CrowdSec Docker Compose: Protección Colaborativa contra Ataques 2026

Proteger tu servidor y tus aplicaciones web de ataques automatizados es fundamental en 2026. CrowdSec Docker Compose te permite desplegar un sistema de prevención de intrusiones colaborativo que aprende de millones de usuarios en tiempo real. En esta guía completa aprenderás a instalarlo, configurarlo con Traefik o Nginx Proxy Manager, y proteger todo tu homelab con un solo contenedor.

Qué es CrowdSec Docker Compose

CrowdSec Docker Compose es un sistema de seguridad open-source que detecta y bloquea direcciones IP maliciosas mediante inteligencia compartida por su comunidad global. A diferencia de soluciones tradicionales como Fail2Ban, CrowdSec funciona como una red colaborativa donde cada instalación contribuye con datos de amenazas anónimos, creando una base de conocimiento compartida que beneficia a todos los usuarios.

La arquitectura de esta solución se divide en dos componentes principales: el Security Engine que analiza logs y detecta comportamientos sospechosos, y los Bouncers que ejecutan las acciones de bloqueo en tus aplicaciones. Esta separación permite centralizar la detección mientras distribuyes la protección en múltiples puntos de tu infraestructura.

Con más de 12,200 estrellas en GitHub y una comunidad activa de miles de usuarios, el servicio se ha convertido en el estándar de facto para proteger servidores self-hosted en 2026. Su modelo de seguridad colaborativa significa que cuando un atacante intenta comprometer cualquier servidor de la red, todos los demás usuarios reciben protección instantánea.

Por qué usar CrowdSec Docker Compose en tu homelab

Los ataques automatizados a servidores expuestos a Internet han aumentado exponencialmente. Botnets escanean constantemente puertos SSH, intentan credenciales por fuerza bruta en aplicaciones web, y buscan vulnerabilidades conocidas en servicios populares. Un servidor típico puede recibir cientos de intentos de acceso maliciosos cada día.

Esta herramienta ofrece ventajas significativas sobre soluciones tradicionales como Fail2Ban. Mientras Fail2Ban solo protege contra amenazas que ya han atacado tu servidor específico, el sistema utiliza inteligencia compartida de toda su red global. Si un atacante compromete servidores en Asia, tu servidor en Europa recibe protección inmediata sin necesidad de ser atacado primero.

La implementación con Docker simplifica drásticamente el despliegue. No necesitas instalar dependencias en tu sistema operativo, modificar configuraciones complejas del sistema, o preocuparte por conflictos con otros servicios. Un simple archivo docker-compose.yml y unos pocos comandos te proporcionan protección de nivel empresarial.

El modelo de licencia MIT y el código completamente open-source garantizan transparencia total sobre cómo funciona la protección. Puedes auditar el código, crear tus propios escenarios de detección, o contribuir mejoras a la comunidad. No hay costos ocultos ni limitaciones artificiales en la versión gratuita.

Requisitos previos para instalar CrowdSec Docker Compose

Antes de comenzar la instalación, asegúrate de tener los siguientes componentes en tu servidor:

• Docker Engine 20.10 o superior instalado y funcionando correctamente
• Docker Compose v2.0 o superior para gestionar servicios multi-contenedor
• 2 GB de RAM disponible para el contenedor principal y sus procesos
• 500 MB de espacio en disco para datos, configuración y logs
• Acceso a los logs de los servicios que deseas proteger (SSH, Nginx, Traefik, etc.)
• Puertos de red configurados si usas firewall (principalmente 8080 para la API local)

Si planeas integrar el sistema con un proxy inverso como Traefik o Nginx Proxy Manager, necesitarás también tener estos servicios funcionando previamente. La integración con estos proxies es donde el servicio demuestra su mayor valor, protegiendo todas tus aplicaciones web desde un único punto.

Verifica que Docker está funcionando ejecutando docker --version y docker compose version en tu terminal. Ambos comandos deben devolver las versiones instaladas sin errores.

Instalación básica de CrowdSec Docker Compose

La instalación básica de CrowdSec Docker Compose requiere crear una estructura de directorios adecuada y un archivo de configuración. Este ejemplo proporciona una implementación funcional que puedes personalizar según tus necesidades específicas.

Primero, crea los directorios necesarios para persistir configuración y datos:

mkdir -p ~/crowdsec/{config,data,logs}
cd ~/crowdsec

Ahora crea el archivo docker-compose.yml con la configuración básica:

version: '3.8'

services:
  crowdsec:
    image: crowdsecurity/crowdsec:latest
    container_name: crowdsec
    restart: unless-stopped
    environment:
      - COLLECTIONS=crowdsecurity/linux crowdsecurity/nginx
      - GID=1000
    volumes:
      - ./config:/etc/crowdsec
      - ./data:/var/lib/crowdsec/data
      - ./logs:/var/log/crowdsec
      - /var/log/auth.log:/var/log/auth.log:ro
      - /var/log/syslog:/var/log/syslog:ro
    ports:
      - "8080:8080"
    networks:
      - crowdsec_net

networks:
  crowdsec_net:
    driver: bridge

Este archivo de configuración establece los fundamentos del sistema. La variable COLLECTIONS especifica qué escenarios de detección se instalarán automáticamente. El escenario crowdsecurity/linux protege contra ataques SSH y de sistema, mientras que crowdsecurity/nginx detecta intentos de exploits web.

Los volúmenes montados son críticos para el funcionamiento correcto. El directorio data debe persistir obligatoriamente desde la versión 1.7.0, ya que contiene la base de datos de decisiones. Los logs del sistema (auth.log y syslog) se montan en modo solo lectura para que el motor de seguridad pueda analizarlos.

Inicia el servicio con el siguiente comando:

docker compose up -d

Verifica que el contenedor está funcionando correctamente:

docker compose logs crowdsec

Deberías ver mensajes indicando que las colecciones se han instalado y que el motor de seguridad está procesando logs. En los primeros minutos, el sistema creará su configuración inicial y comenzará a aprender los patrones normales de tu servidor.

Configurar CrowdSec Docker Compose con Traefik

La integración entre CrowdSec Docker Compose y Traefik es una de las configuraciones más potentes para proteger aplicaciones web. Traefik actúa como punto de entrada para todas tus aplicaciones, y el bouncer de esta solución verifica cada petición antes de permitir el acceso.

Primero, genera una clave API para el bouncer de Traefik ejecutando este comando dentro del contenedor:

docker exec crowdsec cscli bouncers add traefik-bouncer

Guarda la clave API generada, la necesitarás en el siguiente paso. Ahora agrega el bouncer de Traefik a tu docker-compose.yml existente:

  traefik-bouncer:
    image: fbonalair/traefik-crowdsec-bouncer:latest
    container_name: traefik-bouncer
    restart: unless-stopped
    environment:
      - CROWDSEC_BOUNCER_API_KEY=TU_CLAVE_API_AQUI
      - CROWDSEC_AGENT_HOST=crowdsec:8080
      - GIN_MODE=release
    networks:
      - crowdsec_net
      - traefik_net
    depends_on:
      - crowdsec

Reemplaza TU_CLAVE_API_AQUI con la clave generada anteriormente. Asegúrate de que ambos contenedores comparten al menos una red común para comunicarse.

Para utilizar el método de plugin nativo de Traefik (más eficiente), agrega esta configuración estática a tu archivo traefik.yml o como labels:

experimental:
  plugins:
    bouncer:
      moduleName: github.com/maxlerebourg/crowdsec-bouncer-traefik-plugin
      version: v1.3.5

Luego configura un middleware para aplicar la protección. Puedes hacerlo mediante labels en tus servicios Docker o en la configuración dinámica de Traefik:

labels:
  - "traefik.http.middlewares.crowdsec.plugin.bouncer.enabled=true"
  - "traefik.http.middlewares.crowdsec.plugin.bouncer.crowdseclapikey=TU_CLAVE_API"
  - "traefik.http.middlewares.crowdsec.plugin.bouncer.crowdseclapihost=crowdsec:8080"

Aplica el middleware a tus routers para protegerlos. Cualquier IP identificada como maliciosa recibirá automáticamente una respuesta HTTP 403 Forbidden antes de alcanzar tu aplicación real. Puedes verificar las decisiones activas consultando el CrowdSec Console oficial.

Integración de CrowdSec Docker Compose con Nginx Proxy Manager

Nginx Proxy Manager es otra opción popular para gestionar proxies inversos con interfaz web, y la integración con el sistema de seguridad añade protección automática a todos tus dominios gestionados.

Primero, genera una clave API específica para el bouncer de Nginx:

docker exec crowdsec cscli bouncers add nginx-bouncer

Agrega el bouncer a tu configuración de Docker Compose:

  nginx-bouncer:
    image: crowdsecurity/nginx-bouncer:latest
    container_name: nginx-bouncer
    restart: unless-stopped
    environment:
      - CROWDSEC_BOUNCER_API_KEY=TU_CLAVE_API_NGINX
      - CROWDSEC_AGENT_HOST=crowdsec:8080
      - BOUNCER_MODE=nginx
    volumes:
      - ./nginx-bouncer/config:/etc/crowdsec/bouncers/
    networks:
      - crowdsec_net
      - npm_net
    depends_on:
      - crowdsec

La configuración del bouncer se almacena en el directorio montado. Debes editar el archivo de configuración para especificar cómo se aplicarán las decisiones de bloqueo. El bouncer puede operar en varios modos: bloqueo inmediato, captcha para IPs sospechosas, o registro de intentos sin bloqueo activo.

Para que Nginx Proxy Manager utilice el bouncer, necesitas configurar una ubicación especial que consulte el servicio antes de procesar peticiones. Algunos miembros de la comunidad han creado forks de Nginx Proxy Manager con integración nativa, simplificando enormemente el proceso. Puedes encontrar estos proyectos en el foro oficial.

Una vez configurado correctamente, todas las peticiones HTTP que lleguen a tus dominios gestionados pasarán primero por la verificación de seguridad. Las IPs maliciosas conocidas serán bloqueadas instantáneamente, mientras que el tráfico legítimo fluirá sin interrupciones ni latencia perceptible.

Comandos esenciales para gestionar CrowdSec Docker Compose

La herramienta de línea de comandos cscli es fundamental para administrar tu instalación. Accede a ella ejecutando comandos dentro del contenedor con el prefijo docker exec crowdsec cscli.

Consulta las métricas de seguridad en tiempo real:

docker exec crowdsec cscli metrics

Este comando muestra estadísticas detalladas sobre eventos procesados, decisiones tomadas, y eficacia de cada escenario de detección. Es tu panel de control principal para entender qué está pasando con tu seguridad.

Lista las decisiones de bloqueo activas:

docker exec crowdsec cscli decisions list

Verás todas las IPs bloqueadas, el motivo del bloqueo, cuándo expira la decisión, y qué escenario la generó. Puedes filtrar por tipo de decisión (ban, captcha) o por origen (local vs compartido por la comunidad).

Si necesitas desbloquear manualmente una IP (por ejemplo, si bloqueaste accidentalmente tu propia dirección):

docker exec crowdsec cscli decisions delete --ip 1.2.3.4

Explora el CrowdSec Hub para instalar escenarios adicionales de detección:

docker exec crowdsec cscli hub list
docker exec crowdsec cscli collections install crowdsecurity/apache2

El Hub contiene cientos de escenarios para proteger servicios específicos: WordPress, Nextcloud, Home Assistant, aplicaciones custom, y más. Cada colección agrupa múltiples escenarios relacionados que funcionan juntos para proporcionar protección completa.

Actualiza las colecciones y parsers a sus últimas versiones:

docker exec crowdsec cscli hub update
docker exec crowdsec cscli hub upgrade

Registra tu instancia en la consola web oficial para obtener visibilidad centralizada y acceso a listas de bloqueo premium:

docker exec crowdsec cscli console enroll TU_TOKEN_AQUI

Obtendrás el token de registro creando una cuenta gratuita en app.crowdsec.net. La consola web proporciona dashboards visuales, alertas configurables, y análisis histórico de amenazas.

Monitorización y optimización del rendimiento

El rendimiento de tu instalación depende de varios factores: volumen de logs procesados, número de escenarios activos, y recursos del servidor. El sistema está diseñado para ser eficiente, pero puedes optimizarlo aún más.

Verifica el uso de recursos del contenedor:

docker stats crowdsec

En condiciones normales, el motor de seguridad consume entre 50-150 MB de RAM y mínimo CPU. Si observas uso elevado constante, probablemente estás procesando un volumen muy alto de logs o sufriendo ataques activos.

Revisa los logs para identificar problemas de configuración o errores de parseo:

docker compose logs -f crowdsec

Los mensajes de advertencia sobre parsers que fallan indican que los formatos de log no coinciden con los esperados. Puedes personalizar los parsers o deshabilitar los que no uses para mejorar eficiencia.

Configura límites de recursos en tu docker-compose.yml para evitar que el contenedor consuma excesivos recursos en caso de ataque DDoS:

    deploy:
      resources:
        limits:
          cpus: '1.0'
          memory: 512M
        reservations:
          memory: 128M

Estos límites garantizan que el servicio tenga recursos dedicados pero no pueda afectar otros contenedores críticos del servidor.

Casos de uso avanzados y personalizaciones

Más allá de la protección básica, puedes aprovechar características avanzadas para casos de uso específicos. El sistema soporta arquitecturas multi-servidor donde centralizas la detección en un servidor maestro mientras distribuyes bouncers en múltiples servidores edge.

Para configurar una arquitectura centralizada, expón la API local (LAPI) del servidor maestro de forma segura y configura los agentes remotos para reportar a esa API central. Esto es ideal para empresas o homelabs grandes con múltiples VPS o servidores físicos.

Puedes crear escenarios personalizados de detección para proteger aplicaciones custom. Los escenarios se definen en YAML y utilizan un lenguaje de expresiones para identificar patrones de ataque específicos de tu aplicación. Por ejemplo, detectar intentos de explotación de endpoints API custom que solo tú conoces.

El sistema también soporta integración con herramientas SIEM y sistemas de tickets. Puedes configurar notificaciones a Slack, Mattermost, o PagerDuty cuando se detectan amenazas críticas. Estas notificaciones te permiten responder rápidamente a incidentes de seguridad incluso cuando no estás monitorizando activamente.

Para entornos de producción críticos, considera configurar múltiples bouncers en diferentes capas: firewall (iptables), proxy inverso (Traefik/Nginx), y aplicación (AppSec). Esta defensa en profundidad garantiza que incluso si una capa falla, las demás continúan protegiendo tu infraestructura.

Solución de problemas comunes

Si el contenedor no inicia correctamente, verifica que el directorio de datos esté montado. Desde la versión 1.7.0, el sistema requiere obligatoriamente un volumen persistente en /var/lib/crowdsec/data/ y rechazará iniciar sin él.

Cuando los bouncers no reciben decisiones de bloqueo, confirma que las claves API son correctas y que los contenedores pueden comunicarse por red. Usa docker network inspect para verificar que todos los contenedores están en la red común esperada.

Si observas falsos positivos bloqueando tráfico legítimo, añade whitelists para tus IPs conocidas:

docker exec crowdsec cscli decisions add --ip 1.2.3.4 --duration 99999h --type whitelist

También puedes ajustar los umbrales de los escenarios para hacerlos menos agresivos. Edita los archivos de configuración en el directorio montado y ajusta parámetros como número de intentos antes de bloqueo o duración de las decisiones.

Los problemas de parseo de logs generalmente se deben a formatos no estándar. Revisa los logs del motor para identificar qué líneas no se están parseando correctamente, luego busca parsers alternativos en el Hub o crea uno personalizado basado en expresiones regulares.

Comparativa: CrowdSec vs Fail2Ban vs alternativas

Fail2Ban ha sido durante años la solución estándar para proteger servidores Linux, pero CrowdSec Docker Compose representa una evolución significativa del concepto. Mientras Fail2Ban solo aprende de ataques directos a tu servidor específico, el enfoque colaborativo proporciona protección proactiva basada en millones de datos globales.

Fail2Ban requiere instalación en el sistema operativo host, configuración manual de reglas complejas, y mantenimiento continuo de expresiones regulares. El despliegue con Docker elimina estas fricciones ofreciendo configuración preempaquetada y actualizaciones automáticas de escenarios de detección.

Comparado con soluciones comerciales como Cloudflare o AWS WAF, el modelo open-source proporciona control total sin costos de licencia. No hay límites artificiales en el número de peticiones protegidas, servidores monitorizados, o características disponibles. La privacidad también es superior ya que tus logs permanecen en tu infraestructura.

Otras alternativas como OSSEC o Snort son más complejas de configurar y mantener. Están diseñadas para equipos de seguridad corporativos con experiencia especializada. El sistema ofrece un balance ideal entre potencia y facilidad de uso para administradores de sistemas individuales o equipos pequeños.

La arquitectura modular con bouncers separados también es única. Puedes proteger simultáneamente SSH, aplicaciones web, APIs, y servicios custom desde un único motor de detección central. Fail2Ban requeriría configuraciones separadas para cada servicio con lógica de detección duplicada.

Preguntas frecuentes sobre CrowdSec Docker Compose

¿Qué información comparte CrowdSec con la comunidad?

El sistema solo comparte direcciones IP identificadas como maliciosas y los tipos de ataque detectados. Nunca se comparten logs completos, datos de aplicaciones, o información sensible. Los datos compartidos son anónimos y se utilizan exclusivamente para mejorar la inteligencia de amenazas colectiva. Puedes revisar exactamente qué se comparte en la documentación oficial.

¿CrowdSec Docker Compose afecta el rendimiento de mi servidor?

El impacto en rendimiento es mínimo. El motor de seguridad consume típicamente 50-150 MB de RAM y menos del 5% de CPU en un servidor moderno. Los bouncers agregan latencia insignificante a las peticiones web (menos de 1ms). El beneficio de protección supera ampliamente el overhead de recursos.

¿Puedo usar CrowdSec sin Docker?

Sí, el servicio soporta instalación nativa en Linux, Windows, FreeBSD, y macOS. Sin embargo, la versión Docker simplifica enormemente la instalación, actualizaciones, y aislamiento del sistema. Para homelabs y servidores self-hosted, Docker es la opción recomendada por la comunidad debido a su facilidad de gestión.

¿Cómo actualizo CrowdSec a la última versión?

Detén el contenedor actual, descarga la imagen más reciente, y reinicia el servicio. Los comandos son: docker compose down, docker compose pull, y docker compose up -d. Tu configuración y datos persistidos en volúmenes se mantienen intactos durante actualizaciones.

¿Puedo bloquear países específicos con CrowdSec Docker Compose?

Sí, mediante listas de bloqueo geográficas disponibles en el Hub. Instala la colección correspondiente con cscli collections install y configura los países a bloquear. Sin embargo, el bloqueo geográfico debe usarse con precaución ya que puede generar falsos positivos si tienes usuarios legítimos en esas regiones.

Conclusión: protege tu homelab con CrowdSec Docker Compose

Implementar CrowdSec Docker Compose en tu infraestructura es una de las mejores decisiones de seguridad que puedes tomar en 2026. La combinación de inteligencia colaborativa, facilidad de despliegue con Docker, y protección multicapa te proporciona seguridad de nivel empresarial sin costos ni complejidad empresarial.

Con un simple archivo docker-compose.yml y unos pocos comandos, tu servidor recibe protección instantánea contra ataques de fuerza bruta, escaneos automatizados, exploits conocidos, y amenazas emergentes detectadas en cualquier parte del mundo. La integración con Traefik, Nginx Proxy Manager, o directamente con tu firewall garantiza que cada capa de tu stack está protegida.

El modelo open-source y la comunidad activa aseguran mejora continua, nuevos escenarios de detección, y soporte cuando lo necesites. Ya sea que gestiones un homelab personal con pocos servicios o una infraestructura compleja con múltiples servidores, esta solución escala para satisfacer tus necesidades sin requerir certificaciones de seguridad especializadas.

Comienza tu implementación hoy mismo siguiendo los pasos de esta guía. En menos de 15 minutos tendrás protección activa funcionando. Tu yo futuro te agradecerá cuando el servicio bloquee automáticamente ese ataque de fuerza bruta a las 3 AM que de otro modo habría comprometido tu servidor. Explora más tutoriales de servicios Docker en nuestra categoría Docker Compose.