Crowdsec auf der UDM PRO (SE) Installieren

Es gibt 13 Antworten in diesem Thema, welches 2.087 mal aufgerufen wurde. Der letzte Beitrag () ist von gierig.

    Guten Tag,


    Auf meinem VServer habe ich Crowdsec, quasi ein verbessertes Fail2Ban installiert. Das Tool erkennt nicht nur selber Angriffe und blockiert diese, es erhält diese IPs auch von anderen Teilnehmern im Crowdsec Netzwerk, so werden Angreifer schon vor dem Angriff blockiert. Am liebsten würde ich Crowdsec auf meiner UDM Pro SE installieren da Unifi solche Funktionen wie Aktualisierte Blocklists ja nicht unterstützt. *Es werden 2 Unterstützt, ich würde aber gerne den Community Schutz von Crowdsec einsetzten. Ich habe nur quellen gefunden die von Problemen berichten das nach der Installation u.a. das Webinterface nicht mehr erreichbar war. Das würde ich gerne vermeiden. Hat jemand eine idee wie das funktionieren könnte?

    Einmal editiert, zuletzt von Slakish ()

  • Zum Hilfreichsten Beitrag springen

    • Hilfreich

    Ich habe grade die berühmte Augenbraunen von Leonard Nimoy in seine Rolle als Spock vor meinen Augen...


    Ein paar Lose Gedanken zum Nachdenken / Diskutieren.

    (Achtung Triggerwarnung, enthält wenig Sarkasmus ist aber negativ dem Vorhaben gegenüber eingestellt)



    Firmware updates basieren auf einem Loopback image das ausgetauscht wird. ab FW 2.x bleiben dinge wie /etc und /data

    natürlich bestehen. Aber die Fertigen Pakete machen sich im System Breit. Das ist dann alles weg auch jedem Upgrade.


    Es handelt sich zwar beim Unterbau zwar ein (minimal) Debian, aber sämtlicher wichtiger kram wird vom Unifi Aufsatz

    Kontrolliert und ggf. periodisch neu ausgerollt. Da die passenden hooks in form von Logfiles oder Firewall Logs zu

    finden die dann den Bouncer Triggern könnte sagen wir mal spannend werden.


    Sehe ich das richtig das nicht alle plugins / Bouncer für aarch64 (ARM) bereitstehen ?

    Also selber (Cross)Kompilieren auf einem anderen System oder willst du etwa die ganze dev chain auch

    auf deinem Border Router installieren ?


    Was genau willst du schützen ? In der Default Configuration ist maximal das Webinterface (remote access)

    zu erreichen. Schon das wird Lustig die hooks zu finden bei falschen Login versuchen.

    Das gleiche für die VPN Server. Teilweise laufen die Log Streams direkt in ein socket

    auf den schon der Unifi Dienst sitzt und horcht.


    Sperren dann maximal über den Firewall Bouncer. Den da was in die Notes Server einzubauen wird wohl quasi

    unmöglich sein. Das gleichen für die VPN server deren Config Neugeschireben wird sobald da ein furz querhängt

    oder zu kräftig im Web frontend auf den Button drückst...(Passwort ändern für User X, zack config wird ausgerollt)


    Die Firewall könnte man sogar an Unifi vorbei konfigurieren was dann auch nicht angefasst wird

    (also nen trigger in der Input chain auf eine eigne chain). Da ist aber nicht gesagt das nicht beim nächsten Update

    iptables rausfliegt und direkt nftables genutzt wird (ist nicht mit zu rechnen, man weis es aber nicht)







    Okay dann scheint mir das tatsächlich sehr schwierig. Danke. Dann werde ich den Umweg über eine OPNSense oder Ubuntu Server machen.

    Extern ist normalerweise nichts offen wo man sich einloggen könnte. Remote Access läuft über Unifi, da bist du also raus. Auch meine Frage, was genau möchtest du schützen?

    Zitat von gierig

    Räuspre, du hast den hier vergessen damit gehts auch direkt...

    Da hast du recht, das nutze ich nur nicht da ich den Port anderweitig brauche.

    Warum denkt ihr, dass man nichts extern offen hat?
    Bei mir ist es dauerhaft 5060/SIP.

    Aber wenn man zum Beispiel eine Gameserver am Start hat, ist man extrem schnell Ziel von Hacker.

    Außerdem teste ich Webseiten/WordPress immer erst im kleinen auf einer Apache-VM. Die geht dann auch immer für einige Zeit online.

    Ja, die UDM blockt Angriffe. Aber dies sind nur die Standards. Aber was ist mit slow-Hack-Erkennung (PW-Eingaben nur alle 10-60 sec), habe ich mindestens in dem Apache-Server direkt eingebaut.

    Zitat von phino

    Warum denkt ihr, dass man nichts extern offen hat?
    Bei mir ist es dauerhaft 5060/SIP.

    Aber wenn man zum Beispiel eine Gameserver am Start hat, ist man extrem schnell Ziel von Hacker.

    Außerdem teste ich Webseiten/WordPress immer erst im kleinen auf einer Apache-VM. Die geht dann auch immer für einige Zeit online.

    Ja, die UDM blockt Angriffe. Aber dies sind nur die Standards. Aber was ist mit slow-Hack-Erkennung (PW-Eingaben nur alle 10-60 sec), habe ich mindestens in dem Apache-Server direkt eingebaut.

    Das ist ja klar, alles was du selber auf machst ist dann offen. Aber darum ging es ja nicht. Bei mir läuft alles über den NGINX mit Fail2ban und 5060 ist bei mir auf das Netz des Anbieters beschränkt. Schon ist Ruhe im Karton. Aber hier ging es ja explizit um die UDM und den Login dort.

    Zitat von phino

    Für mich liest es sich so, dass er Dienste, die er anbietet, absichern will.

    Auf dem Rechner wo der Dienst läuft gerne aber nicht auf einem Gateway das nicht mit dem Dienst zu tun hat.


    Das fail2ban auf speed Zeugs ist ja kein Remote Scanner der sich mit dem Ziel Server verbindet

    um dort die Logfiles zu Parsen nach ungültigen Login Versuchen (oder anderen dinge) um dann Aktionen

    auszuführen wie ne IP in die Firewall hinzuzufügen für 3 Stunden, oder das Zwangscapatcha einzuschalten

    nach jedem 4 Click..

    .Selbst wenn remote dann wohl eher auf der Dienst server / extra host der dann ggf auf der gateway die

    passende ACL triggert wenns sein mus...

    Zitat von gierig

    Auf dem Rechner wo der Dienst läuft gerne aber nicht auf einem Gateway das nicht mit dem Dienst zu tun hat.

    Also genau solch ein Schutz gehört auf die Firewall, die für die Weiterleitung von Zugriffe von außen zuständig ist. Somit werden die Pakete gar nicht erst ins Netz gelassen.

    Dass die UDM und Co. nur Gateway ist führt ja dazu, dass hier einige PiHole und/oder OPNsense einsetzen.

    Zitat von phino

    Also genau solch ein Schutz gehört auf die Firewall,

    Das leisten fail2ban und Crowdsec aber nicht. Der kram Operiert Lokal.


    Streng genommen gehören auf einem Router oder Firewall

    auch kein Webinterface, keine Protect software und der andere kram.

    Das alles gehört im auf einem extra Host der die anschlossen System Überwacht.

    Dieser darf dann gerne auf der Firewall eine Sperrung Veranlassen.


    Aber da kann nun Stundenlang darüber Diskutieren über das wenn und aber, das dafür und wieder.

    Die Vorteile und Nachteile abwiegen und seine Gedanken und Erfahrungen einbringen

    und kommt an ende nicht zu einem Konsens. Es gibt keinen 100% passt immer Strategie,

    kein Universal Rezept. Irgendwo gibt es immer ein Harken.


    Und im Grunde ist diese diversität auch gut. Wenn alles Uniformiert gleich währe würde es

    viel dicker knallen wenn „ich in 101% Sicher" doch wider schwächen gefunden wurden

    oder irgendein Cloudanbieter sich seinen master key klauen lässt...