Ir para o conteúdo

Capítulo 47 – CrowdSec

Introdução

Quando falamos em segurança de perímetro, estamos tratando da arte de criar uma barreira de proteção entre o que é considerado não confiável (Internet) e o que é confiável (sua rede interna).
Embora também seja válido bloquear saídas suspeitas, o foco principal é impedir ataques que se originam fora da rede, como varreduras, exploração de vulnerabilidades e tentativas de acesso indevido.

É nesse contexto que o CrowdSec ganha destaque. Ele funciona como uma rede colaborativa de defesa, onde milhares de participantes reportam atividades suspeitas e compartilham listas de IPs maliciosos — algo comparável a uma “vizinhança digital vigiada”.
O OPNsense integra esse recurso através do plugin CrowdSec, que oferece:

  • Listas de IPs maliciosos (blocklists) atualizadas em tempo real;
  • Regras automáticas de firewall para bloqueio desses endereços;
  • Monitoramento de eventos e bloqueios diretamente pelo painel do firewall.

Em outras palavras, o CrowdSec adiciona uma camada de Threat Intelligence comunitária ao seu perímetro de segurança.

Como o CrowdSec se encaixa na sua defesa

O conceito do CrowdSec é simples e poderoso:

  • Ele transforma dados coletivos de ataques em inteligência prática.
  • O firewall passa a reconhecer e bloquear endereço IPs de reputação duvidosa antes que consigam sequer estabelecer conexão.
  • Os administradores ganham visibilidade e controle, podendo analisar bloqueios e ajustar exceções.

Para lembrar

Pense no CrowdSec como um uma rede de vizinhos monitorada: quanto mais pessoas o utilizam e compartilham indicadores de ameaça, mais protegido você fica.

Pré-requisitos e recomendações

Antes da instalação, garanta que:

  • O OPNsense esteja atualizado (firmware e plugins).
  • Você possua acesso administrativo à interface WebGUI.
  • O firewall tenha acesso à Internet, pois o CrowdSec precisa sincronizar periodicamente suas listas.
  • Você compreenda o básico sobre Aliases e Regras no OPNsense.

Instalação do Plugin CrowdSec

  1. Acesse System → Firmware → Plugins.
  2. Pesquise por os-crowdsec.
  3. Clique no ícone + para iniciar a instalação.
  4. Aguarde a conclusão e pressione F5 para atualizar a página.
  5. Após a instalação, um novo menu chamado CrowdSec aparecerá em Services.

Configuração inicial do CrowdSec

  1. Vá até Services → CrowdSec → Settings.
  2. Na aba Settings, as três opções principais já estarão ativadas por padrão.
  3. Marque Enable log for rules para registrar os bloqueios nos logs do firewall.
  4. Clique em Save para salvar as configurações.

Essa simples configuração garante que você consiga visualizar em tempo real os eventos de bloqueio causados pelo CrowdSec.

O que o CrowdSec cria automaticamente

Aliases (listas de IPs bloqueados)

  1. Vá em Firewall → Diagnostics → Aliases.
  2. Localize o alias chamado crowdsec_blacklists.
  3. Dentro dele, você verá centenas de endereços IPs listados.
  4. Caso esteja vazio, aguarde alguns minutos ou reinicie o serviço do CrowdSec.

Esses aliases representam as fontes de ameaça conhecidas e são usados automaticamente nas regras de firewall.

Regras automáticas (Floating)

  1. Vá em Firewall → Rules → Floating.
  2. Expanda Automatically generated rules.
  3. Serão exibidas regras do tipo float configuradas para bloquear qualquer tráfego iniciado por endereços IP contidos nas listas do CrowdSec.

Essas regras agem como um escudo, impedindo que agentes maliciosos externos estabeleçam conexões com sua rede.

Visualizando bloqueios em tempo real (Live View)

  1. Acesse Firewall → Log Files → Live View.
  2. No filtro superior, altere Action para label.
  3. No campo ao lado, selecione contains.
  4. No campo de valor, digite CrowdSec.
  5. Clique no botão + para aplicar o filtro.

Agora, você verá todos os bloqueios originados pelas regras automáticas do CrowdSec.
Se nenhum evento aparecer, não há problema — significa apenas que, até o momento, nenhum IP malicioso tentou se conectar ao seu firewall.

Whitelist de redes internas (opcional)

Caso queira impedir que redes privadas (RFC1918) sejam analisadas pelo CrowdSec, é possível criar uma whitelist.
Esse processo deve ser feito com cautela, pois pode reduzir a eficácia da proteção.

No terminal do OPNsense (via SSH):

cscli parsers install crowdsecurity/whitelists
sudo service crowdsec reload

Isso cria um parser que ignora endereços internos, evitando falsos positivos dentro da LAN.

Whitelist de IPs específicos (opcional)

Se algum IP confiável — como um servidor externo ou VPS — for bloqueado indevidamente, você pode adicioná-lo a uma whitelist personalizada.

Dica

Copie o código abaixo e cole em um bloco de notas. Então edite o IP ou CIDR (rede) que vai fazer exceção, e então copie do bloco de notas para o terminal SSH do firewall.

No terminal do OPNsense (via SSH):

sh
cat <<'EOF' > /usr/local/etc/crowdsec/parsers/s02-enrich/custom-whitelist.yaml
name: crowdsecurity/custom-whitelist
description: "Whitelist de servidores confiáveis"
whitelist:
  reason: "Servidores externos autorizados"
  ip:
    - 200.200.200.200
    - 200.200.200.210
  cidr:
    # Opcionalmente, libere um range inteiro
    # - 200.200.200.0/24
EOF

service crowdsec restart
exit

Antes de liberar qualquer IP, confirme que ele é realmente legítimo. Adicionar exceções sem análise pode neutralizar a proteção do CrowdSec.

Boas práticas

  • Acompanhe os logs: entender os padrões de bloqueio é essencial para ajustes futuros.
  • Evite whitelists amplas: quanto mais exceções, menor a eficiência.
  • Combine camadas: o CrowdSec complementa IDS/IPS, proxy, DNS filtering e outras soluções.
  • Audite periodicamente: revise bloqueios e verifique se há falsos positivos.

Conclusão

O CrowdSec traz ao OPNsense uma camada poderosa de inteligência colaborativa, transformando a experiência de segurança em algo coletivo e adaptativo. Sua função é clara: bloquear automaticamente IPs conhecidos por atividades maliciosas, enquanto fornece visibilidade e controle ao administrador.

Com instalação simples, configuração direta e resultados imediatos, o CrowdSec se torna uma ferramenta essencial para quem busca prevenção proativa e resiliência em tempo real. Use-o como parte de uma estratégia de defesa em camadas — combinando-o com IDS/IPS, proxy, DNS filtering e políticas de acesso — e transforme seu firewall OPNsense em um verdadeiro guardião inteligente de perímetro.