CrowdSec: Firewall Colaborativo con IA para Homelab (Guía Completa 2026)

📋 TL;DR (Resumen Ejecutivo)

CrowdSec es un sistema de seguridad colaborativo de código abierto que detecta y bloquea amenazas en tiempo real usando inteligencia artificial y una red global de usuarios. A diferencia de fail2ban tradicional, CrowdSec comparte IPs maliciosas entre toda la comunidad, aprendiendo de ataques en tiempo real y protegiendo tu homelab antes de que las amenazas lleguen.

Lo que conseguirás:

• ✅ Protección automática contra ataques de fuerza bruta, DDoS y escaneo de puertos
• ✅ Dashboard visual con Metabase para monitorear amenazas en tiempo real
• ✅ Integración con Nginx, Traefik, iptables y más bouncers
• ✅ Sistema colaborativo que aprende de millones de ataques globales
• ✅ Configuración simple con YAML vs regex complejo de fail2ban

Tiempo de lectura: ~25 minutos | Nivel: Intermedio

—

📚 Tabla de Contenidos

1. ¿Qué es CrowdSec y Por Qué Usarlo?
2. CrowdSec vs Fail2ban: Comparativa Completa
3. Arquitectura y Componentes
4. Instalación con [Docker Compose](#instalacion)
5. Configuración Básica: Collections, Scenarios y Parsers
6. Integración con Servicios: Nginx, Traefik, SSH
7. Dashboard y Monitoreo con Metabase
8. Casos de Uso Avanzados
9. Protección de Servicios Self-Hosted
10. Troubleshooting Errores Comunes
11. Mejores Prácticas de Seguridad
12. Preguntas Frecuentes
13. Conclusión y Próximos Pasos

—

> 📅 Última actualización: Enero 2026

> ✅ Verificado con: CrowdSec v1.6.0 – Enero 2026

> 🔄 Próxima revisión: Abril 2026

—

Introducción

Si tienes un homelab con servicios expuestos a internet (Vaultwarden, Nextcloud, Paperless-ngx, etc.), probablemente ya conoces fail2ban. Es una herramienta útil, pero tiene limitaciones: solo protege tu servidor local, requiere configuración compleja con regex, y no aprende de amenazas globales.

El problema: Cada día, millones de bots escanean internet buscando servicios vulnerables. Tu servidor está siendo atacado constantemente, y fail2ban solo reacciona después de que el ataque ya ocurrió en tu máquina.

La solución: CrowdSec es un sistema de seguridad colaborativo que combina lo mejor de fail2ban con inteligencia artificial y una red global. Cuando un bot ataca a cualquier usuario de CrowdSec, toda la comunidad se beneficia: esa IP se comparte anónimamente y se bloquea automáticamente en todos los servidores.

En esta guía completa aprenderás:

• Cómo instalar y configurar CrowdSec en Docker
• Integración con Nginx, Traefik y otros servicios
• Crear scenarios personalizados para detectar ataques específicos
• Configurar dashboard con Metabase para visualizar amenazas
• Proteger servicios self-hosted como Vaultwarden, Nextcloud y Paperless-ngx
• Troubleshooting común y mejores prácticas

Ya seas administrador de sistemas, entusiasta de homelab o profesional de seguridad, esta guía te dará un sistema de protección de nivel empresarial en tu servidor casero.

—

¿Qué es CrowdSec y Por Qué Usarlo?

CrowdSec: Seguridad Colaborativa con IA

CrowdSec es un sistema de detección y prevención de intrusiones (IDS/IPS) de código abierto que funciona de forma colaborativa. A diferencia de soluciones tradicionales que solo protegen un servidor individual, CrowdSec comparte información de amenazas entre todos sus usuarios de forma anónima y segura.

Características principales:

• ✅ Colaboración global: Comparte IPs maliciosas entre millones de usuarios
• ✅ Inteligencia artificial: Detecta patrones de ataque usando machine learning
• ✅ Arquitectura modular: Separación entre engine (detección) y bouncers (acción)
• ✅ Configuración simple: YAML en lugar de regex complejo
• ✅ Múltiples bouncers: Nginx, Traefik, iptables, Cloudflare, y más
• ✅ Dashboard visual: Metabase opcional para monitoreo en tiempo real

¿Por Qué Usar CrowdSec?

Casos de uso ideales:

1. Homelab con servicios expuestos: Si tienes Vaultwarden, Nextcloud, o cualquier servicio accesible desde internet, CrowdSec te protege automáticamente
2. Protección contra bots: Bloquea escaneos de puertos, intentos de fuerza bruta y ataques DDoS antes de que lleguen a tu servidor
3. Compliance y seguridad: Para entornos que requieren logging y auditoría de amenazas

NO uses CrowdSec si:

• ❌ Tu servidor está completamente aislado de internet (no hay amenazas que detectar)
• ❌ Necesitas control granular extremo sobre cada regla (aunque CrowdSec es muy configurable)

—

CrowdSec vs Fail2ban: Comparativa Completa

Ventajas de CrowdSec sobre fail2ban:

1. Protección proactiva: Aprende de ataques en otros servidores antes de que lleguen al tuyo
2. Configuración más simple: YAML legible vs regex críptico
3. Mejor escalabilidad: Maneja millones de eventos sin problemas
4. Dashboard incluido: Visualización de amenazas sin configurar ELK stack
5. Comunidad activa: Miles de scenarios y parsers mantenidos por la comunidad

—

Arquitectura y Componentes

Arquitectura de CrowdSec

┌─────────────────┐
│  Log Sources    │ (Nginx, SSH, Docker, syslog, etc.)
└────────┬────────┘
         │
         ▼
┌─────────────────┐
│ CrowdSec Engine │ (Analiza logs, detecta patrones, comparte con Hub)
└────────┬────────┘
         │
         ├──► Hub (comparte IPs maliciosas globalmente)
         │
         ▼
┌─────────────────┐
│    Bouncers     │ (Nginx, Traefik, iptables, Cloudflare, etc.)
└─────────────────┘

Componentes Principales

1. CrowdSec Engine: El núcleo que analiza logs, detecta patrones de ataque y toma decisiones
2. Collections: Conjuntos pre-configurados de parsers y scenarios (ej: crowdsecurity/nginx)
3. Parsers: Extraen información estructurada de logs no estructurados
4. Scenarios: Reglas YAML que definen qué constituye un ataque (ej: 5 intentos fallidos de login = fuerza bruta)
5. Bouncers: Módulos que ejecutan acciones (bloquear IPs, rate limiting, etc.)
6. Hub: Plataforma colaborativa que comparte IPs maliciosas entre usuarios

—

Instalación con Docker Compose

Requisitos Previos

• Docker y Docker Compose instalados
• Acceso a logs del sistema (Nginx, SSH, etc.)
• Puertos disponibles: 8080 (LAPI), 3000 (Metabase opcional)

Docker Compose Completo

Crea un archivo docker-compose.yml:

version: '3.8'

services:
  crowdsec:
    image: crowdsecurity/crowdsec:latest
    container_name: crowdsec
    restart: unless-stopped
    environment:
      - COLLECTIONS=crowdsecurity/nginx crowdsecurity/linux crowdsecurity/docker
      - GID=1000
      - UID=1000
    volumes:
      - ./config:/etc/crowdsec
      - ./data:/var/lib/crowdsec/data
      - /var/log:/var/log/host:ro
    networks:
      - crowdsec

  crowdsec-dashboard:
    image: crowdsecurity/crowdsec-metabase:latest
    container_name: crowdsec-dashboard
    restart: unless-stopped
    ports:
      - "3000:3000"
    environment:
      - CROWDSEC_LAPI_URL=http://crowdsec:8080
    depends_on:
      - crowdsec
    networks:
      - crowdsec

networks:
  crowdsec:
    driver: bridge

volumes:
  data:

Iniciar CrowdSec

# Crear estructura de carpetas
mkdir -p config data

# Iniciar servicios
docker-compose up -d

# Verificar que está corriendo
docker logs crowdsec

# Verificar collections instaladas
docker exec crowdsec cscli collections list

Collections recomendadas para homelab:

• crowdsecurity/nginx: Protección para Nginx
• crowdsecurity/linux: Protección general del sistema
• crowdsecurity/docker: Análisis de logs de contenedores

—

Configuración Básica: Collections, Scenarios y Parsers

Configuración de Adquisición (acquis.yaml)

El archivo config/acquis.yaml define qué logs analizar:

source: file
filenames:
  - /var/log/host/nginx/access.log
  - /var/log/host/nginx/error.log
labels:
  type: nginx

source: file
filenames:
  - /var/log/host/auth.log
labels:
  type: syslog

source: file
filenames:
  - /var/log/host/syslog
labels:
  type: syslog

Verificar Parsers Activos

# Listar parsers instalados
docker exec crowdsec cscli parsers list

# Verificar que están procesando logs
docker logs crowdsec | grep acquis

Scenarios Personalizados

Crea config/scenarios/custom-brute-force.yaml:

name: custom/brute-force-detection
description: Detecta intentos de fuerza bruta en SSH
filter: evt.Meta.service == "ssh"
groupby: evt.Meta.source_ip
capacity: 5
leakspeed: 10s
blackhole: 10m
labels:
  service: ssh
  type: brute-force

Parámetros del scenario:

• capacity: Número de eventos antes de activar
• leakspeed: Tiempo para «vaciar» el bucket
• blackhole: Duración del bloqueo
• groupby: Agrupar por IP de origen

Instalar Scenarios Personalizados

# Copiar scenario a la carpeta config
cp custom-brute-force.yaml config/scenarios/

# Recargar configuración
docker exec crowdsec cscli hub update
docker exec crowdsec cscli scenarios list

—

Integración con Servicios: Nginx, Traefik, SSH

Integración con Nginx Bouncer

El bouncer de Nginx bloquea IPs directamente en Nginx:

version: '3.8'

services:
  nginx-bouncer:
    image: crowdsecurity/nginx-bouncer:latest
    container_name: nginx-bouncer
    restart: unless-stopped
    environment:
      - CROWDSEC_BOUNCER_KEY=${CROWDSEC_BOUNCER_KEY}
      - CROWDSEC_LAPI_URL=http://crowdsec:8080
    volumes:
      - ./config/nginx-bouncer.conf:/etc/nginx/conf.d/crowdsec.conf:ro
    depends_on:
      - crowdsec
    networks:
      - crowdsec

Obtener API key del bouncer:

# Generar nueva API key
docker exec crowdsec cscli bouncers add nginx-bouncer

# Ver bouncers registrados
docker exec crowdsec cscli bouncers list

Integración con Traefik

Para Traefik, usa el bouncer específico:

version: '3.8'

services:
  traefik-bouncer:
    image: crowdsecurity/traefik-bouncer:latest
    container_name: traefik-bouncer
    restart: unless-stopped
    environment:
      - CROWDSEC_BOUNCER_KEY=${CROWDSEC_BOUNCER_KEY}
      - CROWDSEC_LAPI_URL=http://crowdsec:8080
    depends_on:
      - crowdsec
    networks:
      - crowdsec

Protección de SSH

Para proteger SSH, usa el collection crowdsecurity/ssh:

# Instalar collection SSH
docker exec crowdsec cscli collections install crowdsecurity/ssh

# Verificar scenarios SSH activos
docker exec crowdsec cscli scenarios list | grep ssh

—

Dashboard y Monitoreo con Metabase

Acceder al Dashboard

Una vez iniciado el contenedor crowdsec-dashboard, accede a:

http://localhost:3000

Credenciales por defecto:

• Usuario: crowdsec@crowdsec.net
• Contraseña: CrowdsecMetabase2020!

Métricas Disponibles

El dashboard muestra:

• IPs bloqueadas: Total y por tipo de ataque
• Ataques por hora: Gráficos temporales
• Top países atacantes: Geolocalización de amenazas
• Scenarios más activos: Qué tipos de ataques se detectan más
• Decisions en tiempo real: IPs bloqueadas en vivo

Integración con Prometheus

CrowdSec expone métricas en el puerto 6060:

# prometheus.yml
scrape_configs:
  - job_name: 'crowdsec'
    static_configs:
      - targets: ['crowdsec:6060']

Métricas principales:

• crowdsec_bucket_overflow_total: Buckets que excedieron capacidad
• crowdsec_decisions_total: Total de decisiones tomadas
• crowdsec_parser_hits_total: Hits por parser
• crowdsec_scenario_hits_total: Hits por scenario

—

Casos de Uso Avanzados

Protección de API REST

Crea un scenario para rate limiting de APIs:

name: api/rate-limiting
description: Rate limiting para APIs
filter: evt.Meta.path =~ "^/api/"
groupby: evt.Meta.source_ip
capacity: 100
leakspeed: 1m
blackhole: 10m
labels:
  service: api
  type: rate-limit

Detección de DDoS

Scenario para detectar ataques DDoS:

name: ddos-detection
description: Detecta ataques DDoS
filter: evt.Meta.service == "nginx"
groupby: evt.Meta.source_ip
capacity: 1000
leakspeed: 1m
blackhole: 1h
labels:
  type: ddos

Whitelist de IPs Confiables

# Añadir IP a whitelist
docker exec crowdsec cscli decisions add \
  --ip 192.168.1.100 \
  --duration 24h \
  --type whitelist \
  --reason "IP confiable"

# Ver decisiones activas
docker exec crowdsec cscli decisions list

—

Protección de Servicios Self-Hosted

Vaultwarden (Password Manager)

Problema: Intentos de fuerza bruta en login

Solución:

1. Configurar parser para logs de Vaultwarden
2. Crear scenario que detecte múltiples intentos fallidos
3. Bloquear IPs automáticamente

name: vaultwarden/brute-force
description: Detecta fuerza bruta en Vaultwarden
filter: evt.Meta.service == "vaultwarden" && evt.Meta.status == "401"
groupby: evt.Meta.source_ip
capacity: 3
leakspeed: 5m
blackhole: 1h
labels:
  service: vaultwarden
  type: brute-force

Paperless-ngx (Document Management)

Problema: Abuso de API de upload

Solución: Rate limiting en endpoints de upload

name: paperless/upload-abuse
description: Rate limiting en uploads
filter: evt.Meta.path =~ "^/api/documents/post_document"
groupby: evt.Meta.source_ip
capacity: 10
leakspeed: 1h
blackhole: 30m
labels:
  service: paperless
  type: rate-limit

Nextcloud (File Sync)

Problema: Bots escaneando archivos públicos

Solución: Detectar patrones de escaneo

name: nextcloud/directory-scanning
description: Detecta escaneo de directorios
filter: evt.Meta.service == "nextcloud" && evt.Meta.status == "404"
groupby: evt.Meta.source_ip
capacity: 20
leakspeed: 5m
blackhole: 2h
labels:
  service: nextcloud
  type: directory-scanning

—

Troubleshooting Errores Comunes

Problema: CrowdSec no detecta ataques

Solución paso a paso:

1. Verificar que los logs están siendo leídos:

docker logs crowdsec | grep acquis

1. Comprobar parsers activos:

docker exec crowdsec cscli parsers list

1. Verificar scenarios instalados:

docker exec crowdsec cscli scenarios list

1. Ver logs en tiempo real:

docker logs -f crowdsec

Problema: Bouncer no bloquea IPs

Solución:

1. Verificar conexión con LAPI:

docker exec nginx-bouncer curl http://crowdsec:8080/v1/decisions

1. Comprobar API key:

docker exec crowdsec cscli bouncers list

1. Revisar logs del bouncer:

docker logs nginx-bouncer

1. Verificar decisiones activas:

docker exec crowdsec cscli decisions list

Problema: Falsos positivos

Solución:

1. Crear whitelist temporal:

docker exec crowdsec cscli decisions add \
  --ip 192.168.1.100 \
  --duration 24h \
  --type whitelist

1. Ajustar thresholds en scenarios:

– Aumentar capacity para requerir más eventos

– Aumentar leakspeed para dar más tiempo

1. Revisar métricas en dashboard:

– Identificar scenarios que generan más falsos positivos

– Ajustar o desactivar scenarios problemáticos

Problema: Alto consumo de recursos

Solución:

1. Limitar logs analizados:

– Editar acquis.yaml para incluir solo logs relevantes

– Excluir logs muy verbosos

1. Optimizar scenarios:

– Desactivar scenarios no necesarios

– Ajustar capacity y leakspeed para reducir procesamiento

1. Monitorear recursos:

docker stats crowdsec

—

Mejores Prácticas de Seguridad

1. Collections Recomendadas

Para homelab, instala estas collections:

docker exec crowdsec cscli collections install crowdsecurity/nginx
docker exec crowdsec cscli collections install crowdsecurity/linux
docker exec crowdsec cscli collections install crowdsecurity/docker
docker exec crowdsec cscli collections install crowdsecurity/ssh

2. Monitoreo Continuo

• Dashboard: Revisa Metabase regularmente para identificar patrones
• Alertas: Configura alertas en Prometheus/Grafana para decisiones críticas
• Logs: Revisa logs de CrowdSec semanalmente

3. Mantener Whitelist Actualizada

# Script para mantener whitelist
#!/bin/bash
# whitelist.sh

IPS_CONFIABLES=(
  "192.168.1.100"
  "10.0.0.50"
)

for ip in "${IPS_CONFIABLES[@]}"; do
  docker exec crowdsec cscli decisions add \
    --ip "$ip" \
    --duration 168h \
    --type whitelist \
    --reason "IP confiable"
done

4. Backups de Configuración

# Backup de configuración
tar -czf crowdsec-config-backup-$(date +%Y%m%d).tar.gz \
  config/ data/

5. Actualizar Collections Regularmente

# Actualizar todas las collections
docker exec crowdsec cscli hub update
docker exec crowdsec cscli collections upgrade --all

6. Integración con Stack de Observabilidad

CrowdSec se integra perfectamente con Prometheus + Grafana:

# Grafana dashboard para CrowdSec
# Métricas clave:
# - IPs bloqueadas por hora
# - Top scenarios activos
# - Distribución geográfica de ataques

—

Preguntas Frecuentes

¿CrowdSec es realmente seguro? ¿Comparte mis datos?

Respuesta: Sí, CrowdSec es seguro. Solo comparte IPs de atacantes de forma anónima. No comparte:

• ❌ Logs completos
• ❌ Información personal
• ❌ Contenido de requests
• ❌ Datos de usuarios

Solo comparte: IPs maliciosas y tipo de ataque detectado.

¿Puedo usar CrowdSec sin compartir datos con el Hub?

Respuesta: Sí, puedes desactivar el Hub y usar CrowdSec solo localmente. Sin embargo, perderás el beneficio principal de la colaboración.

¿CrowdSec consume muchos recursos?

Respuesta: No, CrowdSec es muy eficiente. En un homelab típico consume:

• CPU: <5% promedio
• RAM: ~200-500 MB
• Disco: ~100 MB (logs y datos)

¿Funciona con servicios en Docker?

Respuesta: Sí, CrowdSec puede analizar logs de contenedores Docker usando el collection crowdsecurity/docker.

¿Cómo actualizo CrowdSec?

Respuesta: Simplemente actualiza la imagen Docker:

docker-compose pull
docker-compose up -d

¿Puedo crear scenarios personalizados?

Respuesta: Sí, puedes crear scenarios personalizados en YAML. Ver sección «Scenarios Personalizados» arriba.

¿CrowdSec reemplaza a un firewall?

Respuesta: No, CrowdSec complementa un firewall. El firewall bloquea tráfico no autorizado, CrowdSec detecta y bloquea comportamiento malicioso.

¿Funciona con Cloudflare?

Respuesta: Sí, existe un bouncer específico para Cloudflare que bloquea IPs directamente en Cloudflare.

¿Cómo veo qué IPs están bloqueadas?

Respuesta: Usa el dashboard Metabase o el CLI:

docker exec crowdsec cscli decisions list

¿Puedo integrar CrowdSec con Prometheus?

Respuesta: Sí, CrowdSec expone métricas en el puerto 6060. Ver sección «Integración con Prometheus».

¿Qué hacer si bloqueo mi propia IP?

Respuesta: Añádela a whitelist:

docker exec crowdsec cscli decisions add \
  --ip TU_IP \
  --duration 24h \
  --type whitelist

¿CrowdSec funciona con IPv6?

Respuesta: Sí, CrowdSec soporta IPv6 completamente.

¿Necesito configurar cada scenario manualmente?

Respuesta: No, las collections incluyen scenarios pre-configurados. Solo necesitas instalar la collection correspondiente.

¿Cómo desactivo un scenario que causa problemas?

Respuesta:

docker exec crowdsec cscli scenarios remove nombre-del-scenario

¿CrowdSec es compatible con sistemas Windows?

Respuesta: CrowdSec funciona principalmente en Linux. Para Windows, puedes usar WSL2 o contenedores Docker.

¿Cómo configuro alertas cuando se detecta un ataque?

Respuesta: Puedes integrar CrowdSec con sistemas de alertas:

# Ejemplo: Webhook para Discord/Telegram
# Configurar en config/notifications.yaml

¿CrowdSec afecta el rendimiento de mi servidor?

Respuesta: No, CrowdSec es muy eficiente. El análisis de logs es asíncrono y no bloquea servicios. En servidores con alto tráfico, el impacto es mínimo (<1% CPU adicional).

¿Puedo usar CrowdSec en producción empresarial?

Respuesta: Sí, CrowdSec es usado por empresas de todos los tamaños. Es open source, escalable y tiene soporte comercial disponible.

¿Cómo migro desde fail2ban a CrowdSec?

Respuesta: Puedes ejecutar ambos en paralelo durante la transición. CrowdSec puede leer los mismos logs que fail2ban, así que no hay conflicto.

—

Conclusión y Próximos Pasos

CrowdSec es una evolución natural de fail2ban que lleva la seguridad de homelab al siguiente nivel. Con su sistema colaborativo, inteligencia artificial integrada y configuración simple, protege tu infraestructura de forma proactiva.

Lo que has aprendido:

• ✅ Cómo instalar y configurar CrowdSec en Docker
• ✅ Integración con Nginx, Traefik y otros servicios
• ✅ Crear scenarios personalizados para casos específicos
• ✅ Configurar dashboard con Metabase
• ✅ Proteger servicios self-hosted comunes
• ✅ Troubleshooting y mejores prácticas

Próximos pasos recomendados:

1. Explorar el Hub: Visita hub.crowdsec.net para descubrir más collections y scenarios
2. Integrar con Grafana: Crea dashboards personalizados con métricas de CrowdSec
3. Automatizar whitelist: Crea scripts para mantener IPs confiables actualizadas
4. Revisar logs regularmente: Identifica patrones de ataque y ajusta scenarios

📦 Descargar Ejemplos

Todos los ejemplos de código y configuraciones están disponibles en GitHub:

🔗 https://github.com/ziruelen/learningaiagents/tree/main/homelab/crowdsec-firewall

Artículos Relacionados

• AdGuard Home: [DNS Encriptado para tu Homelab](https://www.eldiarioia.es/2025/12/12/adguard-home-dns-encriptado-para-tu-homelab-guia-completa-2025/)
• Prometheus + Grafana + Loki: Stack de Observabilidad Completo
• Pi-hole: Bloquea Todos los Anuncios de tu Red con Docker

¿Tienes preguntas o quieres compartir tu experiencia con CrowdSec? Déjanos un comentario o únete a nuestra comunidad en Discord.

—

Última actualización: Enero 2026 | CrowdSec v1.6.0