Mencegah Serangan Brute Force SSH dengan Fail2Ban (Ubuntu)
Assallamuallaikum.wr.wb.
03 Agustus 2016
pada kesempatan kali ini saya akan memposting sedikit tentang bagaimana sih cara mengamankan server kita dari ancaman tangan-tangan jahil. agar server kita dan privasi kita aman
Pendahuluan :
keamanan suatu server dari serangan luar adalah bagian yang terpenting. Berbagai cara pengaman dilakukan tergantung dari hal pentingnya suatu server mulai dari tingkat dasar hingkat tingkat lanjutan.
salah satu hal yang mendasar yakni dengan pemblokiran beberapa port kemudian kita bisa sedikit tingkaat dengan fail2ban.
pengertian :
pengertian fail2ban adalah satu aplikasi sumber terbuka simple dan mudah, yang digunakan untuk mencegah serangan brute force yakni dengan teknik seranagn terhadap server dengan mengunakan percobaan terhadap semua kata kuci yang memungkinkan. cara kerja fall2ban iini adalah dengan memblokir Ip address yang memiliki ciri-ciri serangan brute force terhadap server, dengan fall2ban kita dapat menimimalisir kemungkinan seperti itu bisa saja terjadi apalagi jika Ip server sudah banyak tersebar.
kelebihan file2ban jika dibandingkan dengan aplikasi sejenis lainya lebih simple kita tidak perlu lagi memasukn data IP yang mencoba untuk melakukan serangan brute force ke Iptables untuk dilakukan pemblokiran satu per-satu.
langsung saja pertama tama update dulu untuk memastikan database dalam lokal tersinkronisasi dengan repositori: :
pertama buka terminal kita lalu kita remote dengan perintah
#ssh [nama,ip server kamu]
#apt-get update
setelah itu kita baru instal fail2ban dengan perintah
#apt-get install fail2ban
lalu kita copy konfigurassi default fail2ban menjadi konfigurasi lokal;
#cp /etc/fail2ban/jail.conf/etc/fail2ban/conf
lalu sunting konfigurasi tersebut dengan perintah :
#nano /etc/fail2ban/jail.local
Perhatikan gambar di atas berikut ini keterangannya saya ambil yang terpenting saja:
- ignoreip jika dilihat dari namanya saja kita sudah tahu yakni
mengabaikan IP tertentu atau pengecualian walaupun salah memasukkan
password berkali-kali. Jika Anda ingin IP address berjumlah lebih dari
satu, silahkan pisahkan dengan spasi antara IP yang satu dengan yang
lainnya.
Contoh 127.0.0.1/8 128.168.0.0/24
- findtime adalah jumlah waktu sebuah IP yang akan diblokir dalam satuan detik. Secara default fail2ban memberikan waktu 600 detik ini berarti 10 menit. Jika Anda menginkan diblokir selama satu hari tinggal ganti saja menjadi 86400.
- maxretry yakni jumlah percobaan yang dapat dilakukan oleh seseorang yang melakukan brute force, sebelum IP tersebut di blok dicatat dahulu oleh fail2ban jika sudah 3 kali maka dibanned. Secara default fail2ban memblokir 3 kali percobaan. Anda bisa mengubahnya menjadi 2 atau lebih banyak. Kalau hemat pribadi saya cukup 3 kali salah maka blokir.
- destemail ganti root@localhost dengan alamat email yang Anda inginkan misalnya lapor@linuxku.com, pastikan terlebih dahulu bahwa Server a sudah mempunyai mail server.
- Kemudian lakukan pengaturan untuk beberapa service yang perlu misalnya ssh, dropbear, dan lain-lain. Anda bisa mengaktifkannya atau mengubah port yang disesuaikan jika memang beberapa port seperti SSH tidak Anda gunakan port defaultnya.
Langkah terkakhir yakni restart fail2ban untuk memastikan semuanya berjalan dengan baik:
# service fail2ban restart
Anda dapat mengecek iptabes apakah fail2ban sudah menangani masalah bruteforce ssh atau belum dengan cara:
#iptables -S
nah jika seperti gambar diats server telah diamankan.
semoga bermanfaat guys....
wassallamuallaikum.wr.wb
refrensi : http://www.linuxku.com/2016/07/mencegah-serangan-brute-force-ssh.html