluída. O agente analisará logs, relatará possíveis tentativas de invasão e coletará endereços IP de dentro do ecossistema Crowdsec. O bouncer faz a auto-atualização do firewall interno, adicionando endereços IP perigosos à lista de bloqueio conforme relatado e confirmado pela Crowdsec.
CrowdSec é apenas um elemento de qualquer infraestrutura de segurança. Não deve ser invocado como a única proteção contra ameaças externas.
Recursos adicionais
- Site da CrowdSec
- Documentação do CrowdSec CLI
- Repositório CrowdSec Github
- Console CrowdSec - Este aplicativo da web (atualmente em versão beta) pode ser usado para monitorar e visualizar alertas recebidos por uma ou mais instâncias CrowdSec.
Top comments (0)