0 added
0 removed
Original
2026-01-01
Modified
2026-03-10
1
<p>Теги: информационная безопасность, анализ трафика, crowdsec, баунсеры</p>
1
<p>Теги: информационная безопасность, анализ трафика, crowdsec, баунсеры</p>
2
<p>Кроме детектирования и наблюдения за угрозами,<a>CrowdSec</a>способен защищать систему, блокируя атаки. Для этого используются баунсеры, причем если CrowdSec отвечает за обнаружение атаки, то<strong>баунсер</strong>-- за блокировку атакующего.</p>
2
<p>Кроме детектирования и наблюдения за угрозами,<a>CrowdSec</a>способен защищать систему, блокируя атаки. Для этого используются баунсеры, причем если CrowdSec отвечает за обнаружение атаки, то<strong>баунсер</strong>-- за блокировку атакующего.</p>
3
<p>Чтобы понять, надо блокировать IP либо нет, баунсеры выполняют запрос к<strong>API CrowdSec</strong>. Готовые баунсеры всегда можно скачать на<a>официальном сайте</a>.</p>
3
<p>Чтобы понять, надо блокировать IP либо нет, баунсеры выполняют запрос к<strong>API CrowdSec</strong>. Готовые баунсеры всегда можно скачать на<a>официальном сайте</a>.</p>
4
<h2>Устанавливаем баунсер</h2>
4
<h2>Устанавливаем баунсер</h2>
5
<p>Так как баунсеры общаются с системой посредством REST API, следует проверить, что у установленного баунсера есть возможность выполнять запросы.</p>
5
<p>Так как баунсеры общаются с системой посредством REST API, следует проверить, что у установленного баунсера есть возможность выполнять запросы.</p>
6
<p>Ну а убедиться, что баунсер инсталлирован, вы можете командой<strong>cscli bouncers list</strong>.</p>
6
<p>Ну а убедиться, что баунсер инсталлирован, вы можете командой<strong>cscli bouncers list</strong>.</p>
7
<h2>Тестируем баунсер</h2>
7
<h2>Тестируем баунсер</h2>
8
<p>Проверять работу следует с отдельного IP-адреса. К примеру, это может быть какой-нибудь временный прокси-сервер. Дело в том, что при тестировании с основного адреса система этот адрес забанит, в результате чего доступ к ресурсу будет утерян.</p>
8
<p>Проверять работу следует с отдельного IP-адреса. К примеру, это может быть какой-нибудь временный прокси-сервер. Дело в том, что при тестировании с основного адреса система этот адрес забанит, в результате чего доступ к ресурсу будет утерян.</p>
9
<p>Давайте попробуем получить доступ к серверу в самом конце сканирования:</p>
9
<p>Давайте попробуем получить доступ к серверу в самом конце сканирования:</p>
10
<p>А теперь глянем, как это будет выглядеть со стороны защиты:</p>
10
<p>А теперь глянем, как это будет выглядеть со стороны защиты:</p>
11
<p><strong>Crowdsec-firewall-bouncer</strong>применяет или<strong>nftables</strong>, или<strong>iptables</strong>. В первом случае (nftables используется по дефолту в Debian 10), баунсер создает и поддерживает 2 таблицы с именами Crowdsec и Crowdsec6 (они необходимы, соответственно, для ipv4 и ipv6).</p>
11
<p><strong>Crowdsec-firewall-bouncer</strong>применяет или<strong>nftables</strong>, или<strong>iptables</strong>. В первом случае (nftables используется по дефолту в Debian 10), баунсер создает и поддерживает 2 таблицы с именами Crowdsec и Crowdsec6 (они необходимы, соответственно, для ipv4 и ipv6).</p>
12
<p>В случае надобности всегда можно поменять настройку брандмауэра и осуществить переход на<strong>iptables</strong>вместо<strong>nftables</strong>, к которой обращается баунсер в конфигурационном файле<em>/etc/crowdsec/crowdsec-firewall-bouncer/crowdsec-firewall-bouncer.yaml/</em>. При этом чтобы работать в режиме<strong>iptables</strong>, вам понадобится<strong>ipset</strong>.</p>
12
<p>В случае надобности всегда можно поменять настройку брандмауэра и осуществить переход на<strong>iptables</strong>вместо<strong>nftables</strong>, к которой обращается баунсер в конфигурационном файле<em>/etc/crowdsec/crowdsec-firewall-bouncer/crowdsec-firewall-bouncer.yaml/</em>. При этом чтобы работать в режиме<strong>iptables</strong>, вам понадобится<strong>ipset</strong>.</p>
13
<p><em>По материалам https://tproger.ru/.</em></p>
13
<p><em>По материалам https://tproger.ru/.</em></p>
14
14