Dans un précédent article, Benoît Benedetti présentait le logiciel CrowdSec [1] et montrait comment s’en servir pour détecter et bloquer des attaques. Dans cet article, nous allons nous intéresser à un cas d’usage plus spécifique. Il s’agit ainsi d’utiliser l’écosystème proposé par CrowdSec pour améliorer la sécurité d’un site web de type WordPress contre des attaques à la fois ciblées et opportunistes. Cela s’articulera autour de la détection des attaques et de la notification de ces attaques. Pour finir, nous proposerons deux remédiations différentes contre ces attaques.
1. Introduction
CrowdSec est une solution logicielle libre pour détecter les attaques en lisant les journaux générés par les différents services exposés d’une machine. Chaque détection peut s’accompagner d’une remédiation spécifique à l’attaque. Dans l’écosystème CrowdSec, l’agent crowdsec est chargé des détections en ingérant différentes sources de journaux (fichier, journald, Docker ou autres). Les fichiers journaux (logs) sont normalisés par des parsers puis traités par des scénarios. Ces scénarios expriment dans quelles conditions une alerte doit être levée. L’installation des parsers et des scénarios est à la charge de l’utilisateur, même si un outil est fourni pour l’aider. Ces parsers et scénarios sont proposés au travers du hub (https://hub.crowdsec.net). En général, il faut installer un parser pour un type de log produit par un service, tandis qu’un scénario correspond à un type de menace particulière. Par exemple, il...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première