Ecosyste.ms: Awesome
An open API service indexing awesome lists of open source software.
https://github.com/sec-report/SecAutoBan
恶意IP全自动封禁平台。支持收集如下安全设备告警:长亭WAF社区版(SafeLine)、微步蜜罐HFish、奇安信天眼、奇安信椒图、绿盟WAF、科来网络安全分析审计系统。支持如下设备联动封禁:RouterOS、OPNsense、CheckPoint、奇安信防火墙、旁路阻断(无需设备配合)
https://github.com/sec-report/SecAutoBan
docker firewall hids sec security security-tools waf web-security
Last synced: 13 days ago
JSON representation
恶意IP全自动封禁平台。支持收集如下安全设备告警:长亭WAF社区版(SafeLine)、微步蜜罐HFish、奇安信天眼、奇安信椒图、绿盟WAF、科来网络安全分析审计系统。支持如下设备联动封禁:RouterOS、OPNsense、CheckPoint、奇安信防火墙、旁路阻断(无需设备配合)
- Host: GitHub
- URL: https://github.com/sec-report/SecAutoBan
- Owner: sec-report
- License: apache-2.0
- Created: 2024-06-02T06:32:21.000Z (8 months ago)
- Default Branch: main
- Last Pushed: 2024-12-30T14:23:19.000Z (16 days ago)
- Last Synced: 2025-01-01T02:08:38.388Z (14 days ago)
- Topics: docker, firewall, hids, sec, security, security-tools, waf, web-security
- Language: Python
- Homepage:
- Size: 26.5 MB
- Stars: 161
- Watchers: 3
- Forks: 34
- Open Issues: 0
-
Metadata Files:
- Readme: README.md
- License: LICENSE
Awesome Lists containing this project
- awesome-hacking-lists - sec-report/SecAutoBan - 恶意IP全自动封禁平台。支持收集如下安全设备告警:长亭WAF社区版(SafeLine)、微步蜜罐HFish、奇安信天眼、奇安信椒图、绿盟WAF、科来网络安全分析审计系统。支持如下设备联动封禁:RouterOS、OPNsense、CheckPoint、奇安信防火墙、旁路阻断(无需设备配合) (Python)
README
# SecAutoBan
安全设备告警IP全自动封禁平台,支持百万IP秒级分析处理。
封禁流水:
# 开始使用
平台分为三大模块,分别为:告警日志解析处理模块、核心处理模块、IP封禁/解禁模块。
其中,告警模块处理的IP会传入核心模块,核心模块会对IP进行去重过滤等处理,处理后IP会发送到封禁模块进行封禁。
具体流程思维导图如下:
## 社区版私有部署方案
> 单机版仅供社区交流学习,禁止任何商业/OEM行为,商业版请联系邮箱[[email protected]](mailto:[email protected])。
### 安装 && 运行
```shell
mkdir SecReport && cd SecReport
wget https://raw.githubusercontent.com/sec-report/SecAutoBan/main/run.sh
chmod +x run.sh
./run.sh
```
> [run.sh 命令介绍](#runsh-命令介绍)
Docker全部运行后访问 [http://127.0.0.1/](http://127.0.0.1/) 访问管理后台,初始化管理员账号
### 激活
关注微信公众号: `信息安全报告`,点击公众号菜单栏`激活码`-`SecAutoBan`,获取激活码。
获取到激活码后,请在后台: `系统设置` - `证书管理`,进行绑定。
## 告警模块使用
首先在管理后台添加告警设备:
添加设备后,复制设备连接Key。(注意:设备连接Key仅显示一次,请妥善保存)
使用获得的设备Key运行告警模块,具体使用详情请跳转至:[device/alarm](./device/alarm) 查看。
目前仓库中仅有少量模版,未适配的设备只需手动实现一个函数。对于通用类设备,欢迎适配后提起PR推送至`device/alarm`目录,方便其他人使用。
## 封禁模块使用
首先在管理后台添加封禁设备:
添加设备后,复制设备连接Key。(注意:设备连接Key仅显示一次,请妥善保存)
使用获得的设备Key运行封禁模块,具体使用详情请跳转至:[device/block](./device/block) 查看。
目前仓库中仅有少量模版,未适配的设备只需手动实现两个函数。对于通用类设备,欢迎适配后提起PR推送至`device/block`目录,方便其他人使用。
## 告警/封禁模块列表
> 现有模块如下,实时更新中
| 告警模块 | 封禁模块 |
| ------------- | -------- |
| [长亭WAF社区版](./device/alarm/chaitin_waf_ce) | [旁路阻断](./device/block/tcp_reset) |
| [微步蜜罐HFish](./device/alarm/threatbook_hfish) | [OPNsense](./device/block/opnsense) |
| [奇安信天眼](./device/alarm/qianxin_skyeye) |[RouterOS](./device/block/router_os) |
| [奇安信椒图](./device/alarm/qianxin_jowtolock) | [CheckPoint](./check_point) |
| [绿盟WAF](./device/alarm/nsfocus_waf) | [奇安信防火墙](./device/block/qianxin_firewall) |
| [科来网络安全分析审计系统](./device/alarm/kelai_wangluoanquanfenxishenjixitong) | [钉钉告警通知](./device/block/dingtalk_robot) |
## 黑/白名单说明
* 黑名单就是已经封禁的IP,已封禁的IP都可以在该列表查询到。如果设置了有效期,到期后会自动解禁、删除。
* 新增白名单时会回溯一遍已经封禁的IP,若IP已经封禁会立即封禁,并从黑名单中删除。
* 手动添加IP至黑名单时,会自动对IP进行:格式校验、去重、对比白名单等操作。若添加IP后,平台提示新增的IP比实际填写的IP数量少,属于正常情况,可能已被过滤。
## 网络连接说明
* 核心模块:核心模块不会主动发起TCP连接,只需模块和管理机器能访问Web端口即可。
* 告警模块:如需监听Syslog请打开安全设备到告警模块对应UDP端口,同时告警模块需要正向访问核心模块Web端口(`WebSocket`通讯)。
* 封禁模块:封禁模块无需监听任何端口,只需要正向访问核心模块Web端口(`WebSocket`通讯),及需要连接的封禁设备即可。
## 沟通群
> 请加好友并备注:`SecAutoBan加群`
## run.sh 命令介绍
```shell
# 启动服务
./run.sh
# 停止服务
./run.sh stop
# 更新平台
./run.sh update
# 修改用户密码
./build.sh exec changeUserPassword -username admin -password xxx
```
## 其他作品
[SecReport](https://github.com/sec-report/SecReport):ChatGPT加持的,多人在线协同信息安全报告编写平台。
## Star History
