Crowdsec Grundsätzliches

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

CrowdSec - Open-Source Schutzsystem

CrowdSec ist ein Open-Source Intrusion-Prevention-System (IPS), das auf Community-Intelligenz basiert. Es analysiert Logdateien, erkennt verdächtige Aktivitäten und kann automatisiert auf Angriffe reagieren. Dabei teilt es erkannte Bedrohungen mit der globalen CrowdSec-Community, um kollektiv Angreifer zu blockieren.

Funktionsweise

CrowdSec analysiert verschiedene Logdateien von Servern und Anwendungen mithilfe von sogenannten "Parsers". Angriffsversuche werden anhand von vordefinierten "Scenarios" erkannt, und basierend darauf kann CrowdSec eine Entscheidung treffen ("Decision"), um beispielsweise eine IP-Adresse temporär oder dauerhaft zu sperren.

Funktionsweise

CrowdSec analysiert verschiedene Logdateien von Servern und Anwendungen mithilfe von sogenannten "Parsers". Angriffsversuche werden anhand von vordefinierten "Scenarios" erkannt, und basierend darauf kann CrowdSec eine Entscheidung treffen ("Decision"), um beispielsweise eine IP-Adresse temporär oder dauerhaft zu sperren.

Installation

Debian/Ubuntu
  • apt update && apt install -y crowdsec
CentOS/RHEL
  • dnf install -y epel-release
  • dnf install -y crowdsec

Nach der Installation startet CrowdSec automatisch und beginnt mit der Analyse der vorhandenen Logdateien.

Konfiguration

Die Konfiguration erfolgt hauptsächlich über das CLI-Tool cscli.

Vorhandene Parser anzeigen
  • cscli parsers list
Vorhandene Szenarien anzeigen
  • cscli scenarios list
Eine Collection installieren (z. B. für Apache)
  • cscli collections install crowdsecurity/apache2
Status von CrowdSec prüfen
  • systemctl status crowdsec

Angriffsarten und Schutzmechanismen

CrowdSec kann verschiedene Angriffsarten erkennen und blockieren. Dazu gehören:

Brute-Force-Angriffe

Mehrfache fehlgeschlagene Anmeldeversuche werden erkannt und die Angreifer-IP wird gesperrt.

DDoS- und Port-Scanning

Zu viele Verbindungsversuche in kurzer Zeit können automatisch blockiert werden.

Exploit-Versuche

CrowdSec erkennt typische Exploit-Versuche und kann präventive Maßnahmen ergreifen.

Integration mit Firewalls

CrowdSec kann IP-Adressen direkt in Firewalls blockieren:

IPTables
  • cscli bouncer install iptables
nftables
  • cscli bouncer install nftables
Firewalld
  • cscli bouncer install firewalld

Sperrlisten und Entscheidungen

Aktuelle Sperren anzeigen
  • cscli decisions list
Eine IP-Adresse manuell blockieren
  • cscli decisions add -i 1.2.3.4 -r "Manuelle Sperre"
Eine IP-Adresse entsperren
  • cscli decisions delete -i 1.2.3.4

Fazit

CrowdSec bietet eine einfache und effektive Lösung, um Angriffe zu erkennen und automatisiert darauf zu reagieren. Durch die Integration mit Firewalls und anderen Schutzmechanismen kann es helfen, Systeme gegen bösartige Akteure abzusichern, während die globale Community dabei hilft, neue Bedrohungen schnell zu erkennen.

Abgerufen von „http://wiki.ixheim.de/index.php?title=Crowdsec_Grundsätzliches&oldid=59431