Keamanan OpenBSD - Cara Memblokir Serangan Brute Force SSH dengan SSHGuard

SSHGuard memantau aktivitas log dan menanggapi serangan dengan memblokir alamat IP sumber. Sshguard diciptakan untuk melindungi server SSH dari serangan brute force yang meluas saat ini dan telah berkembang menjadi perlindungan log yang dapat diperluas untuk memblokir serangan aplikasi secara real time.

SSHGuard mengeluarkan pesan log ke input standar. Ia menggunakan parser untuk memutuskan apakah entri tersebut merupakan aktivitas normal atau serangan. Setelah beberapa serangan, alamat IP diblokir oleh firewall.

Berikut ini adalah backend pemblokiran yang tersedia:

• SSHGuard dengan PF (OpenBSD, FreeBSD, NetBSD, DragonFly BSD).
• SSHGuard dengan IP FILTER (FreeBSD, NetBSD, Solaris).
• SSHGuard dengan IPFW (FreeBSD, Mac OS X).
• SSHGuard dengan netfilter/iptables (Linux).
• SSHGuard dengan TCP wrappers / hosts.allow (hampir semua sistem UNIX).

1. Proses Instalasi SSHGuard

Untuk menginstal SSHGuard di FreeBSD dan OpenBSD, masukkan:

Dukungan Filter Paket:

ns1#  make install clean -C /usr/ports/security/sshguard-pf

Dukungan FILTER IP:

ns1#  make install clean -C /usr/ports/security/sshguard-ipfilter

Dukungan IPFW:

ns1#  make install clean -C /usr/ports/security/sshguard-ipfw

2. Konfigurasikan Server SSHguard

Cara mengonfigurasi SSHGuard menggunakan OpenBSD Packet Filter (PF).

Mengonfigurasi Packet Filter (PF) memerlukan aturan yang memblokir lalu lintas TCP ke port SSH dari alamat yang telah terbukti menjadi sumber serangan.

Edit berkas konfigurasi PF, berkas ini biasanya /etc/pf.conf.

ns1# nano /etc/pf.conf

Tambahkan skrip berikut di bagian tabel.

table <sshguard> persist

dan setelah itu tambahkan skrip berikut di file /etc/pf.conf.

block in quick on nfe0_if proto tcp from any to any port 22 label "ssh bruteforce"

Antarmuka nfe0 adalah nama antarmuka dari antarmuka WAN.

Langkah berikutnya, Anda memuat ulang konfigurasi PF.

ns1# pfctl -f /etc/pf.conf

Untuk menampilkan kumpulan alamat yang diblokir di tabel SSHguard kapan saja, masukkan.

ns1# pfctl -T show -t sshguard

3. Konfigurasikan SSHGuard dengan TCP Wrapper

TCP Wrapper memutuskan kapan menerima atau menolak koneksi berdasarkan file yang disediakan pengguna, biasanya /etc/hosts.allow. Melalui firewall backend "hosts", SSHGuard dapat memanipulasi file ini dengan menambahkan dan menghapus aturan secara dinamis untuk alamat yang menyalahgunakan layanan yang dipantau.

Backend ini tidak memerlukan konfigurasi, pastikan untuk membuat file /etc/hosts.allow jika tidak ada.

Saat SSHGuard dimulai dengan host backend, ia membuat blok khusus di file hosts.allow, yang dikelilingi oleh pasangan ##sshguard##. Saat alamat diblokir, SSHGuard menyisipkan aturan DENY di dalam blok ini, sehingga semua program yang mendukung libwrap menolak koneksi dari alamat tersebut.

Saat berjalan, blok SSHGuard di /etc/hosts.allow akan berisi aturan yang mengatakan "Tolak koneksi dari daftar host ini, ke SEMUA layanan"; aturan ini akan terlihat seperti ini.

##sshguard##
ALL : 10.1.2.3 11.5.4.3 : DENY
##sshguard##

Mengamankan server SSH Anda menggunakan SSHGuard menyediakan lapisan perlindungan yang kuat terhadap serangan brute force dan upaya akses tidak sah lainnya. Ingat, kunci untuk menjaga keamanan tidak hanya pada pengaturan awal tetapi juga pada pemantauan dan pembaruan konfigurasi secara terus-menerus saat ancaman baru muncul.