AukFood devient partenaire de CrowdSec !

modifié le : 31 août 2022,
par Benjamin Piet
 

AukFood devient partenaire de CrowdSec !

Pour fêter notre intégration en tant que partenaire CrowdSec, nous avons décidé de vous présenter CrowdSec et pourquoi nous avons décidé de l'intégrer sur nos infrastructures !


L'outil CrowdSec

Alors qu'est-ce que CrowdSec me direz-vous ?

Les premiers me diront "Et bien vous voyez Fail2Ban ? Beh c'est la même chose avec une communauté"

Mais cela ne serait qu'une infime partie de la vérité !

CrowdSec est avant tout est un IPS (Intrusion Prevention System ou système de prévention des intrusions), open-source sous licence MIT et collaboratif.

Il permet entre autre :

  1. D'analyser les comportements suspects sur vos applications ;
  2. De répondre aux attaques ;
  3. Et de partager les signaux à travers la communauté d'utilisateurs de CrowdSec.

Vous l'aurez compris, le côté open-source est l'un des facteurs qui nous a fait choisir CrowdSec mais surtout la partie collaborative.

En effet, si je reprends l'exemple de Fail2Ban :

Fail2Ban va détecter par exemple une tentative d'intrusion via SSH et va donc bloquer l'adresse IP source après quelques tentatives infructueuses de l'attaquant.

Pour CrowdSec, le déroulement sera le suivant :

CrowdSec lui aussi détectera cette même tentative d'intrusion et bloquera l'adresse IP source, mais il pourra aussi, en confrontant l'IP de l'attaquant à l'API centrale, bloquer l'IP source.

Vous allez voir où je veux en venir.

Il n'est pas rare de disposer de plus d'un serveur dans son entreprise où au moins d'une ou plusieurs applications web. Et bien si ceux-ci disposent de leurs propres CrowdSec, ils pourront être avertis du blocage de cette IP suspecte et la bloquer de manière préventive !

Bien sûr, cela peut s'appliquer à plusieurs échelles :

  • Une IP ;
  • Une plage d'adresses IP ;
  • Une session ;
  • Un utilisateur ;
  • Un AS ;
  • Un pays !

CrowdSec pourra ainsi vous permettre :

  • De réduire le nombre de brute-force que vous subissez quotidiennement ;
  • De réduire l'abus de ressources ;
  • De réduire les tentatives de scan de ports ;
  • De réduire le nombre de bot scrapping ;


Exemple d'usage

Pour vous montrer le fonctionnement de CrowdSec, j'ai créé une machine virtuelle connectée à Internet avec un simple serveur SSH.

Je l'ai laissé fonctionner une vingtaine de jours et voici le résultat :

Comme vous pouvez le voir, nous avons eu au total 5417 tentatives de brute-force ou d'énumération d'utilisateurs effectuée par 112 IP différentes.

Maintenant imaginez qu'un agent CrowdSec soit installé sur tous vos serveurs.

Cela fait certes 5417 tentatives sur un serveur, mais 5417 tentatives en moins sur 10, 20, voir 100 serveurs !

De plus, si un serveur n'est pas suffisamment sécurisé, cela aura pu vous éviter une mauvaise surprise avant même que ce serveur ne soit infecté !


La granularité de CrowdSec

CrowdSec ne fait pas seulement que de s'occuper de SSH ou encore de bloquer une IP ou un simple utilisateur.

CrowdSec fonctionne à l'aide de "bouncers".

Ce sont des applications autonomes qui vont permettre à CrowdSec d'appliquer ses "décisions".

Lorsque l'agent CrowdSec sur votre serveur va, grâce aux logs de votre wordpress, détecter disons de trop nombreuses requêtes sur une page de votre site (tentative de scalping) il va envoyer sa "décision" à un "bouncer", ici le bouncer cs-wordpress-bouncer. Ce bouncer va appliquer la décision de l'agent et va afficher un captcha pour vérifier que ce n'est pas un bot.

Il existe beaucoup de bouncers différents, de WordPress à AWS avec des comportements et des usages différents correspondant à différents besoins.

Vous pouvez retrouver ici les bouncers disponibles :
https://hub.crowdsec.net/browse/#bouncers

Il est aussi possible de créer ses propres bouncers et de les partager avec la communauté.


Toutes ces raisons ont fait qu'AukFood a décidé de devenir partenaire de CrowdSec afin de profiter de super IPS collaboratif et open-source !

Notre premier pas dans ce partenariat a été d'intégrer CrowdSec à notre infrastructure et nous allons bientôt proposer cette nouveauté à nos clients !