Keamanan

Cara Mengatur IPS (Fail2ban) untuk Melindungi dari Berbagai Serangan

Cara Mengatur IPS (Fail2ban) untuk Melindungi dari Berbagai Serangan

IPS atau Intrusion Prevention System adalah teknologi yang digunakan dalam keamanan jaringan untuk memeriksa lalu lintas jaringan dan mencegah berbagai serangan dengan mendeteksi input berbahaya. Selain hanya mendeteksi input berbahaya seperti yang dilakukan Intrusion Detection System, ini juga mencegah jaringan dari serangan berbahaya. Dapat mencegah jaringan dari brute force, DoS (Denial of Service), DDoS (Distributed Denial of Service), Exploits, worm, virus, dan serangan umum lainnya. IPS ditempatkan tepat di belakang firewall, dan mereka dapat mengirim alarm, menjatuhkan paket berbahaya, dan memblokir alamat IP yang menyinggung. Dalam tutorial ini, kita akan menggunakan Fail2ban, yang merupakan paket Intrusion Prevention Software, untuk menambahkan lapisan keamanan terhadap serangan brute force yang berbeda.

Cara Kerja Fail2ban

Fail2ban membaca file log (mis.g. /var/log/Apache/error_log) dan mendapatkan IP yang menyinggung yang mencoba terlalu banyak kata sandi yang gagal atau mencari eksploitasi. Pada dasarnya, Fail2ban memperbarui aturan firewall untuk memblokir IP yang berbeda di server. Fail2ban juga menyediakan filter yang dapat digunakan untuk layanan tertentu (mis.g., apache, ssh, dll.).

Menginstal Fail2ban

Fail2ban tidak diinstal sebelumnya di Ubuntu, jadi sebelum menggunakannya, kita harus menginstalnya.

[dilindungi email]:~$ sudo apt-get update -y
[dilindungi email]:~$ sudo apt-get install fail2ban

Setelah menginstal Fail2ban, mulai dan aktifkan layanan Fail2ban menggunakan baris perintah.

[dilindungi email]:~$ sudo systemctl start fail2ban
[dilindungi email]:~$ sudo systemctl aktifkan fail2ban


Sekarang periksa status layanan fail2ban untuk mengonfirmasi apakah itu dimulai atau tidak.

[dilindungi email]:~$ Sudo systemctl status fail2ban

Mengonfigurasi Fail2ban Untuk SSH

Kita dapat mengkonfigurasi Fail2ban dengan memodifikasi /etc/fail2ban/jail.file conf. Sebelum memodifikasinya, ambil cadangan file ini.

[dilindungi email]:~$ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.lokal

Sekarang kita akan mengonfigurasi Fail2ban untuk mencegah layanan sshd dari input berbahaya. Buka /etc/fail2ban/jail.file lokal di editor favorit Anda.

[dilindungi email]:~$ sudo nano /etc/fail2ban/jail.lokal

Pergi ke [default] dan masukkan parameter konfigurasi di bawah [default] bagian.

[DEFAULT]
abaikan = 127.0.0.1/8 192.168.18.10/32
waktu banting = 300
maxretry = 2
waktu cari = 600

abaikan adalah daftar cidr mask, alamat ip, atau host DNS yang dipisahkan oleh karakter spasi. Tambahkan IP tepercaya Anda ke daftar ini, dan IP ini akan masuk daftar putih dan tidak akan diblokir oleh fail2ban bahkan jika mereka melakukan serangan brute force di server.

ban waktu adalah waktu IP akan diblokir setelah melakukan sejumlah upaya gagal tertentu ke server.

coba lagi adalah jumlah upaya gagal maksimum setelah IP diblokir oleh fail2ban untuk jangka waktu tertentu.

Cari waktu adalah jumlah waktu di mana jika tuan rumah membuat coba lagi upaya yang gagal, itu akan diblokir.

Setelah mengonfigurasi parameter di atas, sekarang kami akan mengonfigurasi layanan tempat aturan di atas akan diterapkan. Secara default, Fail2ban memiliki filter yang telah ditentukan sebelumnya untuk layanan yang berbeda, jadi kami tidak perlu memasukkan entri khusus untuk layanan. Kami hanya mengaktifkan atau menonaktifkan layanan yang berbeda di file konfigurasi. Buka /etc/fail2ban/jail.file lokal di editor favorit Anda.

[dilindungi email]:~$ sudo nano /etc/fail2ban/jail.lokal

Temukan [sshd] dalam file dan masukkan parameter berikut di bagian.

[sshd]
aktifkan = benar
port = ssh
filter = sshd
logpath = /var/log/auth.catatan
maxretry = 3

diaktifkan menentukan apakah layanan ini dilindungi oleh fail2ban atau tidak. Jika diaktifkan benar, maka layanan tersebut dilindungi; jika tidak, itu tidak dilindungi.

Pelabuhan mendefinisikan port layanan.

Saring mengacu pada file konfigurasi yang akan digunakan fail2ban. Secara default akan menggunakan /etc/fail2ban/filter.d/sshd.file conf untuk layanan sshsh.

jalan masuk mendefinisikan jalur ke log, fail2ban akan memantau untuk melindungi layanan dari serangan yang berbeda. Untuk layanan ssh, log otentikasi dapat ditemukan di /var/log/auth.log, jadi fail2ban akan memantau file log ini dan akan memperbarui firewall dengan mendeteksi upaya login yang gagal.

coba lagi mendefinisikan jumlah upaya login yang gagal sebelum diblokir oleh fail2ban.

Setelah menerapkan konfigurasi di atas untuk fail2ban, restart layanan untuk menyimpan perubahan.

[dilindungi email]:~$ sudo systemctl restart fail2ban.layanan
[dilindungi email]:~$ Sudo systemctl status fail2ban.layanan

Menguji Fail2ban

Kami telah mengonfigurasi fail2ban untuk melindungi sistem kami dari serangan brute force pada layanan ssh. Sekarang kami akan melakukan upaya login yang gagal pada sistem kami dari sistem lain untuk memeriksa apakah fail2ban berfungsi atau tidak. Setelah melakukan beberapa upaya login yang gagal sekarang, kami akan memeriksa log fail2ban.

[dilindungi email]:~$ cat /var/log/fail2ban.catatan

Kita dapat melihat bahwa setelah upaya login yang gagal, IP telah diblokir oleh fail2ban.

Kita bisa mendapatkan daftar semua layanan yang fail2bannya diaktifkan dengan menggunakan perintah berikut:.

[dilindungi email]:~$ Sudo fail2ban-status klien


Gambar di atas menunjukkan bahwa kami telah mengaktifkan fail2ban hanya untuk layanan sshd. Kita bisa mendapatkan informasi lebih lanjut tentang layanan sshd dengan menentukan nama layanan di perintah di atas.

[dilindungi email]:~$ Sudo fail2ban-client status sshd

Fail2ban secara otomatis membatalkan pemblokiran alamat IP yang diblokir setelah bantime, tetapi kami dapat membatalkan pemblokiran IP kapan saja menggunakan baris perintah. Ini akan memberikan lebih banyak kontrol atas fail2ban. Gunakan perintah berikut untuk membatalkan pemblokiran alamat IP.

[dilindungi email]:~$ sudo fail2ban-client set sshd unbanip 192.168.43.35

Jika Anda mencoba untuk membuka blokir alamat IP yang tidak diblokir oleh fail2ban, itu hanya akan memberi tahu Anda bahwa IP tersebut tidak diblokir.

[dilindungi email]:~$ sudo fail2ban-client set sshd unbanip 192.168.43.35

Kesimpulan

Untuk administrator sistem atau teknisi keamanan, menjaga keamanan server merupakan tantangan besar. Jika server Anda dilindungi oleh kata sandi, bukan oleh pasangan kunci publik dan pribadi, maka server Anda lebih rentan terhadap penyerang brute force. Mereka dapat masuk ke sistem Anda dengan menerapkan kombinasi kata sandi yang berbeda. Fail2ban adalah alat yang dapat membatasi penyerang meluncurkan berbagai jenis serangan, termasuk serangan brute force dan serangan DDoS di server Anda. Dalam tutorial ini, kami membahas bagaimana kami dapat menggunakan Fail2ban untuk melindungi server kami dari berbagai serangan. Kami juga dapat menggunakan Fail2ban untuk melindungi layanan lain seperti apache, nginx, dll.

Mouse Tombol tengah mouse tidak berfungsi di Windows 10
Tombol tengah mouse tidak berfungsi di Windows 10
Itu tombol tengah mouse membantu Anda menelusuri halaman web dan layar yang panjang dengan banyak data. Jika itu berhenti, Anda akhirnya akan mengguna...
Mouse Cara Mengganti Tombol Kiri & Kanan Mouse di PC Windows 10
Cara Mengganti Tombol Kiri & Kanan Mouse di PC Windows 10
Sudah menjadi hal biasa bahwa semua perangkat mouse komputer dirancang secara ergonomis untuk pengguna yang tidak kidal. Tetapi ada perangkat mouse ya...
Mouse Tiru klik Mouse dengan mengarahkan mouse menggunakan Clickless Mouse di Windows 10
Tiru klik Mouse dengan mengarahkan mouse menggunakan Clickless Mouse di Windows 10
Menggunakan mouse atau keyboard dalam posisi yang salah dari penggunaan yang berlebihan dapat menyebabkan banyak masalah kesehatan, termasuk keteganga...