【51CTO.com快译】介绍
CrowdSec它是一种大型多人防火墙,旨在通过服务器 *** 保护互联网上的开放性Linux服务器、服务器、容器或虚拟机。Fail2Ban启发,旨在成为入侵防御工具的现代合作版本。
CrowdSec免费开源(使用MIT许可证),发布源代码GitHub上面。它使用行为分析系统来确定是否有人试图根据日志攻击你。如果您的 *** 检测到此类攻击,将处理非法攻击IP,并发送进行审查。如果信号通过审查过程,则该信号将通过审查。IP它被重新分发给所有共享类似技术配置文件的用户,以避免它们IP的侵袭。
目的是利用群体的力量来创建实时IP信用数据库。至于攻击你的计算机IP,你可以选择以任何你认为合适的方式处理威胁。CrowdSec利用社区的力量创造一个非常准确的IP信用系统有利于所有用户。
在创始人看来,很明显,开源将是CrowdSec主要支柱之一。该项目的创始人从事开源项目已有几十年。他们不仅追随开源,而且确切地相信开源。他们认为,社区是处理我们面临的大规模黑客攻击的关键,开源是创建社区,让人们为项目贡献知识,最终使项目更好、更安全的有力手段。
解决方案最近迎来了1.x版本在结构上带来了重大变化:引入本地REST API。
CrowdSec的工作原理
CrowdSec用Golang目的是在复杂的现代架构(如云、lambda运行在容器上。为此,它是“分离的”,这意味着你可以“在这里检测”(如数据库日志)和“在那里缓解”(如防火墙或rproxy中)。
该工具内部采用漏桶算法(leaky bucket),为了严格控制事件。场景使用YAML写作,尽可能简单易读,不牺牲精细度。推理引擎允许你从链桶中学习。(chain bucket)或元桶(meta-bucket)获得洞察力意味着多桶(如Web扫描、端口扫描和登录试图失败)溢出到一个“元桶”你可以触发它“针对性攻击”缓解措施。
激进的IP使用互联网保镖(bouncer)来处理。CrowdSec Hub提供现成的数据连接器和互联网保镖(如ginx、PHP、Cloudflare或Netfilter)以及场景,以防止不同类型的攻击。这些保镖可以通过各种方式减轻威胁。
Crowdsec可在Captcha保镖上班,限制适用权限、多因素身份验证、遏制查询,或必要时激活Cloudflare攻击模式。通过轻量级的可视化界面和强大的界面Prometheus可观察性,你可以了解当地的情况(以及发生的地方)。
众包安全
尽管Crowdsec目前软件看起来像是改进了Fail2Ban,但该项目的目的是利用群体的力量,创造高度准确的IP信用数据库。CrowdSec拦截特定IP当触发的场景和时间戳发送到我们身上API,检查并添加到全球不良行为中IP数据库中。
虽然我们已经重新分发了阻止名单到社区,但一旦计划处理,其他先决代码行将真正改善这方面。该 *** 已经发现了1.3万多个IP(每日更新),可重新分发约10%(13000)给我们的社区成员。
一旦CrowdSec社区足够大,我们就会实时生成最准确的IP信用数据库。这种全球信用引擎,加上当地的行为评估和缓解,有望让很多企业以非常低的成本获得更严格的安全。
案例探究
以下是表明CrowdSec技能的两个例子:
案例1
保护客户免受DDoS攻击公司创建了依赖攻击的公司Fail2Ban的DDoS缓解策略。当其中一个客户被7000台机器的僵尸 *** 攻击时,CrowdSec能够摄取所有日志,成功阻止僵尸 *** 中95%以上的机器,在不到五分钟的时间内有效缓解攻击。比较一下,处理这个攻击,Fail2Ban几千个日志每分钟都要处理,很有挑战性,要花近50分钟。
案例2
一家电子商务公司正遭到大规模信用卡填塞攻击。攻击者正在向支付网关发送垃圾邮件,并使用唯一的IP地址测试成千上万种不同的信用卡信息。该公司安装了CrowdSec后,即可扫描所有日志,在短短几分钟内阻止入侵,而不用修改所有应用程序以试图检测攻击。
原文标题:Introducing Crowdsec: A Modernized,Collaborative Massively Multiplayer Firewall for Linux,作者:Brittany Day
【51CTO转载合作网站时,请注明原译者和出处51CTO.com】