Remplacement de fail2ban pour CrowdSec

Tags: #<Tag:0x00007fcb94715180>

Hello,

Afin d’évoluer avec son temps, il serait pas mal de passer de fail2ban à CrowdSec qui est tout comme fail2ban mais avec une couche communautaire, c’est-à-dire que l’information qui est extraite des attaques (IP source, date, heure, type de comportement malveillant) est ensuite envoyée à un serveur appartenant à Crowdsec pour être mutualisée pour l’ensemble de tous les utilisateurs, ce qui fait de cet outil quelque chose de beaucoup plus puissant que fail2ban.

Si vous voulez plus d’informations : https://crowdsec.net/
La doc est plutôt bien fournie, c’est opensource, licence MIT il me semble, et c’est Français :wink:

Hello.

J’ai regardé ultra rapidement. Le principe est pas forcément mal, par contre c’est une startup et l’objectif c’est de lancer une version avec abonnement à 50e par mois.
Par expérience ce genre de truc ne dure jamais très longtemps :

  • attirer du monde avec l’offre gratuite
  • vendre la partie payante (on a plein d’utilisateurs)

Si l’offre se vends ça continu un peu de temps. Si ça marche pas, fermeture de la startup parce que mine de rien, la partie cloud il faut la financer…

À voir l’efficacité de la chose et les données échangées… J’ai pas creusé de ce côté encore
Donc il est urgent de pas se précipiter

2 J'aimes

Ce sera une offre premium avec des features suplémentaires

Il ont fait une levée de fond avant que ce soit prêt a faire du premium …

Installe le, j’ai eu des IP chinoises bloqué en peux de temps :rofl:

Donc on est bien d’accord, on est dans la phase buzz pour faire monter la mayonnaise

Ils ont un peu de trésorerie d’avance mais tôt ou tard il devoir y avoir un retour sur investissement, en plus des frais. La survie est donc bien conditionnée à une certaine quantité d’abonnements

J’y compte bien surtout que j’ai vu que ça pouvait tourner sous docker. Bon par contre avoir une liste d’ip à l’avance ça casse pas des briques non plus. Tant qu’elles n’arrivent pas sur le serveur on s’en fiche un peu. L’intérêt c’est de bloquer plus vite que si on attends x tentatives.
Fail2ban fait bien le job : quand le scan balance un truc toutes les 100ms c’est pas flagrant comme différence

C’est pour ça qu’il y a les scénario, si ça t’intéresse, il y a un podcast avec le fondateur sur https://www.nolimitsecu.fr/ ou il explique tout.
du 10 Janvier donc assez frais…

1 J'aime

J’irai regarder merci.

Je bosse dans la cybersecu et c’était mon projet pour le weekend prochain :grin: (j’ai aussi été séduit par le produit et le niveau technique de son créateur français sur NoLimitSecu)

J’essaierai de vous faire un retour

2 J'aimes

Bon j’ai écouté le podcast et j’en retiens 2 choses :

  • La moitié du boulot (les bouncers) sera à faire par la communauté
  • C’est quand même vachement vachement neuf

ça me laisse quand même l’impression que quand tu as passé plein de temps à intégrer tout ça au cœur de ton système … un coup de changement de licence à la Oracle/Redhat et c’est le carnet de cheques ou se bouffer les c*

1 J'aime

Ça vaut peut être le coup de demander à crowdsec leur stratégie a long terme
Il seront peut être pas honnête mais ça aura le mérite de mettre les pieds dans le plat

Sinon il y a des tonnes de blacklists gratuites sur internet, un petit script « crontabéisé » qui gère une mise à jour de tables ipset, 1 règle iptable et c’est réglé…

Sinon fail2ban peut reporter une IP via une action jails. Un petit serveur côté Jeedom qui génère une blacklist de tout ce qui est remonté par les users Jeedom, un cron pour la maj ipset sur tous les Jeedom, une rule iptable pour drop et le tour est joué. C’est communautaire Jeedom et presque open source. Après gérer les faux positifs c’est une autre histoire, mais rien n’empêche avant d’ajouter une IP à la blacklist, d’interroger des API pour tester la réputation de l’IP (abuseipdb etc par ex).

Il le semble que @CrowdSec est parmi nous, peut être pouvez vous nous répondre ?