AukFood devient partenaire de CrowdSec !
Pour fêter notre intégration en tant que partenaire CrowdSec, nous avons décidé de vous présenter CrowdSec et pourquoi nous avons décidé de l'intégrer sur nos infrastructures !
🥳🌎 Meet new CrowdSec partners: @aukfood, @CloudfenceSec, #eranyacloud, @SitesByDesignAU
Our global partners assist our clients with the highest level of support offering services in security setup, custom configuration, and management.
Join us too 👉 https://t.co/AmsGr2KvYK pic.twitter.com/BUKUVbGVXj
— CrowdSec (@Crowd_Security) April 13, 2022
L'outil CrowdSec
Alors qu'est-ce que CrowdSec me direz-vous ?
Les premiers me diront "Et bien vous voyez Fail2Ban ? Beh c'est la même chose avec une communauté"
Mais cela ne serait qu'une infime partie de la vérité !
CrowdSec est avant tout est un IPS (Intrusion Prevention System ou système de prévention des intrusions), open-source sous licence MIT et collaboratif.
Il permet entre autre :
- D'analyser les comportements suspects sur vos applications ;
- De répondre aux attaques ;
- Et de partager les signaux à travers la communauté d'utilisateurs de CrowdSec.
Vous l'aurez compris, le côté open-source est l'un des facteurs qui nous a fait choisir CrowdSec mais surtout la partie collaborative.
En effet, si je reprends l'exemple de Fail2Ban :
Fail2Ban va détecter par exemple une tentative d'intrusion via SSH et va donc bloquer l'adresse IP source après quelques tentatives infructueuses de l'attaquant.
Pour CrowdSec, le déroulement sera le suivant :
CrowdSec lui aussi détectera cette même tentative d'intrusion et bloquera l'adresse IP source, mais il pourra aussi, en confrontant l'IP de l'attaquant à l'API centrale, bloquer l'IP source.
Vous allez voir où je veux en venir.
Il n'est pas rare de disposer de plus d'un serveur dans son entreprise où au moins d'une ou plusieurs applications web. Et bien si ceux-ci disposent de leurs propres CrowdSec, ils pourront être avertis du blocage de cette IP suspecte et la bloquer de manière préventive !
Bien sûr, cela peut s'appliquer à plusieurs échelles :
- Une IP ;
- Une plage d'adresses IP ;
- Une session ;
- Un utilisateur ;
- Un AS ;
- Un pays !
CrowdSec pourra ainsi vous permettre :
- De réduire le nombre de brute-force que vous subissez quotidiennement ;
- De réduire l'abus de ressources ;
- De réduire les tentatives de scan de ports ;
- De réduire le nombre de bot scrapping ;
Exemple d'usage
Pour vous montrer le fonctionnement de CrowdSec, j'ai créé une machine virtuelle connectée à Internet avec un simple serveur SSH.
Je l'ai laissé fonctionner une vingtaine de jours et voici le résultat :
Comme vous pouvez le voir, nous avons eu au total 5417 tentatives de brute-force ou d'énumération d'utilisateurs effectuée par 112 IP différentes.
Maintenant imaginez qu'un agent CrowdSec soit installé sur tous vos serveurs.
Cela fait certes 5417 tentatives sur un serveur, mais 5417 tentatives en moins sur 10, 20, voir 100 serveurs !
De plus, si un serveur n'est pas suffisamment sécurisé, cela aura pu vous éviter une mauvaise surprise avant même que ce serveur ne soit infecté !
La granularité de CrowdSec
CrowdSec ne fait pas seulement que de s'occuper de SSH ou encore de bloquer une IP ou un simple utilisateur.
CrowdSec fonctionne à l'aide de "bouncers".
Ce sont des applications autonomes qui vont permettre à CrowdSec d'appliquer ses "décisions".
Lorsque l'agent CrowdSec sur votre serveur va, grâce aux logs de votre wordpress, détecter disons de trop nombreuses requêtes sur une page de votre site (tentative de scalping) il va envoyer sa "décision" à un "bouncer", ici le bouncer cs-wordpress-bouncer. Ce bouncer va appliquer la décision de l'agent et va afficher un captcha pour vérifier que ce n'est pas un bot.
Il existe beaucoup de bouncers différents, de WordPress à AWS avec des comportements et des usages différents correspondant à différents besoins.
Vous pouvez retrouver ici les bouncers disponibles :
https://hub.crowdsec.net/browse/#bouncers
Il est aussi possible de créer ses propres bouncers et de les partager avec la communauté.
Toutes ces raisons ont fait qu'AukFood a décidé de devenir partenaire de CrowdSec afin de profiter de super IPS collaboratif et open-source !
Notre premier pas dans ce partenariat a été d'intégrer CrowdSec à notre infrastructure et nous allons bientôt proposer cette nouveauté à nos clients !