CrowdSec débarque sur OPNsense

par Korben -

– Article en partenariat avec CrowdSec –

Par le passé, je vous ai présenté la solution de sécurité open source CrowdSec qui une fois mise en place sur vos serveurs, permet de détecter et bloquer les adresses IP à risque en partageant l’information entre tous ses utilisateurs. C’est donc à la fois un outil de défense réactif, mais proactif.

Comme CrowdSec fonctionne avec un système de plugins, il s’enrichit chaque semaine, proposant de nouvelles méthodes de détection comme on l’a vu avec Log4j ces dernières semaines, et également l’intégration dans de nouveaux outils comme Wordpress.

Le dernier ajout de CrowdSec concerne OPNsense.

Si vous ne connaissez pas OPNsense, il s’agit d’une distribution FreeBSD conçue pour la sécurité, hyper rapide à mettre en place et proposant un firewall et un logiciel de routage afin de sécuriser un réseau. On peut le comparer à pfsense dont il est issu.

![](https://korben.info/app/uploads/2022/02/TzIQV1Lx4xYG01lTu8CoEjb1rMeHEjtD.webp)
C'est donc très utilisé par les entreprises et cette arrivée de CrowdSec sur OPNsense est une excellente nouvelle.

Encore en développement, ce portage open source permet de mettre en place des règles au niveau du firewall d’OPNsense, en se reposant sur les listes de blocage mutualisées de CrowdSec.

Pour le moment, on ne peut pas faire grand-chose avec CrowdSec via l’interface d’OPNsense mis à part paramétrer les règles du firewall.

![](https://korben.info/app/uploads/2022/02/edhU6XZYKB06HzYYlnXmyk5HEivACpJi.webp)
*Liste de règles OPNsense*
Par contre, en accédant via SSH à votre serveur OPNsense, vous pouvez utiliser l'interface en ligne de commande de CrowdSec (cscli) pour utiliser la solution de sécurité à son maximum et ainsi profiter de toute la puissance de CrowdSec et de sa communauté sur votre machine OPNsense.

Pour installer le plugin CrowdSec sur OPNsense, vous devez d’abord activer le serveur SSH sur OPNsense.

On va donc activer ça mais avant, il faut créer une clé SSH. Pour ce faire, ouvrez un terminal en local sur votre machine puis entrez la commande suivante :

ssh-keygen -t rsa

Répondez aux questions et vous aurez alors un jeu de clés publique / privée SSH. Il faut maintenant envoyer la clé publique à OPNsense pour autoriser la connexion.

Affichez votre clé avec la commande cat :

cat id_rsa.pub

Puis dans OPNsense, rendez-vous dans System > Access > Users. Éditez alors l’utilisateur auquel vous voulez associer la clé. En ce qui me concerne, j’ai ajouté un utilisateur “korben” que j’ai mis dans le groupe admin. N’oubliez pas de lui configurer un shell également (/bin/sh par exemple).

Ensuite au niveau du champ “Authorized keys”, collez la clé publique :

![](https://korben.info/app/uploads/2022/02/uRK1eJU8vWtc3OSsTtj6Ti0efbEGcClF.webp)
Ensuite, on va activer SSH. Pour ce faire, rendez-vous dans le menu **System > Settings > Administration** d'OPNsense et sous la section "Secure Shell", cochez "Enable Secure Shell".
![](https://korben.info/app/uploads/2022/02/kShEUowtVitTT2uFuhiFbqof3yGBnGVy.webp)
Et voilà. Maintenant on peut accéder en SSH à notre serveur OPNsense en utilisant la clé SSH comme ceci :
ssh -i NOMCLEPRIVEE [email protected]

Ensuite, il faut télécharger le plugin CrowdSec et le décompresser. Vous aurez alors 3 fichiers en .txz. Vous pouvez alors les transférer vers OPNsense avec la commande scp comme ceci :

scp -i opnsense opnsense_22.1-freebsd_13-oscrowdsec_0.0.5/* [email protected]:~/

Pour installer les packages sur OPNsense, vous devez être root.

su -

Ensuite il va falloir le faire dans cet ordre :

pkg add ./crowdsec-1.3.0.txz
pkg add ./crowdsec-firewall-bouncer-0.0.22_2.txz
pkg add ./os-crowdsec-0.0.5.txz
![](https://korben.info/app/uploads/2022/02/2nd5iuJoaJR24lTEuohgXhH3yTw1Rgad.webp)
Le plugin sera alors disponible dans l'interface admin d'OPNsense.

À vous d’activer l’agent et le bouncer Firewall si vous comptez l’utiliser.

![](https://korben.info/app/uploads/2022/02/7OYWa0DqtZJX7bCBKZ8Qs8PY4CEoSF1F.webp)
Je vous invite à lire [la documentation technique à ce sujet](https://github.com/crowdsecurity/opnsense-plugin-crowdsec/).
![](https://korben.info/app/uploads/2022/02/5yXuK2rlE5S9AkpRRXSjkAUCfT2y6uTn.webp)
Édition d'une règle de blocage utilisant les listes CrowdSec
Comme je vous le disais, il n'y a pas grand-chose côté interface OPNsense. Mais en ligne de commande, connecté en SSH, vous avez accès sans souci à l'outil cscli pour pouvoir créer vos bouncers et gérer vos scénarios. [Je vous ai d'ailleurs déjà tout expliqué ici](https://korben.info/articles/crowdsec-introduction-a-lapi-local).

Très content de voir que CrowdSec continue d’innover et de proposer des implémentations avec des outils très utilisés par la communauté afin de répondre de manière adaptée et participative à tous types d’attaques.

Sachez également que les équipes de CrowdSec recherchent des testeurs pour la version alpha de leur agent Windows. Si ça vous dit de participer, vous pouvez rejoindre leur Discord ici. Toute la doc pour démarrer avec l’alpha testing de l’agent Windows CrowdSec se trouve également ici.

Que faire après le bac quand on est passionné de cybersécurité ?
Contenu partenaire
Logo de l'école de Cybersécurité Guardia
Tracking Matomo Guardia

Entièrement dédiée à la cybersécurité, l'école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l'école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).

Cliquez ici pour en savoir plus