Crowdsecによるマルチサーバー環境

印刷に優しい, PDF & Email

この消化しがたいタイトルで, Crowdsecが茶色の獣である理由を説明してみましょう… 組織内の各マシンにCrowdsecエージェントを配置するのが普通です, 私たちは、彼らが互いにコミュニケーションを取り、攻撃を防ぐことを可能にします.

これは, WindowsまたはLinuxコンピューターが攻撃された場合よりも, 組織の他のマシンは、攻撃者がドアをノックする前に攻撃について知り、攻撃者のIPアドレスをブロックできます. デフォルトでは、Crowdsec がローカルで動作するとします, 各 Crowdsec エージェントは、独自のローカル API サーバーと通信します, 私たちが行うことは、それらすべてが同じLAPIサーバーと通信することです.

ローカル API サーバ,

開始, まずは, マシン上で、残りのエージェントのAPIサーバーとして機能する必要があります. そのため、構成ファイルで有効にします ‘ /etc/crowdsec/config.yaml」と入力します。, リッスンするIPとポートを示します:

APIの:
...
  サーバー:
...
    listen_uri: 192.168.2.10:8080
...

'/etc/crowdsec/local_api_credentials.yaml’ 同じIPアドレスのみ:

関連URL: HTTPの://192.168.2.10:8080
...

変更を適用するために再起動します:

sudo systemctl restart crowdsec

Crowdsec エージェント,

今, Crowdsec を使用する残りのマシンは、サーバーのローカル API に対して登録する必要があります, また、各CrowdsecマシンのLAPIは使用されないため、無効にします.

トピックから外れます, 保護対象のマシンに Crowdsec がインストールされていない場合, それはあなたが以前の投稿でWindowsを保護する方法を持っている時が来😉ました, リナックス…

まぁ, 来る, 行く, 各エージェントからLAPIサーバーに対して登録します。:

Sudo cscli lapi register -u HTTP://192.168.2.10:8080
    情報[14-11-2022 10:14:08 午後] ローカル API に正常に登録されました (ラピ)
    情報[14-11-2022 10:14:08 午後] Local API credentials dumped to '/etc/crowdsec/local_api_credentials.yaml'
    WARN[14-11-2022 10:14:08 午後] Run 'sudo systemctl reload crowdsec' for the new configuration to be effective.

私たちは、自分たちのAPIサーバーを使用しないため、停止します:

sudo cp /lib/systemd/system/crowdsec.service /etc/systemd/system/crowdsec.service

そして、'-no-api を追加します’ Crowdsec設定ファイル '/etc/systemd/system/crowdsec.service’

...
ExecStart=/usr/bin/crowdsec -c /etc/crowdsec/config.yaml -no-api
...

この新しい構成を使用するために、ついにサービスを再読み込みします:

sudo systemctl daemon-reload sudo systemctl restart crowdsec

次に、LAPIサーバーに移動すると, コマンド「sudocsclimachineslist」を使用して、保留中の接続要求があることを確認できます:

---------------------------------------------------------------------------------------------------------
 名前:IPアドレス、最終更新日時、ステータス、バージョン、認証タイプ、前回のハートビート
---------------------------------------------------------------------------------------------------------
 b91d17c64c4e4a2 192.168.x.xxx 2022-11-14T22:18:00Z ✔️ v1.4.1-debian パスワード 19s 9c70ab3970dd4cc 192.168.x.xxx 2022-11-14T22:14:08Z 🚫パスワード ⚠️ 4分11秒
---------------------------------------------------------------------------------------------------------

マシンを検証するには、sudo cscli machines validate 9c70ab3970dd4cc を実行します。’

sudo cscli マシンは 9c70ab3970dd4cc 情報を検証します[14-11-2022 10:19:35 午後] machine '9c70ab3970dd4cc' validated successfully

そして、もう一度「sudo cscli machines list」を確認します:

---------------------------------------------------------------------------------------------------------
 名前:IPアドレス、最終更新日時、ステータス、バージョン、認証タイプ、前回のハートビート
---------------------------------------------------------------------------------------------------------
 B91D17C64C4E4A 192.168.x.xxx 2022-11-14T22:19:00Z ✔️ v1.4.1-debian パスワード 40s 9c70ab3970dd4cc 192.168.x.xxx 2022-11-14T22:19:35Z ✔️パスワード5秒
---------------------------------------------------------------------------------------------------------

検証が完了したら、各エージェントでCrowdsecを補充することを忘れないでください, で:

sudo systemctl restart crowdsec

緩和 策,

今, 軽減するために, 特定の脅威に対する脆弱性のリスクを軽減するための措置を実施するため, バウンサーを使用する必要があります. まずは, APIサーバーから、エージェントバウンサーが必要とするトークンを作成します. 私たちは、すべてのエージェントで必要なすべてのバウンサーでそれを行います, 例 'sudo cscli bouncers add OS-JITSI-05-FWの’

Api key for 'OS-JITSI-05-fw':
    xxxxxxxxxxxxx このキーは取り戻せませんので、大切に保管してください!

各Crowdsecエージェントには、必要なバウンサーをインストールする必要があります, この場合、ファイアウォールタイプのバウンサーに依存します, 各OS用, 互換性のあるバウンサーがあります: Windows ファイアウォール, iptablesの, 不明, イプセット, PFの… iptablesがある場合:

sudo apt install crowdsec-firewall-bouncer-iptables -y

そして、ファイアウォールバウンサー構成ファイルを編集します ‘ /etc/crowdsec/bouncers/crowdsec-firewall-bouncer.yaml’ LAPIサーバーのIPアドレスと、それに対して生成したばかりのトークンを示します:

...
api_url: HTTPの://192.168.2.10:8080/
api_key: xxxxxxxxxxxxさん
...

ファイアウォールバウンサーサービスを再起動します:

sudo SystemCTL 再起動 CrowdSEC-Firewall-Bouncer sudo SystemCTL Status CrowdSEC-Firewall-Bouncer

以上です! このマシンは準備ができています, APIサーバーから通信された特定のIPアドレスへのアクセスを拒否することで、OSファイアウォールにエントリを追加できます.

Podremos desde el servidor LAPI verificar el estado de los bouncers con 'sudo cscli bouncers list':

-----------------------------------------------------------------------------------------------------------------------
 名前、IPアドレス、有効な最後のAPIプルタイプ、バージョン、認証タイプ
-----------------------------------------------------------------------------------------------------------------------
 OS-JITSI (英語)-05-fw 192.168.x.xxx ✔️ 2023-02-02T16:40:16Zクラウドsecファイアウォールバウンサーv0.0.24-debianのAPIキーOS-ELK-03-fw 192.168.x.xxx ✔️ 2023-02-02T16:40:11Zクラウドsecファイアウォールバウンサーv0.0.24 - debianのAPIキーOS-GRA-04-fw 192.168.x.xxx ✔️ 2023-02-02T16:40:11Z crowdsec-firewall-bouncer v0.0.24-debian api-key OS-NGINX-01-fw 192.168.x.xxx ✔️ 2023-02-02T16:40:10Z crowdsec-firewall-bouncer v0.0.24-debian api-key OS-NGINX-01-ミラー 192.168.x.xxx ✔️ 2023-02-02T16:40:18Z crowdsec-blocklist-mirror v0.0.1-9-g86d6 api-key OS-OTRS-01-fw 192.168.x.xxx ✔️ 2023-02-02T16:40:16Z crowdsec-firewall-bouncer v0.0.24-debian api-key
...
------------------------------------------------------------------------------------------------------------------------

以上です! これでメッシュが閉じます! 組織内のすべての Crowdsec は、1 つの API サーバーを使用して通信されます, だから、誰もが平等に保護されます, 単一のブラックIPアドレスリストを共有する, 攻撃者のIPをそれぞれのFWでブロック…

抱擁! それが非常にうまく😉いきますように

おすすめの投稿

Linux マシンへの Crowdsec のデプロイ
読む
Prometheus と Grafana を使用した Windows メトリック
読む
Windows マシンへの Crowdsec のデプロイ
読む
CentreonによるCrowdsecの監視
読む

著者

によって エクトル・エレーロ 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, 私に連絡することを躊躇しないでください, できる限りお手伝いします, シェアリングは生きていること ;) . ドキュメントを楽しむ!!!

ホームアシスタントからのIRデバイスの制御

19 1月の 2023

Windows Server ブック 2022 スペイン語で

27 1月の 2023