Устанавливаем и тестируем баунсеры | OTUS

Устанавливаем и тестируем баунсеры

Кроме детектирования и наблюдения за угрозами, CrowdSec способен защищать систему, блокируя атаки. Для этого используются баунсеры, причем если CrowdSec отвечает за обнаружение атаки, то баунсер -- за блокировку атакующего.

Чтобы понять, надо блокировать IP либо нет, баунсеры выполняют запрос к API CrowdSec. Готовые баунсеры всегда можно скачать на официальном сайте.

1-1801-c552a5.png

Устанавливаем баунсер

2-1801-78f330.png

Так как баунсеры общаются с системой посредством REST API, следует проверить, что у установленного баунсера есть возможность выполнять запросы.

Pic17_1-1801-f19cf0.png

Ну а убедиться, что баунсер инсталлирован, вы можете командой cscli bouncers list.

Тестируем баунсер

Проверять работу следует с отдельного IP-адреса. К примеру, это может быть какой-нибудь временный прокси-сервер. Дело в том, что при тестировании с основного адреса система этот адрес забанит, в результате чего доступ к ресурсу будет утерян.

Давайте попробуем получить доступ к серверу в самом конце сканирования:

3-1801-c82b27.png

Pic18_1-1801-ed462b.png

А теперь глянем, как это будет выглядеть со стороны защиты:

Pic19_1-1801-d0f3a1.png

Crowdsec-firewall-bouncer применяет или nftables, или iptables. В первом случае (nftables используется по дефолту в Debian 10), баунсер создает и поддерживает 2 таблицы с именами Crowdsec и Crowdsec6 (они необходимы, соответственно, для ipv4 и ipv6).

4-1801-228908.png

В случае надобности всегда можно поменять настройку брандмауэра и осуществить переход на iptables вместо nftables, к которой обращается баунсер в конфигурационном файле /etc/crowdsec/crowdsec-firewall-bouncer/crowdsec-firewall-bouncer.yaml/. При этом чтобы работать в режиме iptables, вам понадобится ipset.

По материалам https://tproger.ru/.

Не пропустите новые полезные статьи!

Спасибо за подписку!

Мы отправили вам письмо для подтверждения вашего email.
С уважением, OTUS!

Автор
0 комментариев
Для комментирования необходимо авторизоваться
Популярное
Сегодня тут пусто