CrowdSec 1.1.x est disponible et sa nouvelle console est magnifique

Le 13 septembre 2021 par Korben -

– Article en partenariat avec Crowdsec –

À plusieurs reprises, j’ai évoqué la solution de sécurité Crowdsec, qui une fois déployée sur votre serveur est capable de détecter et bloquer les adresses IP dangereuses en mutualisant l’information entre tous les utilisateurs de CrowdSec.

Depuis la dernière fois, l’outil a bien évolué et une nouvelle version est disponible. Je vous propose qu’on découvre ça ensemble.

Tout d’abord, concernant la collecte des données concernant d’éventuels attaquants, CrowdSec 1.1.x sait dorénavant intégrer les données en provenance d’Amazon Cloudwatch.

CrowdSec peut également se comporter comme un serveur syslog, si vous le souhaitez. Cela vous permettra d’y ajouter de la donnée en provenance de nombreuses sources qui vous sont propres.

Enfin, CrowdSec a totalement revu son système de paquets. Ils utilisent AWS CodeBuild et CodePipeline pour tester les paquets générés sur de nombreux OS et architectures matérielles.

Au-delà de ça, CrowdSec propose maintenant ses paquets via PackageCloud. Cela leur permet de distribuer encore plus de paquets, aussi bien, pour Debian et Ubuntu comme les releases Bionic, Bullseye, Buster, Focal, Stretch, Focal pour x86-64 et ARM que pour Red HAt Enterprise Linux, CentOS, Amazon Linux (el/7, el/8, fc/33, fc/34, Amazon Linux/2 pour x86-64 et ARM).

![](https://korben.info/app/uploads/2021/09/rkPv1qAnJvtvTLTlNclsIKwDUKSeZ1XP.webp)

Cela va vous permettre de deployer CrowdSec et ses bouncers sur beaucoup plus d'infrastructures de natures différentes que précédemment. Bref une meilleure compatibilité pour toujours plus de sécurité.

Si CrowdSec vous intéresse, il y a toujours mon tuto, mais celui-ci portait sur une précédente version. Je vous recommande donc de suivre celui-ci qui vous expliquera tout sur comment configurer CrowdSec, tester ses capacités de détection, mettre en place un bouncer qui corresponde à vos outils, suivre le monitoring et bien sûr un aperçu de la nouvelle console.

Concernant la nouvelle console justement, CrowdSec propose maintenant une console web absolument magnifique. Pour l’utiliser, il faut d’abord vous assurer d’avoir la dernière version de CrowdSec sur votre serveur.

J’ai dû désinstaller l’ancienne version avec la commande suivante :

./wizard.sh --uninstall

Puis réinstaller la nouvelle version comme ceci, en ajoutant les fameux dépôts et en installant le paquet CrowdSec. C’est quand même beaucoup plus pratique.

curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash

Ensuite, rendez-vous sur ce site pour créer un compte afin d’accéder à la console.

Un ID vous sera alors communiqué, permettant d’associer la console web avec votre serveur sous CrowdSec. Lancez la commande suivante sur votre serveur avec l’ID qui vous est donné :

![](https://korben.info/app/uploads/2021/09/e43AKpqFCa2qpHuLQsJl9srdNpBephod.webp)

``` cscli console enroll IDDONNEPARCROWDSEC ```

Et voilà, votre console web va commencer à se remplir avec les données de votre serveur.

Franchement, je suis super bluffé par cette nouvelle console puisque directement depuis le navigateur, il est possible de consulter le détail de ce qui est en place sur le serveur comme les agents, les scénarios, les bouncers…etc. On est même redirigé vers le hub qui permet d’en installer de nouveaux.

![](https://korben.info/app/uploads/2021/09/yXXxaFqQ1g1EKIdRP1nEb43EwecYVaDG.webp)

Mais surtout, la console web donne accès à l'ensemble des alertes relevées sur votre serveur.

![](https://korben.info/app/uploads/2021/09/6IkFpyxv2bXjv0s1PlN4SroKr0P6iidc-981x1024.webp)

Alertes que vous pouvez exporter en CSV très simplement ou filtrer par scénario, période, IP...etc.

![](https://korben.info/app/uploads/2021/09/ijAAcnLnhEzuZawvFvfp1hiXw59tjchw.webp)

Ainsi vous pouvez combiner plusieurs de ces filtres pour partir à la recherche de signaux précis. C'est à dire isoler par exemple une période précise, un type de scénario d'attaque, le pays de provenance de l'attaque, la machine ciblée...etc. C'est hyper visuel et ça permet de mieux comprendre comment telle ou telle attaque a été menée.

![](https://korben.info/app/uploads/2021/09/jPRjmCHZrHC7y33uNCEUeMBpNPzU1nbW.webp)

Il y a également des statistiques qui permettent de faire ressortir les "attaquants stars" ou les pays qui s'en prennent le plus à votre serveur (ou en tout cas qui essayent le plus).

![](https://korben.info/app/uploads/2021/09/U2eLWRdLGN1rbXc3HqWZKvOvKlq8RGF5.webp)

J'utilisais très peu la console dans le terminal, car cela nécessitait un peu plus de travail pour filtrer l'information et je sais que certains utilisateurs de CrowdSec intégraient directement ces données dans leurs tableaux de bord dédiés. Mais là, **avec la nouvelle console c'est royal** puisqu'on peut tout consulter en quelques clics, de manière visuelle. Ça fait gagner beaucoup de temps et c'est beaucoup plus agréable.

Ça permet de mieux comprendre ce qui se passe et éventuellement faire évoluer vos scénarios ou vos bouncers pour sécuriser encore mieux vos serveurs. Et si vous voulez plus de détails techniques, je vous invite à consulter la documentation.

Bref, je vous invite vraiment à la tester.

Que faire après le bac quand on est passionné de cybersécurité ?

Contenu partenaire

Entièrement dédiée à la cybersécurité, l'école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l'école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).

Cliquez ici pour en savoir plus