Brute force ke server adalah serangan ke sebuah server yang dilakukan dengan mencoba login menggunakan user dan password secara acak dengan mencoba berkali-kali dalam sekali serang. Walaupun kemungkinan kecil untuk tembus (asalkan password-password benar-benar sulit), tetapi akan membuat trafic jaringan ke server semakin padat dan lambat.
Kali ini kita akan melihat konfigurasi untuk mengamankan Inoming mail server (pada kesempatan ini menggunakan Dovecot server yang sudah terinstall dan berjalan) yang paling rentan terhadap serangan brute force.
Pertama-tama kita harus memiliki program fail2ban, untuk mudahnya menggunakan paket rpm yang bisa di download disini, pilih file sesuai distro yang ada pada server kita.
Setelah diinstall, maka akan terdapat direktori /etc/fail2ban/ (untuk distro opensue). buatlah filter baru dan simpan di /etc/fail2ban/filter.d/dovecot-pop3imap.conf, berikut is filenya :
Maka akan muncul log file seperti berikut :
Jika terjadi serangan maka pada log akan berisi sebagai berikut :
Kali ini kita akan melihat konfigurasi untuk mengamankan Inoming mail server (pada kesempatan ini menggunakan Dovecot server yang sudah terinstall dan berjalan) yang paling rentan terhadap serangan brute force.
Pertama-tama kita harus memiliki program fail2ban, untuk mudahnya menggunakan paket rpm yang bisa di download disini, pilih file sesuai distro yang ada pada server kita.
Setelah diinstall, maka akan terdapat direktori /etc/fail2ban/ (untuk distro opensue). buatlah filter baru dan simpan di /etc/fail2ban/filter.d/dovecot-pop3imap.conf, berikut is filenya :
[Definition] failregex = (?: pop3-login|imap-login): (?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed).*rip=(?P\S*),.* ignoreregex =
Tambahkan baris berikut pada /etc/fail2ban/jail.conf:
[dovecot-pop3imap] enabled = true filter = dovecot-pop3imap action = iptables-multiport[name=dovecot-pop3imap, port="pop3,pop3s,imap,imaps", protocol=tcp] # optionaly mail notification # mail[name=dovecot-pop3imap, dest=root@domain] # see /etc/fail2ban/action.d/ or Fail2Ban doc logpath = /var/log/mail maxretry = 3 findtime = 1200 bantime = 1200
Untuk Debian dan Ubuntu tambahkan /etc/fail2ban/jail.local (jangan edit /etc/fail2ban/jail.conf)
Kemudian restart fail2ban server, buka console dan ketik :[dovecot-pop3imap] enabled = true filter = dovecot-pop3imap port = pop3,pop3s,imap,imaps action = iptables-multiport[name=dovecot-pop3imap, port="pop3,pop3s,imap,imaps", protocol=tcp] # optionaly mail notification # mail[name=dovecot-pop3imap, dest=root@domain] # see /etc/fail2ban/action.d/ or Fail2Ban doc logpath = /var/log/mail.log maxretry = 3 findtime = 1200 bantime = 1200
/etc/init.d/fail2ban restartUntuk melihat apakah fail2ban sudah berjalan dengan baik, pada console ketik :
tail -f /var/log/fail2ban.log
Maka akan muncul log file seperti berikut :
2012-07-16 21:21:02,656 fail2ban.server : INFO Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.4 2012-07-16 21:21:02,657 fail2ban.jail : INFO Creating new jail 'dovecot-pop3imap' 2012-07-16 21:21:02,658 fail2ban.jail : INFO Jail 'dovecot-pop3imap' uses poller 2012-07-16 21:21:02,682 fail2ban.filter : INFO Added logfile = /var/log/mail 2012-07-16 21:21:02,683 fail2ban.filter : INFO Set maxRetry = 3 2012-07-16 21:21:02,686 fail2ban.filter : INFO Set findtime = 1200 2012-07-16 21:21:02,686 fail2ban.actions: INFO Set banTime = 1200 2012-07-16 21:21:02,700 fail2ban.jail : INFO Jail 'dovecot-pop3imap' started
Jika terjadi serangan maka pada log akan berisi sebagai berikut :
2012-15-09 01:20:57,780 fail2ban.actions: WARNING [dovecot-pop3imap] Ban 176.58.96.82 2012-15-09 01:40:58,099 fail2ban.actions: WARNING [dovecot-pop3imap] Unban 176.58.96.82 2012-15-09 04:05:19,143 fail2ban.actions: WARNING [dovecot-pop3imap] Ban 176.58.96.82 2012-15-09 04:25:19,455 fail2ban.actions: WARNING [dovecot-pop3imap] Unban 176.58.96.82 2012-15-09 21:05:58,800 fail2ban.actions: WARNING [dovecot-pop3imap] Ban 125.228.246.202 2012-15-09 21:25:59,101 fail2ban.actions: WARNING [dovecot-pop3imap] Unban 125.228.246.202 2012-15-10 01:47:57,526 fail2ban.actions: WARNING [dovecot-pop3imap] Ban 88.204.0.2 2012-15-10 02:07:57,807 fail2ban.actions: WARNING [dovecot-pop3imap] Unban 88.204.0.2