CrowdSec : Avoid a Duplicate Decision / Notification

CrowdSec : Avoid a Duplicate Decision / Notification

Par dans CrowdSec Étiquette , , , ,
Table of Contents

Introduction

Prenons le cas de l'utilisation de CrowdSec pour protéger des applications web en analysant les logs du reverse-proxy.

Suivant le scénario qui se déclenchera, CrowdSec prendra une décision concernant l'adresse IP concernée. Par exemple, renvoyer un code HTTP 403. Dans ce cas de figure, si l'acteur malveillant persiste, une décision sera prise à chaque fois. Si des notifications sont envoyées à chaque prise de décision, cela peut vite devenir du spam ! C'est le comportement normal puisque le profil par défaut de CrowdSec prend une décision à chaque déclenchement de scénario.

Nous allons voir comment modifier la prise de décision pour vérifier au préalable si une décision identique n'a pas été prise récemment.

Prérequis

  • CrowdSec installé (voir ici : Installation de CrowdSec)
  • Toutes les commandes / manipulations présentées ci-dessous seront à exécuter en tant que root.

Modification de la Remediation

Tout va se passer dans un seul fichier : /etc/crowdsec/profiles.yaml

  • Voici un fichier classique qui ban pendant 4h l'adresse IP qui déclenche un scénario :
#/etc/crowdsec/profiles.yaml
name: default_ip_remediation
filters:
 - Alert.Remediation == true && Alert.GetScope() == "Ip"
decisions:
 - type: ban
   duration: 4h
#duration_expr: "Sprintf('%dh', (GetDecisionsCount(Alert.GetValue()) + 1) * 4)"
on_success: break

Nous allons modifier le filtre pour vérifier si une décision n'a pas été prise il y a moins de 2h pour l'adresse IP concernée.

  • Voici le fichier modifié :
#/etc/crowdsec/profiles.yaml
name: default_ip_remediation
filters:
 - Alert.Remediation == true && Alert.GetScope() == "Ip" && GetDecisionsSinceCount(Alert.GetValue(), "2h") < 1
decisions:
 - type: ban
   duration: 4h
#duration_expr: "Sprintf('%dh', (GetDecisionsCount(Alert.GetValue()) + 1) * 4)"
on_success: break

Pour valider la modification, redémarrez le service :

systemctl restart crowdsec

Intérêt

On peut se dire : Mais pourquoi faire ça ?

A chaque fois que CrowdSec prendra une décision, si les notifications sont configurées, cela en déclenchera une systématiquement.

Dans mon cas, cela concernait les scans multi-ports et j'en avais marre de recevoir du spam de notification... (Effet JO 2024 ???).

Voici l'output que cela donnait en moins d'une minute :

image-20240807104724911

Conclusion

Maintenant, CrowdSec prendra une décision concernant l'adresse IP qui déclenchera un scénario et qui n'a pas été ban il y a moins de 2h. Si celle-ci revient au bout de 3h et redéclenche un scénario, ça sera reparti pour 4h, etc.

Les commentaires sont fermés.