[Sécurité] Installer Crowdsec: un genre de fail2ban avec une liste de blocage mutualisée

Philippe

@Violence merci pour le tuto, super bien expliqué
@ze-lol pas de souci pour la partie blacklist. On a tous vécu l’effet spamhaus en effet. Venant du hosting, on a conçu le logiciel pour éviter cela et par exemple, toute IP qui a été nettoyée est automatiquement débannie après 72h (car on ne recoit plus de signalement). On peut aussi se débannir soi même. Le soft est et restera gratuit, ce que l’on fera payer ces des fonctionnalités pour les grands comptes (gestion de group policies, de templates, fonctionnalités pour savoir si tu es sous attaque ou si tu attaques quelqu’un, forensic, etc.)

on a une FAQ (https://crowdsec.net/faq/) qui répond à la plupart des questions et vous êtes les bienvenus sur notre Gitter.

Philippe

@aerya non pas de souci, on a d’ailleurs une image docker et tu peux utiliser les IPset des blocklists soit en nftables, soit en iptables.

Aerya

Bonjour @philippe bienvenue
Merci de ton retour. Tu es bien Philippe H. ?

Violence

Quel honneur de votre part @Philippe
C’est flatteur !

En tt cas, votre soft est juste génial !

Merci pour votre travail et celui de la team utile à tous!

Ze-lol

@philippe

Top, merci de passer par ici. C’est bien d’être encore accessible!

Effectivement mon inquiétude sur la liste “noire” est l’effet Spamhaus, mais le projet est porté par l’open source et la collaboration, donc je suis poussé à la confiance…

Cela fais un moment (Pas loin de 10 ans, rapport à l’IPv6…) que je m’inquiète pour trouver une alternative viable à fail2ban (Bon soft, mais en mal d’évolution) et j’ai accueillis CrowdSec avec enthousiasme!

Bravo, continuez!

Philippe

@aerya Tout à fait On se connait ?

Violence

@Philippe Vous êtes cité en début d’article

Philippe

@violence on a pas mal de choses que vous aller adorer qui arrivent.
Une console en ligne pour voir les stats de vos machines de façon consolidée.

On travaille aussi sur des scénarios pour bloquer les robots de scrapping & de scalping (qui bloquent les stocks en les achetants et qui organise la pénurie pour revendre sur eBay).

De nouveaux portages pour Windows & BSD sont en route, pas mal de nouveaux scénarios et parsers sont aussi en route. Egalement un plugin pour Chrome (pour juste marquer une IP dans une page et avoir de l’info en live) et on va relâcher pas mal d’IP en plus par rapport à maintenant.

Passez sur le Gitter à l’occasion.

Philippe

@violence ah oui évidemment Ben oui, c’est bien moi, on essaye de garder tous les doigts dans la prise pour rester en contact avec la communauté, qui est notre pilier N°1.

Violence

@Philippe

Que de bonnes nouvelles !!
C’est une très bonne chose de garder un œil sur la commu même en dehors des radars dit “standard”.

Merci pour cela.

Pour ma part j’essai encore de faire marcher la GUI en docker (c’est pour cela que je ne l’ai pas intégré au tuto). Tout est Ok mais je n’ai pas d’accès. Je passerai sur le gitter avc le même pseudo dès que possible à ce sujet car je ne vois pas ce qui cloche.

Encore merci à vous

Ze-lol

@violence a dit dans [Sécurité] Installer Crowdsec: un genre de fail2ban avec une liste de blocage mutualisée :

Pour ma part j’essai encore de faire marcher la GUI en docker

Fonctionne très bien avec le JAR. j’étais agacé de devoir installer Docker “juste” pour une interface graphique…

@philippe a dit dans [Sécurité] Installer Crowdsec: un genre de fail2ban avec une liste de blocage mutualisée :

Une console en ligne pour voir les stats de vos machines de façon consolidée.

Exactement ce qu’il faut:! Cool!
Merci pour le taf!

Philippe

@ze-lol on est en beta privée pour le moment mais la console passe en béta publique en septembre.

@Violence il faut un petit peu de ressources pour le containers, typiquement un monocore ca va être limite. peut être que le port est aussi déjà occupé ou un pb de firewalling, sinon sur le Gitter, l’équipe vous aidera.

Violence

@Philippe

J’ai déjà du docker qui tourne sur ma bécane de test.
Tout est OK, port etc…
Je passerai sur le gitter, vous n’êtes pas la pour faire du support

@Ze-lol

Pas con!!
Je vais tester via metabase pour voir.
J’ai bien tenter un changement de port (même si je n’ai rien qui tourne sur le port 3000 et le firewall est OK… il y a un loup quelque part)

cscli dashboard setup --listen 0.0.0.0 --port 300X

Ze-lol

@philippe a dit dans [Sécurité] Installer Crowdsec: un genre de fail2ban avec une liste de blocage mutualisée :

@ze-lol on est en beta privée pour le moment mais la console passe en béta publique en septembre.

Merci!

Aerya

@philippe a dit dans [Sécurité] Installer Crowdsec: un genre de fail2ban avec une liste de blocage mutualisée :

@aerya Tout à fait On se connait ?

Non, j’ai pas ce plaisir, je suis simplement allé voir “qui” est derrière cet outil
Bravo et merci d’ailleurs. Je prendrai le temps de le tester.

Ze-lol

@violence a dit dans [Sécurité] Installer Crowdsec: un genre de fail2ban avec une liste de blocage mutualisée :

Je vais tester via metabase pour voir.

Dis moi si tu as besoin d’un coup de main, il y a 2/3 trucs pas forcément clairs.
J’ai pris des notes…

En même temps le Dashboard est selon moi surtout utile pour remplir les jolis power points pour les codirs…

Philippe

@ze-lol si vous passez dire un bonjour sur le chan gitter, demandez un accès à la béta de la console de ma part à la team, ca devrait marcher

Ze-lol

@philippe

“We are happy to announce that we have selected you to participate in the beta of one of our major milestones: the CrowdSec Console.”

Merci.

Violence

Je n’y manquerais pas @Philippe

@Ze-lol je vais voir… Oui c’est surtout pour les dir RSI mais bon quand j’ai un truc en tête, je ne l’ai pas ailleurs…

Ze-lol

@philippe

J’ai ajouté 4 instances pour commencer.

Belle interface!
Pour ceux qui ont besoin de stats et de beaux graphiques c’est super.
Je n’ai pas encore tout fouillé, j’ai l’impression qu’il y a des fonctions d’alerte qui peuvent être intéressante pour de la supervision proactive.