简单介绍
安全设备告警IP全自动封禁平台,支持百万IP秒级分析处理。
恶意IP全自动封禁平台。支持收集如下安全设备告警:长亭WAF社区版(SafeLine)、微步蜜罐HFish、奇安信天眼、奇安信椒图、绿盟WAF、科来网络安全分析审计系统。支持如下设备联动封禁:RouterOS、OPNsense、CheckPoint、奇安信防火墙、旁路阻断(无需设备配合)
下载地址
https://github.com/sec-report/SecAutoBan
docker安装
mkdir SecAutoBan && cd SecAutoBanwget https://raw.githubusercontent.com/sec-report/SecAutoBan/main/run.shchmod +x run.sh./run.sh# 停止stop# 更新update
Docker全部运行后访问 http://127.0.0.1/ 访问管理后台,初始化管理员账号
封禁流水:
平台分为三大模块,分别为:告警日志解析处理模块、核心处理模块、IP封禁/解禁模块。
其中,告警模块处理的IP会传入核心模块,核心模块会对IP进行去重过滤等处理,处理后IP会发送到封禁模块进行封禁。
具体流程思维导图如下:
告警/封禁模块列表
黑/白名单说明
- 黑名单就是已经封禁的IP,已封禁的IP都可以在该列表查询到。如果设置了有效期,到期后会自动解禁、删除。
- 新增白名单时会回溯一遍已经封禁的IP,若IP已经封禁会立即封禁,并从黑名单中删除。
- 手动添加IP至黑名单时,会自动对IP进行:格式校验、去重、对比白名单等操作。若添加IP后,平台提示新增的IP比实际填写的IP数量少,属于正常情况,可能已被过滤。
原文始发于微信公众号(进击的HACK):安全设备告警IP全自动封禁平台SecAutoBan
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论