CrowdSec 是一个新的安全项目,旨在通过服务器端代理保护暴露在互联网上的服务器、服务、容器或虚拟机。它的灵感来自 Fail2Ban,旨在成为该入侵防御框架的现代化协作版本。
CrowdSec 是免费和开源的(基于 MIT 许可证),源代码可在 GitHub 上获取。目前它适用于 Linux,macOS 和 Windows 版本也在计划中。
CrowdSec 的工作原理
CrowdSec 使用 Golang 编写,旨在运行在现代、复杂的架构上,例如云、lambda 和容器。为了实现这一点,它是“解耦的”,这意味着你可以在“此处检测”(例如,在你的数据库日志中)并在“彼处补救”(例如,在你的防火墙或反向代理中)。
该工具内部使用 漏桶 以实现严格的事件控制。场景以 YAML 编写,使其尽可能简单易读,同时又不牺牲粒度。推理引擎使你可以从链式桶或元桶中获得洞察力,这意味着如果多个桶(例如,网络扫描、端口扫描和登录尝试失败)溢出到“元桶”中,你可以触发“目标攻击”补救措施。
攻击性的互联网协议 (IP) 由拦截器处理。CrowdSec Hub 提供即用型数据连接器、拦截器(例如,Nginx、PHP、Cloudflare、Netfilter)和场景,以阻止各种攻击类型。拦截器可以通过多种方式补救威胁。
它适用于拦截器,例如 Captcha、限制应用权限、多因素身份验证、限制查询或仅在需要时激活 Cloudflare 攻击模式。你可以通过轻量级可视化界面和强大的 Prometheus 可观察性,了解本地发生的事情(以及发生的位置)。
(CrowdSec, CC BY-SA 4.0)
众包安全
虽然该软件目前看起来像是改进版的 Fail2Ban,但其目标是利用众包的力量来创建一个非常准确的 IP 信誉数据库。当 CrowdSec 拦截一个特定的 IP 时,触发的场景和时间戳将被发送到我们的 API 进行检查,并整合到不良 IP 的全球共识中。
虽然我们已经向社区重新分发了一个阻止列表(你可以通过在命令行中输入 cscli ban list --api 来查看它),但我们计划在处理完其他先决条件代码行后真正改进这部分。该网络已经有 100,000 多个 IP 的踪迹(每日刷新),并且能够将其中约 10%(10,000 个)重新分发给我们的社区成员。该项目在技术和法律层面都被设计为符合 GDPR 且尊重隐私。
我们的愿景是,一旦 CrowdSec 社区足够大,我们将共同实时生成最准确的可用 IP 信誉数据库。这个全球信誉引擎,加上本地行为评估和补救,应该使许多企业能够以非常低的成本实现更严格的安全性。
案例研究
以下是 CrowdSec 功能的两个示例。
一家保护其客户免受 DDoS 攻击的公司建立了一个依赖 Fail2Ban 的 DDoS 缓解策略。当其一位客户受到 7,000 台机器组成的僵尸网络攻击时,CrowdSec 能够摄取所有日志并在不到五分钟的时间内成功阻止了超过 95% 的僵尸网络,从而有效地缓解了攻击。为了比较,Fail2Ban 将需要每分钟处理数千个日志,这非常具有挑战性,并且需要将近 50 分钟才能处理此攻击。
一家电子商务企业正在遭受大规模信用卡填充攻击。攻击者正在垃圾邮件攻击支付网关,使用单个 IP 地址测试数千种不同的信用卡详细信息。通过安装 CrowdSec,该公司无需修改其所有应用程序来尝试检测攻击,而是可以扫描所有日志并在几分钟内阻止入侵。
商业模式
开源项目中常见的压力是建立可行的盈利模式。因此,为了完全透明,我们将为希望利用 IP 信誉数据库的企业提供高级订阅,而无需为其贡献或共享其被阻止的 IP 数据。这将允许任何人在接收到来自未知 IP 的第一个数据包后,在接受之前查询 IP 信誉数据库。
入门和参与
CrowdSec 的设置快速而简单(最多只需五分钟)。它在向导的帮助下,尽可能多地允许个人和组织使用它。该项目是生产级别的,已经在包括托管公司在内的许多地方运行,尽管它仍处于测试阶段。
目前,我们的社区成员来自六个不同大洲的 45 个国家/地区。我们正在寻找更多的用户、贡献者和大使,以将该项目提升到一个新的水平。
(CrowdSec, CC BY-SA 4.0)
我们很乐意听取您的反馈并进行进一步的讨论,所以请随时评论,通过我们的网站、GitHub 或 Discourse 与我们联系,或者在 Gitter 上给我们留言。
评论已关闭。