Wie wir bereits gelernt haben, ist Corwdsec ein sehr cooles und zeitgemäßes Tool um unerwünschte Zugriffe von außen zu blockieren. Um diese Blockierungen auch zu gewährleisten brauchen wir eine Liste an IP-Adressen welche blockiert werden sollen. Allerdings nicht alle Systeme können direkt mit Crowdsec sprechen, sondern können nur IP Listen lesen. Mit dem Tool „Blocklist mirror“ stellt und CS genau diese Funktion zur Verfügung.

Auf diese Liste kann dann beispielsweise direkt via HTTP zugegriffen werden und in entsprechende Scheduler aufgenommen werden.

WireGuard im Einsatz
WireGuard im Einsatz
Bei Amazon ansehen

Installation von Crowdsec Blocklist Mirror

Hast du schon irgendwo den Crowdsec Dienst laufen? Wenn ja, dann kannst du den ersten Schritt für die Installation von Crowdsec überspringen, denn dieser Mirror Dienst muss sich an der Local API von CS bedienen.

Installation von Crowdsec findet du hier…

Dann installierst du auf deinem Wunschsystem oder vielleicht sogar auf dem selben System den CS Blocklist mirror Dienst.

apt install crowdsec-blocklist-mirror

Einstellungen vornehmen

Bevor du den Mirror Dienst startest muss du den Zugriff auf die API einrichten. Öffne die „crowdsec-blocklist-mirror.yaml“ Datei und editiere den Part bei lapi_key und lapi_url. Wenn dein Crowdsec Dienst auf einem anderen Server läuft, dann füge bei lapi_url dort bitte die IP / Hostname des Dienstes hinzu. Wenn der Dienst auf dem selben Server läuft, kannst du das bei den Standardeinstellungen belassen.

2. Ganz wichtige Sache ist die listen_uri zu ändern. Als Defaultwert steht dieser auf 127.0.0.1:41412, damit kann man dann leider nur Lokal auf diese Liste zugreifen, das wollen wir aber nicht. Ändere das auf die IP von deinem Lokalen Server z.b. 192.168.10.210:41421.

nano /etc/crowdsec/bouncers/crowdsec-blocklist-mirror.yaml
config_version: v1.0
crowdsec_config:
  lapi_key: ${API_KEY}
  lapi_url: http://127.0.0.1:8080/
  update_frequency: 10s
  include_scenarios_containing: []
  exclude_scenarios_containing: []
  only_include_decisions_from: []
  insecure_skip_verify: false

blocklists:
  - format: plain_text # Supported formats are either of "plain_text"
    endpoint: /security/blocklist
    authentication:
      type: none # Supported types are either of "none", "ip_based", "basic"
      user:
      password:
      trusted_ips: # IP ranges, or IPs which don't require auth to access this blocklist
        - 127.0.0.1
        - ::1

listen_uri: 192.168.10.210:41421
tls:
  cert_file:
  key_file:

metrics:
  enabled: true
  endpoint: /metrics

log_media: file
log_dir: /var/log/
log_level: info
log_max_size: 40
log_max_age: 30
log_max_backups: 3
enable_access_logs: true
compress_logs: true

Jetzt bist du fertig diesen Dienst zu starten.

sudo systemctl start crowdsec-blocklist-mirror
# Vorschau Produkt Bewertung Preis
1 Sharevdi Firewall Micro Appliance, 4*Intel i226 (bis zu 2.5Gbe) NICs,Intel J3710/N3710 4 Cores/4 Threads 8G DDR3 RAM 128G SSD RS232 COM AES NI Gigabit Network Kompatibel mit OPN-Sense/pf-Sense Sharevdi Firewall Micro Appliance, 4*Intel i226 (bis zu 2.5Gbe) NICs,Intel J3710/N3710 4 Cores… Aktuell keine Bewertungen 259,00 EUR Bei Amazon ansehen
2 MNBOXCONET S2 Mini PC N150 10GBE SFP+, Firewall Appliance Micro Büro Hardware, Barebone No RAM No SSD, 2xi226V 2.5Gbit LAN, USB C, TF Card Slot, Support Proxmox OPNsense, SPK/MIC MNBOXCONET S2 Mini PC N150 10GBE SFP+, Firewall Appliance Micro Büro Hardware, Barebone No RAM No… Aktuell keine Bewertungen 339,99 EUR Bei Amazon ansehen
3 1U Firewall Appliance 10GbE, PFSense, Mikrotik, OPNsense, VPN, 3th Gen Core I7 3520M, RJ16, 6 x 2.5GbE I226-V, 2 x SFP+ 82599ES 10GbE, 8G RAM, 128G SSD 1U Firewall Appliance 10GbE, PFSense, Mikrotik, OPNsense, VPN, 3th Gen Core I7 3520M, RJ16, 6 x… Aktuell keine Bewertungen 423,99 EUR Bei Amazon ansehen
4 Micro-Firewall-Gerät Intel J3710/N3700 Quad-Core-lüfterlosesMini-PC mit 4 Anschlüssen, Intel 2,5 GbE i226 Gigabit-Netzwerkkarte AES-NI, USB 3.0/HDMI/VGA, 8 GB DDR3, 128 GB SSD Micro-Firewall-Gerät Intel J3710/N3700 Quad-Core-lüfterlosesMini-PC mit 4 Anschlüssen, Intel… Aktuell keine Bewertungen 239,00 EUR Bei Amazon ansehen
5 HSIPC N2940 Quad Core Firewall Micro Appliance, Mini PC, Router with 4G RAM 64G SSD, 4 RJ45 1GBE Port AES-NI Compatible with Pfsense OPNsense HSIPC N2940 Quad Core Firewall Micro Appliance, Mini PC, Router with 4G RAM 64G SSD, 4 RJ45 1GBE… Aktuell keine Bewertungen 145,00 EUR Bei Amazon ansehen
6 Protectli Vault V1610 – 6 Ports, Micro Appliance/Mini-PC – Intel N6005, 6X 2.5G NICs, 16 GB LPDDR RAM integriert, 32 GB eMMC integriert - Kompatibel mit pfSense/OPNsense Protectli Vault V1610 – 6 Ports, Micro Appliance/Mini-PC – Intel N6005, 6X 2.5G NICs, 16 GB… Aktuell keine Bewertungen 469,00 EUR Bei Amazon ansehen
7 HSIPC N150 Firewall Micro Appliance, Mini PC, Nano Computer, Router Compatiable with Pfsense OPNsense 16G RAM 256G SSD, 4*i226-V RJ45 Console AES-NI HSIPC N150 Firewall Micro Appliance, Mini PC, Nano Computer, Router Compatiable with Pfsense… Aktuell keine Bewertungen 349,00 EUR Bei Amazon ansehen
8 ANDAQI 9 Inches Desktop Firewall Hardware Appliance, PFSense, Untangle, Mikrotik, OPNsense, VPN, Router PC, Atom D525, RJ64, 6 x 82583V 82574L, Console, VGA, 4G RAM, 32G SSD ANDAQI 9 Inches Desktop Firewall Hardware Appliance, PFSense, Untangle, Mikrotik, OPNsense, VPN… Aktuell keine Bewertungen 221,99 EUR Bei Amazon ansehen
9 Protectli Vault FW4B - 4 Port, Firewall Micro Appliance/Mini PC - Intel Quad Core, AES-NI, 8GB RAM, 120GB mSATA SSD - Compatible with pfSense/OPNsense etc Protectli Vault FW4B – 4 Port, Firewall Micro Appliance/Mini PC – Intel Quad Core, AES-NI, 8GB RAM… Aktuell keine Bewertungen 369,00 EUR Bei Amazon ansehen
10 ANDAQI Micro Firewall Appliance, Mini PC, PFSense, Mikrotik, OPNsense, VPN, Router PC, Pentium Gold 4417U, RS34, 4 x 2.5GbE I226-V LAN, HDMI, DP, SIM Slot, Type-C, 8G RAM, 64G SSD ANDAQI Micro Firewall Appliance, Mini PC, PFSense, Mikrotik, OPNsense, VPN, Router PC, Pentium Gold… Aktuell keine Bewertungen 225,99 EUR Bei Amazon ansehen

Auf die Crowdsec Blocklist Mirror zugreifen

Der Zugriff geschieht natürlich über HTTP und auf die IP von deinem Mirror Server. Filtern kannst du zusätzlich mit den Flags, aber schau hier in die Übersicht.

Diese URL kann dann z.B. bei pfSense oder OPNsense als URL Alias (IPs) hinzugefügt werden. Aber auch Sophos und Fortinet unterstützen solche Listen. 

http://192.168.10.210:41412/security/blocklist
http://192.168.10.210:41412/security/blocklist?ipv4only
http://192.168.10.210:41412/security/blocklist?ipv6only
http://192.168.10.210:41412/security/blocklist?nosort

Beispiel Ausgabe
[....]
190.120.248.143
190.120.253.197
190.120.254.129
190.120.255.6
190.121.207.183
190.121.236.10
190.123.237.28
190.123.34.126
[....]
Ansichten: 8.487