[Sécurité] Installer Crowdsec: un genre de fail2ban avec une liste de blocage mutualisée

Violence

CrowdSec 1.1.x est disponible

---

Tout d’abord, concernant la collecte des données concernant d’éventuels attaquants, CrowdSec 1.1.x sait dorénavant intégrer les données en provenance d’Amazon Cloudwatch.

CrowdSec peut également se comporter comme un serveur syslog, si vous le souhaitez. Cela vous permettra d’y ajouter de la donnée en provenance de nombreuses sources qui vous sont propres.

Enfin, CrowdSec a totalement revu son système de paquets. Ils utilisent AWS CodeBuild et CodePipeline pour tester les paquets générés sur de nombreux OS et architectures matérielles.

Au-delà de ça, CrowdSec propose maintenant ses paquets via PackageCloud. Cela leur permet de distribuer encore plus de paquets, aussi bien, pour Debian et Ubuntu comme les releases Bionic, Bullseye, Buster, Focal, Stretch, Focal pour x86-64 et ARM que pour Red HAt Enterprise Linux, CentOS, Amazon Linux (el/7, el/8, fc/33, fc/34, Amazon Linux/2 pour x86-64 et ARM).

Cela va vous permettre de deployer CrowdSec et ses bouncers sur beaucoup plus d’infrastructures de natures différentes que précédemment. Bref une meilleure compatibilité pour toujours plus de sécurité.

Concernant la nouvelle console justement, CrowdSec propose maintenant une console web absolument magnifique. Pour l’utiliser, il faut d’abord vous assurer d’avoir la dernière version de CrowdSec sur votre serveur.

J’ai dû désinstaller l’ancienne version avec la commande suivante :

./wizard.sh --uninstall

Puis réinstaller la nouvelle version comme ceci, en ajoutant les fameux dépôts et en installant le paquet CrowdSec. C’est quand même beaucoup plus pratique.

curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash

sudo apt-get install crowdsec -y

Ensuite, rendez-vous sur ce site pour créer un compte afin d’accéder à la console:

https://app.crowdsec.net/?source=korben.info

Un ID vous sera alors communiqué, permettant d’associer la console web avec votre serveur sous CrowdSec. Lancez la commande suivante sur votre serveur avec l’ID qui vous est donné :

cscli console enroll IDDONNEPARCROWDSEC

Et voilà, votre console web va commencer à se remplir avec les données de votre serveur.

il est possible de consulter le détail de ce qui est en place sur le serveur comme les agents, les scénarios, les bouncers…etc. On est même redirigé vers le hub qui permet d’en installer de nouveaux.

Mais surtout, la console web donne accès à l’ensemble des alertes relevées sur votre serveur.
Alertes que vous pouvez exporter en CSV très simplement ou filtrer par scénario, période, IP…etc.

Ainsi vous pouvez combiner plusieurs de ces filtres pour partir à la recherche de signaux précis. C’est à dire isoler par exemple une période précise, un type de scénario d’attaque, le pays de provenance de l’attaque, la machine ciblée…etc. C’est hyper visuel et ça permet de mieux comprendre comment telle ou telle attaque a été menée.

Il y a également des statistiques qui permettent de faire ressortir les « attaquants stars » ou les pays qui s’en prennent le plus à votre serveur (ou en tout cas qui essayent le plus).

---

Source: Korben.info

Ze-lol

Hello,

@violence a dit dans [Sécurité] Installer Crowdsec: un genre de fail2ban avec une liste de blocage mutualisée :

J’ai dû désinstaller l’ancienne version avec la commande suivante :

Pas moi…

# apt policy crowdsec
crowdsec:
  Installé : 1.2.0
  Candidat : 1.2.0
 Table de version :
 *** 1.2.0 500
        500 https://packagecloud.io/crowdsec/crowdsec/debian bullseye/main amd64 Packages
        100 /var/lib/dpkg/status
     1.1.1 500
        500 https://packagecloud.io/crowdsec/crowdsec/debian bullseye/main amd64 Packages
     1.1.0 500
        500 https://packagecloud.io/crowdsec/crowdsec/debian bullseye/main amd64 Packages
     1.0.9-2+b4 500
        500 http://deb.debian.org/debian bullseye/main amd64 Packages

Violence

Tant mieux @Ze-lol !!! je n’ai pas eu le cas non plus d’ailleurs !!

Vu que c’est Korben qui l’a écrit, je pense qu’il avais une assez vieille version d’installée !!
Ce pourquoi, est détaillé la désinstallation/réinstallation.

Mais c’est pas plus mal, comme cela tous les cas de figures sont évoqués

Ze-lol

@violence Yep!

En tout cas concernant mes serveurs, je ne passe que par des logiciels correctement empaquetés et bien intégrés à apt. C’est essentiel!

Je viens de découvrir avec délice que Crowdsec est intégré à Prometheus (Et Grafana du coup) sans qu’il n’y ait rien à faire.

Décidément Crowdsec a tout pour plaire!

Violence

@Ze-lol Oui en effet, Je te l’avais bien dit que c’était une tuerie

Ils en parlent aussi dans leur tuto ici :
https://crowdsec.net/tutorial-crowdsec-v1-1/

@+

EDIT:
Je pense que c’est une très bonne équipe, et ce soft ira loin. En tout cas, je l’espère vraiment pour eux (et pour nous, la communauté d’utilisateurs qui croit en ce projet )

Violence

Allez hop du lourd encore une fois: vous allez pouvoir protéger vos machines/servers sous Windows.

Pour ceux qui étaient en hibernation ces derniers mois, CrowdSec est un service à déployer sur votre serveur qui permet de détecter et bloquer les adresses IP dangereuses en les mutualisant entre tous les utilisateurs de CrowdSec.

https://korben.info/articles/securiser-windows-server-crowdsec

Ze-lol

@violence a dit dans [Sécurité] Installer Crowdsec: un genre de fail2ban avec une liste de blocage mutualisée :

protéger vos machines/servers sous Windows

Sans vouloir faire de mauvais esprit avoir un serveur sous Windows c’est avoir un gout prononcé pour le risque…

Violence

@Ze-lol

Ba franchement il ne doit pas y avoir bcp d’entreprises qui gère un Active Directory sous Linux via Samba et son module AD…

Perso j’en ai jamais vu de ma life.

Qui prendrait le risque de voir l’admin se barré avec toutes les connaissances???

Toutes les formations réseau se font avec des serveurs sous Windows pour l’AD et ses services reseaux, je ne dis pas que c’est bien mais c’est comme cela .

Ze-lol

@Violence
La boite dans laquelle je bosse vient de se faire hacker.
250 serveurs Windows tombés (Ransomware). Les 300 serveurs sous LInux sont indemne.

Violence

C’est pas la question et c’est somme toute évident bien sur…

as tu déjà vu un AD sous Linux???

Et les 300 serveurs qu’est ce qui tourne dessus???

Les ransomware c’est peanuts quand tu as les outils adaptés genre du Veeam ou du SES par exemple

Après ils sont dev pr la plupart pr cibler Windows mais imaginons que Linux soit la norme comme c’est le cas pr Windows… ça sera la même chose bien évidemment… les black hats s’adaptent et Linux n’est pas exempt de failles lui non plus…

Raccoon

Dans ma boite en ce moment quelques utilisateurs ont eu droit à qakbot. Heureusement il n’a semble-t-il pas fait de dégâts. L’équipe sécurité en charge d’analyser l’attaque a retrouvé des traces de cyrillique dans le fichier contenant les macros malveillantes.

Violence

Update du tuto

Violence

Le tutoriel d’installation est disponible sur le wiki en suivant le lien ci-dessous :

https://wiki.planete-warez.net/fr/informatique/sécurité/crowdsec

Violence

Certains le savent, je suis un grand fan de Crowdsec et utilisateur depuis qu’il existe.

Donc voici une petite vidéo de @Philippe @CrowdSec qui parle de cybersécurité, du pouvoir de la foule, de l’open source, du risque tiers, des origines de CrowdSec et plus encore dans cette récente interview de @DarkRhinoSec.

Ne manquez pas cette conversation stimulante !

Ancien 001

Merci pour le tres beau post tres instructif !

Violence

Pour info, crowdsec intègre maintenant des listes et des décisions dans la console web.
En version gratuite, vous avez le droit à 3 listes non premium.

– Exemple avec celle configurées sur le serveur de PW :

– Vos décisions s’affichent aussi maintenant dans l’onglet correspondant :

– Interface améliorée :

– Accès à la base de donnéees IP Crowdsec Threat Intelligence :

– La version 1.5 sortie en avril améliore nettement les performances :

https://www.crowdsec.net/blog/increasing-performance-crowdsec-1-5