CrowdSec en Linux: detección y bloqueo de intrusiones impulsado por comunidad

CrowdSec es un motor moderno de seguridad que combina detección de comportamiento local con inteligencia de amenazas compartida. Es especialmente útil en servidores expuestos a SSH, reverse proxies y aplicaciones web públicas.

Este artículo está orientado a una implementación práctica y segura, con bloqueo automático pero controlado.

1) Instalar el motor de CrowdSec

En Debian/Ubuntu:

curl -s https://install.crowdsec.net | sudo sh
sudo apt install crowdsec -y
sudo systemctl enable --now crowdsec

Verifica salud y métricas:

sudo systemctl status crowdsec
sudo cscli metrics

2) Habilitar colecciones para tu stack

Las colecciones agrupan parsers y escenarios listos para usar.

Ejemplo:

sudo cscli collections install crowdsecurity/sshd
sudo cscli collections install crowdsecurity/nginx
sudo cscli collections install crowdsecurity/linux
sudo systemctl restart crowdsec

Lista colecciones activas:

sudo cscli collections list

3) Instalar bouncer de firewall

Para nftables:

sudo apt install crowdsec-firewall-bouncer-nftables -y
sudo systemctl enable --now crowdsec-firewall-bouncer

Si tu entorno usa iptables, instala el bouncer correspondiente para ese backend.

4) Verificar decisiones y remediación

Consulta alertas y decisiones activas:

sudo cscli alerts list
sudo cscli decisions list

Tras intentos sospechosos (por ejemplo, múltiples fallos SSH), deberías observar bloqueos automáticos.

5) Ajustes y endurecimiento

Define listas blancas seguras

Evita bloquear scanners internos o IPs de monitorización confiables usando reglas explícitas en perfiles/whitelists.

Ajusta duración de bloqueos

En entornos ruidosos, comienza con tiempos de ban moderados y aumenta según evidencia.

Revisa falsos positivos

Haz revisión semanal de alertas:

sudo cscli alerts list -o raw | head -40

Integraciones recomendadas

Logs de Nginx o Traefik
Logs de SSH
Logs de autenticación de aplicaciones
Logs de WAF cuando estén disponibles

Cuantos más logs de calidad alimentes al motor, mejor funcionará la correlación de escenarios.

Solución de problemas

No aparecen alertas

Revisa adquisición y rutas de logs:

sudo cscli metrics
sudo journalctl -u crowdsec --no-pager | tail -50

Hay bouncer pero no bloquea

Verifica credenciales API y conectividad entre bouncer y API local de CrowdSec.

Demasiados falsos positivos

Empieza por escenarios concretos que generan alertas y añade excepciones dirigidas, evitando bypass global.

Conclusión

CrowdSec proporciona una base defensiva más robusta que un bloqueo por regex simple. Mantienes control local, ganas contexto de detección y automatizas respuesta con bouncers.

Una instalación pequeña puede estar operativa en menos de 30 minutos y aportar valor inmediato en servidores expuestos a Internet.

Frequently Asked Questions

¿En qué se diferencia CrowdSec de Fail2ban?

Fail2ban reacciona a logs locales con reglas locales. CrowdSec también analiza logs locales, pero correlaciona escenarios y puede consumir inteligencia de amenazas comunitaria para mejorar detección y reducir intentos repetidos entre entornos.

¿CrowdSec reemplaza mi firewall?

No. CrowdSec complementa tu firewall o proxy inverso decidiendo qué debe bloquearse. La aplicación del bloqueo la hacen los bouncers sobre nftables, iptables, proxies o aplicaciones.

¿CrowdSec sirve para un único VPS?

Sí. Un despliegue en host único es común y efectivo. Puedes empezar con logs SSH y web, y después añadir logs de aplicación y más mecanismos de remediación.