Inspiré de Fail2Ban, CrowdSec est un nouvel outil de sécurité conçu pour protéger les serveurs, les services, les conteneurs ou les machines virtuelles Linux exposés sur Internet. L’outil de prévention des intrusions est présenté comme une version modernisée et collaborative de Fail2Ban.
Rappelons que Fail2Ban est un outil de prévention d'intrusions qui protège les serveurs informatiques contre les attaques. Écrit dans le langage de programmation Python, il peut fonctionner sur les systèmes POSIX (Portable Operating System Interface) qui ont une interface avec un système de contrôle de paquets ou un pare-feu installé localement, par exemple, TCP Wrapper ou iptables.
iptables étant un programme qui permet à un administrateur système de configurer les règles de filtrage des paquets IP du pare-feu sur Linux. Les filtres sont organisés sur différentes tables, qui contiennent des règles sur la manière de traiter les paquets dans un réseau. Différents modules et programmes du noyau sont actuellement utilisés pour différents protocoles : iptables s'applique à IPv4, ip6tables à IPv6, arptables à ARP, et ebtables aux trames Ethernet.
CrowdSec utilise un système d'analyse du comportement pour déterminer si un cybercriminel essaie de pirater un système informatique. S’il détecte une telle menace, l'adresse IP incriminée est alors analysée. Si ce signal passe le processus de traitement, l'IP est alors redistribuée à tous les utilisateurs partageant un profil technologique similaire pour les "immuniser" contre cette adresse IP.
Impliqués sur des projets open source depuis des décennies, les responsables du projet CrowdSec estiment que ce modèle de développement est l'un des principaux piliers de leur projet. Fervents partisans de l'open source, ils sont convaincus qu’une grande communauté est la clé face à la menace cybernétique que le monde connaît en ce moment, selon eux, l’open source est le meilleur levier pour créer cette communauté et faire en sorte que les gens apportent leurs connaissances au projet.
Fonctionnement de CrowdSec
CrowdSec est écrit en Golang et a été conçu pour fonctionner sur des architectures modernes et complexes telles que les clouds et les conteneurs. Il utilise un algorithme en interne pour permettre un contrôle plus strict des événements. Les scénarios sur CrowdSec sont écrits en YAML pour les rendre aussi simples et lisibles que possible sans toutefois sacrifier la granularité. Le hub CrowdSec offre des connecteurs de données prêts à l'emploi et des scénarios pour dissuader les différentes classes d'attaques.
Bien que le logiciel Crowdsec ressemble actuellement à un Fail2Ban amélioré, le but du projet est de créer une base de données de réputation IP très précise. Lorsque CrowdSec identifie une adresse IP spécifique, le scénario déclenché et l'horodatage sont envoyés à l’API du système pour être vérifiés et intégrés dans la base de données des adresses IP malveillantes.
« Bien que nous soyons déjà en train de redistribuer une liste d’adresse IP à notre communauté, nous prévoyons d'améliorer réellement cet aspect dès que nous aurons traité d'autres lignes de code, ont déclaré les responsables du projet. Le réseau a déjà repéré plus de 130 000 adresses IP et est en mesure de redistribuer environ 10 % (13 000) de ces IP aux membres de notre communauté. » « Notre vision est qu'une fois que la communauté CrowdSec sera suffisamment grande, nous générerons tous, en temps réel, la base de données de réputation IP la plus précise qui soit », ont-ils ajouté.
Selon les développeurs de CrowdSec, la réputation mondiale associée à l'évaluation et à la correction des comportements, devraient permettre à de nombreuses entreprises d'obtenir une sécurité plus fiable à un coût très faible. CrowdSec est libre et open source (sous licence MIT), le code source étant disponible sur GitHub. Il est actuellement disponible pour Linux avec des portages sur macOS et Windows en projet.
Et vous ?
Avez-vous une expérience avec les outils de prévention d'intrusions ?
Quel est votre avis sur CrowdSec ?
Voir aussi
La plateforme d'orchestration de containers Kubernetes passe en version 1.20 qui signe l'arrivée en bêta de Kubectl Debug, mais aussi l'abandon de Dockershim
Canonical introduit Micro-Kubernetes à haute disponibilité, un cluster Kubernetes léger pour les postes de travail, les appareils IdO et l'Edge Computing
Capgemini organise un webinaire gratuit pour partager son expérience sur le Cloud et le cluster Kubernetes, les inscriptions sont ouvertes
Les revenus du marché mondial des serveurs ont augmenté de 19.8% par rapport à l'année précédente, selon IDC