CrowdSec, ağınızı bilinen tehditlerden izlemek ve korumak için kullanılan çeşitli tehdit istihbarat türlerini kalabalık kaynaklardan toplayan açık kaynaklı bir Saldırı Önleme Sistemidir (IPS). CrowdSec’in benzersiz bir yönü, diğer CrowdSec kullanıcıları arasında paylaşılan kitle kaynaklı tehdit bilgilerinin kullanılmasıdır. Bu, CrowdSec’in yeni tehditlere hızla yanıt vermesini sağlar. CrowdSec, ağınızda CrowdSec’in yüklü olduğu herhangi bir sistemdeki kötü amaçlı etkinlikleri izleyebilir, uyarabilir ve engelleyebilir. Diğer IPS platformları, kötü amaçlı olduğu bilinen trafiği engellemek için çeşitli imzalar/kurallar kullanabilirken, CrowdSec, topluluk tarafından toplanan tehdit istihbaratını kullanarak IP adresleri için bir itibar puanı hesaplama yaklaşımını benimser. Kötü itibar puanına sahip IP adreslerinin korunan kaynaklara erişimi engellenebilir. Bu, CrowdSec’i ağınızdaki çeşitli kaynakları korumak için hızlı, verimli ve etkili hale getirir.
CrowdSec’in iki ana bölümü vardır: aracı ve fedai. Aracılar, günlük dosyalarını kötü amaçlı etkinliklere karşı izler ve belirli bilgileri CrowdSec topluluğuna bildirir. Fedai, IP adreslerinin korumalı kaynaklara erişimini engellemek için kullanılır. Fedai, OPNsense gibi bir güvenlik duvarında çalışıyorsa, tüm ağı kötü amaçlı IP adreslerinden koruyacaktır, ancak fedailer, ağınızda çalışan web sunucuları gibi bireysel hizmetleri koruyabilir. CrowdSec aracıları ve fedailer, kitle kaynaklı istihbarat bilgilerini paylaşmak ve güncellemek için daha sonra merkezi API (CAPI) ile iletişim kuran yerel API (LAPI) ile iletişim kurar. LAPI, güvenlik duvarında veya ağdaki başka bir sunucuda bulunabilir.
CrowdSec Kurulumu
os-crowdsec’i bulmak için “System > Firmware > Plugins” sayfasına gidin. CrowdSec’i yüklemek için “+” düğmesine tıklayın.
CrowdSec’i Etkinleştir
“Services > CrowdSec > Settings” sayfasına gidin ve “CrowdSec’i (IDS) Etkinleştir” ve “Güvenlik Duvarı Bouncer’ı (IPS) Etkinleştir” onay kutularını işaretleyin. Ardından CrowdSec’i etkinleştirmek için “Uygula” düğmesine tıklayın. Daha gelişmiş kullanım durumları için bazı ek ayarlar mevcuttur.
Güvenlik Duvarı Kuralları Oluşturun
Belirtildiği gibi CrowdSec, güvenlik görevlisini etkinleştirirseniz gelen kötü amaçlı IPv4/IPv6 adreslerini engellemek için otomatik olarak iki değişken güvenlik duvarı kuralı oluşturur. Bu, size bu kötü amaçlı IP adreslerine karşı ağ çapında koruma sağlar. Ancak, kötü amaçlı IP’lere giden bağlantıları engellemek için güvenlik duvarı kuralları da oluşturmak isteyebilirsiniz. Harici kötü amaçlı bağlantılar varsayılan olarak engellenir, ancak herhangi bir nedenle ağınızdaki herhangi bir kullanıcı/makine kötü amaçlı bir IP adresine istek başlatmaya çalışırsa, bağlantıyı açıkça engellemediğiniz sürece buna izin verilir.
Bunu yapmak için, “Firewall > Rules > Floating” sayfasına giderek, korumak istediğiniz LAN/VLAN arayüz(ler)i için iki kayan kural oluşturabilirsiniz. “Arayüz” seçeneğini kullanarak kuralın uygulanmasını istediğiniz arayüz(ler)i seçiniz. Kaynak adresler olarak “herhangi birini”, hedef olarak ise crowdsec_blacklists takma adını kullanabilirsiniz. Her ikisine de sahip olmak istiyorsanız, IPv4 ve IPv6 için ayrı bir kural oluşturmanız gerekecektir.
Aşağıdaki kural, CrowdSec IP engelleme listesine giden bağlantıları engeller:
Option Value
Action Block
Interface LAN (DMZ, IOT, GUEST, or other interfaces you wish to protect)
Direction in
TCP/IP Version IPv4 (or IPv6)
Protocol any
Source any
Source Port any
Destination crowdsec_blacklists (or crowdsec6_blacklists for IPv6)
Destination Port any
Description Block outgoing connections to IPs on the CrowdSec block list