设置类型
插件包含以下三种运行类型:
小型(仅限修复)- pfSense防火墙从您在另一台计算机上运行的 CrowdSec 安全引擎接收阻止列表。入站连接会被(可配置的)pfSense 规则在防火墙处阻止。
中型(小型+日志处理器)- 除了强制执行阻止列表之外,pfSense防火墙还可以检测针对防火墙本身的攻击,例如端口扫描。有关攻击的数据将发送(用于分析和可能共享)到您在另一台计算机上运行的安全引擎。
大型(中型+LAPI)- 在防火墙系统上部署完全自主的安全引擎,并允许其他日志处理器连接到它。需要一个持久/var 目录(无 RAM 磁盘),对防火墙的性能也有一定的要求,具体取决于要处理的数据量。
对非CrowdSec用户,大型设置最简单的:只需保留默认值即可启用修复、日志处理器和本地 API。注意,恢复pfSense备份时,CrowdSec的配置不会保留,需要重新配置或单独备份。
安装
插件已提交给pfSense开发人员进行审核,可能即将包含在官方存储库中。截止本博客发表时,还未出现在官方存储库中。
如果想提前体验CrowdSec的安全功能,可以选择手动安装。
- 选择要安装的版本,单击Assets获取要安装的插件列表并下载。
- 使用finalshell软件连接pfSense防火墙,上传文件,并按顺序运行以下命令。
# setenv IGNORE_OSVERSION yes # pkg add <link to abseil> # pkg add <link to re2> # pkg add <link to crowdsec-firewall-bouncer> # pkg add <link to crowdsec> # pkg add <link to pfSense-pkg-crowdsec>
配置
安装完成以后,转到服务>CrowdSec,启用Remediation Component、 Log Processor和Local API 选项。单击“保存”。
默认是“大型”自主安装。对于“中型”安装,将禁用本地 API并填写远程 LAPI部分中的字段。对于“小型”安装,还将禁用日志处理器。
pfSense上的CrowdSec可以通过命令行实现完整功能,大多数操作都需要在shell或CrowdSec 控制台上完成。也可以直接编辑文件/usr/local/etc/crowdsec,但某些设置可能会被pfSense的设置覆盖。注意:除非禁用本地API,否则请确保/var目录没有使用RAM 磁盘。CrowdSec数据库和GeoIP表都位于持久保存的/var/db下。
服务
转到状态/CrowdSec菜单,可以查看:
- 注册的日志处理器和保镖
- 安装的中心项目(集合、场景、解析器、后溢出)
- 警报和本地策略
检测
如果日志处理器正在运行,则默认启用以下防御:
- 端口扫描
- ssh暴力破解
- pfSense管理UI暴力破解
- HTTP漏洞探测
详细配置和使用方法请参阅官方文档。
