Mit CrowdSec können wir uns ein einfach zu verwendendes IDS + IPS-Tool auf verschiedenen Plattformen installieren und an diverse eingesetzte Softwareprodukte anbinden, um unsere Infrastuktur besser schützen zu können.
Was alles zu tun ist und wie CrowdSec funktioniert, gibts in diesen nachfolgenden Videos.
Was ist CrowdSec und wie funktioniert es?
Installation auf einem Linux-System:
Alle Infos zur Installation gibt es HIER.
Vorbereitung:
# apt update && apt upgrade -y && apt autoremove -y # apt install curl sudo
Anbinden des Repositorys und Installation von CrowdSec:
# curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash # apt install crowdsec
Müssen Ports geändert werden, folgende Dinge anpassen:
# nano /etc/crowdsec/config.yaml >> Bei "db_config:" noch "use_wal: true" hinzufügen, um Fehlermeldugen zu beheben >> Port 8080 zu etwas anderem abändern, wenn belegt >> Port 6060 zu etwas anderem abändern, wenn belegt # nano /etc/crowdsec/local_api_credentials.yaml >> Port 8080 zu etwas anderem abändern, wenn belegt # systemctl restart crowdsec
Das Setup kann mit folgendem Befehl wieder aufgerufen werden:
# /usr/share/crowdsec/wizard.sh -c
Den CrowdSec-Log ansehen:
# tail -f /var/log/crowdsec.log
Alle installierten Bouncer auflisten:
# cscli bouncers list
Alle aktuellen Entscheidungen ansehen:
# cscli decisions list
Eine IP-Adresse sperren:
# cscli decisions add -i 123.123.123.123 -d 1000h -t ban
Eine IP-Adresse entsperren:
# cscli decisions delete --id X
Installation auf einem Windows-System:
Alle Infos zur Installation gibt es HIER.
>> Agent-Download
>> Bouncer-Download
>> .NET Framework
Müssen Ports geändert werden, folgende Dinge anpassen:
C:\ProgramData\Crowdsec\config\config.yaml
>> Bei “db_config:” noch “use_wal: true” hinzufügen, um Fehlermeldugen zu beheben
>> Port 8080 zu etwas anderem abändern, wenn belegt
>> Port 6060 zu etwas anderem abändern, wenn belegt
C:\ProgramData\Crowdsec\config\local_api_credentials.yaml
>> Port 8080 zu etwas anderem abändern, wenn belegt
Alle installierten Bouncer auflisten:
# cscli bouncers list
Alle aktuellen Entscheidungen ansehen:
# cscli decisions list
Eine IP-Adresse sperren:
# cscli decisions add -i 123.123.123.123 -d 1000h -t ban
Eine IP-Adresse entsperren:
# cscli decisions delete --id X
Einrichten des Cloud-Dashboards:
Weitere nützliche Befehle für CrowdSec:
Alle aktuellen erkannten Alarme anzeigen:
# cscli alerts list
Die aktuelle Konfiguration inkl. Pfade zu Konfigurationsdaten anzeigen:
# cscli config show
Die aktuellen Konfigurationen sichern:
# cscli config backup /pfad/wo/die/daten/gespeichert/werden/sollen
Die aktuellen Collections updaten:
# cscli hub update
Die aktuellen Collections upgraden:
# cscli hub upgrade
Aktueller Status mit ein paar Statistiken anzeigen lassen:
# cscli metrics
Nützliche Links:
>> Alle Collections
>> Alle Configurations
>> Alle Bouncers
>> Die Dokumentation