Sortie de CrowdSec 1.1.x : quelles sont les nouveautés ?

Posté par  (site Web personnel) . Édité par Ysabeau, Benoît Sibaud et palm123. Modéré par Xavier Teyssier. Licence CC By‑SA.
16
24
août
2021
Sécurité

L’équipe de CrowdSec annonce la sortie de la version 1.1.x, la dernière version de sa solution de cybersécurité gratuite et open-source (MIT) conçue pour protéger les serveurs, services, conteneurs ou machines virtuelles Linux exposés sur Internet. Quoi de nouveau ? Des nouveaux paquets et dépôts, ainsi que des améliorations de l’agent CrowdSec lui-même.

Nouveaux paquets et dépôts

Dans le cadre de cette version, CrowdSec a transféré ses services vers Package Cloud, une distribution de paquets rapide, fiable et sécurisée hébergée dans le cloud. Cette migration a permis à CrowdSec de distribuer davantage de paquets à ses utilisateurs. Outre les paquets existants pour Debian et Ubuntu, notamment Bionic, Bullseye, Buster, Focal, Stretch, Focal pour x86-64 et arm, CrowdSec propose désormais des paquets pour Red Hat Enterprise Linux (RHEL), CentOS et Amazon Linux. L’équipe encourage les utilisateurs et les utilisatrices à mettre à jour les URL des dépôts dès que possible. L’ancien dépôt ne sera plus mis à jour et sera mis hors service sous peu.

CrowdSec a également ajouté la prise en charge des paquets RPM et Debian pour :

  • son firewall bouncer, qui récupère les nouvelles et les anciennes décisions à partir d’une API CrowdSec et les ajoute à une liste de blocage utilisée par les pare-feux pris en charge
  • son custom bouncer, qui récupère les nouvelles et les décisions expirées ou supprimées à partir d’une API locale CrowdSec et les transmet comme arguments à un script utilisateur personnalisé.

Diverses améliorations ont également été apportées à l’agent CrowdSec, l’une des plus notables étant une refonte du processus d’acquisition des données pour ajouter la prise en charge des sources CloudWatch. CrowdSec peut maintenant agir comme un serveur syslog, ce qui devrait permettre l’ajout de beaucoup plus de sources de données dans les prochaines versions.

Comment démarrer

Avec la sortie de la version 1.1.x, l’installation et utilisation de CrowdSec est grandement facilitée. Pour installer CrowdSec sur Ubuntu ou Debian, ajoutez les dépôts :

curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash

Puis installez :

sudo apt-get install crowdsec -y

Sur un système CentOS ou Red Hat Enterprise Linux (RHEL), ajoutez-les
dépôts :

curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.rpm.sh | sudo bash

Puis installez :

sudo dnf install crowdsec

Si vous installez de nouveaux services après cela, vous pouvez mettre à jour CrowdSec pour installer les collections requises en utilisant :

/usr/share/crowdsec/wizard.sh -c

Les capacités de détection de CrowdSec fournissent une visibilité sur les menaces ciblant votre système. Cependant, la dissuasion des attaques nécessite une stratégie de sécurité intelligente et proactive, et c’est là que les bouncers entrent en jeu !

Les bouncers fonctionnent en interrogeant l’API de CrowdSec pour savoir quand bloquer une IP. Ils peuvent être téléchargés directement depuis le Hub CrowdSec.

Pour installer le Cs-firewall-bouncer dans un dépôt Ubuntu ou Debian, utilisez :

sudo apt install crowdsec-firewall-bouncer-nftables crowdsec-firewall-bouncer

Si vous utilisez CentOS ou RHEL :

sudo dnf install crowdsec-firewall-bouncer-nftables

Un tutoriel plus exhaustif de cette nouvelle version peut être consulté sur le site web de CrowdSec (en anglais) en cliquant ici.

L’arrivée de la console

Enfin, la toute nouvelle console CrowdSec, qui est maintenant en version bêta privée, fournit une interface web facile à utiliser pour inspecter plusieurs agents CrowdSec répartis sur différents réseaux. Vous pouvez créer un compte et trouver les instructions pour inscrire l’agent CrowdSec ici.

La Console CrowdSec

Les membres de l’équipe sont preneurs de vos retours. N’hésitez pas à les contacter via leur Discourse ou Gitter. Pour télécharger cette nouvelle version, vous la trouverez sur le dépôt GitHub de CrowdSec.

Aller plus loin

  • # Cybersécurité ou marketing ?

    Posté par  . Évalué à 10.

    Les capacités de détection de CrowdSec fournissent une visibilité sur les menaces ciblant votre système.

    Quels sont les avantages de Crowdesec sur les solutions existantes d'analyse des logs et de surveillance des services ?

    Cependant, la dissuasion des attaques nécessite une stratégie de sécurité intelligente et proactive, et c’est là que les bouncers entrent en jeu !

    Là, j'ai l'impression de lire une plaquette du département marketeing. La sécurité intelligente qu'est-ce que c'est ? Et proactive ? Cet adjectif signifie que l'on cherche à intervenir en amont plutôt que de réagir à un événement. C'est tout à fait antynomique avec le mode de fonctionnement d'outils comme les bouncers de CrowdSec ou Fail2ban qui agissent après coup en se basant sur les attaques enregistrées dans les logs.

    Par ailleurs, tant que ce bug ne sera pas résolu Crowdsec restera bien moins efficace que fail2ban.

    De manière générale il convient de s'interroger sur le modèle de sécurité de ces outils et sur leur réelle utilité. Il n'empêchent pas les attaques mais permettent dans certaines circonstances de réduire leur probabilité de réussite.
    Leur principal intérêt est sans doute de transmettre à des tiers les IP des machines qui tentent des attaques par force brute. Cela permet après filtrage de constituer des liste noires ou de transmettre au service abuse concerné.

    • [^] # Re: Cybersécurité ou marketing ?

      Posté par  . Évalué à 0.

      Par ailleurs, tant que ce bug ne sera pas résolu Crowdsec restera bien moins efficace que fail2ban.

      Parce que fail2ban c'est efficace ?

      De manière générale il convient de s'interroger sur le modèle de sécurité de ces outils et sur leur réelle utilité. Il n'empêchent pas les attaques mais permettent dans certaines circonstances de réduire leur probabilité de réussite.

      C'est précisément ce pourquoi fail2ban ne me semble que rarement pertinent.

      https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

      • [^] # Re: Cybersécurité ou marketing ?

        Posté par  (site Web personnel) . Évalué à 2.

        fail2ban réduit par 100 environ les attaques sur SSH…

        • [^] # Re: Cybersécurité ou marketing ?

          Posté par  . Évalué à 1.

          Non cela réduit par 100 ce que tu vois dans les logs.
          Réduire des attaques vouées à coup sûr à l'échec, n'a aucun intérêt.

          • [^] # Re: Cybersécurité ou marketing ?

            Posté par  (site Web personnel) . Évalué à 4.

            Non, car lorsque tu as des serveurs à 10Gb/s sur internet, les attaques n'arrêtent pas. Avec fail2ban, tu es chiant. Les attaquants le savent puisqu'ils t'attaquent bien moins ensuite et vont voir ailleurs.

            La sécurité, c'est effectivement aussi de dire qu'on est chiant et d'aller voir ailleurs. De plus, réduire les attaques, c'est un peu réduire le trafic réseau donc le bilan carbone global.

            Donc, ce n'est pas parfait, mais je suis loin de dire que cela n'a aucun intérêt.

            • [^] # Re: Cybersécurité ou marketing ?

              Posté par  . Évalué à 4.

              De plus, réduire les attaques, c'est un peu réduire le trafic réseau donc le bilan carbone global.

              En fait non, ton infra coute principalement à la construction, de plus la variation de conso électrique avec ou sans usage est minime. Cela revient à vouloir donner un prix d'usage par minute à un canapé.

              "La première sécurité est la liberté"

      • [^] # Re: Cybersécurité ou marketing ?

        Posté par  . Évalué à 4.

        C'est précisément ce pourquoi fail2ban ne me semble que rarement pertinent.

        Si c’est possible, je suis preneur d’une explication plus approfondie : dans ma compréhension du fonctionnement de fail2ban, il y a détection d’une ou plusieurs entrées de log suspectes puis déclenchement d'une ou plusieurs actions prédéfinies, incluant généralement un blocage des IP impliquées. Est-ce rarement pertinent de souhaiter se débarrasser des nuisibles quel que soit le modèle de sécurité ?

        Ce commentaire passe-t-il les trois tamis de Socrate ? -- https://linuxfr.org/suivi/autoriser-la-correction-limitee-de-commentaires-apres-les-5min

        • [^] # Re: Cybersécurité ou marketing ?

          Posté par  . Évalué à 5.

          C'est pertinent pour réduire (un peu) la taille des logs, pour signaler les IP malveillantes à des tiers, pour économiser (très peu) de la bande passante mais ce n'est pas en soi un outil de sécurité. Cela peut seulement limiter la probabilité de réussite d'une attaque sur un service où l'on est obligé d'accepter des mots de passe faibles.

          • [^] # Re: Cybersécurité ou marketing ?

            Posté par  . Évalué à 6.

            Ou sur un service qui est mal configuré par erreur.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

            • [^] # Re: Cybersécurité ou marketing ?

              Posté par  . Évalué à 2.

              Je ne suis pas sûr qu'un outil de ce type te protège d'une erreur de configuration.

              • [^] # Re: Cybersécurité ou marketing ?

                Posté par  . Évalué à 3.

                Ça dépend de l'erreur, mais typiquement, c'est utile si tu laisse un compte avec un accès par mot de passe uniquement alors que tu pensais que ce n'était pas le cas.

                « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                • [^] # Re: Cybersécurité ou marketing ?

                  Posté par  . Évalué à 3.

                  C'est des choses qui se règles par des linters de configuration.

                  Et sincèrement c'est trop simple de bypasser fail2ban pour croire que ça apporte une telle sécurité. Ça rend les choses un peu plus lentes, mais je n'ai jamais vu quelqu'un décrire le monitoring de la pertinence de la configuration de fail2ban (durée de bannissement, nombre de tentatives réellement bloquées,…) alors que c'est une configuration qui se test très bien de l’extérieur. Tu es l'objet d'attaques automatisées ? Qu'est-ce que ça coute à un attaquant de prendre en compte ta configuration de fail2ban ? Ça réduit les risques ? Mais c'est bien moins efficace que simplement une configuration correcte de ton ssh et ça tombe bien ssh est plus simple à configurer que fail2ban (et si tu reste sur les configurations par défaut des 2 c'est aussi sécurisé).

                  https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

                  • [^] # Re: Cybersécurité ou marketing ?

                    Posté par  . Évalué à 4. Dernière modification le 25/08/21 à 22:43.

                    alors que c'est une configuration qui se test très bien de l’extérieur.

                    Mais c'est assez peu répandu pour que ça en vaille la peine sur les attaques généralistes

                    Tu es l'objet d'attaques automatisées ? Qu'est-ce que ça coute à un attaquant de prendre en compte ta configuration de fail2ban ?

                    Beaucoup d'IP différentes. Visiblement, suffisamment pour que je n'en vaille pas la peine.

                    Mais c'est bien moins efficace que simplement une configuration correcte de ton ssh et ça tombe bien ssh est plus simple à configurer que fail2ban

                    SSH n'est qu'un des services derrière fail2ban (limite, le honeypot, vu que toutes les attaques généralistes commencent par SSH avant de faire du web ou du mail).

                    (et si tu reste sur les configurations par défaut des 2 c'est aussi sécurisé).

                    Si je reste sur la configuration par défaut des deux, les mots de passe sont autorisés pour SSH, avec failb

                    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                    • [^] # Re: Cybersécurité ou marketing ?

                      Posté par  . Évalué à 2.

                      Mais c'est assez peu répandu pour que ça en vaille la peine sur les attaques généralistes

                      Si si je l'ai observé personnellement sur un serveur perso qui ne sert pas à grand chose (il n'y a rien de particulièrement attirant dessus). Des IPs qui reviennent un peu plus tard quand elles se font bannir, qui modules leur fréquence de tentatives,… Ça n'est pas très compliqué à mettre en place en soit et bon j'ai pu l'observer.

                      SSH n'est qu'un des services derrière fail2ban (limite, le honeypot, vu que toutes les attaques généralistes commencent par SSH avant de faire du web ou du mail).

                      J'avais pensé à ce genre de choses, mais plus rigolo en ne se basant pas sur les logs ssh, mais netfilter, mais c'était plus pour l'amusement que pour l'intérêt. Un fail2ban ça se bypass.

                      Si je reste sur la configuration par défaut des deux, les mots de passe sont autorisés pour SSH, avec failb

                      Et tu n'es pas du tout à l’abri d'une attaque à bas bruit sur ton mot de passe.

                      https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

                      • [^] # Re: Cybersécurité ou marketing ?

                        Posté par  (site Web personnel) . Évalué à 8.

                        Ça n'est pas très compliqué à mettre en place en soit et bon j'ai pu l'observer.

                        Justement, que les attaques s’adaptent c’est une chose, mais en attendant, ça diminue fortement leur chance de succès. La force brute limitée à 10 tests par jour a peu de chance de trouver un mot de passe réellement utilisé, alors qu’en centaines ou milliers de tests par seconde, c’est autre chose.

                        • [^] # Re: Cybersécurité ou marketing ?

                          Posté par  . Évalué à 2.

                          La force brute limitée à 10 tests par jour a peu de chance de trouver un mot de passe réellement utilisé, alors qu’en centaines ou milliers de tests par seconde, c’est autre chose.

                          Mais là, c'est plus un problème de politique de mot de passe et politique ssh, non?
                          A priori, si tu durcis raisonnablement ton serveur ssh (genre connexion que par clé et non par mot de passe), alors le bruteforce n'a aucune chance d'aboutir, que ce soit à 10 tentatives par jour ou des millions par seconde.

          • [^] # Re: Cybersécurité ou marketing ?

            Posté par  . Évalué à 3.

            C'est pertinent pour réduire (un peu) la taille des logs

            Configure ton syslog

            pour signaler les IP malveillantes à des tiers

            C'est pas d'une très grande fiabilité ce genre de trucs et quand je vois comment ça se passe pour les listes d'IP interdites dans le monde des serveurs de mails, je ne suis pas sûre que ce soit très étique de participer à ça.

            pour économiser (très peu) de la bande passante

            Ça pourrait être de la sécurité, mais c'est en échange d'IO disque et de CPU, de plus la configuration de netfilter est assez lente si tu ne fais pas les choses dans les règles.

            Cela peut seulement limiter la probabilité de réussite d'une attaque sur un service où l'on est obligé d'accepter des mots de passe faibles.

            C'est rigolo parce qu'à chaque fois que dès qu'on parle de fail2ban, il y a immédiatement un tas de gens qui ont besoin d'accepter des mots de passes faibles. Et bien sûr j'imagine qu'il est possible de connaître à l'avance l'IP de connexion de ces comptes ? C'est dommage ça. Ça en fait des cas très rares… et c'est de la sécurité à la petite semelle.

            https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

            • [^] # Re: Cybersécurité ou marketing ?

              Posté par  . Évalué à 4.

              Sur le signalements à des tiers, regarde comment fonctionne blocklist.de par exemple, et il s'agit aussi de signalements automatisés au service abuse concerné (qui ne fonctionne pas toujours, malheureusement). Je pense que cela a une certaine utilité.

              Sur les économies de ressources, c'est effectivement à mettre en balance avec celles consommées par Fail2ban ou Crowdsec.

              C'est rigolo parce qu'à chaque fois que dès qu'on parle de fail2ban, il y a immédiatement un tas de gens qui ont besoin d'accepter des mots de passes faibles. Et bien sûr j'imagine qu'il est possible de connaître à l'avance l'IP de connexion de ces comptes ? C'est dommage ça. Ça en fait des cas très rares… et c'est de la sécurité à la petite semelle.

              C'est effectivement devenu rare de ne pas pouvoir imposer une certaine solidité des mots de passe. Au cas où, on peut espérer ralentir un peu la compromission d'un compte. Mais je suis encore un fois d'accord, ce n'est pas de la sécurité. Un compte avec un mot de passe faible finira toujours par être compromis avec ou sans Crowdsec. La sécurité c'est d'imposer des mots de passe très solides ou la double authentification et cela même la doc de fail2ban le dit.

        • [^] # Re: Cybersécurité ou marketing ?

          Posté par  . Évalué à 2.

          On va faire une citation complète, si tu veux bien :

          De manière générale il convient de s'interroger sur le modèle de sécurité de ces outils et sur leur réelle utilité. Il n'empêchent pas les attaques mais permettent dans certaines circonstances de réduire leur probabilité de réussite.

          C'est précisément ce pourquoi fail2ban ne me semble que rarement pertinent.

          Donc non, on ne parle pas de quelque soit le modèle de sécurité et c'est une très mauvaise idée de faire des choses quelque soit le modèle de sécurité. Parce qu'ajouter des couches pour ajouter des couches peu rendre l'ensemble plus fragile tout en donnant l'impression que l'on fait pleins de choses. L'important ce n'est pas de faire pleins de choses, c'est de faire des choses efficaces.

          https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

      • [^] # Re: Cybersécurité ou marketing ?

        Posté par  . Évalué à 4.

        Nous sommes d'accord.
        Fail2ban n'est efficace que pour ce qu'il est censé faire :
        - signaler les IP qui tentent des attaques par force brute sur un service donné ;
        - diminuer la probabilité de réussite d'une attaque par force brute en bloquant ces IP via une règle de pare-feu.
        Sur ce dernier point Fail2ban et plus efficace que Crowdesc.

        Il est rarement pertinent puisque normalement le service en question a été suffisamment bien configuré pour rendre vaines les attaques par force brute. C'est de la sécurité réellement proactive et non simplement réactive comme Crowdsec ou Fail2ban.

        C'est par exemple totalement inutile sur un service SSH qui n'est accessible que par clés, voire par mots de passe suffisamment solides.
        Cela donne juste au débutant l'illusion qu'il a sécurisé son serveur puisqu'il voit moins de tentatives dans les logs et des IP bannies à la pelle par fail2ban.

        • [^] # Re: Cybersécurité ou marketing ?

          Posté par  . Évalué à 2. Dernière modification le 25/08/21 à 19:01.

          est-ce qu'une connexion à un service immédiatement rejetée par le pare-feu d'un serveur est plus, moins ou tout aussi gênante pour la disponibilité de ce serveur par comparaison à la connexion transmise à un service, gérée par ce service et finalement rabrouée car ne correspondant pas à quelque chose d'autorisée par le service en question ?

          EDIT: pardon, j'ai répondu avant de lire ta réponse ci-dessus

          Ce commentaire passe-t-il les trois tamis de Socrate ? -- https://linuxfr.org/suivi/autoriser-la-correction-limitee-de-commentaires-apres-les-5min

          • [^] # Re: Cybersécurité ou marketing ?

            Posté par  . Évalué à 2.

            Le problème c'est que ce type d'outil ne rejette pas immédiatement une tentative de connexion. Il peut même en laisser passer pas mal avant d'établir une règle de pare-feu. Je peux te montrer des logs où il y a dix ou vingt essais utilisateur/mot de passe avant que fail2ban n'établisse la règle de blocage et peu importe la valeur de maxretry.

            À l'inverse un blocage configuré au niveau du service, par exemple pas de connexion par mot de passe en SSH, est immédiat et incontournable.

            • [^] # Re: Cybersécurité ou marketing ?

              Posté par  (site Web personnel) . Évalué à 7.

              Pour moi, les deux sont à faire travailler ensemble. Par exemple, tu peux très bien interdire le compte root de la configuration ssh et mettre une règle sur fail2ban bloquant l'IP 7 jours pour toute connexion sur le compte root.

              Ainsi, en cas de faille bas niveau sur SSH, tu rajoutes une couche et en plus, tu es très chiant donc ralenti les attaques.

              Bref, pour moi, configurer les deux ne peut pas faire de mal.

        • [^] # Re: Cybersécurité ou marketing ?

          Posté par  (site Web personnel) . Évalué à 4.

          Ssh est un mauvais exemple, parce qu'il est facile à sécuriser nativement, en passant le paramètre PasswordAuthentication à no dans le fichier /etc/ssh/sshd_config.
          Par contre dans le cas d'un site web avec authentification, fail2ban me semble beaucoup plus pertinent et efficace.

          • [^] # Re: Cybersécurité ou marketing ?

            Posté par  . Évalué à 2.

            Ça peut déjà avoir plus de sens, mais du coup je préfère gérer ça avec un reverse proxy perso (où je peux configurer un waf, gérer des limitations de fréquence de requête, etc).

            https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

  • # Piper un script depuis curl

    Posté par  (site Web personnel) . Évalué à 7. Dernière modification le 25/08/21 à 02:46.

    | curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash

    "Piper" un shell directement depuis curl vers sudo ?

    Ça ne semble pas une démarche très sécurisante.
    C'est même tout à fait effrayant !

  • # curl | bash et apt-key

    Posté par  . Évalué à 8.

    Avec la sortie de la version 1.1.x, l’installation et utilisation de CrowdSec est grandement facilitée. Pour installer CrowdSec sur Ubuntu ou Debian, ajoutez les dépôts :

    curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash
    

    Alors déjà curl | bash quand on fait un produit d'infosec c’est moyen, mais en plus il faut noter que ce script fait usage de apt-key (et de mémoire c’est ce que recommandent toutes les documentations de Package Cloud).

    La commande apt-key est dépréciée depuis un moment et Debian 11 est la dernière version à la proposer. La bonne méthode est de placer le fichier de keyring dans /usr/share/keyrings/ et d'utiliser l'option signed-by dans l'entrée sources.list.

    Voir la section « OpenPGP Key distribution » sur la page Instructions to connect to a third-party repository du wiki Debian.

  • # CrowdSec.

    Posté par  . Évalué à 2.

    It Really Whips the Llama's Ass

    :p

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.