CrowdSec 是一款开源的轻量级安全引擎软件,使用日志分析和称为场景的威胁模式来检测并阻止恶意行为。采用模块化框架,提供各种流行的场景。用户可以选择自己的保护方案并部署修复组件来阻止恶意访问。最近他们为 pfSense 创建了一个带有简单 UI 界面的插件来配置安全引擎和防火墙修复组件。
设置类型
插件包含以下三种运行类型:
- 小型(仅限修复) – pfSense 防火墙从您在另一台计算机上运行的 CrowdSec 安全引擎接收阻止列表。入站连接会被(可配置的)pfSense 规则在防火墙处阻止。
- 中型(小型 + 日志处理器) – 除了强制执行阻止列表之外,pfSense 防火墙还可以检测针对防火墙本身的攻击,例如端口扫描。有关攻击的数据将发送(用于分析和可能共享)到您在另一台计算机上运行的安全引擎。
- 大型(中型 + LAPI) – 在防火墙系统上部署完全自主的安全引擎,并允许其他日志处理器连接到它。需要一个持久
/var目录(无 RAM 磁盘),对防火墙的性能也有一定的要求,具体取决于要处理的数据量。
对非 CrowdSec 用户来说,大型设置最简单:只需保留默认值即可启用修复、日志处理器和本地 API。注意,恢复 pfSense 备份时,CrowdSec 的配置不会保留,需要重新配置或单独备份。
安装
插件已提交给 pfSense 开发人员进行审核,可能即将包含在官方存储库中。截止本博客发表时,还未出现在官方存储库中。
如果想提前体验 CrowdSec 的安全功能,可以选择手动安装。
- 选择要安装的版本,单击 Assets 获取要安装的插件列表并下载。
- 使用 finalshell 软件连接 pfSense 防火墙,上传文件,并按顺序运行以下命令。
# setenv IGNORE_OSVERSION yes
# pkg add <link to abseil>
# pkg add <link to re2>
# pkg add <link to crowdsec-firewall-bouncer>
# pkg add <link to crowdsec>
# pkg add <link to pfSense-pkg-crowdsec>配置
安装完成以后,转到 服务 > CrowdSec,启用 Remediation Component、Log Processor 和 Local API 选项。单击“保存”。
默认是“大型”自主安装。对于“中型”安装,将禁用本地 API 并填写远程 LAPI 部分中的字段。对于“小型”安装,还将禁用日志处理器。
pfSense 上的 CrowdSec 可以通过命令行实现完整功能,大多数操作都需要在 shell 或 CrowdSec 控制台上完成。也可以直接编辑文件 /usr/local/etc/crowdsec,但某些设置可能会被 pfSense 的设置覆盖。注意:除非禁用本地 API,否则请确保 /var 目录没有使用 RAM 磁盘。CrowdSec 数据库和 GeoIP 表都位于持久保存的 /var/db 下。
服务
转到 状态 / CrowdSec 菜单,可以查看:
- 注册的日志处理器和保镖
- 安装的中心项目(集合、场景、解析器、后溢出)
- 警报和本地策略
检测
如果日志处理器正在运行,则默认启用以下防御:
- 端口扫描
- SSH 暴力破解
- pfSense 管理 UI 暴力破解
- HTTP 漏洞探测
详细配置和使用方法请参阅官方文档。
觉得内容不错?我要
