CROWDSEC vs. Fail2Ban - Crowdsec basics explained simply.

Рет қаралды 22,936

Күн бұрын

Пікірлер: 85

@zinita7715 Жыл бұрын

Das Thema in Verbindung mit nginx Reverse Proxy und Diensten wie Nextcloud, Bitwarden oder ähnlichem wäre sehr cool, auch die Integration in opnsense ist richtig interessant.

@speedbox67 Жыл бұрын

Hallo Dennis, erstmal großes Lob du wirst wirklich immer besser. Gestern das Video super spannend und heute auch schon wieder ein tolles Thema. Danke dafür. Und mich würde CROWDSEC mit OPNsense interessieren.

@Kinaira_ Жыл бұрын

Für mich wäre ja Nginx Proxy Manager ein wichtiges Thema. Und das blocken via Firewall wäre noch interessant.

@cyberopal97 Жыл бұрын

Vielen dank für die Erklärung warte auf die weiteren Videos !

@RaspberryPiCloud Жыл бұрын

Sehr gerne!

@michi3aser Жыл бұрын

Spannendes Thema, ich würde mich sehr über die integration in pfSense freuen

@FlorianPuschmann Жыл бұрын

Integration in Treafik mit vorgeschaltetem Cloudflare. Super Video!

@maikhill1379 Жыл бұрын

Hey Dennis, sehr interessantes Video. Mich würde das interessieren für Bitwarden und Nextcloud. Schönen Abend noch.

@nojuhd5029 Жыл бұрын

Bouncer zum blocken via Firewalls (Pfsense) waer super spannend

@heikedirkmartick-vitaltref8664 Жыл бұрын

Hey Dennis, sehr interessantes Video. Integration in Opensense wäre super. Danke

@5Komma5 Жыл бұрын

Hört sich nach einer Lösung für alle an die sich keine Gedanken machen wollen ab wann man eine IP blocken soll oder wie man selbst Regeln schriebt. Gute Lösung für Ubuntu Admins 😁 Danke ich bleibe bei Fail2Ban. Das ist lokal und funktioniert ohne das Cloud Zeugs.

@friedrichschnittger5052 Жыл бұрын

Sehr spannend und mich interessiert opnsense

@TradersTradingEdge Жыл бұрын

Cool erklärt, schankedöön!

@ulfknulf1576 Жыл бұрын

Mich interessiert die Absicherung meines Proxmox Server mit den klassischen LXC Anwendungen Vaultwarden, ngnix proxy manager, … wie sichere ich den Server im ganzen und speziell Anwendungen. Danke

@XV1100 Жыл бұрын

Hallo Dennis, bitte mit in Einbindung OPNsense. Danke!

@justingraeflich Жыл бұрын

Cloudflare Anbindung wäre echt interessant.

@petrickbader9284 Жыл бұрын

Mich würde brennend interessieren wie man das in seiner OPNsense einbindet.

@florianengl3133 Жыл бұрын

Erst einmal wieder großes Lob für dieses Video! Wieder sehr gut und einfach erklärt Vielen Dank! Interessieren würde mich in jedem Fall die Integration in der Pfsense und auch in den HAProxy der in der Pfsense mit läuft.

@BlackICE1973 Жыл бұрын

crowdsec mit Mikrotik integrieren wäre interessant. Derzeit verwende ich fail2ban mit einem eigenen script der in der vorgeschalteten Mikrotikfirewallrouter die IPs blockiert.

@RaspberryPiCloud Жыл бұрын

Ja bei Mikrotik muss man den Crowdsec Mirror installieren

@apollo3141 Жыл бұрын

Ich habe zwei Dinge, die mir aufgefallen sind: 1. Soweit ich weiß gibt es das klassische "iptables" doch gar nicht mehr und arbeitet intern doch sowieso schon mit nftables. Ist das also als Fallback für ältere Systeme gedacht? 2. Der iptables-bouncer blockt alle Ports soweit ich das sehe aber wäre es bei einem Szenario, wo ich z.B. ssh Server und webserver habe nicht praktisch, wenn bei einer IP nur der ssh Port gedropt werden würde (ja geringere Sicherheit aber falls auf dem http/https Port auch etwas versucht wird könnte ja dieser ebenfalls geblockt werden). Ich denke halt für produktivsysteme wäre es schlecht, wenn jemand sein ssh passwort vergisst er auch die Webseite im Browser nicht mehr erreichen könnte. Ist vermutlich auch konfigurierbar. Ich finde deine Videos auf jeden Fall sehr interessant und auch sehr Informativ. Ich arbeite selbst lange Jahre als sysadmin und kann bei dir auch noch neue Dinge lernen.

@sebastiang7394 Жыл бұрын

Die einfachste Lösung ist einfach eine kurze Banzeit. 10 Minuten reichen meiner Erfahrung nach völlig. Wer sich dann halt 10 mal falsch per SSH anmeldet, muss eben 10 Minuten warten um sich im Webinterface anzumelden.

@mucsav1977 Жыл бұрын

Super video. Am besten die Lösung mit Proxmox, nginx Proxy Manager, OPNSense,(mit Crowdsec),Proxmox Mailgateway und ein Mail Server. Diese Kombi wäre für mich sehr interessant. Danke für deine Videos 👍🏻 . Gibt es eine Lösung bei der Hetzner DNS wie bei Cloudflare mit Crowdsec?

@RamaOlama Жыл бұрын

Opnsense

@derfisch22 Жыл бұрын

Sehr insteressant, Danke ;)

@Meddten Жыл бұрын

So wie das in der Liste sah gibts Custom Bouncer. Da könnte man sich wohl selbst einen Bouncer programmieren der mit der Hetzner API entsprechende Hetzner Cloud Firewall Einträge erstellt.

@marphde8242 Жыл бұрын

Super Video, interessant wäre wie ich Dockercontainer die auf dem Proxmox Server laufen mit Crowdsec überwachen könnte .

@JamesBond-ub7xx Жыл бұрын

Servus Dennis, super Video, freue mich auf den nächsten Teil. Für mich wäre es noch interessant, wie man z. B. folgende Server absichert: Yourls, Bookstack und Linux Webtop - das habe ich in fail2ban nicht geschafft, vielleicht gibt es bei Crowdsec Möglichkeiten dazu? Alle 3 laufen bei mir auch über meinen Nginx Proxy Manager, vielleicht kann man da ja was über den machen, Zentral quasi...

@brunosolothurnmann9205 Жыл бұрын

Danke - ich habe Zenarmor mit Zenconsole (die freie Version) auf pfSense installiert. Kannst Du sagen ob das auch in diese Richtung von Crowdsec geht?

@Virsacer Жыл бұрын

Ich mags nicht, wenn mir igendwas meine iptables ändert... "ip route add blackhole " geht das auch?

@RaspberryPiCloud Жыл бұрын

Tendenziell geht das auch, aber Crowdsec hat ja auch noch andere Bouncers, evtl. sind die ja was für dich.

@Musty71 6 ай бұрын

Hallo Denis, kann man CrowdSec lokal und als Docker Installieren? VG Musty

@andreaslink6682 Жыл бұрын

Mich würde auch die genauere Integration in OPNsense interessieren. Das Paket hatte ich schonmal angeklickt, aber noch noch nicht weiter damit befasst und konfiguriert.

@SuishoShizuku714 Жыл бұрын

Was ich noch nicht ganz verstanden habe ist, sperrt Crowdsec auch IPs(direkt lokal), wenn diese z.B. 5 fehlgeschlagene Anmeldeversuche getätigt haben? Bei fail2ban kann ich bei den jails ja einen threshold einstellen - z.B. 5 fehlerhafte Anmeldungen innerhalb 30 min bei SSH -> dann block IP für 3 Stunden Oder werden nur die "bösen" IPs gemeldet und die gesamte Liste dann blockiert?

@RaspberryPiCloud Жыл бұрын

Auch das kannst du genau so bei Crowdsec einstellen.

@chibiichen Жыл бұрын

Hey. Besteht die Möglichkeit ein Video mit Crowdsec zu den Thema Vaultwarden machen? Würde zu den anderen Videos in Vergangenheit passen.

@profken1 Жыл бұрын

Moin Dennis, wieder ein sehr geiles Video von dir. 👍👍 Mich würde der Bouncer für WP und FW interessieren. 😉

@TogysAk 10 ай бұрын

14:29 ich dachte bei mir klingelt es

@witalis3920 Жыл бұрын

Nginx Reverse Proxy wäre sehr wichtig.

@tarakivu8861 Жыл бұрын

Datenschutz ist das eine. Aber durch den externen Dienst macht man sich dann ja auch abhängig..

@Sven_- Жыл бұрын

PHP + Nginx proxy Manager 👍🏼

@Felix-ve9hs Жыл бұрын

Mich würde interessieren, wie gut Crowdsec auf einem Tor Relay läuft (wegen SSH Brute force logins).

@NiklasDroste Жыл бұрын

Coole Sache! Integration in nginx-Setups wäre super zu sehen :)

@MrBlackPears Жыл бұрын

Hallo Dennis, tolles Video. Du hast es sehr gut erklärt. Bzgl Integration würde mich interessieren ob es möglich wäre CrowdSec in Plesk, Nextcloud, SoGo Webmail, Poistfix und Dovecot zu integrieren. ^^

@RaspberryPiCloud Жыл бұрын

Ja alles möglich.

@Th3H4cK3r Жыл бұрын

Moin Dennis, top Video! Mich würde die Integration in pfSense, Mailcow und Traefik interessieren.

@RaspberryPiCloud Жыл бұрын

Ja, scheinbar wollen viele pfsense und/oder opnsense sehen

@borsig4379 10 ай бұрын

Kann ich dat auf verschiedenen VMs installieren mit der Free version?

@RaspberryPiCloud 10 ай бұрын

Ja kannst du!

@ericziegler25081989 Жыл бұрын

Hallo Dennis, Cool wäre noch eine Anleitung Mailcow mit Crowdsec absichern.

@7quit03 Жыл бұрын

Ich würde mich sehr für die Cloudflare Applikation interessieren. ❤ Funktioniert das auch ohne den Cloudflare Proxy? Also ich nutze Cloudflare für meine Domains, die auf meine Server geleitet werden (DNS), nur ohne den Cloudflare Proxy Schutz. Außerdem verwende ich auch die Cloudflare DNS-Server für meinen Server. Wenn eine IP wegen Apache2 Attack oder so gesperrt wird, wird er dann auch per SSH gebannt? - Falls ja, wäre es denke ich mal doof.

@erf-gg3974 Жыл бұрын

Hallo Dennis, spannend Pfsense würde mich sehr interessieren!

@mseewer Жыл бұрын

Nginx Proxy Manager, Bitwarden, Nextcloud und Unifi Firewall wenn es den sowas gibt

@dorni8040 Жыл бұрын

Mega! Mich würde OPNsense Bouncer und NPM oder Nextcloud interessieren.

@RaspberryPiCloud Жыл бұрын

Okay..

@jawa500bb8 Жыл бұрын

mir wäre im ersten Schritt die Firewall Lösung auch die wichtigere

@geraldh.8047 Жыл бұрын

Super Lösung. Wenn ich sagen wir mal 5 oder 50 Server habe und in deren logs fake-SSD-login Versuche injecte, dann dürfte es möglich sein IPs die eigentlich gar keine Angriffe durchführen auf die öffentliche Bannliste zu setzen. Das wird ein Spaß.

@jochenrupp4881 Жыл бұрын

So sieht das aus! Oder ich spoofe fremde IPs, die dann munter in weltweiten Blocklisten landen. So kann ich natürlich auch die Konkurrenz lahm legen oder jemand DoSen. Oder sorgt CrowdSec da irgendwie vor?

@MichaelKliewe Жыл бұрын

Dagegen schützt sich crowdsec, hab ich gelesen in deren Doku. Beispielsweise müsstest du deine 50 Server in unterschiedliche AS packen. Außerdem fällt es auf wenn deine 50 Server "böse IPs" sehen, die nirgends sonst auftauchen. Dann merken die, dass deine 50 Server zusammengehören und manipuliert sind. Es gibt eine Art "Reputation". Schau Mal in der Doku, da stehen Antworten auf deine Bedenken.

@OfficialChiller Жыл бұрын

CROWDSEC mit OPNsense aber auch mit PHP

@geroringsdorf5638 8 ай бұрын

Nextcloud und Wordpress denke ich wäre eine gute Option, beides sehr weit verbreitet.

@Niko-hz9ct Жыл бұрын

Super! Ich bin Linux Wiedereinsteiger und mich interessiert alles von Crowdsec.

@DJAlucard2007 Жыл бұрын

Pfsense wäre geil😊

@lyth1um Жыл бұрын

wegen dem "datenschutz"" stell mir gerade den hacker vor wie er ne dsgvo abmahnung an den server betreiber schickt. hat er ja nicht zugestimmt zur datenverarbeitung seinerseits. hat ja das cookie banner gefällt. xD

@DieterFrueh-cp1go Жыл бұрын

Gaaanz normal

@remoschramm Жыл бұрын

pfSense, pfSense, pfSense!!! achso hab ich schon pfSense gesagt??

@renekuhl7934 Жыл бұрын

Mikrotik Integration natürlich ;)

@RaspberryPiCloud Жыл бұрын

Das geht leider nicht direkt, sondern nur über den Crowdsec Mirror und dann Einbindung über die IP Listen.

@renekuhl7934 Жыл бұрын

@@RaspberryPiCloud danke für die schnelle antwort.

@MatzeMaulwurf Жыл бұрын

Attack Mich nie wieder from the side!

@kriffos Жыл бұрын

Ich kann die Loblieder auf Fail2ban nicht nachvollziehen, vielmehr halte ich ich den Namen für Programm. Fail und das by Design. Anhand von Logs Aktionen wie das Sperren auszulösen ist einfach fundamental falsch. CrowdSec übernimmt die Schwäche und fügt noch Cloud hinzu, was kann da schon schiefgehen.

@RaspberryPiCloud Жыл бұрын

Und anhand von was würdest du entscheiden was ein Angreifer oder fehlgeleitete Zugriffe sind? Luft und Liebe ?

@maLvana Жыл бұрын

Was wäre denn eine sinnvolle Alternative?

@kriffos Жыл бұрын

@@RaspberryPiCloud Direkt an der Quelle. Dafür gibt es z.B. für SSH das PAM-Modul tally bzw. tally2. Sonst soll das halt der jeweilige Authentifizierungsdienst tun. So mache ich das auf meinen Servern und bin damit bisher gut gefahren. Dagegen hat mich letztens Mailcow ausgesperrt, weil meine Tochter zu oft das falsche Passwort eingegeben hat und bumms kommt man nicht mal mehr mit SSH drauf. Tolle Sache. Und doch lässt sich das heute lächerlich leicht umgehen, ab über Nordvpn & Co und das Problem ist erledigt. Damit schafft man halt keine Sicherheit mehr, die Zeiten sind längst vorbei.

@RamaOlama Жыл бұрын

Irgendwoher muss fail2ban & crowdsec die ip's/zugriffe herbekommen... Wie soll das anders gehen? Bei sowas wie opnsense/pfsense/andere firewalls kann mann das natürlich direkt lowlevel machen mit plugins oder regeln die loggen... Aber damit sieht mann halt nur die Zugriffe/connections, die Firewall hat doch keine Ahnung ob sich der user erfolgreich authentifiziert hat (php/nginx/etc), oder grade versucht ssh Zugriff zu bekommen, und so weiter... Das muss halt anhand der logs von den jeweiligen Applikationen geschehen. Deswegen, wie soll das denn anders gehen? Sone Sophos enterprise firewall die du davor schaltest, gleicht einfach nur datenbanken von Sophos oder Cisco/Barracuda Networks etc ab... Macht dann auch nur IDS/IPS, aber kann halt nicht unterscheiden ob sich jemand in deiner app erfolgreich einloggt oder sich langsam durch bruteforced... Langsam, weil schnell bruteforcen, macht fast niemand mehr, die Chinesen haben gelernt das die dann geblockt werden 😂 Ich sehe z.b. auf meinem Mailserver wie sich da paar IP Adressen versuchen alle 5 Minuten non-stop 24/7 einzuloggen 😂 Sowas filtert auch die beste Firewall nicht, weil die halt nur alle 5min tcp packete sieht auf port 465. Das könnte halt alles mögliche sein. Und IDS ist auch noch nicht so non-plus-ultra das die erkennt das es nur fehlgeschlagene logins sind. Vor allen nicht bei SSL Verbindungen. LG

@RamaOlama Жыл бұрын

@@kriffos ja aber genau darum geht's doch. Bei dir bist dann nur über ssh geblockt bei mehreren falschen Versuchen. Was macht telly anders? Das tally pam modul greift auch nur die logins ab und loggt die irgendwohin. Ist für mich das gleiche wie ein Fail2Ban der nen tail macht. Performance technisch macht das kein Unterschied, sicherheitstechnisch auch nicht. Manche Leute wollen halt crowdsec damit einfach alles abgeblockt wird von der ip. Und deine vpn Lösung hilft bei bruteforce auch nur bedingt. Die vpn betreiber haben keine unendliche ip range und 99% der Angriffe kommen immernoch aus den gleichen Netzen. Ich sehe da halt eben keinen Vorteil, basically was ich bei dir rauslese ist: Aja die hacker können ips ändern mit VPN, da brauchen wir uns dann gar nicht mehr zu schützen 🤷