Door: Jurgen Franse - Security expert
De afgelopen maanden heb ik collega’s er al regelmatig over geïnformeerd. Sinds december draait er iets nieuws op onze servers waar ik echt enthousiast van word: CrowdSec. En dan hoor ik je denken: Crowdwatte? Laat me je meenemen.
Alles wat publiek op internet te vinden is, wordt constant geautomatiseerd bevraagd door allerlei soorten systemen. Dit kunnen de vriendelijke SEO-bots van Google of vergelijkbare partijen zijn. Maar vaak zijn het ook de minder vriendelijke systemen met slechte bedoelingen. Het komt met enige regelmaat voor dat een verzameling aan bots ervoor zorgt dat een website zeer traag wordt, of zelfs offline gaat. En juist dat soort aanvallen tegengaan is waar CrowdSec van pas komt.
Hoe we geautomatiseerde aanvallen blokkeren
CrowdSec helpt ons om ongewenst verkeer te blokkeren. De naam zegt het eigenlijk al: crowd verwijst naar de gemeenschap van servereigenaren die informatie met elkaar uitwisselen, zodat we gezamenlijk meer inzicht krijgen in het gedrag van bepaalde IP‑adressen of bots. Sec staat voor security. Iedere CrowdSec‑gebruiker draagt dus bij door verdachte activiteiten te delen, waardoor kwaadaardige indringers sneller kunnen worden herkend. Het dient daarmee ook een breder maatschappelijk doel.
CrowdSec pakt vooral geautomatiseerd verkeer aan. Een kwaadwillende gebruiker kan daar relatief makkelijk omheen werken. Zie CrowdSec dus niet als oplossing die je applicatie of website direct volledig veilig maakt. Gebruik je een zwak wachtwoord op je adminpagina? dan komt iemand nog steeds binnen. CrowdSec signaleert dat niet.
Waarom kiezen we voor CrowdSec?
CrowdSec is open‑source, en dat sluit goed aan bij onze visie op technologie. We willen minder afhankelijk zijn van gesloten systemen van grote, niet‑Europese partijen.
Daarnaast kiezen we bewust voor een oplossing die we zelf beheren. Zo houden we zelf de regie. Dat voorkomt ook onnodige gegevensuitwisseling met externe partijen. We sturen geen persoonsgegevens naar CrowdSec, maar uitsluitend informatie over aanvallen.
We zetten CrowdSec op drie manieren in. Hieronder lichten we die toe.
1: Banlists
Alle CrowdSec-gebruikers sturen informatie over aanvallen naar een centrale database. Op basis daarvan worden IP-adressen die altijd slecht gedrag vertonen toegevoegd aan een banlist. Dit is een grote lijst met bekende malafide IP’s. Deze IP’s worden direct geblokkeerd. De grootste banlist bevat op dit moment ongeveer 94.000 IP-adressen.
Wij delen dus IP’s die vaker de fout in gaan met het CrowdSec-netwerk.
2: Security Engines
Security engines zijn slimme detectiemechanismen die continu het verkeer analyseren. Ze kijken niet alleen naar losse verzoeken, maar vooral naar gedragspatronen: veel aanvragen in korte tijd, verdachte routes of herhaalde inlogpogingen. Zodra het gedrag afwijkt van wat normaal is, grijpen ze in.
Bij ons fungeren deze engines als actieve bewakers op de servers. Ze herkennen afwijkingen en blokkeren IP‑adressen wanneer dat nodig is. Bovendien laten we onze servers onderling samenwerken. Ze sturen meldingen over verdacht gedrag naar een centrale API, die bepaalt welke actie moet worden genomen en dit direct terugkoppelt naar alle andere servers. Zo stoppen we aanvallers niet alleen op één plek, maar overal tegelijk.
3: Handmatige blokkades
Soms grijpen we zelf in. Bijvoorbeeld wanneer een bot alleen “legitieme” aanvragen doet, maar dat zó vaak dat de server er last van krijgt. Dit soort gedrag lijkt op een aanval en wordt niet automatisch herkend door CrowdSec. De security engine kijkt namelijk naar het type aanvraag en de response van de applicatie, niet naar de pure hoeveelheid verkeer. In die situaties blokkeren we een IP-adres handmatig.
Blokkades zijn altijd tijdelijk en bouwen zich op. Een eerste blokkade duurt bijvoorbeeld 4 uur. Komt dezelfde bot daarna terug? Dan verlengen we de blokkade automatisch. Zo kan die oplopen tot meerdere dagen.
Wat levert dit op?
CrowdSec zorgt ervoor dat je applicatie of website minder last heeft van kwaadwillende indringers. Daardoor blijft er meer rekenkracht over voor echte gebruikers en draait je platform sneller en stabieler. Je verkleint bovendien het risico op datalekken en andere security-issues, zonder extra werk. Het verschil zit in de samenwerking. Je profiteert van één van de grootste en best beheerde banlijsten, waarin bekende kwaadwillende IP-adressen direct worden geblokkeerd. Doordat deze lijsten continu worden bijgewerkt, blijf je automatisch beschermd tegen nieuwe dreigingen. Daarnaast delen al onze servers informatie met elkaar. Wordt één omgeving aangevallen? Dan weten alle andere omgevingen dat direct en blokkeren we sneller.
Benieuwd hoe veilig jouw platform of applicatie is?
Laat ons met je meekijken. Plan een adviesgesprek of vraag een security-scan aan.
of bel 0118 617 873