在pfSense上安装CrowdSec插件
CrowdSec是一款开源的轻量级安全引擎软件,使用日志分析和称为场景的威胁模式来检测并阻止恶意行为。采用模块化框架,提供各种流行的场景。用户可以选择自己的保护方案并部署修复组件来阻止恶意访问。

最近他们为pfSense创建了一个带有简单UI界面的插件来配置安全引擎和防火墙修复组件。

设置类型

插件包含以下三种运行类型:

小型(仅限修复)- pfSense防火墙从您在另一台计算机上运行的 CrowdSec 安全引擎接收阻止列表。入站连接会被(可配置的)pfSense 规则在防火墙处阻止。

中型(小型+日志处理器)- 除了强制执行阻止列表之外,pfSense防火墙还可以检测针对防火墙本身的攻击,例如端口扫描。有关攻击的数据将发送(用于分析和可能共享)到您在另一台计算机上运行的安全引擎。

大型(中型+LAPI)- 在防火墙系统上部署完全自主的安全引擎,并允许其他日志处理器连接到它。需要一个持久/var 目录(无 RAM 磁盘),对防火墙的性能也有一定的要求,具体取决于要处理的数据量。

对非CrowdSec用户,大型设置最简单的:只需保留默认值即可启用修复、日志处理器和本地 API。

注意,恢复pfSense备份时,CrowdSec的配置不会保留,需要重新配置或单独备份。

安装方法

插件已提交给pfSense开发人员进行审核,可能即将包含在官方存储库中。截止本博客发表时,还未出现在官方存储库中。

如果想提前体验CrowdSec的安全功能,可以选择手动安装。

  • 选择要安装的版本,单击Assets获取要安装的插件列表并下载。
  • 使用finalshell软件连接pfSense防火墙,上传文件,并按顺序运行以下命令。

# setenv IGNORE_OSVERSION yes
# pkg add <link to abseil>
# pkg add <link to re2>
# pkg add <link to crowdsec-firewall-bouncer>
# pkg add <link to crowdsec>
# pkg add <link to pfSense-pkg-crowdsec>

配置

安装完成以后,转到服务>CrowdSec,启用Remediation Component、 Log Processor和Local API 选项。单击“保存”。

默认是“大型”自主安装。对于“中型”安装,将禁用本地 API并填写远程 LAPI部分中的字段。对于“小型”安装,还将禁用日志处理器。

pfSense上的CrowdSec可以通过命令行实现完整功能,大多数操作都需要在shell或CrowdSec 控制台上完成。也可以直接编辑文件/usr/local/etc/crowdsec,但某些设置可能会被pfSense的设置覆盖。

注意:除非禁用本地API,否则请确保/var目录没有使用RAM 磁盘。CrowdSec数据库和GeoIP表都位于持久保存的/var/db下。

服务状态

转到状态/CrowdSec菜单,可以查看:

  • 注册的日志处理器和保镖
  • 安装的中心项目(集合、场景、解析器、后溢出)
  • 警报和本地策略

检测攻击

如果日志处理器正在运行,则默认启用以下防御:

  • 端口扫描
  • ssh暴力破解
  • pfSense管理UI暴力破解
  • HTTP漏洞探测

详细配置和使用方法请参阅官方文档

暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇