Ich habe jetzt in den letzten Tagen mich mit Crowdsec hoch und runter beschäftig und bin überwältigt von den unzähligen Möglichkeiten. Egal ob ich lokal selber weiterhin alles blocken möchte oder meine Informationen mit anderen teilen will, Crowdsec hat die passende Schnittstelle.

Das Wort Schnittstelle ist hier auch richtig platziert, weil egal von wo nach wo, überall hat das Tool eine ansprechbare API um Daten abzufragen.

Ich finde es besonders nützlich die Zentrale API (CAPI) von Crowdsec anzufragen was für IPs aktuell denn ganz böse sind und diese dann in meiner Firewall zu hinterlegen und das dazu noch dynamisch.

Die Integrationsmöglichkeiten

Viele von meinen Lesern werden sicherlich einen Server im Internet haben wo einfach nur Debian oder Proxmox drauf installiert ist und fertig. Genau da setzt Crowdsec an und flanscht sich an die bestehende Infrastruktur an und block ungewollte SSH Zugriffe einfach über die IPTables. So macht es fail2ban seit über 15 Jahren schon. Natürlich gilt das nicht nur für den SSH Dienst, sondern auch vielen weiteren.

Mit dieser „normalen“ Methode werden natürlich Zugriffe geblockt die euch selber betreffen, aber eben auch Zugriffe von IP-Adressen welche bereits von anderen Benutzern der Crowdsec Community gemeldet worden sind.

Jetzt kommen aber mit Crowdsec auch weitere Besonderheiten hinzu, wie zum Beispiel die Integration direkt in einen Webserver. So wird die Verbindung nicht gleich geblockt, sondern nennen wir es mal aufgehalten. Der Zugreifende Client muss erst ein Captcha erfüllen um überhaupt auf deine Webseite zu gelangen. Somit sperrt man nicht gleich alle pauschal aus, sondern bremst die Böse nur ein wenig aus.

Direkt ein weiteres Beispiel, du hast eine WordPress Seite und möchtest diese schützen. Crowdsec gibt es auch direkt als Plugin für WordPress. Kleiner Hinweis, du musst allerdings den Crowdsec Dienst weiterhin selber betreiben, die WordPress Seite bedient sich dann dort an der API an den Daten.

Vorteile zu Fail2ban

Ich glaube der größte Vorteil liegt hier klar auf der Hand, die Dezentralisierung sorgt dafür das unbefugte Zugriffe auf eure Dienste schon bereits vorher abgeblockt werden können und das ohne das ihr selber das erst erkennen müsst. Keine Sorge, das selber erkennen von unzulässigen Zugriffen läuft jederzeit weiter, aber Ihr seit dem Angreifer einfach einen Schritt voraus.

Die unzähligen Integrationen machen einem das Leben dann auch noch deutlich einfacher. Gerade für Entwickler bietet Crowdsec hier eine sehr angenehme Umgebung.

Mikrotik Router RB5009GUG + S + IN, RB5009UG+S+IN, Mehrfarbig
Mikrotik Router RB5009GUG + S + IN, RB5009UG+S+IN, Mehrfarbig
DC-Eingangs-Stecker: Ja; Ethernet LAN (RJ-45) Anzahl der Ports: 1; Ethernet-Schnittstelle Typ: 2.5 Gigabit Ethernet
216,84 EUR
MikroTik hAP ax2 mit Quad-Core IPQ-6010 864 MHz CPU, 1 GB, W127040305 (IPQ-6010 864 MHz CPU, 1 GB RAM, 5 x Gbit LAN (1 Gbit LAN mit PoE Out), Built-in 2,4 GHz 802.11ax Dual)
MikroTik hAP ax2 mit Quad-Core IPQ-6010 864 MHz CPU, 1 GB, W127040305 (IPQ-6010 864 MHz CPU, 1 GB RAM, 5 x Gbit LAN (1 Gbit LAN mit PoE Out), Built-in 2,4 GHz 802.11ax Dual)
Natürliche Unterstützung für Ihre Ernährung; Energiebooster im Alltag; Verantwortungsvolle Inhaltsstoffe
94,80 EUR Amazon Prime

Ich selber nutzt Crowdsec so…

Ich bin leider muss ich sagen ein Crowdsec Schmarotzer, weil ich mich nur an den IP Listen bediene und diese über ein Docker Skript in meine Mikrotik Firewall über die API integriere. So werden bekannte IPs direkt geblockt und ausgesperrt, aber ich reporte keine unzulässigen Zugriffe.

Im Schnellfazit muss ich sagen, Crowdsec ist die alternative zu Fail2ban und der dezentralisierte Einsatz ist ganz klar zeitgemäßer und schützt einen schon etwas früher vor ungewollten Zugriffen.

Klare Empfehlung für Crowdsec an dieser Stelle.