fail2ban은 그동안 훌륭한 기능을 해줬다. 하지만 crowdsec을 접하고, 과연 계속해서 fail2ban을 사용해야 하는지 의문이 든다.
지금부터 crowdsec을 해보자.
CrowdSec 보안 엔진은 악의적인 행동을 하는 동료를 탐지하고 다양한 수준(인프라, 시스템, 애플리케이션)에서 시스템에 액세스하지 못하도록 차단할 수 있는 경량 오픈 소스 소프트웨어입니다.
이를 달성하기 위해 보안 엔진은 다양한 소스(파일, 스트림 등)에서 로그를 읽어 구문 분석, 정규화 및 강화한 후 시나리오라는 위협 패턴과 일치시킵니다.
CrowdSec 생태계는 모듈식이며 플러그 가능한 프레임워크입니다. 잘 알려진 다양한 인기 시나리오를 제공합니다 . 사용자는 보호하려는 시나리오를 선택할 수 있을 뿐만 아니라 자신의 환경에 더 잘 맞는 새로운 사용자 지정 시나리오를 쉽게 추가할 수 있습니다.
그런 다음 스택의 다양한 수준(애플리케이션, 시스템, 인프라)에 교정 구성 요소를 배포하여 감지된 악의적인 피어가 리소스에 액세스하는 것을 방지할 수 있습니다 .
다른 솔루션과 비교할 때 CrowdSec의 장점 중 하나는 크라우드 소싱 측면입니다. 감지된 공격에 대한 메타 정보(소스 IP 주소, 시간 및 트리거된 시나리오)가 중앙 API로 전송된 다음 모든 사용자 간에 공유됩니다.
덕분에 로그를 기반으로 실시간으로 공격을 탐지하고 차단하는 것 외에도 알려진 악의적인 행위자가 정보 시스템에 액세스하는 것을 선제적으로 차단할 수 있습니다.
CrowdSec은??
- 쉬운 설치 : 대부분의 Linux 설정에서 즉시 사용 가능 ( FreeBSD는 여기 참조 )
- 간편한 일일 작업 : cscli 및 허브를 사용하면 감지 메커니즘을 최신 상태로 유지하는 것이 쉽습니다.
- 재현성 : 보안 엔진은 라이브 로그 뿐만 아니라 콜드 로그에 대해서도 실행할 수 있습니다 . 잠재적인 오탐지 탐지, 포렌식 분석 수행, 보고 생성이 훨씬 쉬워집니다.
- 관찰 가능성
- 무슨 일이 일어나고 있는지, 그리고 Crowdsec-agent가 무엇을 하고 있는지에 대한 강력한 통찰력을 제공합니다.
- API 중심 : 모든 구성요소가 HTTP API를 통해 통신하므로 다중 시스템 설정이 용이합니다.
그리고 요즘 유튜버들로 부터 유행을 끌고 있는 Wordpress 보안에도 사용된다.
Crowdsec은 이제 모든 OS스택에 설치되어야 하는 필수 어플리케이션이다. fail2ban은 그동안 훌륭한 역할을 해줬고, 앞으로는 발전된 Crowdsec사용을 권한다. 사용법 역시 간단하며 앞으로 하나하나 올려볼 생각이다. 그리고 블로그를 통해 crowdsec에 대해 전달 할 생각이니 천천히 같이 학습해 봤으면 좋겠다.
CrowdSec | CrowdSec
CrowdSec, the open-source & participative IPS
docs.crowdsec.net
'서버인프라 > crowdsec' 카테고리의 다른 글
| CrowSec expiration 조정과 scenarios (57) | 2023.09.28 |
|---|---|
| Crowsec을 통한 SSH Brute Force 방어 (0) | 2023.09.20 |
댓글