Jika anda memiliki server (vps) yang dapat diakses public (internet), maka ada kalanya server anda akan diserang brute force dari internet sana. Serangan tersebut umumnya di fokuskan pada layanan SSH (jika ada), targetnya adalah masuk ke dalam server anda. Serangan (brute force) seperti apa yang dimaksud? Yaitu serangan yang memanfaatkan aplikasi untuk menebak-nebak user dan password yang digunakan untuk login server melalui suatu layanan.
Kenapa brute force-nya menggunakan aplikasi? Sebenarya agar proses serangan tersebut dapat di automasi karena aplikasi tersebut akan berfungsi untuk mengacak user dan password yang akan digunakan untuk masuk ke dalam sistem. Bayangkan saja jika kita sendiri yang memasukkan user dan password secara coba-coba dengan percobaan serangan 1000 kali ? ha ha ha ha, bisa keriting jari-jari kita wkwkwkwkw.
Untuk menangkal tersebut, sebenarnya cukup menggunakan aplikasi firewall seperti iptables, tetapi apa iya kita harus selalu memantau dan memasukkan alamat IP yang melakukan percobaan satu per satu? Untuk itu aplikasi fail2ban ini ada. aplikasi fail2ban ini akan memantau setiap percobaan login yang gagal dalam suatu waktu tertentu dan mencegahnya untuk login kembali dalam suatu waktu tertentu.
Percobaan-percobaan login yang berhasil dan gagal akan di catat di dalam log yang berlokasi di /var/log/auth.log (di Ubuntu Server). Untuk melihat dan memantaunya anda bisa menjalankan perintah:
sudo tail -f /var/log/auth.log
dari perintah di atas, anda akan memantau seluruh kegiatan yang adadi sistem, baik perintah maupun percobaan login yang erhasil da gagal di otentikasi. Untuk menghentikan pemantauan tersebut, cukup dengan menekan tombol CTRL+C.
Kembali ke topik lagi, kita dengan mudah dapat mengaplikasikan fail2ban tersebut untuk menangkal serangan brute force dengan menginstallnya terlebih dahulu menggunakan perintah:
sudo apt-get install fail2ban
kemudian silakan anda menjalankan perintah:
sudo iptables -L
jika anda mendapatkan tampilan rantai firewall seperti di bawah ini:
ada tambahan rantai baru, yaitu f2b-sshd dan perintah baru di dalam rantai INPUT sebagai efek dari instalasi fail2ban di sistem.
setelah itu, anda dapat menyalin file konfigurasinya terlebih dahulu sebelum diubah-ubah dengan menjalankan perintah:
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
perintah di atas maksudnya adalah membuat salinan file jail.conf ke jail.local, karena nantinya, konfigurasi yang akan kita ubah adalah file jail.local. Perlu anda ketahui bahwa fail2ban ini sebenarnya sudah dapat langsung berfungsi tanpa kita perlu menambahkan konfigurasi apapun di file jail.local.
Selesai di install, anda dapat mengaktifkan aplikasi fail2ban dengan menjalankan perintah:
sudo service fail2ban start
untuk mematikan layanan fail2ban, anda bisa menjalankan perintah:
sudo service fail2ban stop
silakan lihat lagi konfgurasi firewall dengan perintah:
sudo iptables -L
maka rantai f2b-sshd akan hilang seperti gambar di bawah ini:
jika ada blocking address dari hasil penerapan fail2ban terhadap percobaan, anda bisa melihat statusnya dengan menjalankan perintah:
sudo fail2ban-client status sshd
maka outputnya akan terlihat mirip seperti di bawah ini:
disitu anda bisa melihat bahwa terjadi percobaan brute force dari alamat IP 221.194.47.245 dan 58.218.198.169 ke dalam server dan telah di block oleh fail2ban. Mudah bukan menangkal brute force dengan fail2ban di Ubuntu Server 16.04 LTS. Selamat mencoba dan terima kasih telah berkunjung ya :-)
Comments