Featured image of post Protégez votre système avec CrowdSec : Guide complet d'installation et découverte
Blog

Protégez votre système avec CrowdSec : Guide complet d'installation et découverte

Apprenez à renforcer la sécurité de votre système informatique avec CrowdSec ! Notre tutoriel complet vous guide pas à pas dans l'installation et la découverte de cette puissante solution de protection. Découvrez comment déployer facilement CrowdSec sur votre infrastructure, en apprenant à configurer les règles et politiques de sécurité adaptées à vos besoins spécifiques. Protégez efficacement votre réseau des attaques malveillantes grâce à cette plateforme de sécurité nouvelle génération. Ne laissez plus aucune place au doute et explorez les fonctionnalités avancées de CrowdSec avec notre guide approfondi. Sécurité et tranquillité d'esprit garanties !

Protégez votre système avec CrowdSec : Guide complet d’installation et découverte

Contexte

Crowdsec est le nouveau Fail2Ban. C’est une approche collective de la sécurité qui peut prendre plusieurs formes, notamment:

  • Partage d’informations : Les organisations et les acteurs de la sécurité partagent des informations sur les menaces détectées, les attaques réussies et les techniques d’attaque pour permettre une meilleure compréhension et une réponse plus efficace aux menaces.

  • Collaboration en temps réel : Les entités collaborent en temps réel pour partager des informations, analyser les attaques en cours et coordonner les mesures de défense. Cela peut inclure des échanges d’alertes de sécurité, des réponses coordonnées aux incidents et des actions concertées pour contrer les menaces.

  • Intelligence collective : Les entités exploitent les données et les connaissances collectives pour identifier les schémas d’attaque, les vulnérabilités communes et les meilleures pratiques de sécurité. Cela permet d’améliorer les capacités de détection, de prévention et de réponse aux menaces.

  • Partage de ressources : Les organisations mettent en commun leurs ressources, telles que des outils de sécurité, des infrastructures de détection et des ressources humaines spécialisées, afin de renforcer leur défense collective contre les menaces.

Solution:

En utilisant la liste de blocage IP de la communauté, CrowdSec permet aux utilisateurs de partager et de bénéficier d’informations sur les cybermenaces. On peut résumer son mode opératoire en quelques étapes:

  • Lecture des journaux : CrowdSec récupère les journaux d’information provenant de différentes sources.

  • Les Parsers : Les journaux sont analysés pour les comprendre et les interpréter.

  • Les Scénarios : Les journaux sont comparés à des scénarios définis pour détecter les cybermenaces et les attaques.

  • Déclenchement d’un scénario : Lorsqu’un scénario correspond à un journal analysé, CrowdSec génère une alerte et des mesures à prendre, comme la mise en place d’un captcha ou un bannissement temporaire.

  • API locale et base de données : Les informations sur les alertes et les mesures sont envoyées à l’API de CrowdSec et stockées dans une base de données. L’agent CrowdSec ajoute également des détails supplémentaires, tels que la géolocalisation de l’adresse IP.

Implémentation:

Les bonnes pratiques voudraient que nous ayons une arborescence qui permette de distinguer chaque tâches, mais nous avons fait le choix ici d’une implémentation directe. Vous n’aurez qu’à cloner le playbook en cliquant ici

Ce script est découpé en plusieurs parties. Voir les étapes ci-dessous:

  • Installation du référetiel Crowdsec grâce au module shell
  • Mise à jour du cache des paquets et installation du package crowdsec en fonction des OS choisis (voir condition when)
  • Installation des dépendances nécessaires en fonction de l’OS choisi
  • Installation d’un bouncer pour CrowdSec
  • Enregistrement auprès de la console CrowdSec. Le paramètre “valeur” doit être remplacé par une valeur spécifique

  1. PlayBook Crodwsec

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47

---
- name: Installation CrowdSec
  hosts: localhost
  become: true
  vars:
    token: "toto"
    port: 8080
  tasks:
    - name : Install repository Crowdsec
      shell: curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash

    - name: Update et Installation Crowdsec Ubuntu family
      apt:
        name: crowdsec
        update_cache: yes
      when: ansible_os_family == "Debian"

    - name: Installation dependences
      become: true
      apt:
        name: "{{ item }}"
        state: present
      with_items:
        - bash
        - gettext
        - whiptail
        - curl
        - wget
      when: ansible_os_family == 'Redhat'

#Install un bouncer
  - name: Install bouncer
    become: true
    apt:
      name: crowdsec-firewall-bouncer-iptables
      state: present

#Enroll to dashboard crowdsec
  - name: Enroll to CrowdSec Console
    become: true
    command: cscli console enroll valeur

#Changer port
    - name: Demarrage service CrowdSec
      service:
        name: crowdsec
        state: started

Interface de CrowdSec:

Vous pouvez ajouter autant d’instances que vous souhaitez. Voir image ci-dessous:

Interface CrowdSec

© 2018 - 2023 Blog de Hydrochain