Crowdsec Configuring NGINX Bouncer

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Wichtig

Hintergrund

Standardmäßig sind private IPv4- und IPv6-Adressbereiche in CrowdSec auf einer Whitelist eingetragen. Dadurch werden Angriffe aus internen Netzen wie 192.168.x.x, 10.x.x.x oder 172.16.x.x nicht erkannt oder geblockt. Im Laborbetrieb müssen diese Whitelist-Einträge entfernt werden, um Tests korrekt durchführen zu können.

Whitelist entfernen

  • rm /etc/crowdsec/parsers/s02-enrich/whitelists.yaml

CrowdSec neu starten

  • systemctl restart crowdsec

Hinweis

Nach dem Entfernen der Whitelist werden auch Angriffe aus dem internen Netz erkannt und können blockiert werden.

Optimierung des NGINX-Bouncers

Standardmodus auf performanten Modus umstellen

  • nano /etc/crowdsec/bouncers/crowdsec-nginx-bouncer.conf

Modus auf stream setzen

MODE=stream

Unterschied zwischen live und stream

Im Modus live fragt der Bouncer bei jeder HTTP-Anfrage die zentrale LAPI ab. Im Modus stream erfolgt die Abfrage regelmäßig im Abstand von z. B. 10 Sekunden (konfiguriert über UPDATE_FREQUENCY). Die IP-Entscheidungen werden dabei zwischengespeichert. Das entlastet den Server erheblich, kann aber eine kleine Verzögerung in der Reaktion auf neue Angriffe verursachen.

NGINX neu laden

  • nginx -t && nginx -s reload

HTTP-Bans mit Benutzerfeedback einrichten

Ziel: Blockseite anzeigen statt Verbindungsabbruch

Standardmäßig erhalten geblockte Clients keine Rückmeldung. Um stattdessen eine informierende Webseite (z. B. CAPTCHA) anzuzeigen, muss eine alternative Decision-Art genutzt werden.

profiles.yaml anpassen

Wir definieren eine zusätzliche Entscheidung vom Typ captcha für alle http-basierten Szenarien.

  • echo "
name: captcha_remediation
filters:
  - Alert.Remediation == true && Alert.GetScope() == \"Ip\" && Alert.GetScenario() contains \"http\"
decisions:
 - type: captcha
   duration: 4h
on_success: break
---
" > /tmp/profiles.yaml

Alte Konfiguration anhängen

  • cat /etc/crowdsec/profiles.yaml >> /tmp/profiles.yaml

Neue Konfiguration übernehmen

  • mv /tmp/profiles.yaml /etc/crowdsec/profiles.yaml

CrowdSec neu starten

  • systemctl restart crowdsec.service
Abgerufen von „http://wiki.ixheim.de/index.php?title=Crowdsec_Configuring_NGINX_Bouncer&oldid=61240