CrowdSec é um software de segurança de código aberto projetado para proteger sistemas contra ataques cibernéticos. Ele utiliza uma abordagem baseada em multidão (crowdsourcing) para coletar informações sobre atividades maliciosas e distribuir essa inteligência para proteger outros sistemas.
O CrowdSec monitora e analisa registros de eventos de segurança em tempo real, como logs de autenticação, registros de firewall e outros dados relevantes. Com base nessa análise, ele identifica padrões e comportamentos suspeitos, incluindo tentativas de login mal-sucedidas, exploração de vulnerabilidades e ataques de força bruta.
Quando um evento malicioso é detectado, o CrowdSec bloqueia o acesso do endereço IP responsável pelo ataque, impedindo assim que o atacante tenha sucesso em comprometer o sistema alvo. Essa informação de bloqueio é compartilhada e distribuída entre outros usuários do CrowdSec, criando uma rede colaborativa de proteção.
Uma das vantagens do CrowdSec é sua capacidade de aprendizado contínuo. À medida que mais sistemas usam o CrowdSec e compartilham informações sobre ataques bem-sucedidos, o software se torna mais eficiente em identificar e bloquear atividades maliciosas com base em padrões conhecidos.
O CrowdSec é uma ferramenta flexível e pode ser integrado a vários componentes de infraestrutura de segurança, como firewalls, servidores web e proxies. Ele fornece uma camada adicional de proteção contra uma ampla variedade de ataques cibernéticos e pode ser uma adição valiosa a uma estratégia de segurança abrangente.
Em seu Hub encontramos:
Collections: são pacotes de analisadores, cenários, pós-overflows que formam um conjunto coerente.
Configurations: são as configurações que irão detectar os tipos de ameaças.
Bouncers: são plugins que bloqueiam ips de acordo com as “decisons” do crowdsec (BAN, CAPTCHA…)Existem vários tipos de integração como iptables(default), firewall cloudflare, plugin wordpress, magento, firewall windows server e muitos outros.
Neste post vamos instalar Crowdsec com bouncer “crowdsec-firewall-bouncer” .
Instalar o Agent
Debian/Ubuntu
RHEL/Almalinux/Amazon Linux
Instalar o Firewall(bouncer)
crowdsec-firewall-bouncer buscará decisões novas e antigas de uma API do CrowdSec e as adicionará a uma lista de bloqueio usada por firewalls suportados.
Você precisa escolher um pacote de acordo com o seu sistema de firewall:
Para saber se seu sistema está usando iptables ou nftables, você pode executar o seguinte comando:
iptables -V Se você ver a menção de ‘nt_tables’ na saída, você está usando nftables. Lembre-se escolha iptables abaixo apenas se nt_tables não aparecer para você.
Debian/Ubuntu com Iptables
RHEL/Almalinux/Amazon Linux com Iptables
Debian/Ubuntu com NFTables
RHEL/Almalinux/Amazon Linux com NFTables
Ao instalar crowdsec, já são pré configuradas “collections” de alguns sistemas que você tem em seu servidor.
Execute o seguinte comando e veja quais collections foram instaladas
Você verá algo parecido:
Você poderá instalar novas collections, configurations ou bouncers de acordo com suas necessidades através do site Hub do Crowdsec
Esta é uma das ferramentas que utilizamos nos servidores de nossos clientes de gerenciamento de servidor.