RSS
 

Membangun Server yang Tahan Terhadap Brute Force (Network Security)

20 Sep

Internet merupakan suatu alat komunikasi yang sangat membantu, mobile, dan praktis. Tetapi disisi lain, Internet bisa menjadi alat berbahaya. Tidak hanya di dunia nyata, kejahatan juga dapat dilakukan di dunia maya. Oleh karena itu di dunia maya juga diperlukan keamanan. Gangguan keamanan Internet memiliki bermacam bentuk, dari probing / scanning, cracking, brute force, worm, trojan, spam, dan sebagainya. Administrator biasanya akan melakukan tindakan pengamanan terhadap jaringannya, yaitu dengan menggunakan Firewall agar jaringannya tetap aman dari serangan hacker. Tetapi hal ini cukup sulit untuk menemukan hacker tepat pada posisinya melakukan serangan. Sehingga administrator kesulitan dalam melakukan tindakan terhadap serangan yang dilakukan.

Fail2ban merupakan salah satu aplikasi yang akan membantu administrator dalam mengamankan jaringan. Fail2ban beroperasi dengan memblokir IP yang mencoba melanggar keamanan sistem. Alamat IP yang diblokir dapat dilihat pada file log (misalnya: /var/log/pwdfail, /var/log/auth.log, dan lain-lain) dan melarang setiap IP yang berupaya login terlalu banyak atau melakukan tindakan yang tidak diinginkan lainnya dalam jangka waktu yang ditetapkan oleh administrator.

Fail2ban biasanya dirancang untuk membuka atau membolehkan host yang diblokir dalam jangka waktu tertentu, sehingga tidak mengunci setiap koneksi yang mungkin telah terkonfigurasi sementara. Namun, mengunci IP dalam waktu beberapa menit biasanya cukup untuk menghentikan koneksi jaringan yang sedang melakukan flood atau membanjiri sistem jaringan, serta mengurangi kemungkinan suksesnya untuk melakukan dictionary attack.

Dalam bahasa sederhana, fail2ban yaitu aplikasi yang berfungsi untuk melakukan pencegahan terhadap percobaan serangan brute force login ke suatu server. Aplikasi ini akan diterapkan untuk melakukan pengamanan terhadap SSH, FTP, SMTP, dan Apache.

Pada penelitian ini akan dibangun server yang tahan terhadap serangan brute force dengan menggunakan fail2ban pada Debian 6.0 Squeeze.

1.1      Perancangan Topologi

Gambar 1 Topology Jaringan

 

1.2      Perancangan Hardware

Perancangan jaringan pada ini penelitian akan menggunakan beberapa perangkat keras/hardware dengan spesifikasi sebagai berikut:

  1. Lima unit server yang akan digunakan sebagai Server untuk membangun jaringan server dengan spesifikasi:
    1. Intel Core 2 Duo.
    2. Memory 1 GB.
    3. Hardisk 320 GB.
  2. Kabel UTP dan RJ45.
  3. Satu unit komputer sebagai PC router.
  4. Dua unit Switch DLINK.
  5. Empat buah komputer sebagai attackeryang akan digunakan untuk pengujian server. Dengan spesifikasi sebagai berikut:
    1. Komputer 1 dan 2 : Intel Core i5, Memory 2 GB, Harddisk 500GB.
    2. Komputer 3 dan 4 : Intel Core 2 Duo, Memory 1 GB, Harddisk 320 GB.
  6. Satu buah router Cisco 2800 Series.

 

1.3      Perancangan Software

 1.         Perancangan DNS Server

Pada penelitian  ini digunakan DNS Server. DNS Server di bangun pada sistem operasi Debian 6.0 Squeeze. Software yang digunakan adalah bind9. Bind9 yang digunakan adalah versi 1:9.7.3. Berikut cara instalasi DNS Server pada Debian 6.0 Squeeze.

apt-get install bind9

2.         Perancangan FTP Server

Pada penelitian ini akan dilakukan serangan brute force pada FTP Server. Aplikasi yang digunakan untuk membangun FTP Server adalah vsftpd. Vsftpd yang digunakan adalah versi 2.3.2. Berikut cara instalasi vsftpd.

apt-get install vsftpd

3.         Perancagan SSH Server

Pada penelitian ini akan dilakukan serangan brute force pada SSH Server. Aplikasi yang digunakan untuk membangun SSH Server adalah OpenSSH. OpenSSH yang digunakan adalah versi 1:5.5p1-6. Berikut cara instalasi OpenSSH.

apt-get install ssh2

4.         Perancangan WEB Server

Pada penelitian ini akan dilakukan serangan brute force pada web Server. Aplikasi yang digunakan untuk membangun web Server adalah Apache2. Apache2 yang digunakan adalah versi 2.2.16-6. Berikut cara instalasi Apache2.

apt-get install apache2

5.         Perancangan NFS Server dan NFS Client

NFS server akan di install pada web server, FTP server, dan SSH server. Untuk instalasi NFS server menggunakan perintah.

apt-get install nfs-kernel-server nfs-common portmap

NFS Client di install pada PC router. Untuk melakukan instalasi NFS client menggunakan perintah.

apt-get install nfs-common portmap

6.         Perancangan Fail2ban

Pada Debian 6.0 Squeeze, fail2ban yang digunakan adalah fail2ban versi 0.8.4. Untuk instalasi fail2ban pada Debian 6.0 Squeeze dapat menggunakan perintah.

apt-get install fail2ban

7.         Perancagan Denyhosts

Pada penelitian ini, dibangun sebuah SSH Server yang dilindungi oleh Denyhosts. Denyhosts yang digunakan adalah versi 2.6-7. Untuk instalasi Denyhosts pada Debian 6.0 Squeeze dapat menggunakan perintah.

apt-get install denyhosts

2. HASIL DAN ANALISA

2.1      Fail2ban

Pada penelitian ini, fail2ban melindungi FTP Server, SSH Server, dan web Server.

2.1.1  Fail2ban melindungi FTP Server

Pada Proyek Akhir ini, dilakukan pengujian terhadap FTP Server yang dilindungi oleh Fail2ban dengan empat attacker. Empat attacker tersebut menggunakan aplikasi Brutus versi 2.0 pada sistem operasi Microsoft Windows sebanyak dua buah dan menggunakan aplikasi hydra versi 7.2 pada sistem operasi Linux dua buah. Setelah dijalankan aplikasi ke-empat attacker secara bersamaan, akan terjadi penambahan data pada log FTP Server. Berikut log pada FTP Server setelah dijalankan aplikasi pada empat attacker.

Gambar 2 Log FTP Server diserang Microsoft Windows dan Linux

Pada gambar diatas, terlihat attacker menggunakan IP, 172.16.30.2, 172.16.30.3, 172.16.30.4 dan 172.16.30.5 yang telah gagal dalam melakukan login. Kemudian Fail2ban akan melakukan pengecekan terhadap fairegex yang dideklarasikan pada file vsftpd.conf. Setelah failregex dan log pada FTP Server cocok dengan formatnya maka akan dihitung satu kesalahan. Jika kesalahan sudah sama dengan atau lebih dari yang sudah ditentukan pada variabel maxretry dalam rentang waktu yang telah ditentukan pada variabel findtime, maka file action akan bekerja. File action itu adalah iptables-multiportftp.conf. Pada file iptables-multiportftp.conf terdapat perintah iptables yang akan men-drop paket dari attacker. Berikut log pada fail2ban dengan log FTP Server pada Gambar 2.

Gambar 3 Log Fail2ban untuk FTP Server diserang Microsoft Windows dan Linux

Berikut hasil perintah iptables –L dengan log FTP Server pada Gambar 2.

2.1.2  Fail2ban melindungi SSH Server

Pada penelitian ini, dilakukan pengujian terhadap SSH Server yang dilindungi oleh Fail2ban dengan empat attacker. Empat attacker tersebut menggunakan aplikasi putty versi 0.61 pada sistem operasi Microsoft Windows sebanyak dua buah dan menggunakan aplikasi hydra versi 7.2 pada sistem operasi Linux dua buah. Setelah dijalankan aplikasi ke-empat attacker secara bersamaan, akan terjadi penambahan data pada log SSH Server. Berikut log pada SSH Server setelah dijalankan aplikasi pada empat attacker.

Gambar 4 Log SSH Server dilindungi fail2ban

Pada gambar diatas, terlihat attacker menggunakan IP, 172.16.30.2, 172.16.30.3, 172.16.30.4 dan 172.16.30.5 yang telah gagal dalam melakukan login. Kemudian Fail2ban akan melakukan pengecekan terhadap fairegex yang dideklarasikan pada file sshd.conf. Setelah failregex dan log pada SSH Server cocok dengan formatnya maka akan dihitung satu kesalahan. Jika kesalahan sudah sama dengan atau lebih dari yang sudah ditentukan pada variabel maxretry dalam rentang waktu yang telah ditentukan pada variabel findtime, maka file action akan bekerja. File action itu adalah iptables-multiportweb.conf. Pada file iptables-multiportweb.conf terdapat perintah iptables yang akan men-drop paket dari attacker. Berikut log pada fail2ban dengan log SSH Server pada Gambar 2.

Gambar 5 Log Fail2ban

Berikut hasil perintah iptables –L dengan log SSH Server pada Gambar 2.

Chain fail2ban-ssh (1 references)

target prot opt source destination

DROP all — 172.16.30.3 ssh.local

DROP all — 172.16.30.5 ssh.local

DROP all — 172.16.30.2 ssh.local

DROP all — 172.16.30.4 ssh.local

RETURN all — anywhere anywhere

Dari Gambar 3, pada baris 165 terlihat warning bahwa IP 172.16.30.4 sudah di-banned, pada baris 166 terlihat warning bahwa IP 172.16.30.2 sudah di-banned, pada baris 168 terlihat warning bahwa IP 172.16.30.5 sudah di-banned dan pada baris 169 terlihat warning bahwa IP 172.16.30.3 sudah di-banned.

Tetapi, pada Gambar 3 di baris 167, terdapat tulisan already banned pada log Fail2ban dengan IP yang sama. Ini berarti log pada SSH Server terus jalan, namun IPTables belum melakukan ban karena membutuhkan waktu untuk melakukan perintah iptables -I fail2ban-<name> 1 -s <ip> -d 192.168.40.19 -j DROP.

2.1.3  Fail2ban melindungi Web Server

 

2.2      Denyhosts

Pada penelitian ini, dilakukan pengujian terhadap SSH Server. Pada pengujian ini, satu attacker menggunakan sistem operasi Linux. Aplikasi yang digunakan adalah aplikasi hydra untuk melakukan serangan brute force terhadap SSH Server. Hydra yang digunakan adalah versi 7.2. Berikut log pada SSH Server setelah dijalankan aplikasi hydra.

Gambar 6 Log SSH Server dilindungi denyhosts

Pada gambar diatas, client dengan IP 172.16.30.5 telah melakukan gagal login lebih dari 3 kali. Kemudian Denyhosts akan menambahkan IP 172.16.30.5 kedalam file hosts.deny.

Gambar 7 IP yang di-ban pada Denyhosts

Dari Gambar 4.42, pada baris 2 terlihat bahwa IP 172.16.30.5 sudah di-banned pada layanan sshd.

 

Source : http://journal.pcr.ac.id/wp-content/uploads/2012/09/PAPER-ANALISA-KINERJA-FAIL2BAN-DAN-DENYHOSTS-1.doc

 
 

Leave a Reply

 
CAPTCHA Image
*
 
  1. Stacie Titsworth

    27 September 2012 at 09:00

    I gotta bookmark this internet site it seems very beneficial invaluable