Este post também está disponível em:
CrowdSec é um software de segurança de código aberto projetado para proteger sistemas contra ataques cibernéticos. Ele utiliza uma abordagem baseada em multidão (crowdsourcing) para coletar informações sobre atividades maliciosas e distribuir essa inteligência para proteger outros sistemas.
O CrowdSec monitora e analisa registros de eventos de segurança em tempo real, como logs de autenticação, registros de firewall e outros dados relevantes. Com base nessa análise, ele identifica padrões e comportamentos suspeitos, incluindo tentativas de login mal-sucedidas, exploração de vulnerabilidades e ataques de força bruta.
Quando um evento malicioso é detectado, o CrowdSec bloqueia o acesso do endereço IP responsável pelo ataque, impedindo assim que o atacante tenha sucesso em comprometer o sistema alvo. Essa informação de bloqueio é compartilhada e distribuída entre outros usuários do CrowdSec, criando uma rede colaborativa de proteção.
Uma das vantagens do CrowdSec é sua capacidade de aprendizado contínuo. À medida que mais sistemas usam o CrowdSec e compartilham informações sobre ataques bem-sucedidos, o software se torna mais eficiente em identificar e bloquear atividades maliciosas com base em padrões conhecidos.
O CrowdSec é uma ferramenta flexível e pode ser integrado a vários componentes de infraestrutura de segurança, como firewalls, servidores web e proxies. Ele fornece uma camada adicional de proteção contra uma ampla variedade de ataques cibernéticos e pode ser uma adição valiosa a uma estratégia de segurança abrangente.
Em seu Hub encontramos:
Collections: são pacotes de analisadores, cenários, pós-overflows que formam um conjunto coerente.
Configurations: são as configurações que irão detectar os tipos de ameaças.
Bouncers: são plugins que bloqueiam ips de acordo com as “decisons” do crowdsec (BAN, CAPTCHA…)Existem vários tipos de integração como iptables(default), firewall cloudflare, plugin wordpress, magento, firewall windows server e muitos outros.
Neste post vamos instalar Crowdsec com bouncer “crowdsec-firewall-bouncer-iptables” .
Instalar o Agent
Debian/Ubuntu
curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash apt-get install crowdsec systemctl enable crowdsec systemctl start crowdsec
RHEL/CentOS/Amazon Linux
curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.rpm.sh | sudo bash yum install crowdsec systemctl enable crowdsec systemctl start crowdsec
Instalar o Bouncer
Debian/Ubuntu
curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash apt install crowdsec-firewall-bouncer-iptables systemctl enable crowdsec-firewall-bouncer systemctl start crowdsec-firewall-bouncer
RHEL/CentOS/Amazon Linux
curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.rpm.sh | sudo bash yum install crowdsec-firewall-bouncer-iptables systemctl enable crowdsec-firewall-bouncer systemctl start crowdsec-firewall-bouncer
Ao instalar crowdsec, já são pré configuradas “collections” de alguns sistemas que você tem em seu servidor.
Execute o seguinte comando e veja quais collections foram instaladas
cscli collections list
Você verá algo parecido:
Você poderá instalar novas collections, configurations ou bouncers de acordo com suas necessidades através do site Hub do Crowdsec
Esta é uma das ferramentas que utilizamos nos servidores de nossos clientes de gerenciamento de servidor.
Alguma duvida? deixe nos comentários…