CrowdSec: un proyecto de ciberseguridad colaborativa de código abierto para Linux
CrowdSec es un nuevo proyecto de seguridad diseñado para proteger servidores, servicios, contenedores o máquinas virtuales expuestos en Internet con un agente del lado del servidor. Se inspiró en Fail2Ban y pretende ser una versión colaborativa y modernizada de ese marco de prevención de intrusiones.
De alguna manera, es descendiente de Fail2Ban, un proyecto que nació hace dieciséis años. Sin embargo, ofrece un enfoque colaborativo más moderno y sus propios fundamentos técnicos para responder a los contextos modernos.
CrowdSec, escrito en Golang, es un motor de automatización de seguridad, que se basa tanto en el comportamiento como en la reputación de las direcciones IP.
El software detecta comportamientos localmente, gestiona amenazas y también colabora globalmente con su red de usuarios compartiendo direcciones IP detectadas.
Esto permite que todos puedan bloquearlos de manera preventiva. El objetivo es construir una inmensa base de datos de reputación de PI y garantizar el libre uso de la misma a quienes participan en su enriquecimiento.
¿Cómo funciona CrowdSec?
Crowdsec es un marco modular y conectable, incluye una gran variedad de escenarios populares bien conocidos, los usuarios pueden elegir de qué escenarios quieren protegerse, así como agregar fácilmente nuevos personalizados para adaptarse mejor a su entorno.
El objetivo es implementar el software en tantos entornos como sea posible. Su rápida ejecución, su compatibilidad con contenedores, su facilidad de uso en entornos de nube así como su capacidad para ejecutarse en ecosistemas UNIX, macOS o Windows: todo esto nos permite abordar todo el mercado.
Motor de análisis de comportamiento
Es la primera capa de protección. Utiliza el escenario definido por YAML para correlacionar los eventos que ingresan a un depósito con fugas y extraer una señal si el depósito se desborda. A continuación, puede aplicar la respuesta de su elección con bouncers.
Motor de reputación
El motor de reputación es un principio muy simple, pero difícil de configurar. Básicamente, cada una de las instalaciones de CrowdSec puede beneficiarse de una lista negra de IP organizada, distribuida por nuestra API central. Si se esta usando LAMP, no se necesitan direcciones IP que ataquen otras pilas técnicas como Windows, por ejemplo.
Esta base de datos se alimenta de todas las instancias de CrowdSec, cuyas señales son filtradas y procesadas de forma centralizada por nuestra API. Los falsos positivos y los intentos de robo por parte de hackers son un problema real, de ahí la necesidad de procesar las señales que surgen de las instalaciones de CrowdSec.
Creemos que tenemos una receta bastante sólida para hacer esto, que llamamos consenso. Esto implica varias técnicas, como la comprobación de señales de otros miembros de confianza, nuestra propia red de señuelos ( honeypots), listas canarias (una lista blanca de direcciones IP), etc.
Nuestro objetivo es distribuir solo listas 100% fiables. Además, identificar quién es peligroso y cuándo depende en gran medida de un contexto y un período de tiempo específicos. Por ejemplo, una dirección IP que se consideró limpia ayer puede verse comprometida hoy y los administradores pueden limpiarla al día siguiente. Una dirección IP que busque SSH no es peligrosa para su TSE, etc.
Visualización
El software incluye un sistema de visualización local y ligero basado en Metabase. CrowdSec también está equipado con Prometheus, para proporcionar capacidades de alerta y observabilidad.
El motor de reputación tiene actualmente más de 103.000 direcciones IP de «consenso» (que han pasado las pruebas de envenenamiento y anti-falsos positivos).
Hasta la fecha, los miembros de la comunidad provienen de más de cincuenta países repartidos en seis continentes.
Si bien el software actualmente parece un Fail2Ban arreglado, el objetivo es aprovechar el poder de la multitud para crear una base de datos de reputación de IP muy precisa. Cuando CrowdSec rebota una IP específica, el escenario desencadenado y la marca de tiempo se envían a nuestra API para que se verifiquen e integren en el consenso global de IP incorrectas.
CrowdSec es gratuito y de código abierto (bajo una licencia MIT), con el código fuente disponible en GitHub. Actualmente está disponible para Linux, con puertos a macOS y Windows en la hoja de ruta
Fuente: https://doc.crowdsec.net/