CrowdSec – Kostenloses IPS-Tool für viele Plattformen

Mit CrowdSec können wir uns ein einfach zu verwendendes IDS + IPS-Tool auf verschiedenen Plattformen installieren und an diverse eingesetzte Softwareprodukte anbinden, um unsere Infrastuktur besser schützen zu können.
Was alles zu tun ist und wie CrowdSec funktioniert, gibts in diesen nachfolgenden Videos.

Was ist CrowdSec und wie funktioniert es?




Installation auf einem Linux-System:




Alle Infos zur Installation gibt es HIER.

Vorbereitung:

# apt update && apt upgrade -y && apt autoremove -y
# apt install curl sudo

Anbinden des Repositorys und Installation von CrowdSec:

# curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash
# apt install crowdsec

Müssen Ports geändert werden, folgende Dinge anpassen:

# nano /etc/crowdsec/config.yaml
>> Bei "db_config:" noch "use_wal: true" hinzufügen, um Fehlermeldugen zu beheben
>> Port 8080 zu etwas anderem abändern, wenn belegt
>> Port 6060 zu etwas anderem abändern, wenn belegt
# nano /etc/crowdsec/local_api_credentials.yaml
>> Port 8080 zu etwas anderem abändern, wenn belegt
# systemctl restart crowdsec

Das Setup kann mit folgendem Befehl wieder aufgerufen werden:

# /usr/share/crowdsec/wizard.sh -c

Den CrowdSec-Log ansehen:

# tail -f /var/log/crowdsec.log

Alle installierten Bouncer auflisten:

# cscli bouncers list

Alle aktuellen Entscheidungen ansehen:

# cscli decisions list

Eine IP-Adresse sperren:

# cscli decisions add -i 123.123.123.123 -d 1000h -t ban

Eine IP-Adresse entsperren:

# cscli decisions delete --id X

Installation auf einem Windows-System:




Alle Infos zur Installation gibt es HIER.

>> Agent-Download
>> Bouncer-Download
>> .NET Framework

Müssen Ports geändert werden, folgende Dinge anpassen:

C:\ProgramData\Crowdsec\config\config.yaml

>> Bei “db_config:” noch “use_wal: true” hinzufügen, um Fehlermeldugen zu beheben
>> Port 8080 zu etwas anderem abändern, wenn belegt
>> Port 6060 zu etwas anderem abändern, wenn belegt

C:\ProgramData\Crowdsec\config\local_api_credentials.yaml

>> Port 8080 zu etwas anderem abändern, wenn belegt

Alle installierten Bouncer auflisten:

# cscli bouncers list

Alle aktuellen Entscheidungen ansehen:

# cscli decisions list

Eine IP-Adresse sperren:

# cscli decisions add -i 123.123.123.123 -d 1000h -t ban

Eine IP-Adresse entsperren:

# cscli decisions delete --id X

Einrichten des Cloud-Dashboards:




Weitere nützliche Befehle für CrowdSec:

Alle aktuellen erkannten Alarme anzeigen:

# cscli alerts list

Die aktuelle Konfiguration inkl. Pfade zu Konfigurationsdaten anzeigen:

# cscli config show

Die aktuellen Konfigurationen sichern:

# cscli config backup /pfad/wo/die/daten/gespeichert/werden/sollen

Die aktuellen Collections updaten:

# cscli hub update

Die aktuellen Collections upgraden:

# cscli hub upgrade

Aktueller Status mit ein paar Statistiken anzeigen lassen:

# cscli metrics

Nützliche Links:

>> Alle Collections
>> Alle Configurations
>> Alle Bouncers
>> Die Dokumentation

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.