Saturday, January 18, 2025
HomeKiến thức LinuxBảo mật
Bảo mậtCrowdsec

[CrowdSec] – Phần 1 – CrowdSec là gì?

Hà Đăng Hoàng
By Hà Đăng Hoàng

-

1437
0

1. CrowdSec là gì?

CrowdSec là một hệ thống bảo mật phân tán mã nguồn mở được phát triển để bảo vệ các hệ thống và ứng dụng khỏi các cuộc tấn công trực tuyến và các hành vi độc hại. Nó hoạt động bằng cách phân tích các dữ liệu đăng nhập và lưu lượng mạng để nhận biết các hoạt động đáng ngờ hoặc có hại, sau đó thực hiện các biện pháp bảo mật để ngăn chặn hoặc đối phó với các mối đe dọa này.

2. Các tính năng chính.

CrowdSec thu thập dữ liệu từ nhiều nguồn, bao gồm cả dữ liệu đăng nhập và thông tin lưu lượng mạng. Sau đó, nó sử dụng các thuật toán (parsec) phân tích để xác định các hoạt động đáng ngờ hoặc bất thường.

CrowdSec hoạt động trên mô hình phân tán, có thể triển khai trên nhiều nodes trong hạ tầng mạng của bạn. Điều này giúp phát hiện và đối phó với các mối đe dọa tại nhiều điểm trên hệ thống của bạn.

Hệ thống CrowdSec có khả năng chia sẻ thông tin về các mẫu đe dọa và dữ liệu bất thường với cộng đồng người dùng khác. Điều này giúp cộng đồng tổng hợp được các mối đe doạ nguy hiểm và cung cấp bảo vệ tốt hơn cho tất cả mọi người.

Dựa trên dữ liệu phân tích, CrowdSec có thể thực hiện các biện pháp bảo mật tự động như chặn địa chỉ IP, chặn người dùng, hoặc thực hiện các hành động cụ thể để ngăn chặn cuộc tấn công.

CrowdSec sử dụng nhiều kỹ thuật để cải thiện khả năng nhận dạng các mẫu đe dọa mới và ngày càng phức tạp.

CrowdSec cung cấp cả CLI và giao diện đồ họa GUI để quản lý và cấu hình hệ thống.

3. Các phương pháp CrowdSec có thể thực hiện chặn.

CrowdSec có khả năng thực hiện cả hai cách để ngăn chặn các hoạt động độc hại:

  • Chặn trực tiếp:
    • CrowdSec có thể chặn các hoạt động độc hại bằng cách thêm các rules vào hệ thống firewall để ngăn chặn địa chỉ IP, người dùng hoặc các yếu tố khác có liên quan đến các hoạt động không mong muốn. Điều này cho phép CrowdSec tự động ngăn chặn các mối đe dọa trước khi chúng có cơ hội tấn công vào hệ thống.
    • Nếu CrowdSec được cấu hình để chặn trực tiếp, nó sẽ thực hiện việc chặn trên đường đi của luồng traffic. Điều này yêu cầu CrowdSec hoạt động như một thành phần trung gian trong luồng traffic giữa nguồn và đích. Khi CrowdSec nhận ra các hoạt động đáng ngờ hoặc có hại dựa trên dữ liệu phân tích, nó sẽ thêm các rules vào hệ thống firewall để ngăn chặn traffic từ địa chỉ IP, người dùng hoặc yếu tố khác có liên quan.
  • Gửi tín hiệu cho firewall khác:
    • Ngoài việc chặn trực tiếp, CrowdSec cũng có thể tương tác với các firewall và hệ thống bảo mật khác bằng cách gửi tín hiệu để yêu cầu chúng thực hiện các biện pháp bảo vệ. Ví dụ, CrowdSec có thể cung cấp thông tin về các địa chỉ IP đáng ngờ cho firewall để nó có thể thực hiện việc chặn những địa chỉ IP này.
    • Trong trường hợp CrowdSec gửi tín hiệu cho thiết bị khác để xử lý, nó không cần đứng giữa luồng traffic đi qua. Thay vào đó, CrowdSec có thể gửi tín hiệu đến các hệ thống bảo mật khác như firewall hoặc hệ thống IPS/IDS (Intrusion Prevention/Detection System) để yêu cầu chúng thực hiện các biện pháp bảo vệ.
    • Khi có một hoạt động đáng ngờ hoặc có hại, CrowdSec có thể thông qua cơ chế liên kết ví dụ như API để gửi tín hiệu đến các thiết bị khác để yêu cầu chúng thực hiện chặn hoặc xử lý. Điều này cho phép CrowdSec và các hệ thống bảo mật khác làm việc cùng nhau để ngăn chặn và đối phó với các mối đe dọa mà không cần đặt CrowdSec làm trung gian trong luồng traffic.
    • Việc này có thể giảm thiểu tác động đến hiệu suất của hệ thống và giúp tối ưu hóa quá trình bảo mật.

Quyết định sử dụng phương pháp nào phụ thuộc vào cách bạn cấu hình hệ thống của mình và cách bạn muốn thực hiện các biện pháp bảo mật. Cả hai cách đều có ưu điểm riêng và cùng nhau đóng góp vào việc tăng cường bảo mật hệ thống khỏi các mối đe dọa trực tuyến.

4. Nguồn dữ liệu CrowdSec thu thập.

CrowdSec dựa vào một loạt các nguồn dữ liệu để phân tích và xác định các hoạt động đáng ngờ hoặc có hại. Điều này bao gồm cả dữ liệu đăng nhập và thông tin lưu lượng mạng. Cụ thể, CrowdSec sử dụng các nguồn dữ liệu sau đây:

  • Logs đăng nhập: CrowdSec theo dõi và phân tích các bản ghi đăng nhập từ các dịch vụ như SSH, FTP, HTTP, và nhiều loại khác. Bằng cách kiểm tra các sự cố đăng nhập thất bại và thành công, nó có thể xác định các hành vi bất thường và tấn công dựa trên mẫu sử dụng.
  • Dữ liệu lưu lượng mạng: CrowdSec cũng thu thập và phân tích thông tin về lưu lượng mạng, bao gồm các gói tin và các tham số liên quan như địa chỉ IP nguồn và đích, cổng sử dụng, giao thức, và thời gian. Việc này giúp xác định các hoạt động không bình thường, chẳng hạn như các cuộc tấn công DDoS hoặc các giao dịch lạ.
  • Thư viện và DB cộng đồng: CrowdSec cung cấp một cơ sở dữ liệu chia sẻ với cộng đồng người dùng khác. Các thông tin về mẫu đe dọa, địa chỉ IP đáng ngờ và các dạng tấn công được cập nhật và chia sẻ trong cộng đồng để cung cấp một tầng bảo vệ chung tốt hơn.

5. Mô hình hoạt động của CrowdSec.

CrowdSec hỗ trợ mô hình một máy chủ quản lý tập trung (Centralized Management Server) và nhiều máy chủ thu thập dữ liệu (Data Collection Servers). Mô hình này giúp bạn quản lý và theo dõi nhiều máy chủ từ một điểm tập trung. Cụ thể:

  • Máy chủ quản lý tập trung (Centralized Management Server): Đây là máy chủ chính thường chứa CrowdSec Dashboard để quản lý toàn bộ hệ thống CrowdSec. Bạn cài đặt CrowdSec Dashboard trên máy chủ này hoặc sử dụng CLI để theo dõi và quản lý các sự kiện bảo mật, cấu hình parsers, kịch bản, và quản lý các máy chủ thu thập dữ liệu. Máy chủ này có thể lắng nghe trên địa chỉ IP Public để bạn có thể truy cập từ xa.
  • Máy chủ thu thập dữ liệu (Data Collection Servers): Đây là các máy chủ bạn muốn bảo vệ và thu thập dữ liệu bảo mật. Bạn cài đặt CrowdSec trên từng máy chủ thu thập dữ liệu này, mình hay gọi nó là CrowdSec Agent. Các máy chủ này sẽ sử dụng parsers để phân tích logs để thu thập dữ liệu bảo mật. Sau đó, họ sẽ báo cáo dữ liệu này về máy chủ quản lý tập trung.

Để thêm một máy chủ thu thập dữ liệu vào máy chủ quản lý tập trung, bạn cần:

  • Cài đặt CrowdSec trên máy chủ thu thập dữ liệu.
  • Cấu hình parsers cho máy chủ thu thập dữ liệu để phù hợp với các dịch vụ hoặc ứng dụng bạn đang sử dụng trên máy chủ này.
  • Cấu hình máy chủ thu thập dữ liệu để báo cáo dữ liệu về máy chủ quản lý tập trung. Thông thường, bạn chỉ cần cung cấp địa chỉ IP của máy chủ quản lý tập trung và các thông tin xác thực (nếu cần).

Sau khi máy chủ thu thập dữ liệu đã được thêm vào hệ thống, bạn có thể quản lý chúng từ máy chủ quản lý tập trung bằng cách sử dụng CrowdSec Dashboard hoặc CLI.

Mô hình này rất hữu ích khi bạn có nhiều máy chủ cần bảo vệ và muốn tập trung quản lý và theo dõi từ một điểm duy nhất.

Trong kiến trúc và mô hình của CrowdSec, không có khái niệm “server” hay “agent” như trong một số hệ thống khác. Các máy chủ thu thập dữ liệu (Data Collection Servers) sẽ được xem xét là ngang hàng và bạn có thể chọn bất kỳ máy nào trong số đó để thêm các máy (machine) và quản lý log.

Khi bạn quyết định thêm máy (machine) vào hệ thống, bạn sẽ tập trung vào máy chủ thu thập dữ liệu cụ thể mà bạn đã chọn. Máy chủ thu thập dữ liệu này sẽ thực hiện việc thu thập log và xử lý chúng sử dụng parsers và kịch bản cụ thể.

Máy chủ quản lý tập trung (Centralized Management Server) hoạt động như một trung tâm quản lý, nơi bạn có thể theo dõi, quản lý cấu hình, và xem các sự kiện bảo mật từ tất cả các máy chủ thu thập dữ liệu. Máy chủ này không thu thập log trực tiếp từ các máy, mà chỉ quản lý và hiển thị thông tin được báo cáo từ các máy thu thập dữ liệu.

Bạn hoàn toàn có thể thiết lập bất kỳ máy chủ CrowdSec nào trong hệ thống để làm máy chủ quản lý tập trung (Centralized Management Server) hoặc máy chủ thu thập dữ liệu (Data Collection Server).

Trong hệ thống CrowdSec, vai trò của máy chủ quản lý tập trung và máy chủ thu thập dữ liệu không được xác định cố định dựa trên phần cứng hoặc cài đặt ban đầu. Thay vào đó, bạn quyết định vai trò của từng máy chủ dựa trên cấu hình và mục tiêu của hệ thống của bạn.

6. Cách hoạt động của CrowdSec.

CrowdSec thu thập dữ liệu và phân tích, sau đó cảnh báo bằng cách thực hiện các biện pháp bảo mật để ngăn chặn và đối phó với các hoạt động độc hại hoặc đáng ngờ.

Dưới đây là cách hoạt động của CrowdSec:

  • Thu thập dữ liệu bởi CrowdSec:
    • CrowdSec chạy trên máy tính hoặc máy chủ và thu thập dữ liệu liên quan đến thông tin đăng nhập, thông tin về lưu lượng mạng, và các thông tin hệ thống khác.
    • Dữ liệu này bao gồm các sự kiện đăng nhập thành công, thất bại, thông tin về các kết nối mạng và các hoạt động khác mà CrowdSec sử dụng để xác định các hành vi bất thường.
  • Phân tích dữ liệu và tạo cảnh báo:
    • Dữ liệu được gửi từ CrowdSec đến hệ thống CrowdSec.
    • Hệ thống CrowdSec sẽ phân tích dữ liệu và so sánh với các mẫu hành vi độc hại hoặc không bình thường được biết đến.
    • Khi hệ thống xác định ra các hoạt động đáng ngờ hoặc có hành vi không mong muốn, nó tạo ra các cảnh báo và quyết định xử lý tiếp theo.
  • Xử lý cảnh báo:
    • CrowdSec nhận các cảnh báo từ hệ thống CrowdSec.
    • Nó đối phó với các cảnh báo bằng cách thực hiện các biện pháp bảo mật cụ thể để ngăn chặn hoặc giảm thiểu tác động của các hoạt động độc hại.
    • Các biện pháp bao gồm cấm truy cập, chặn địa chỉ IP, cập nhật tường lửa, thay đổi quyền truy cập file và thư mục, và các biện pháp khác.
  • Báo cáo và tương tác: Sau khi thực hiện các biện pháp bảo mật, nó có thể tạo ra báo cáo về các biện pháp đã thực hiện và kết quả.
    • Hệ thống CrowdSec cũng có thể cung cấp hướng dẫn cụ thể về cách xử lý cảnh báo.
Previous article
Chặn người dùng đầu cuối sử dụng VPN Cloudflare truy cập Internet
Next article
[CrowdSec] – Phần 2 -Cài đặt CrowdSec trên hệ điều hành Linux
Hà Đăng Hoàng
Hà Đăng Hoànghttps://wiki.hoanghd.com

LEAVE A REPLY

Please enter your comment!
Please enter your name here

4,956FansLike
256FollowersFollow
223SubscribersSubscribe
spot_img

LATEST POSTS

Related Stories

Load more

EDITOR PICKS

POPULAR POSTS

POPULAR CATEGORY

LIÊN KẾT

Bạn có thể quét mã QR bên để gia nhập với nhóm của chúng tôi, nhóm dành cho các bạn muốn tìm hiểu các giải pháp CNTT. Tại đây bạn có thể tự do trao đổi kiến thức thoải mái và miễn phí.

Liên kết với tôi https://zalo.me/g/fmitpl996

© Chào mừng đến với wiki của Hoàng