Hallo.
Wir haben hier ein merkwürdiges Problem mit Crowdsec, das ich nicht verstehe.
Es geht um die Domain *.webuntis.com, die innerhalb unseres Netzes neuerdings sehr häufig aufgerufen wird. Diese Domain wird neuerdings von Crowdsec intern gesperrt (nicht permanent sondern mittlerweile zum zweiten Mal) -- mir ist aber nicht klar warum: Eigentlich sollte das Tool doch nicht bei Aufrufen von innen die Domain blockieren, oder?
Ich habe den Dienst im Moment deaktiviert, doch unter
/usr/local/etc/crowdsec/parsers/s02-enrich
existiert bereits eine Datei
mywhitelists.yaml.
Wie müsste dort ein entsprechender Eintrag für die Domain aussehen? Und: Warum reagiert Crowdsec so, obwohl es doch eigentlich Angriffe von außen abwehren soll??
Zudem: Ich sehe im OPNSense-WebUI nichts davon. Sollten die gesperrten Domains dort nicht auch aufgelistet werden?
Vielen Dank.
Ist zwar schon älter aber andere Benutzer suchen sicher auch danach.
Hier die Lösung:
FQDN WhiteListing (https://docs.crowdsec.net/docs/whitelist/create_fqdn/)
In Kürze:
Folgende Datei anlegen:
/usr/local/etc/crowdsec/postoverflows/FQDN-whitelists.yaml
Den Inhalt unten reinkopieren und anpassen.
Service neu starten.
name: me/FQDN-whitlists
description: "Whitelist postoverflows from FQDN"
whitelist:
reason: "do whitelistings by FQDN"
expression:
- evt.Overflow.Alert.Source.IP in LookupHost("foo.com")
- evt.Overflow.Alert.Source.IP in LookupHost("foo.foo.org")
- evt.Overflow.Alert.Source.IP in LookupHost("12123564.org")