CrowdSec 1.7: Frissített behatolásérzékelő és megelőző rendszer a szerverek és alkalmazások védelmére

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

kami911 képe
Beküldte kami911 -

A CrowdSec legújabb, 1.7-es verziója jelentős előrelépéseket hoz a szerverek, konténerek és alkalmazások védelmében. Az új cscli setup parancs, a részletes használati statisztikák és a konténeres integrációk révén még hatékonyabb és könnyebben kezelhető biztonsági megoldást kínál, legyen szó Linux, BSD vagy Windows környezetről.

Új cscli setup parancs a gyorsabb telepítésért

A CrowdSec 1.7 kiemelt újdonsága az új cscli setup parancs. Korábban a felhasználóknak manuálisan kellett konfigurálniuk a szolgáltatásokat, most azonban az új verzió automatikusan felismeri a leggyakoribb szolgáltatásokat. Ez a funkció jelenleg Linux, BSD és Windows rendszereken érhető el, de az automatikus észlelés a telepítés során csak DEB és RPM csomagok esetén fut le.

A felhasználók igény szerint saját detektálási konfigurációkat is megadhatnak a telepítéskor, ami különösen hasznos nem szabványos naplóútvonalak vagy egyedi szolgáltatások esetén. Ha a rendszert Ansible vagy más konfigurációs menedzserrel üzemeltetik, a detektálási lépés teljesen kihagyható, így a telepítés még rugalmasabbá válik.

Részletes használati statisztikák a jobb átláthatóságért

A 1.7-es verzió bevezeti a használati metrikákat, amelyek nagyobb átláthatóságot biztosítanak a rendszer működésében. A naplófeldolgozók (log processors) immár jelentik, hogy egy-egy adatforrásból hány sort olvastak és dolgoztak fel, valamint statisztikákat adnak a feldolgozott (parsed), feldolgozatlan (unparsed) és fehérlistázott (whitelisted) eseményekről.

Ezek az adatok a LAPI-hoz kerülnek, és a cscli machines inspect paranccsal tekinthetők meg. A későbbi verziókban a fejlesztők tervezik, hogy ezeket a statisztikákat a konzolon is elérhetővé teszik, így a helytelen konfigurációk gyorsabban észlelhetők.

Konténeres környezetek és Docker Swarm támogatás

A CrowdSec 1.7 új konténeres funkciókkal is bővült. A Docker adatforrás immár támogatja a Swarm üzemmódot, ha a telepítés menedzser node-on történik. Ugyanakkor fontos figyelni egy kompatibilitási változásra: a 1.7-es verziótól kezdve a CrowdSec Docker vagy Podman környezetben történő futtatásához kötelező egy kötet (volume) csatolása a /var/lib/crowdsec/data/ útvonalra. Enélkül a konténer nem indul el. Kubernetes felhasználókat ez a változás nem érinti.

Webalkalmazás-tűzfalak és OWASP Core Rule Set integráció

A webalkalmazás-tűzfalak (Web Application Firewall, WAF) esetében az OWASP Core Rule Set integrációját tovább szorosabbá tették, a fejlesztés célja a védelmi szabályok még gördülékenyebb működése. Emellett új kifejezéssegítők (expression helpers) lehetővé teszik az események közötti átlagos és medián idő kiszámítását, így az extrém lassú brute-force támadások is észlelhetők, amelyek hagyományos detekciós szabályok mellett elkerülnék a figyelmet.

Metabase dashboard helyett online konzol

A régi cscli dashboard parancs eltávolításra került. Mindenki, aki még a Metabase dashboard-ra támaszkodik, ajánlott áttérni a CrowdSec online konzoljára a app.crowdsec.net.

A CrowdSec 1.7-es verziója így jelentősen egyszerűsíti a telepítést, növeli az átláthatóságot és kiterjeszti a konténeres és webalkalmazás-védelmi lehetőségeket, miközben a biztonsági rendszerekhez szükséges rugalmasságot is megtartja.

CrowdSec: Nyílt forráskódú behatolásérzékelő és megelőző rendszer

A CrowdSec egy self-hosted open-source IDS/IPS (behálózati behatolásérzékelő és megelőző rendszer), amelyet elsősorban szerverek, konténerek, szolgáltatások és alkalmazások védelmére terveztek a rosszindulatú forgalom ellen. A szoftver célja, hogy felismerje és blokkolja a támadásokat, miközben együttműködik a felhasználóval a konfiguráció és a testreszabás során.

Hogyan működik a CrowdSec?

A CrowdSec több rétegben védi a rendszereket:

  1. Adatgyűjtés
    A szoftver folyamatosan figyeli a naplókat (logs) különböző adatforrásokból, legyen az webkiszolgáló, SSH, konténeres környezet vagy alkalmazás. Az adatok feldolgozása során a rendszer azonosítja a gyanús eseményeket, például sikertelen bejelentkezéseket vagy túlzott kérésszámot.

  2. Detektálás
    A feldolgozott naplóbejegyzések alapján a CrowdSec elemzi a viselkedést. A szoftver a magas szintű elemző (parser) segítségével különböző szabályok és minták alapján osztályozza az eseményeket. Különleges újítás a 1.7-es verzióban a lassú brute-force támadások észlelése, amelyeket hagyományos rendszerek gyakran figyelmen kívül hagynak.

  3. Reakció
    Ha a szoftver veszélyt észlel, automatikusan alkalmazhat blokkolási szabályokat a támadó IP-címekre. Ez lehet lokális tűzfal szabály vagy integráció más biztonsági rendszerekkel, például WAF (Web Application Firewall) vagy konténeres környezetekben történő blokkolás.

  4. Közösségi adatmegosztás
    A CrowdSec egyik kulcsfontosságú előnye a közösségi alapú adatmegosztás. Az ismert támadó IP-címek és viselkedésminták a közösségen belül oszlanak meg, így minden felhasználó automatikusan profitál a frissített fenyegetési listákból.