Intrusion Prevention: Böswillige IP-Adressen sperren mit CrowdSec

Inhaltsverzeichnis

Öffentlich erreichbare Dienste wie Web- oder Mailserver werden seit jeher von vielen unerwünschten Besuchern heimgesucht. Darunter befinden sich einerseits Bots und Script-Kiddies, andererseits gibt es gezielte Angriffe. Viele Administratoren nutzen daher Werkzeuge wie Fail2ban, SSHGuard oder DenyHosts zur Absicherung. Mit CrowdSec existiert seit wenigen Jahren eine moderne Open-Source-Alternative. Dieser Artikel geht näher auf das Featureset ein und zeigt anhand zweier Beispiele, wie CrowdSec die bestehenden Tools ergänzen oder ablösen kann.

Mehr zu Tools

• Eingabegerät Logitech MX Creative Console im Test
• Dokku: Open-Source-Alternative zu Heroku vorgestellt
• Intrusion Prevention: Böswillige IP-Adressen sperren mit CrowdSec
• Datenvisualisierung: Wie Sie mit Datawrapper Kartendiagramme bauen
• KI-Entwicklung: Testgetriebenes Prompt Engineering mit promptfoo
• Wie Sie mit Datawrapper kostenlos Daten visualisieren
• Den eigenen Standortverlauf aufzeichnen und anzeigen – ohne Google
• Screenrecorder im Test: Camtasia 2024 im Abo mit KI-Transkription
• Videokonverter: FFmpeg mit Hardwarebeschleunigung installieren und nutzen
• Ansible für Windows: Wie Sie Control Node einrichten

Im Gegensatz zu Fail2ban sind bei CrowdSec die Entscheidungen, welche Clients geblockt werden, nicht nur lokal verfügbar, sondern lassen sich über mehrere Systeme teilen. Und das nicht nur in einem lokalen Cluster, sondern mit der ganzen CrowdSec-Community.

iX-tract

• CrowdSec ist eine moderne Open-Source-Software zum Schutz vor Cyberbedrohungen, die anhand von Logdateien böswillige IP-Adressen erkennen und blockieren kann.
• Anders als traditionelle Tools wie Fail2ban ist CrowdSec darauf ausgelegt, im Verbund zu arbeiten und die erkannten Bedrohungen über mehrere Systeme hinweg zu teilen.
• Dank vorgefertigter Parser und Szenarios lässt sich die Software leicht in bestehende Systeme wie nginx oder OpenSSH integrieren.

Lukas Grimm

Lukas Grimm ist Lead Systems Architect bei Puzzle ITC, verantwortet die interne IT-Infrastruktur, treibt die strategische Entwicklung voran, leitet Ansible-Schulungen und interessiert sich für Observability.

Reto Kupferschmid

Reto Kupferschmid arbeitet als Systems Architect bei Puzzle ITC Schweiz und beschäftigt sich hauptsächlich mit Ansible Automatisierung und Observability-Themen run um Prometheus.

Hier muss man sich allerdings Gedanken zum Datenschutz machen, denn die dazu erforderliche CrowdSec Central API ist per Default aktiv: CrowdSec teilt die angreifende IP, einen Zeitstempel und die Art der festgestellten Attacke mit der Community. Nutzer sollten dies bedenken und überlegen, ob sie die CrowdSec Central API im eigenen Set-up besser deaktivieren.

Das war die Leseprobe unseres heise-Plus-Artikels "Intrusion Prevention: Böswillige IP-Adressen sperren mit CrowdSec". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.