Mencegah Bruteforce attack dengan Fail2ban

Haloo folks balik lagi di blog ini, Udh lama nih ga upload kali ini kita akan membahas tentang Fail2ban yaitu sebuah software Instrusion Prevention System (IPS) yang digunakan untuk mengamankan server dari serangan Bruteforce attack

Fail2ban

Fail2ban adalah adalah software opensource yang dapat kita gunakan secara bebas dan gratis, yang berfungsi untuk membatasi sebuah rule terhadap akses ke sebuah server.

Cara kerja fail2ban

Fail2ban bekerja sama seperti software firewall lainya, fail2ban nantinya akan berada di antara komunikasi dari service atau layanan yang di lindungi oleh fail2ban dan memberikan aturan untuk mengamankanya, Secara teknik Fail2ban akan mengcreate aturan untuk membatasi sebuah request atau permintaan akses sampai melakukan pemblokiran terhadap komputer yang melakukan request.
Dengan Fail2ban jika kita melakukan request login dan memasukan password yang salah sampai aturan yang ditentukan maka Fail2ban akan menganggap kita sebagai spam! atau attacker dan berakhir pada pemblokiran alamat IP dalam jangka waktu yang ditentukan. Jadi simple nya seperti kamu datang ke sebuah acara undangan, Jika kamu tidak dapat memverifikasi kamu bukan tamu undangan maka kemungkinan besar kamu akan di usir.

Manfaat Fail2ban

Manfaat Fail2ban untuk server adalah sebagai satpam yang berdiri di pintu masuk untuk melakukan pemeriksaan setiap ada permintaan masuk, Serta menjaga cost CPU,RAM serta bandwith server kita agar mengabaikan setiap permintaan akses yang tidak terverifikasi yang berdampak pada penggunaan cost tersebut.

Oke sampai sini mungkin sudah ada gambaran seperti apa itu Fail2ban, Let's config

Ubuntu dan Debian 

sudo apt-get install fail2ban -y


Centos Redhat dan sejenisnya

yum install fail2ban -y

Setelah itu tunggu sampai prosess installasi selesai, Maka selanjutnya kita akan lanjut untuk konfigurasinya.

Setelah paket fail2ban selesai diinstal masuk ke file /etc/fail2ban dengan perintah

cd /etc/fail2ban

• By default nya file konfigurasi tersebut berada pada /etc/fail2ban/jail.conf seperti dibawah ini

• Untuk berjaga-jaga disini kita akan copy fail defaultnya dengan perintah cp, seperti contoh dibawah cp jail.conf (nama file).

• Selanjutnya masuk ke file yang telah kita backup tadi yang akan kita konfigurasi, Masuk ke file tersebut dengan text editor kesayangan kalian, Kemudian cari file yang saya tandai, Untuk penjelasanya bisa kalian baca dibawah.

-Ignore ip : Digunakan untuk mengecualikan IP tertentu / IP yang diizinkan dan tidak akan di blokir oleh si fail2ban tersebut.

-Bantime : Digunakan untuk menentukan lamanya IP attacker yang di blokir oleh si fail2ban dalam hitungan menit.

-Findtime :  Yaitu waktu yang ditentukan oleh fail2ban apakah alamat IP tersebut masuk dalam kategori blokir atau tidak, Hitungan pun sama dalam hitungan menit.

-Maxretry : Digunakan untuk mengatur maksimal percobaan yang dapat dilakukan oleh seseorang ataupun seorang attacker untuk melakukan bruteforce, Defaultnya fail2ban akan memblokir 5x percobaan.

• FYI pada ignoreip kita bisa menambahkan beberapa IP baik dengan class nya ataupun satuan dipisahkan dengan (space) seperti berikut.

• Selanjutnya cari text [sshd] jika kalian menggunakan nano kalian bisa menggunakan CTRL + W lalu ketik sshd dan hit enter. Lalu kalian akan menemukan text konfigurasi kurang lebih seperti berikut, Selanjutnya kita aktifkan dengan konfigurasi yang telah saya garis bawahi.

Setelah selesai kalian bisa me-restart service fail2ban nya, Dengan perintah

service fail2ban restart

• Untuk memastikan fail2ban berjalan dengan aktif kita bisa menggunakan perintah service fail2ban status dan pastikan active (running) seperti dibawah. 

Oke sampai sini kita telah berhasil melakukan konfigurasi fail2ban untuk melindungi SSH si server, Terakhir kalian bisa coba SSH si Server kemudian coba masuk dengan password yang salah.

Oke sekian materi kita kali ini semoga bermanfaat..
Stay clean and anonym.

source https://www.kitaadmin.com/2019/03/cara-konfigurasi-fail2ban-untuk-ssh-di-ubuntu-debian-dan-centos.html?m=1