Vergleich auf einen Blick
| Kriterium | Fail2ban | CrowdSec |
|---|---|---|
| Erkennungstyp | Log-Analyse (lokal) | Log + Community Threat DB |
| Community-Feeds | Nein | Ja (CTI-Datenbank) |
| Performance | Gut | Sehr gut (Go statt Python) |
| Multi-Server | Nein | Ja (LAPI Server) |
| Dashboard | Nein | Web-Console (kostenlos) |
| Konfiguration | Medium | Einfach |
| Benachrichtigungen | Webhook, Slack, etc. |
Fail2ban – Klassiker, läuft überall
# Fail2ban: Python, seit 2004
# Reaktiv: erkennt Angriffe aus lokalen Logs
apt install -y fail2ban
# Was Fail2ban kann:
# ✅ SSH Brute-Force
# ✅ Nginx/Apache Auth-Fehler
# ✅ Custom Log-Muster
# ❌ Kein Community-Threat-Intelligence
# ❌ Kein Multi-Server
CrowdSec installieren
# CrowdSec: Go, seit 2021, sehr aktiv entwickelt
curl -s https://install.crowdsec.net | bash
# Agent starten
systemctl enable --now crowdsec
# Status
cscli version
cscli collections list
CrowdSec Community Threat Intelligence
# IPs die gerade angreifen (Community-Feed!)
cscli capi status
# Gebannte IPs aus Community
cscli decisions list
# Scenarios installieren (was erkannt wird)
cscli collections install crowdsecurity/linux
cscli collections install crowdsecurity/nginx
cscli collections install crowdsecurity/ssh-bf
# Collections anzeigen
cscli collections list
Bouncer (Aktuelle Blockierung)
# Bouncer blockiert auf Netzwerk-/Anwendungsebene
# Firewall Bouncer (iptables/nftables)
apt install -y crowdsec-firewall-bouncer-iptables
# Nginx Bouncer (direkt in Nginx)
# apt install -y crowdsec-nginx-bouncer
# Status
cscli bouncers list
cscli decisions list --type ban
CrowdSec Console (Web-UI)
# Kostenlose Online-Konsole auf app.crowdsec.net
# Zeigt:
# - Alle Angriffe in Echtzeit
# - Gebannte IPs
# - Angreifer-Herkunft auf Weltkarte
# - Alerts und Trends
# Enrollen
cscli console enroll ENROLLMENT_KEY
cscli hub update
Wann was wählen?
Fail2ban wählen wenn:
✅ Bereits vorhanden und funktioniert
✅ Einfache Anforderungen (nur SSH)
✅ Kein Internet-Zugang für den Server möglich
✅ Minimale Ressourcen
CrowdSec wählen wenn:
✅ Neue Installation
✅ Community-Threat-Intelligence gewünscht
✅ Mehrere Server zentral verwalten
✅ Web-Dashboard gewünscht
✅ Modernes Python → Go (ressourcenschonender)
FAQ
Kann CrowdSec und Fail2ban gleichzeitig laufen?
Nicht empfohlen auf demselben Port (iptables-Konflikte). Entweder-oder.
Kostet CrowdSec etwas?
Der Core (Engine + Bouncer) ist Open-Source. Die Web-Console ist kostenlos für kleine Installationen. Premium-Features und Support kosten.
Fazit
CrowdSec ist der modernere Ansatz mit Community-Threat-Intelligence. Für Neuinstallationen empfehlen wir CrowdSec, Fail2ban für bestehende Setups beibehalten.
Sicherheitsschutz für KMU in Heidelberg, Mannheim und der Rhein-Neckar-Region. Anfragen.