Logs verstehen
Parser zerlegen Logzeilen in verwertbare Felder. Ohne sauberes Parsing erkennt die Security Engine keine belastbaren Angriffsmuster.
Collaborative Security
CrowdSec
CrowdSec operativ verstehen: Security Engine, zentrale LAPI, Bouncer, Decisions, Multi-Server-Betrieb, Docker-Fallen, Traefik-Integration und technische Auswertung.
Security Engine
CrowdSec ist mehr als ein klassischer Fail2Ban-Ersatz.
CrowdSec analysiert Logs, erkennt Angriffsmuster über Szenarien und erzeugt Decisions, die anschließend von Bouncern technisch durchgesetzt werden. Besonders stark wird das System, wenn mehrere Server zentral gegen eine gemeinsame LAPI arbeiten.
Angriffe erkennen
Szenarien definieren, wann Verhalten verdächtig wird: Brute Force, Scanner, Web-Angriffe, Credential-Stuffing oder aggressive Enumeration.
Reaktionen erzeugen
Eine Decision beschreibt, welche IP oder Quelle blockiert, gedrosselt oder anderweitig behandelt werden soll.
Zentrale API
Die Local API ist die Schaltstelle zwischen Security Engine, Agenten und Bouncern. In Multi-Server-Setups ist sie besonders kritisch.
Durchsetzung
Bouncer setzen Decisions technisch um: Firewall, Traefik, Nginx, Cloudflare oder andere Integrationen.
Auswertung
Metriken, Alerts und Dashboards machen sichtbar, welche Angriffe erkannt und welche Quellen geblockt wurden.
Zentrale LAPI
Ein Security-Kern für mehrere Server.
In einem Multi-Server-Setup sollte nicht jeder Host isoliert vor sich hinlaufen. Eine zentrale LAPI kann Maschinen, Bouncer und Decisions bündeln. Dadurch entsteht eine gemeinsame operative Sicht auf Angriffe über mehrere Systeme hinweg.
machines
bouncers
decisions
alerts
Registrierte Komponenten prüfen
cscli machines list
cscli bouncers list
cscli decisions list
cscli alerts list
Bouncer
Erkennung ohne Durchsetzung bringt wenig.
Die Security Engine erkennt Angriffe. Der Bouncer setzt die Reaktion durch. Genau hier entstehen viele Fehler: falscher API-Key, falsche LAPI-URL, Port-Konflikte, Docker-Netzwerke oder Firewall-Ketten, die nicht an der richtigen Stelle greifen.
firewall-bouncer
traefik-bouncer
api key
DOCKER-USER
Bouncer-Verbindung prüfen
systemctl status crowdsec-firewall-bouncer
journalctl -u crowdsec-firewall-bouncer -n 80
curl http://127.0.0.1:8080/v1/decisions
Docker-Falle
Firewall-Bouncer blockt nicht automatisch Container-Traffic.
Auf Docker-Hosts reicht es nicht, nur eine Host-Firewall zu betrachten.
Docker erzeugt eigene Regeln und veröffentlicht Ports über NAT. Damit Bouncer-Entscheidungen
wirklich vor Containern greifen, muss die Kette DOCKER-USER geprüft werden.
Eine IP steht in CrowdSec als geblockt, erreicht aber weiterhin Containerdienste.
Container-Portfreigaben umgehen klassische Erwartungen an Host-Firewall-Regeln.
iptables -S DOCKER-USER und nftables-Regeln kontrollieren.
Bouncer-Regeln müssen an der Stelle greifen, bevor Traffic Container erreicht.
Betriebs-Checkliste
So wird CrowdSec sauber betrieben.
Ein stabiler CrowdSec-Betrieb hängt nicht nur von Installation ab, sondern von Credentials, Netzwerken, Logs, Updates und Monitoring.
LAPI sauber betreiben
- Listen-Adresse und Port dokumentieren
- API-Zugriff nur kontrolliert öffnen
- Machines eindeutig benennen
- Credentials sicher verteilen
Bouncer kontrollieren
- Bouncer-Keys rotieren können
- Logs regelmäßig prüfen
- Firewall-Ketten validieren
- Traefik-Middleware gezielt testen
Auswertung sichtbar machen
- Metriken exportieren
- Grafana-Dashboard bauen
- False Positives prüfen
- Entscheidungen nachvollziehbar dokumentieren
Troubleshooting
Typische Fehlerbilder im Betrieb.
Viele CrowdSec-Probleme sehen auf den ersten Blick nach Netzwerkfehlern aus, sind aber Credentials-, Port-, Middleware- oder Chain-Probleme.
Unauthorized
Falscher API-Key, falsche Credentials-Datei oder ein Bouncer, der gegen die falsche LAPI spricht.
Forbidden
Middleware blockt Traffic, CrowdSec-Bouncer greift zu hart oder eine Decision trifft die eigene Quelle.
LAPI nicht erreichbar
Port nicht offen, falsche Listen-Adresse, Firewall-Regel fehlt oder Service läuft nicht.
Container weiter erreichbar
Bouncer blockt Host-Traffic, aber Docker-NAT lässt veröffentlichte Dienste weiter durch.
Kaputte YAML-Dateien
Windows-Zeilenenden oder falsch eingerückte YAML-Dateien können Credentials und Configs brechen.
Middleware-Reihenfolge
Security-Headers, CrowdSec-Bouncer und Router-Regeln müssen kontrolliert zusammenspielen.
Live Threat Observatory
Aus Logs wird ein sichtbares Lagebild.
Das Live Threat Observatory zeigt öffentlich bereinigte CrowdSec-Telemetrie: Angriffstrends, Angriffsszenarien, GeoIP-Quellen und ASN-/Provider-Informationen. Interne Serverdetails bleiben bewusst ausgeblendet.
Nächste Artikel
Geplante CrowdSec-Deep-Dives.
Diese Themen werden als eigene Artikel ausgebaut und später direkt aus dieser Seite verlinkt.
CrowdSec zentral für mehrere Server betreiben
Machines, Bouncer, Credentials, Firewall-Regeln und sichere API-Erreichbarkeit.
Firewall-Bouncer und Docker richtig kombinieren
DOCKER-USER Chain, nftables, iptables und Container-Portfreigaben sauber prüfen.
CrowdSec-Daten als Dashboard visualisieren
Öffentliche Ansicht, bereinigte Daten und ein sicheres Threat Observatory.
Operative Security
Security muss sichtbar, prüfbar und automatisierbar sein.
CrowdSec wird stark, wenn Erkennung, Durchsetzung und Auswertung sauber zusammenspielen. Genau daraus entsteht belastbare Infrastruktur-Sicherheit.